autarquia de ensino superior de garanhuns – aesga · informação nas microempresas busca...
TRANSCRIPT
AUTARQUIA DE ENSINO SUPERIOR DE GARANHUNS - AESGA
FACULDADE DE CIÊNCIAS DA ADMINISTRAÇÃO DE GARANHUNS - FAGA
CURSO DE ADMINISTRAÇÃO DE EMPRESAS COM ÊNFASE EM
EMPREENDEDORISMO
SEGURANÇA DA INFORMAÇÃO NAS MICROEMPRESAS
PAULINELY MORGAN DA SILVA
GARANHUNS - PE
2011
PAULINELY MORGAN DA SILVA
SEGURANÇA DA INFORMAÇÃO NAS MICROEMPRESAS
Trabalho de Conclusão de Curso (TCC) entregue a Autarquia de Ensino Superior de Garanhuns (AESGA), como pré-requisito para conclusão e obtenção do grau de bacharel no curso de Administração de Empresas com Ênfase em Empreendedorismo, da Faculdade de Ciências da Administração de Garanhuns (FAGA). Orientador: Prof.(a) Giane Maria Lira Oliveira
GARANHUNS - PE
2011
PAULINELY MORGAN DA SILVA
SEGURANÇA DA INFORMAÇÃO NAS MICROEMPRESAS
BANCA EXAMINADORA
Aluno(a) aprovado(a) em _____ de _______________ de 20____
______________________________________________
Prof.(a) Orientador(a) Giane Maria Lira Oliveira
______________________________________________
Prof.(a) Giovanna Leite
______________________________________________
Prof.(a) Paulo Falcão
Dedico este trabalho aos meus pais, que
contribuíram incomensuravelmente para a
realização e conclusão desta pesquisa.
AGRADECIMENTOS
Inicialmente, quero agradecer a Deus, pois sem a permissão Dele jamais teria
tido a ajuda e a compreensão de pessoas tão maravilhosas para realização deste
trabalho.
Agradecer a minha família, a minha irmã Morgana que – com suas ideias e
correções – contribuiu bastante para a realização desta pesquisa, o auxílio dela foi
importantíssimo para construção deste trabalho. Agradecer principalmente aos meus
pais, pois foram eles umas das poucas pessoas que contribuíram indiretamente e
conseguiram fazer com que sua ajuda fosse importantíssima – sem meus pais eu
jamais estaria aqui.
Também gostaria de agradecer a minha namorada Amanda, pela imensa
compreensão, auxílio nas correções e na impressão.
Agradecer a todos os colegas de sala, que direta ou indiretamente
contribuíram para esta pesquisa.
Um agradecimento a toda à família AESGA que, desde o pessoal da
biblioteca até os professores, colaboraram bastante para a elaboração deste
trabalho. Sem a contribuição dos professores provavelmente eu não conseguiria ter
chegado até aqui. Em especial, agradecer a minha orientadora Giane, pela atenção,
sinceridade, transparência e compreensão na orientação a esta pesquisa.
“A informação é o oxigênio da era moderna.”
Ronald Reagan
RESUMO Através de pesquisa bibliográfica, essa monografia intitulada de Segurança da Informação nas Microempresas busca responder qual a importância ou o impacto da tecnologia da informação para a segurança da microempresa e quais recursos devem ser utilizados para efetuar uma segurança da informação mais assertiva, dentro das microempresas. As chamadas microempresas que, não pelo faturamento, mas pela imensa quantidade espalhada por todo território Brasileiro, tornaram-se importantíssimas para economia nacional. Paralelo a isso, num cenário em que o conhecimento das pessoas é o ativo mais importante dentro de uma organização, os funcionários são valorizados não só pelo que eles produzem, mas principalmente porque eles sabem como produzir. Em função desse principal ativo das organizações ser intangível, a informação tomou volumes grandiosos, não só por armazenar o valor da organização, mas também pelo importante auxílio na tomada de decisão. O aumento do fluxo de informações e a necessidade de transmissão dos dados com a maior velocidade possível, tornou necessário o uso dos Sistemas de Informação (SI), para um maior e melhor controle deste hiperbólico volume de informações. Através da Tecnologia da Informação (TI), os SI passaram a ser mais versáteis e robustos; logo, utilizar a TI como parte dos negócios passou a ser sinônimo de sobrevivência. A existência de pessoas com alto nível de conhecimento – comumente chamados de hackers – que através de engenharia social, varredura de portas, cavalos de Tróia, entre outros, invadem os sistemas computacionais das empresas, por motivos variados como: satisfação do próprio ego ou por espionagem industrial, gerou uma alarmante preocupação com a chamada Segurança da Informação. A Segurança da Informação tornou-se, então, algo indispensável para qualquer empresa que utilize algum recurso da TI, inclusive as microempresas. Formatando uma adequada política de segurança da informação e utilizando recursos de segurança lógica e física, as microempresas passaram a defender o seu ativo mais valioso: o conhecimento.
Palavras chave: Segurança da informação. Tecnologia da informação.
Microempresa. Administração. Hackers.
LISTA DE FIGURAS
Figura 1 – Processo de transformação de dados em informações............................27
Figura 2 – Conversão da informação para ação........................................................28
Figura 3 – Impacto da TI nas micro e pequenas empresas.......................................31
Figura 4 – As propriedades mais importantes da segurança.....................................33
Figura 5 – Total de incidentes reportados ao CERT.br..............................................35
Figura 6 – Tipos de ataque reportados......................................................................41
Figura 7 – Definição de firewall..................................................................................45
Figura 8 – O planejamento da política de segurança.................................................50
Figura 9 – Fatores de sucesso da política de segurança...........................................50
LISTA DE TABELAS
Tabela 1 – Participação das grandes regiões e UF’s no produto interno bruto.........22
Tabela 2 – Número de pequenas empresas, por setor de atividade.........................22
LISTA DE QUADROS
Quadro 1 – As eras da administração no século XX..................................................25
LISTA DE SIGLAS
ABNT Associação Brasileira de Normas Técnicas
AESGA Autarquia de Ensino Superior de Garanhuns
BNDES Banco Nacional de Desenvolvimento Econômico Social
CEF Caixa Econômica Federal
CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança
no Brasil
CGI.br Comitê Gestor da Internet no Brasil
CPF Cadastro de Pessos Física
DOS Denial-of-Service
EPP Empresa de Pequeno Porte
ERP Enterprise Resource Planning
FAGA Faculdade de Ciências da Administração de Garanhuns
FGTS Fundo de Garantia do Tempo de Serviço
IBGE Instituto Brasileiro de Geografia e Estatística
IDS Intrusion Detections System
ISO International Organization for Standardization
LC Lei Complementar
ME Microempresa
MPEs Micro e Pequenas Empresas
NF-e Nota Fiscal Eletrônica
PIB Produto Interno Bruto
SEBRAE Serviço Brasileiro de Apoio às Micro e Pequenas Empresas
SEFAZ/PE Secretaria da Fazenda do Estado de Pernambuco
SI Sistemas de Informação
TCC Trabalho de Conclusão de Curso
TCP Transmission Control Protocol
TI Tecnologia da Informação
UFIRs Unidades Fiscais de Referencia
SUMÁRIO
INTRODUÇÃO ......................................................................................................... 13
1 A EMPRESA E O ARMAZENAMENTO DE DADOS ............................................ 15
1.1 O EMPRESÁRIO E O ESTABELECIMENTO EMPRESARIAL ........................... 16
1.2 DA DEFINIÇÃO DE MICROEMPRESA .............................................................. 18
1.2.1 Evolução Histórica da Legislação sobre Microempresa no Brasil .................... 20
1.2.2 A Importância das Microempresas .................................................................. 21
1.3 O PRIMEIRO SISTEMA DE ARMAZENAMENTO E ESCRITURAÇÃO DE
DADOS .................................................................................................................... 22
2 ERA DA INFORMAÇÃO ....................................................................................... 25
2.1 SISTEMAS DE INFORMAÇÃO .......................................................................... 26
2.1.1 Conceito de Informação .................................................................................. 27
2.1.2 O Valor da Informação .................................................................................... 27
2.2 TECNOLOGIA DA INFORMAÇÃO ..................................................................... 28
2.3 A TECNOLOGIA COMO PARTE DOS NEGÓCIOS ........................................... 30
3 SEGURANÇA DA INFORMAÇÃO ....................................................................... 32
3.1 A NECESSIDADE DE SEGURANÇA ................................................................. 34
3.1.1 Potenciais Atacantes ....................................................................................... 36
3.1.1.1 Script Kiddies ............................................................................................... 36
3.1.1.2 Cyberpunks .................................................................................................. 36
3.1.1.3 Insiders ........................................................................................................ 37
3.1.1.4 Coders ......................................................................................................... 37
3.1.1.5 White Hat ..................................................................................................... 37
3.1.1.6 Black Hat ...................................................................................................... 37
3.1.1.7 Gray Hat ....................................................................................................... 38
3.1.1.8 Cyber Terrorista ........................................................................................... 38
3.2 ALGUMAS TÉCNICAS UTILIZADAS PELOS INVASORES ............................... 38
3.2.1 Vírus ............................................................................................................... 38
3.2.2 Cavalo de Tróia ............................................................................................... 39
3.2.3 Engenharia Social ........................................................................................... 40
3.2.4 Quebra de Senhas .......................................................................................... 40
3.2.5 Varredura de Portas ........................................................................................ 41
3.2.6 Negação de Serviço ........................................................................................ 42
3.3 FERRAMENTAS DE SEGURANÇA LÓGICA .................................................... 42
3.3.1 Identificação e Autorização ............................................................................. 42
3.3.2 Firewall............................................................................................................ 44
3.3.3 Sistemas de Detecção de Intrusos .................................................................. 45
3.3.4 Criptografia ..................................................................................................... 46
3.3.5 Backup ............................................................................................................ 46
3.3.6 Antivírus .......................................................................................................... 47
3.4 SEGURANÇA FÍSICA ........................................................................................ 47
3.5 POLÍTICAS DE SEGURANÇA ........................................................................... 48
3.5.1 O Planejamento .............................................................................................. 49
3.5.2 Os Elementos.................................................................................................. 50
3.5.3 A Implementação ............................................................................................ 51
4 CONSIDERAÇÕES FINAIS .................................................................................. 53
5 REFERÊNCIAS .................................................................................................... 56
13
INTRODUÇÃO
Nas microempresas que, além do faturamento anual, são caracterizadas
também pelo número de empregados registrados, houve uma crescente
necessidade pela tecnologia da informação; não só para atender as
regulamentações do fisco, mas para satisfazer também as necessidades dos
clientes. Em virtude de o conhecimento ter passado a ser o ativo mais importante
dentro de uma organização, a informação tomou proporções grandiosas para as
organizações, não só de uma forma macro, mas também, de uma forma mais
restrita, como o auxílio na tomada de decisão. Para um maior e mais assertivo
controle dessas informações a tecnologia da informação (TI) surgiu e fez-se
relevante para a sobrevivência das empresas, tornando-se imperativa para as
transações hodiernas das microempresas. Conseqüentemente, as microempresas
ficaram impossibilitadas – por serem tão dependentes da TI – de deixarem de ter a
segurança da informação como algo notoriamente importante.
Na época em que as informações eram armazenadas em papel, sua
segurança era relativamente simples, mas nos dias atuais essa segurança se tornou
algo mais complexo. Para que essa segurança seja coerente, a microempresa deve
se atentar a alguns princípios, como: o sigilo, a integridade e a disponibilidade
dessas importantes informações.
Utilizando-se de alguns recursos físicos e algumas ferramentas lógicas, como:
firewalls, identificação e autorização, Intrusion Detections System (IDS) e
Criptografia, as microempresas podem se prevenir contra a quebra de algum dos
princípios básicos da segurança da informação por parte dos hackers, que – com
exceção dos script kiddies – têm um alto nível de conhecimento, e que pelos mais
variados motivos tentarão invadir os sistemas das microempresas.
De forma preventiva, as microempresas também podem estabelecer uma
política de segurança da informação, para que as ações corretivas sejam as
mínimas possíveis.
Sendo assim, a presente pesquisa bibliográfica busca responder, qual a
importância ou impacto da tecnologia da informação para a segurança da
14
microempresa e o que deve ser utilizado para efetuar uma segurança da informação
mais assertiva, dentro das microempresas?
A opção pelo tema deu-se em função do encanto pela segurança da
informação e suas tecnologias. Pensando-se como delimitar o tema – em função das
microempresas serem mais comuns na região e por estarem em um constante aclive
no cenário nacional – optou-se por falar da segurança da informação nas
microempresas.
Tem-se como objetivos gerais desse trabalho demonstrar quem são as
microempresas, o atual valor da informação, a necessidade do uso das tecnologias
da informação, a importância com a segurança da informação e quais os principais
recursos para uma assertiva segurança da informação dentro de uma
microempresa.
Os objetivos específicos são: explicar como se caracteriza uma
microempresa; demonstrar a importância das microempresas na atualidade; mostrar
o valor da informação no atual cenário e o seu auxílio na tomada de decisão;
esclarecer quais os principais impactos da tecnologia da informação para as
microempresas; explicar o que é e quais são os princípios da segurança da
informação; falar sobre a necessidade da segurança da informação para empresas
que possuem algum tipo de sistema computacional; exemplificar qual o perfil dos
invasores e o que motiva essas pessoas mal intencionadas a invadirem e/ou
danificarem os sistemas computacionais; esclarecer como funcionam algumas
técnicas utilizadas pelos invasores; dizer quais são as principais ferramentas para
segurança lógica e quais o recursos que podem ser utilizados na segurança física;
elucidar a importância da definição da política de segurança da informação e
explanar quais os passos que devem ser seguidos para concretização da mesma.
Para o desenvolvimento desse trabalho, utilizou-se uma pesquisa
bibliográfica, “é desenvolvida com base em material já elaborado, constituído
principalmente de livros e artigos científicos.” (GIL, 2006. p. 44), bem como
pesquisas em sites variados. Sendo assim, reunidas as informações necessárias
para responder as perguntas estabelecidas na problemática.
15
1 A EMPRESA E O ARMAZENAMENTO DE DADOS
No Direito Brasileiro, atualmente, existem vários diplomas legais que fazem
referência à figura da empresa. Entretanto, nenhum destes dispositivos se propôs a
conceituá-la ou defini-la, ficando ao encargo da Jurisprudência e da doutrina tal
incumbência.
Esta omissão explica-se pelo fato de que o nosso ordenamento jurídico
comercial deriva-se do Direito Comercial Francês, conforme ensina Spínola. O autor
explica ainda que no Código Comercial Francês de 1807:
a figura da empresa é vista apenas de relance, em seu artigo 632, que inova ao trazer para o mundo normativo as primeiras noções jurídicas de empresa, in verbis: ‘Toda empresa de manufaturas, de transporte por terra ou pela água; toda empresa de fornecimentos, de agência, escritórios de negócios, estabelecimentos de vendas e leilão, de espetáculos públicos...’. Tal dispositivo apenas citava a empresa, sem, entretanto, conceituá-la, dando apenas uma noção aos doutrinadores da época.
No Brasil, o primeiro dispositivo jurídico a tratar do termo “empresa” foi o
artigo 19 do Regulamento nº. 737, do ano de 1850. Tal dispositivo tratava sobre o
juízo no processo comercial:
Art. 19. Considera-se mercancia: § 1º A compra e venda ou troca de effeitos moveis ou semoventes para os vender por grosso ou a retalho, na mesma especie ou manufacturados, ou para alugar o seu uso. § 2º As operações de cambio, banco e corretagem. § 3° As emprezas de fabricas; de com missões; de depositos ; de expedição, consignação e transporte de mercadorias; de espectaculos publicos. § 4.° Os seguros, fretamentos, risco, e quaesquer contratos relativos ao commercio maritimo. § 5. ° A armação e expedição de navios. (sic.)
Assim como o artigo 632 do Código Comercial Francês, o artigo 19 do
Decreto Regulamentar nº. 737 apenas elencava os atos do comércio, incluindo aí a
empresa sem, no entanto, defini-la, ou precisar-lhe o sentido. A partir de então
busca-se conceituar juridicamente este termo.
16
1.1 O EMPRESÁRIO E O ESTABELECIMENTO EMPRESARIAL
É certo que com o desenvolvimento dos atos do comércio, o indubitável
crescimento do mercado consumidor, e o conseqüente aumento do tráfico de
mercadorias, quando então apenas um indivíduo já não era suficiente para figurar
como intermediário entre o produtor e o mercado geral, surge a empresa comercial.
Neste ponto, vale transcrever a síntese de Leães (1979, apud FAZZIO
JUNIOR, 2007, p. 7):
Com o progresso da técnica e da economia de massa, o fulcro da comercialidade sofre nova extrapolação, deslocando-se da noção de ato para a noção de atividade. (…) A produção isolada, característica da época anterior vai sendo progressivamente substituída pela atividade mercantil e industrial em série. Essa atividade impõe uma crescente especialização e a criação de organismos cada vez mais complexos. Chega-se, assim, a um novo ponto de referência para o Direito Comercial, a atividade negocial, isto é, a prática reiterada de atos negociais, de modo organizado e unificado, por um mesmo sujeito, visando uma finalidade econômica unitária e permanente. Chega-se, assim, ao conceito de atividade econômica organizada, e, portanto, à noção de empresa como núcleo do Direito mercantil. [grifos do autor]
Sendo assim, vários estudiosos e doutrinadores se põem a esclarecer suas
posições frente a cruciante tarefa de conceituação da empresa.
A curial doutrina de Martins (2001, apud SPÍNOLA) tem a definição de que
empresa comercial é “a organização de capital e trabalho com a finalidade da
produção ou circulação de bens ou prestação de serviços".
O doutrinador Cretella Junior (1991, apud SPÍNOLA) considera que empresa
é “o conjunto unitário de bens e pessoas, com objetivo de lucro, dirigido à produção”.
Já para Ferrara (apud REQUIÃO, 2005, p. 56), a empresa “supõe uma
organização por meio da qual se exercita a atividade”, mas sem se ater a conceitos
jurídicos, uma vez que “os efeitos da empresa não são senão efeitos a cargo do
sujeito que a exercita.", ou seja, o empresário.
Entendendo a empresa como uma abstração, Requião (2005, p. 60) contribui
com a seguinte definição:
A empresa é essa organização dos fatores da produção exercida, posta a funcionar, pelo empresário. Desaparecendo o exercício da atividade organizada do empresário, desaparece, ipso facto, a empresa. Daí por que o conceito de empresa se firma na idéia de que é ela o exercício de atividade produtiva. [grifos do autor]
Fazendo um apanhado de conceitos de diversos doutrinadores, temos que a
17
empresa é, na verdade, uma entidade abstrata que depois de constituída adquire a
chamada personalidade jurídica, tratando-se apenas de uma organização
econômica destinada a produção ou venda de mercadoria ou serviços, tendo,
em geral, o lucro como objetivo. [grifo nosso]
Entretanto, o que se vê é o termo "empresa" sendo utilizado, muitas vezes, de
forma aleatória, irrestrita e sem uniformidade.
Justamente por haver uma correlação entre as noções de empresa,
empresário e estabelecimento, estes conceitos, não raro, se confundem. Isto
porque:
o Direito Comercial apropriou-se do conceito econômico de empresa e, com o CC de 2002, passa a regular a empresa por meio do empresário, a exemplo de seu modelo, o CC italiano de 1942. A organização dos fatores de produção é realizada pelo empresário ou pela sociedade empresária, na direção de uma atividade empreendedora, com escopo de lucro e assunção dos respectivos riscos. [grifo nosso] (FAZZIO JÚNIOR, 2007, p. 10).
Fazzio Junior (2007, p. 7) apresenta algumas diretrizes básicas sobre o tema
indicando que a organização da atividade empresarial implica na distinção entre a
empresa, o empresário ou sociedade empresária e o estabelecimento empresarial.
Sendo a empresa “a própria atividade”, o empresário ou sociedade empresária o
“sujeito de direito” e o estabelecimento empresarial a “universalidade de fato
instrumental do exercício da empresa”.
“A empresa não é um sujeito de direitos e obrigações. É uma atividade e,
como tal, pode ser desenvolvida pelo empresário unipessoal ou pela sociedade
empresária” (FAZZIO JUNIOR, 2007, p. 7), ou seja, a atividade pode ser exercida
pela pessoa natural do empresário individual, ou pela pessoa jurídica da sociedade
empresária.
O “empresário” seria, então, tanto aquele que, de forma singular, pratica
profissionalmente atividade negocial, como a pessoa de direito constituída para esse
fim, com o intuito de auferir lucro.
Vale ressaltar que não é considerado empresário aquele que desempenha
profissão intelectual de natureza científica, literária ou artística, mesmo que conte
com auxiliares, exceto se este exercício profissional constituir elemento de empresa.
Sobre o estabelecimento empresarial, o Código Civil de 2002 o define
claramente, em seu artigo 1.142, quando diz que “Considera-se estabelecimento
18
todo complexo de bens organizado, para exercício da empresa, por empresário, ou
por sociedade empresária”.
Não obstante a este conceito jurídico, os doutrinadores também contribuem
com definições que complementam o entendimento sobre o estabelecimento. De
fato, o que não faltam são conceitos de estabelecimento comercial, mercantil ou
empresarial, sendo todos estes termos sinônimos.
Para Barreto Filho (1969, apud FAZZIO JÚNIOR, 2007, p. 63), o
estabelecimento comercial “é um complexo de bens, materiais e imateriais que
constituem o instrumento utilizado pelo comerciante para a exploração de
determinada atividade mercantil”.
Já para Machado (1977, apud FAZZIO JÚNIOR, 2007, p. 63),
estabelecimento comercial designa “o complexo de meios idôneos, materiais ou
imateriais pelos quais o comerciante explora determinada espécie de comércio”.
O próprio Fazzio Junior (2007, p. 64), orientado pela premissa conceitual de
que o estabelecimento empresarial é o resultado final da congregação de capital,
trabalho e organização, define em sua obra o estabelecimento do empresário como
“o conjunto de bens (materiais e imateriais) e serviços, organizados pelo empresário,
para a atividade da empresa. Ou melhor, é o complexo dos elementos que congrega
e organiza, tendo em vista obter êxito em sua profissão”.
1.2 DA DEFINIÇÃO DE MICROEMPRESA
Como já foi exposto, a legislação brasileira não se preocupou em definir os
conceitos de empresa e, tampouco, definiu a Microempresa (ME), fazendo apenas
referências as micro e pequenas empresas para fins de incentivo e concessão de
benefícios, classificando o porte da empresa pelo seu faturamento bruto anual.
Conceituando o faturamento bruto, Fazzio Junior (2007, p. 31), ensina que a
receita bruta compreende:
o produto da venda de bens e serviços nas operações de conta própria, o preço dos serviços prestados e o resultado nas operações em conta alheia, não incluídas as vendas canceladas e os descontos incondicionais obtidos. Em outras palavras, é toda receita da empresa, seja derivada das operações habituais, seja de transação eventual. Estão incluídas as receitas de venda de mercadorias, de venda de máquinas ou aparelhos do ativo permanente, e também ganhos de investimentos de qualquer espécie.
19
Na Constituição Federal do Brasil, de 1988, em seu artigo 179, diz que:
Art. 179. A União, os Estados, o Distrito federal e os municípios dispensarão às microempresas e às empresas de pequeno porte, assim definidas em lei, tratamento jurídico diferenciado, visando a incentivá-las pela simplificação de suas obrigações administrativas, tributárias, previdenciárias e creditícias, ou pela eliminação ou redução destas por meio de lei.
Conforme já preconizava a CF/88, a Lei regulamentadora da Microempresa é,
atualmente, a Lei Complementar nº. 123, de 14 de dezembro de 2006, que no seu
artigo 3º define a microempresa como sendo aquela cuja receita bruta anual é de até
R$ 240 mil, in verbis:
Art. 3o Para os efeitos desta Lei Complementar, consideram-se
microempresas ou empresas de pequeno porte a sociedade empresária, a sociedade simples e o empresário a que se refere o art. 966 da Lei n
o
10.406, de 10 de janeiro de 2002, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, conforme o caso, desde que: I - no caso das microempresas, o empresário, a pessoa jurídica, ou a ela equiparada, aufira, em cada ano-calendário, receita bruta igual ou inferior a R$ 240.000,00 (duzentos e quarenta mil reais); II – [...] § 1
o Considera-se receita bruta, para fins do disposto no caput deste artigo,
o produto da venda de bens e serviços nas operações de conta própria, o preço dos serviços prestados e o resultado nas operações em conta alheia, não incluídas as vendas canceladas e os descontos incondicionais concedidos. [...]
Entretanto, outros órgãos possuem uma definição de microempresa diversa
desta. Como é o caso da Receita Federal, que classifica como ME aquelas cujo
faturamento é de até R$ 120 mil ao ano; o Banco Nacional de Desenvolvimento
Econômico Social (BNDES), que classifica como microempresa aquela com receita
bruta de até R$ 900 mil anual; e o Serviço Brasileiro de Apoio às Micro e Pequenas
Empresas (SEBRAE) , além do faturamento, o SEBRAE utiliza o conceito de número
de funcionários nas empresas, onde considera micro a empresa com ate 19
empregados no setor industrial e até 9 empregados no setor de comércio e serviços,
conforme explica estudo do SEBRAE/RS (2010, p. 6).
Não obstante todas essas classificações, não consideraremos a sua
diversidade nesta pesquisa bibliográfica. Sendo-nos interessante apenas a
terminologia “microempresa”, independentemente das suas mais variadas
definições.
20
1.2.1 Evolução Histórica da Legislação sobre Microempresa no Brasil
O Primeiro Estatuto da Microempresa surgiu em 27 de novembro de 1984,
com a promulgação da Lei nº 7.256. O Estatuto recebeu esta denominação porque
aglutinou diversos assuntos concernentes às microempresas em um só diploma
legal.
O Estatuto concedeu tratamento simplificado, diferenciado e favorecido às
microempresas nos campos tributário, trabalhista, previdenciário, creditício,
administrativo e de desenvolvimento empresarial.
Já em 28 de março de 1994, uma década depois, foi sancionada a Lei nº
8.864, que estabelecia normas para as Microempresas, e Empresas de Pequeno
Porte (EPP), relativas ao tratamento diferenciado e simplificado. Tal lei revogava ou
alterava alguns artigos do Estatuto de 1984, mas sua grande inovação foi a elevação
da receita bruta anual da Microempresa, que passou de 96 mil para 250 mil
Unidades Fiscais de Referencia (UFIRs).
Dois anos depois, foi promulgada a Lei nº. 9.317, de 05 de dezembro de
1996, dispondo sobre o regime tributário das microempresas e das empresas de
pequeno porte e instituindo o Sistema Integrado de Pagamento de Impostos e
Contribuições das Microempresas e das Empresas de Pequeno Porte, mais
conhecida como Lei do Simples.
Muito embora a Lei do Simples tenha revogado vários artigos da Lei nº
7.256/84, e da Lei nº 8.864/94, aquela conviveu de maneira pacífica com estas, pois
dispôs de matéria distinta das previstas nestas. Sobre esse tema, Melchor pontua
que “enquanto o Simples concedeu benefício na área tributário/fiscal, dispondo
sobre um novo regime tributário das Microempresas (…), as outras estabeleciam
outros benefícios não regulados pelo Simples”.
Entretanto, em 05 de outubro de 1999, foi aprovada a Lei nº. 9.841,
amplamente conhecida como Novo Estatuto da Microempresa e Empresa de
Pequeno Porte, revogando, expressamente, as leis vigentes àquela época, quais
sejam, as Leis nº 7.256/84 e nº 8.864/94.
Vale salientar que o Novo Estatuto da ME e EPP recepcionou integralmente a
Lei do Simples, de forma que ambos os dispositivos estão em plena vigência. Cada
qual contendo seu próprio conceito de receita Bruta e suas exigências próprias para
enquadramento.
21
Assim, nada impede que uma mesma empresa seja considerada
microempresa perante o novo Estatuto e empresa de pequeno porte segundo a lei
do Simples.
De toda forma, o novo Estatuto vigorou com a mesma característica de sua lei
precedente, ou seja, legisla em matéria não abrangida pela Lei do Simples. Isto
porque, enquanto o Simples estabelece tratamento diferenciado nos campos dos
impostos e contribuições, o Estatuto tem por escopo o favorecimento à ME no
campo previdenciário, no trabalhista e no creditício, sempre com o objetivo de
“facilitar a constituição e o funcionamento da microempresa e da empresa de
pequeno porte, de modo a assegurar o fortalecimento de sua participação no
processo de desenvolvimento econômico e social”, conforme preceitua Melchor.
Apesar de aprovada em 1999, a Lei nº 9.841 só passou a ser regulamentada
em 19 de maio de 2000, com o advento do Decreto nº 3.474. Contudo, tanto a Lei
nº. 9.317/96, quanto a Lei nº. 9.841/99, foram expressamente revogadas pela Lei
Complementar (LC) nº. 123, de 14 de dezembro de 2006, que instituiu um mais novo
e atualizado Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte e é a
Lei que está em vigência atualmente.
Além disso, LC nº. 123/06, já teve alguns de seus dispositivos alterados e
atualizados pelas Leis Complementares nº.127 e nº. 128, de 14 de agosto de 2007 e
19 de dezembro de 2008, respectivamente.
1.2.2 A Importância das Microempresas
“No Brasil, as Micro e Pequenas Empresas (MPEs) desempenham importante
papel na economia, representando 98,9% do total de empresas e 40,1% dos
empregos gerados.” (SEBRAE/RS, 2010, p. 4). Embora as MPEs tenham uma
notória importância no cenário nacional, estudo feito por Serviço de Apoio às Micro e
Pequenas Empresas do Estado do Rio Grande do Sul afirma que:
Apesar da importância as informações sobre os pequenos negócios ainda são pouco disponíveis nos órgãos oficiais e a carência de conhecimento dificulta o direcionamento adequado dos recursos disponíveis para a promoção deste segmento. (SEBRAE/RS, 2010, p. 4).
Entretanto, existem informações sobre as MPEs extremamente relevantes a
serem analisadas.
22
Tabela 1 – Participação das grandes regiões e UF’s no produto interno bruto
Grandes Regiões e
Unidades da Federação
Participação no Produto Interno Bruto (%)
2004 2005 2006 2007 2008
NORDESTE 12,7 13,1 13,1 13,1 13,1
Maranhão 1,1 1,2 1,2 1,2 1,3
Piauí 0,5 0,5 0,5 0,5 0,6
Ceará 1,9 1,9 2,0 1,9 2,0
Rio Grande do Norte 0,8 0,8 0,9 0,9 0,8
Paraíba 0,8 0,8 0,8 0,8 0,8
Pernambuco 2,3 2,3 2,3 2,3 2,3
Alagoas 0,7 0,7 0,7 0,7 0,6
Serigpe 0,6 0,6 0,6 0,6 0,6
Bahia 4,1 4,2 4,1 4,1 4,0
Fonte: IBGE (Contas Regionais do Brasil, 2004-2008)
Conforme estudo feito pelo IBGE (2008), Pernambuco participava com 2,3%
do Produto Interno Bruto (PIB) nacional. Analisando uma dessas épocas de acordo
com o SEBRAE, em 2006 Pernambuco possuía um total de 60.544 micro e
pequenas empresas, de um total 62.155, representando cerca de 97,41% do total
das empresas pernambucanas com funcionários.
Tabela 2 – Número de pequenas empresas, por setor de atividade
Fonte: SEBRAE/PE (2006, p. 48 e 50)
Nas quais de acordo com a tabela, 47,93% delas eram alocadas no setor de
comércio, 37,20% em serviço, 11,70% na indústria e apenas 3,18% em construção.
Logo, após a análise dessas informações percebe-se que as microempresas
têm uma enorme importância para economia, não só a nível estadual, mas nacional.
1.3 O PRIMEIRO SISTEMA DE ARMAZENAMENTO E ESCRITURAÇÃO DE DADOS
Mesmo antes da invenção – e posterior popularização – dos computadores, já
SETOR QUANTIDADE
Comércio 29.017
Serviço 22.520
Indústria 7.081
Construção 1.926
TOTAL 60.544
23
existiam, no âmbito das organizações comerciais, os procedimentos de
arquivamento de informações.
De fato, os sistemas de armazenamento de informação surgiram antes
mesmo que a informática. À época da criação do Código Comercial, em 1850 –
quando primeiro surgiu o termo “empresa” – até 1940, todo e qualquer dado era
organizado, registrado e armazenado manualmente, tanto em pequenas quanto em
grandes organizações.
Existia nesta época uma figura interessante e de grande importância: o
“arquivador”. O arquivador era a pessoa responsável por organizar, cuidar e guardar
os dados comerciais e não-comerciais essenciais à atividade empresarial. Ele se
valia de técnicas de catalogação, arquivamento e recuperação de informações de
grandes armários ou arquivos. Aparentemente simples, esse método exigia um
grande esforço para manter as informações atualizadas. Os dados escritos
manualmente – e, posteriormente, datilografados – em papel não facilitavam a
análise e cruzamento de dados.
O inventário de estoque de uma empresa – mesmo uma micro, cujas
transações comerciais são poucas e de pequeno valor – por exemplo, não era um
serviço trivial, pois a atualização dos dados não era uma tarefa nem rápida, nem
prática e, quase sempre, envolvia mais de uma pessoa, o que aumentava
consideravelmente a possibilidade de ocorrência de erros.
No período de 1940 a 1970, os primeiros computadores inventados eram
máquinas monstruosas que, de tão grandes, ocupavam salas ou galpões inteiros.
Os equipamentos faziam um barulho infernal e eram interligados por quilômetros de
fios. Todo esse equipamento era totalmente incompatível com a realidade de
empresas pequenas. Mesmo após uma “pequena” evolução da tecnologia e
conseqüente diminuição da quantidade de fios e até do tamanho das máquinas, a
comercialização dos computadores foi feita apenas para grandes empresas, pois
apenas elas tinham condições financeiras de adquirir um equipamento tão
“moderno” e tão caro.
Nesse meio tempo as pequenas empresas ainda continuaram utilizando as
conhecidas técnicas de escrita manual ou datilografada para o registro de
informações que eram posteriormente arquivadas em armários.
Foi depois da década de 70 que surgiram os primeiros microcomputadores
mas, foi somente após os anos 80 que o preço destas máquinas tornou-se um
24
pouco mais acessível, possibilitando às pequenas empresas levarem os sistemas de
informação automatizados para dentro de sua organização, permitindo assim a
otimização do fluxo de informações, tornando esse fluxo mais organizado e de maior
confiabilidade e agilidade; reduzindo os custos operacionais e administrativos;
promovendo maior estabilidade e um considerável ganho na produção.
Na verdade, um sistema de informação não precisa necessariamente ter
computadores envolvidos. Ele pode ser tanto computadorizado, quanto manual, ou
até uma mescla dos dois. É fato que um sistema com um grande fluxo de
informações dificilmente sobrevive atualmente sem estar informatizado. Entretanto, a
informatização, por si só, não exclui o fator humano no processo e é justamente esta
interação entre o componente humano e o equipamento que torna um sistema de
informação funcional.
25
2 ERA DA INFORMAÇÃO
Após uma revolução agrícola e industrial, que impactaram a sociedade e a
economia, o mundo vive e vivencia grandes mudanças, tanto na transição para,
como na passagem por esta chamada Era da Informação ou do Conhecimento, que
é caracterizada por sua grande ênfase na informação e na enorme flexibilidade das
organizações.
Quadro 1 – As eras da administração no século XX
Era Clássica 1900-1950
Início da industrialização
Estabilidade
Pouca mudança
Previsibilidade
Regularidade e certeza
Administração Científica
Teoria Clássica
Relações Humanas
Teoria da Burocracia
Era Neoclássica 1950-1990
Desenvolvimento Industrial
Aumento da mudança
Fim da previsibilidade
Necessidade de Inovação
Teoria Neoclássica
Teoria Estruturalista
Teoria Comportamental
Teoria dos Sistemas
Teoria da Contingência
Era da Informação Após 1990
Tecnologia da Informação (TI)
Globalização
Ênfase nos Serviços
Aceleração da mudança
Imprevisibilidade
Instabilidade
Ênfase na:
Produtividade
Qualidade
Competitividade
Cliente
Globalização
Fonte: Chiavenato (2003, p. 576)
Diferentemente da Era Clássica – com a Administração Científica (1903), a
Teoria da Burocracia de Weber (1909) e a Teoria Clássica de Fayol (1916) – ou da
Era Neoclássica – que baseada na Teoria dos Sistemas (1951) e na Teoria da
Contingência (1972), deu ênfase ao ambiente interno e externo – a Era da
informação passa a focar no capital humano, destacando-se como base:
o uso dos Sistemas de Informação, técnicas de Gestão da Qualidade como o JIT, Qualidade Total, Reorganização de Processos, Terceirização,
26
Aprendizado, Benchmarking, Downsizing, e outras. (SILVA FILHO e SILVA, 2005, p. 9).
Na Era da Informação, o “capital financeiro cede trono para o capital
intelectual” (CHIAVENATO, 2003, p. 576). O conhecimento das pessoas passa a ser
o ativo intangível – que não ocupa espaço físico dentro da empresa – mais valioso
dentro de uma organização.
O conhecimento, então, “ficou na dianteira de todos os demais recursos
organizacionais, pois todos eles passaram a depender do conhecimento.”
(CHIAVENATO, 2003, p. 593).
Portanto, passaram a ser organizações bem-sucedidas aquelas que através
da conquista e motivação do funcionário, convergem seus conhecimentos para
conquista de metas e objetivos, gerando conseqüentemente lucro e sobrevivência.
2.1 SISTEMAS DE INFORMAÇÃO
A globalização, a evolução do mercado, os meios de comunicação mais
ativos, a melhoria da educação escolar fundamental e maior demanda do ensino
superior e, principalmente, o constante avanço das tecnologias foram fatores que
influenciaram grandemente na disseminação do conhecimento e conseqüente
crescimento dos chamados Sistemas de Informação (SI).
Usar um caixa rápido, efetuar compras em uma farmácia ou supermercado,
abastecer o carro, receber uma conta do consumo de água, luz ou telefone, são
exemplos básicos da utilização destes sistemas que, de tão comuns, chegam a
passarem despercebidos. Entretanto, o ser humano interage diariamente com eles.
De acordo com Stair e Reynolds (2006, p. 4), um Sistema de Informação “é
um conjunto de componentes inter-relacionados que coletam, manipulam e
disseminam dados e informações para proporcionar um mecanismo de
realimentação para atingir um objetivo”.
O mundo vive em uma era em que o tempo é um fator crucial. No geral,
alguns consumidores não se importam em pagar mais caro, desde que sua
demanda seja atendida com maior acessibilidade e rapidez. As microempresas, por
exemplo, não precisam mais fazer pedidos – diretamente – aos fornecedores, pois
os avançados sistemas integrados efetuam esses pedidos; o departamento de
vendas concretiza as vendas, que por sua vez diminui o número em estoque, que
27
através de cálculos pré-estabelecidos – em função de sazonalidade, rotatividade,
demanda de um determinado cliente, etc. –, efetuam pedidos aos fornecedores. Os
Sistemas de Informação são, justamente, a mola propulsora que permite esta
agilidade. Em quase todos os lugares ou situações é possível perceber alguma
espécie de Sistema de Informação agindo.
2.1.1 Conceito de Informação
Para chegar ao conceito de Informação é preciso, primeiramente, entender o
conceito de dados.
Segundo Chiavenato (2003, p. 422), “dado é um registro ou anotação a
respeito de um evento ou ocorrência”. Os dados são compostos por fatos básicos,
como números, letras e cores, sem, necessariamente, uma coerência objetiva e que
possam ser manipulados posteriormente.
A partir do momento do realinhamento desses dados, constrói-se: Cadastro
de Pessoa Física (CPF), números de telefone, endereços, e-mails, imagens, ou seja,
os dados se tornam informação. Logo, informação é “um conjunto de fatos
organizados de modo a terem valor adicional além do valor dos fatos propriamente
ditos.” (STAIR e REYNOLDS, 2006, p. 4).
Não se pode esquecer o processo que acontece na transformação do dado
para a informação, que segundo Stair e Reynolds (2006, p. 5) “é um conjunto de
tarefas logicamente relacionadas desenvolvidas para atingir um resultado definido”.
É importante ressaltar que Dados e Informações jamais seriam efetivados
sem o conhecimento. Ambos seriam inúteis sem o fator humano, pois, o capital
intelectual é o que modera, gere e faz o grande diferencial no uso da informação.
Figura 1 – Processo de transformação de dados em informações
Fonte: Stair e Reynolds (2006, p. 6)
2.1.2 O Valor da Informação
A informação é um patrimônio. E, como tal, é algo de crucial importância para
Dados
Processo de transformação (aplicação de conhecimento pela seleção, organização e manipulação de dados)
Informação
28
Informação Decisão
Ação
SI
ADMINISTRAÇÃO
o bem estar da empresa e, conseqüentemente, para os seus gerentes e
funcionários.
Um bom exemplo para entender o valor da informação são as instituições
financeiras. Basta imaginar o que aconteceria se um banco perdesse apenas
algumas informações cadastrais ou até mesmo informações dos movimentos
financeiros de seus clientes. Sem sombra de dúvidas, um enorme caos aconteceria.
Sistema de Informação é administração dentro da administração. Sobre isso,
Stair e Reynolds (2006, p. 7) afirmam que “o valor da informação está diretamente
ligado a como ela auxilia os tomadores de decisões a atingir seus objetivos
organizacionais”.
Em 1960 Jay Forester já afirmava que Administração é converter informação
em ação (MEIRELLES, 1994); partindo dessa premissa, para atingir o entendimento
sobre a administração é de suma importância entender a função da informação para
a tomada de decisão.
Figura 2 – Conversão da informação para ação
Fonte: Meirelles (1994, p. 403)
Normalmente, tenta-se medir a informação pelo valor agregado que ela traz,
mas a informação “passa a ser um processo semelhante ao de seguro ou
propaganda – quanto custa não ter” (MEIRELLES, 1994, p. 403); ter o auxílio da
informação para tomar a melhor decisão é algo muito melhor do que ter tomado ou
até ter deixado de tomar uma decisão mais assertiva.
2.2 TECNOLOGIA DA INFORMAÇÃO
De acordo com Batista (apud SILVA FILHO e SILVA, 2004, p. 12), por
Tecnologia da Informação (TI) entende-se um:
29
conjunto de hardware (equipamentos e acessórios), softwares (programas, utilitários, etc.) e firmware (circuitos integrados de alguns equipamentos que possuem programas internos para determinadas atividades, como um torno de CNC ou mesmo um telefone celular.
Tomando por base um micro-computador, hardware seria a parte física ou
tangível. “Corresponde à parte material, aos componentes físicos do sistema; é o
computador propriamente dito.” (MEIRELLES, 1994, p. 29). São exemplos de
hardwares: Netbooks, Celulares, Impressoras, Câmeras Digitais.
“Para usufruir de toda essa capacidade de processamento que o hardware
fornece, precisa-se de um software.” (MEIRELLES, 1994, p. 34). Assim sendo,
software é a parte lógica, intangível, através da qual se gerencia os hardwares.
Como exemplos de softwares têm-se: Windows XP®, Word®, Excel®, os Enterprise
Resource Planning (ERP).
A revolução proporcionada pela TI contribuiu muito para uma completa
reformulação do modo de agir e de gerir as organizações. O que antes parecia ser
um simples cálculo de projeção agora não funciona mais. Esta época é marcada por
mudanças de cenário rápidas, intensas e descontínuas. (CHIAVENATO apud SILVA
FILHO e SILVA, 2000, p. 651).
Em suma, pode-se dizer que a Tecnologia da Informação, é o conjunto da
gestão de hardwares, softwares, telecomunicações e outras atividades e/ou
soluções derivadas de sistemas computacionais, que possibilitam manipular as
informações.
Existe também a TI Verde ou Computação Ecologicamente Correta consiste
na prática sustentável da produção, gestão, inutilização e descarte de aparelhos
eletrônicos, não esquecendo da contenção de energia elétrica.
A idéia da TI Verde é fazer com que as empresas utilizem os recursos
originários da TI, mas reduzindo ao máximo os impactos causados por esses
equipamentos ao meio ambiente.
Nas microempresas essa prática pode ser efetivada através da redução do
consumo de energia elétrica e emissões de gás carbono, da re-utilização de
cartuchos e tonners através da recarga, da utilização do papel reciclado, da
programação de impressoras para imprimir frente e verso, da reciclagem de
equipamentos quebrados ou obsoletos, enfim, práticas que minimizem de alguma
forma o impacto à natureza e ao mesmo tempo reduzam alguns custos na empresa.
30
Várias empresas, através da demonstração comprovada de seu
comprometimento com o desenvolvimento sustentável, conseguem inclusive obter o
certificado International Organization for Standardization (ISO) 14000 – certificado
emitido pela Associação Brasileira de Normas Técnicas (ABNT), que diz respeito à
gestão ambiental, reunindo normas internacionais que estabelecem regras para que
as empresas possam implantar Sistemas de Gestão Ambiental. Além disso, uma
reputação “Sócio-ambiental” correta atestada por um certificado da ISO, é um fator
notoriamente importante para uma organização carregar consigo.
2.3 A TECNOLOGIA COMO PARTE DOS NEGÓCIOS
A cada dia que passa, não só as empresas, mas também as pessoas, têm
uma maior dependência da informática e das telecomunicações. Tanto as
organizações, quanto os indivíduos, não se podem dar ao luxo de desvencilharem-
se da TI.
Em uma era tão dinâmica e flexível, as empresas correm sérios riscos ao não
aderirem a recursos provenientes da Tecnologia da Informação. “O uso eficiente da
tecnologia como meio de evolução dos negócios e de desenvolvimento de novas
oportunidades é vital para a sobrevivência de qualquer organização.” (NAKAMURA e
GEUS, 2007, p. 35).
Segundo Silva Filho e Silva (2005, p. 13) “as empresas foram obrigadas a
adotar o processo de aprendizagem contínua e um sistema de trabalho mais
dinâmico para garantir sempre uma posição de vantagem perante os concorrentes”.
No atual cenário, os concorrentes não são apenas os vizinhos. Agora, a
concorrência pode estar em qualquer parte do mundo e, por isso, as empresas
precisam estar preparadas para enfrentá-las, não só com um bom produto final ou
um bom relacionamento com os clientes, mas também com uma alta adaptação aos
flexíveis recursos derivados da TI.
31
Figura 3 – Impacto da TI nas micro e pequenas empresas
Fonte: Pesquisa Perfil da Empresa Digital - FIESP/FIPE (2002, p. 6)
Avaliando a imagem acima, conclui-se que os três maiores impactos
causados pela TI em uma Microempresa são: as Melhorias no atendimento ao
cliente, que na amostragem quase atinge o nível quatro – onde teria “Bastante”
impacto – a Qualidade da tomada de decisão e a Melhoria de produtos e serviços,
todas são de crucial importância dentro de uma microempresa.
Portanto, em um cenário tão veloz e voraz, a Tecnologia da Informação não
pode ser considerada apenas um sinônimo de informática ou computação. Através
da inovação, a TI torna-se algo extremamente relevante para a sobrevivência da
empresa.
32
3 SEGURANÇA DA INFORMAÇÃO
O homem está cada vez mais mergulhado no uso dos Sistemas de
Informação e de seus componentes. Através da Tecnologia da Informação, da
flexibilidade, da agilidade e da fluidez, ele busca realizar seus trabalhos mais
facilmente. O uso da informação faz-se, então, cada vez mais necessário. Logo, é
notória a necessidade de proteção dessas informações.
A informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e conseqüentemente necessita ser adequadamente protegida. A segurança da informação protege a informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio. (NBR ISO/IEC 17799, 2001, p. 2).
A Internet e as Redes vêm mudando a forma de utilização dos Sistemas de
Informação. Através de hardwares e softwares cada vez mais sofisticados e
robustos, as organizações têm se tornado mais tecnológicas, disponíveis a todos,
presentes em todas as cidades do mundo, ficando então mais expostas.
Com passar dos anos, foi havendo uma evolução de tudo, não sendo
diferente para a Segurança da Informação. Quando a informação era armazenada
em papéis a segurança dessas informações era relativamente simples; atualmente,
essa armazenagem tem um nível de complexidade consideravelmente maior. Sendo
a informação utilizada tanto na tomada de decisão como na concretização de
negócios, as empresas devem primar pela “preservação da confidencialidade,
integridade e disponibilidade da informação” (NBR ISO/IEC 17799, 2001, p. 4), que
são princípios básicos para garantir a segurança da informação.
33
Figura 4 – As propriedades mais importantes da segurança
Fonte: Nakamura e Geus (2007, p. 44)
Ao invés de confidencialidade, Nakamura e Geus utilizam a expressão sigilo,
entretanto ambas transmitem a idéia de que confidencialidade da informação é a
“garantia de que o acesso à informação seja obtido somente por pessoas
autorizadas.” (NBR ISO/IEC 17799, 2001, p. 4). Em uma microempresa existem
informações que são sigilosas, como é o caso dos dados cadastrais e salariais dos
funcionários, faturamento, previsões de investimentos estratégicos, entre outros. A
partir do momento que uma informação é lida ou copiada por alguém não autorizado
existe a perda da confidencialidade.
A integridade da informação é a “salvaguarda da exatidão e completeza da
informação e dos métodos de processamento.” (NBR ISO/IEC 17799, 2001, p. 4).
Quando uma informação é modificada por meios não esperados, está ferindo o
princípio da integridade. Esta perda de integridade pode ser ocasionada, após a
perda da confidencialidade, quando uma pessoa não autorizada, tanto por erro
humano como por ato intencional, efetua modificações desautorizadas.
Fica mais fácil compreender esse princípio, a partir do momento que uma
pessoa não autorizada, por erro humano ou mal intencionada, aumenta valores de
proventos em benefício de um funcionário, diminui a quantidade de um determinado
produto em estoque para consumo próprio, altera ou apaga valores de receitas e
despesas que posteriormente irão para a contabilidade, ocasionando claramente um
grande dano para microempresa violada.
Por fim, o princípio de disponibilidade da informação é a “garantia de que os
usuários autorizados obtenham acesso à informação e aos ativos correspondentes
sempre que necessário.” (NBR ISO/IEC 17799, 2001, p. 4). A falha deste princípio é
Sigilo Integridade
Disponibilidade
Informação
34
a mais aparente dentro de uma microempresa, pois os usuários estão
constantemente precisando ter acesso as informações armazenadas em banco de
dados, logo, a partir do momento que eles não conseguem obter as informações
essa falha é facilmente identificada, caracterizando-se a perda da disponibilidade da
informação. É o caso, por exemplo, de alguém que vai ao banco no intuito de utilizar
um caixa rápido, mas o mesmo encontra-se off line. Notadamente, o cliente foi
privado do acesso à informação.
3.1 A NECESSIDADE DE SEGURANÇA
No atual cenário, onde os negócios – de uma forma geral – estão cada vez
mais dependentes desse instrumento que é a Tecnologia da Informação, buscando
serem mais competitivos, atrativos, eficientes e conseqüentemente obterem
melhores resultados, as empresas começaram a despertar para a necessidade de
segurança.
A Associação Brasileira de Normas Técnicas (ABNT), através da NBR
ISO/IEC 17799 (2001, p. 2) diz que a segurança da informação é necessária, pois:
a informação e os processos de apoio, sistemas e redes são importantes ativos para os negócios. Confidencialidade, integridade e disponibilidade da informação podem ser essenciais para preservar a competitividade, o faturamento, a lucratividade, o atendimento aos requisitos legais e a imagem da organização no mercado. (NBR ISO/IEC 17799, 2001, p. 2).
A partir do momento que um dos princípios da segurança da informação é
quebrado, comunicando informações fraudadas, pode acarretar sérios danos as
organizações e conseqüentemente perdas financeiras.
Com a dependência das empresas pelo o uso das emergentes Tecnologias
da Informação seria incoerente que o aumento dos problemas causados pela quebra
de um dos princípios citados anteriormente, também não aumentasse.
35
Figura 5 – Total de incidentes reportados ao CERT.br
Fonte: CERT.br (2011)
Conforme a figura 5, de acordo com o Centro de Estudos, Resposta e
Tratamento de Incidentes de Segurança no Brasil (CERT.br) que é responsável por
tratar incidentes de segurança em computadores que envolvam redes conectadas à
Internet brasileira, e é gerido pelo Comitê Gestor da Internet no Brasil (CGI.br), os
números quanto aos incidentes envolvendo segurança em computadores estão cada
vez maiores.
Ao analisar o gráfico, percebe-se que de 2008 para 2009 houve um aumento
de 135.815 incidentes denunciados a CERT.br, que equivale a aproximadamente
61% de incidentes maior do que no ano anterior. Em 2011, só no primeiro trimestre
já foram reportados mais da metade de incidentes ocorridos durante o ano inteiro de
2010.
Num cenário onde as informações atravessam o mundo com uma velocidade
incrível, a necessidade de segurança fica evidente.
36
3.1.1 Potenciais Atacantes
Hoje em dia é muito comum ouvir a expressão hacker que, de forma genérica,
é empregada a alguém que desfere algum tipo de ataque a um sistema
computacional. Entretanto, existem várias ramificações para os hackers.
Diferentemente do que popularmente se acredita, os hackers possuem um
rígido código de ética e nunca usam seus conhecimentos para o mal, mesmo que
sua noção de bem seja contra a lei. (ULBRICH e DELLA VALLE, 2009, p. 29). De
acordo com Nakamura e Geus (2007, p. 66) hackers “são aqueles que utilizam seus
conhecimentos para invadir sistemas, não com o intuito de causar danos às vítimas,
mas sim como um desafio a suas habilidades.”
Algumas comunidades hackers repudiam o uso dessa expressão pela mídia,
para aqueles que fazem algum tipo de ataque às organizações, objetivando roubar
ou manipular algum tipo de informação de modo a causar danos às organizações,
pois estes são os crackers – os chamados hackers sem ética – e não hackers.
Conforme Nakamura e Geus (2007, p. 67) os potenciais atacantes de uma
organização são os: Script kiddies, Cyberpunks, Inseders, Coders, White hat, Black
hat, Gray hat e os Cyber terroristas.
3.1.1.1 Script Kiddies
Eles também são conhecidos como newbies, que nasceram graças à
disseminação da Internet; uma espécie de calouros, normalmente sem muita
experiência, que motivados pela curiosidade, através de sites de busca, fóruns, etc.,
encontram ferramentas prontas e depois as utilizam em sistemas vulneráveis.
3.1.1.2 Cyberpunks
Eles invadem os sistemas por puro divertimento e desafio. Os cyberpunks têm
um grande conhecimento e primam pela privacidade de seus dados. “Os hackers
mais paranóicos, que acreditam em teorias da conspiração, tendem a virar
cyberpunks.” (NAKAMURA e GEUS, 2007, p. 68). Além disso, eles têm uma enorme
desconfiança com o governo.
37
3.1.1.3 Insiders
Originado do termo inglês inside, que em português significa interno, os
insiders são geralmente funcionários, ex-funcionários ou pessoas que conseguem
infiltra-se nas organizações, utilizando a rede interna da própria empresa para
causar os ataques. Os insiders não são os mais comuns, mas “são os maiores
responsáveis pelos incidentes de segurança mais graves nas organizações.”
(NAKAMURA e GEUS, 2007, p. 68). Geralmente a espionagem industrial é atribuída
a este tipo de hacker.
3.1.1.4 Coders
Um grande exemplo dessa ramificação é Kevin Mitnick, que ficou
mundialmente conhecido por invasões a sistemas computacionais e que após
cumprir pena por crimes cibernéticos, abriu uma empresa de consultoria e passou a
ministrar palestras sobre segurança da informação. Os coders são aqueles que
compartilham seus conhecimentos e experiências através de livros, seminários ou
palestras.
3.1.1.5 White Hat
São aqueles que utilizam suas habilidades para encontrar vulnerabilidades e
suas respectivas soluções. Eles também são “conhecidos como hackers do bem,
hackers éticos.” (NAKAMURA e GEUS, 2007, p. 74). Normalmente são contratados
e agem profissionalmente dentro das empresas, a fim de encontrar melhorias em
seus sistemas computacionais.
3.1.1.6 Black Hat
Eles têm um alto conhecimento, criam seus próprios softwares, para assim,
invadir e roubar informações sigilosas dos sistemas. Também são conhecidos como
crackers. Muitas vezes, roubam informações de empresas e tentam chantageá-las
para que paguem uma determinada quantia a fim de que tais informações não sejam
expostas. São os hackers sem ética, pois quase sempre agem mal intencionados,
objetivando ganhar dinheiro ou destruir informações valiosas para as organizações.
38
3.1.1.7 Gray Hat
Eles estão entre os Black hats e os White hats. O que os difere dos White
hats, que estudaram profundamente a área de segurança, é que a experiência dos
Gray hats foi adquirida através de invasões (Black hats). Algumas organizações se
arriscam, por eles já terem sido Black hats – tendo uma larga experiência em
invasões – e contratam os Gray hats, mas estudos mostram que a maioria das
organizações preferem os White hats, pois mesmo com vasto conhecimento dos
crackers, as empresas não estão dispostas a passar pelo risco de terem seus
bancos de dados violados e expostos em função de uma “recaída” dos Gray hats.
3.1.1.8 Cyber Terrorista
São os hackers que fazem ataques com fins religiosos ou políticos, praticando
assim “pichações” em sites, mostrando para o mundo seus próprios conceitos e
valores doutrinários.
3.2 ALGUMAS TÉCNICAS UTILIZADAS PELOS INVASORES
“Invasão é a entrada em um site, servidor, computador, aplicação ou serviço
por alguém não autorizado.” (FERREIRA, 2003, p. 80). A partir do momento que os
diversos tipos de hackers tentam desferir algum tipo de ataque a um site, servidor ou
computador, sendo encorajados pela realização do ego, pelo compartilhamento de
informações com suas comunidades ou até mesmo por espionagem industrial,
certamente eles utilizarão alguma das técnicas relacionadas a seguir.
3.2.1 Vírus
“É um programa criado para duplicar e se espalhar, geralmente sem o
conhecimento do usuário.” (SILVA, RIBEIRO e RODRIGUES, 2004, p. 287).
Atualmente é o problema mais comum na maioria dos computadores, pois ele pode
vir camuflado em um e-mail, Pen Drive, entre outros.
Existem também dois tipos de vermes que são muito comuns: o worm e o
spyware. Ambas são formas diferentes de vírus, partindo da premissa que são
prejudiciais e indesejados aos sistemas computacionais infectados.
39
Segundo Silva, Ribeiro e Rodrigues (2004, p. 289) um worm é:
um programa de computador que pode executar independentemente, pode propagar uma cópia completa de sua própria versão operacional para outros computadores nas redes de computadores acessíveis, e pode consumir recursos computacionais destrutivamente.
Os worms apesar de serem um tipo de vírus, são bem mais independentes e
robustos que os vírus comuns, um exemplo disso é que eles não precisam de
nenhum tipo de intervenção humana.
Os spywares são uma espécie de adware – que obtém informações de um
determinado computador com intuito de saber qual produto propagar para aquele
computador, tem fins de marketing – porém são mais elaborados, vêm agregados a
programas baixados na internet. São mais difíceis de serem encontrados e
removidos, pelo simples fato de terem sido instalados pelo próprio usuário do
computador, passando, portanto, despercebidos.
Existe também o spam, que é “uma mensagem de e-mail indesejada que tem
o propósito de persuadir você a adquirir um produto ou serviço.” (SILVA, RIBEIRO e
RODRIGUES, 2004, p. 291). São vistos através de e-mails, não são considerados
exatamente vírus, porém são extremamente indesejáveis.
Tanto o worm, como o spyware, quanto o spam são recursos utilizados pelos
hackers para atingir sistemas computacionais. Com exceção do worm, estes
recursos são elementares se comparados as outras ferramentas, como: Cavalo de
tróia, Negação de serviço, Varredura de portas, e outros.
3.2.2 Cavalo de Tróia
O Cavalo de tróia não pode ser considerado um vírus, pois ele não se duplica
ou se copia para o computador, ele precisa da intervenção do usuário para agir. Ele
vem camuflado em programas, jogos e também e-mails. O computador é infectado
e, a partir do momento em que é executada uma determinada aplicação, o cavalo de
tróia abre uma porta de comunicação com o hacker que o infectou e transmite
informações capturadas, como: números de cartão de crédito, CPF, senhas para
transações bancárias, etc. Através da abertura de uma porta de comunicação, o
cavalo de tróia também “fornece capacidade de controle remoto a hackers.” (SILVA,
RIBEIRO e RODRIGUES, 2004, p. 288), dando a eles total controle do sistema
computacional infectado.
40
3.2.3 Engenharia Social
De acordo com Nakamura e Geus (2007, p. 85) Engenharia social “é uma
técnica que explora as fraquezas humanas e sociais, em vez de explorar a
tecnologia.” Já Stair e Reynolds (2006, p. 568) dizem que engenharia social consiste
na “prática de extrair de um indivíduo uma senha de computador.”
É um método aparentemente elementar, porém é muito utilizada pelos
hackers, pois, a partir do momento que o atacante tem acesso a alguma informação
do potencial atacado, ele pode utilizar-se dessa informação para tentar enganar
funcionários daquela determinada empresa, tentando se passar por funcionário, ou
até mesmo por alguém que preste serviço à empresa em questão, objetivando
extrair informações que serão relevantes para a sua invasão.
Essa prática é possível em virtude da bondade ou da inocência de alguns
funcionários que, muitas vezes, querem se mostrar eficientes, ou simplesmente
ajudar, mas acabam causando resultados extremamente danosos às organizações.
O hacker é astuto e saberá exatamente como persuadir suas vítimas, a fim de obter
as informações necessárias para realização da invasão.
O engenheiro social também pode encontrar no lixo de uma empresa as
informações que precisa para sua invasão, segundo Ulbrich e Della Valle (2009,
p.126) “o lixo de um escritório é, potencialmente, uma das maiores fontes de
informações para o hacker.”
3.2.4 Quebra de Senhas
Com objetivo de proteger a informação, atualmente a maioria dos sistemas
contém senhas de acesso, fazendo com que apenas pessoas autorizadas tenham
acesso a um determinado sistema. É obvio que antes de quebrar a janela os ladrões
verificam se a mesma não está aberta, precisando apenas de um pouco de cautela
na hora de abri-la; não é diferente com os hackers. Antes de aplicar métodos mais
sofisticados eles tentam “quebrar uma senha”, que é uma expressão utilizada com
equivalência a “descobrir uma senha”. Os invasores digitam senhas padrões como:
nomes pessoais, nomes da empresa, datas, etc., a fim de obter acesso aos
sistemas. Existem também softwares que contém um banco de palavras e efetuam
todas as combinações possíveis, poupado assim o trabalho do invasor.
41
3.2.5 Varredura de Portas
Também chamados de port scanners (exploradores/digitalizadores de portas),
são programas que fazem uma varredura no computador em busca de portas
Transmission Control Protocol (TCP), que estão disponíveis para a realização do
ataque. Os port scanners são “ferramentas utilizadas para a obtenção de
informações referentes aos serviços que são acessíveis e definidas por meio do
mapeamento das portas TCP e UDP.” (NAKAMURA e GEUS, 2007, p. 91).
Através dos levantamentos feitos com os port scanners os hackers poupam
tempo e trabalho desnecessário; analisando os resultados obtidos dessa varredura
eles sabem exatamente em qual porta vão desferir o ataque, acessar o sistema
computacional e ter acesso as informações desejadas.
Figura 6 – Tipos de ataque reportados
Fonte: CERT.br (2011)
De acordo com a CERT.br, só de janeiro a março deste ano, os incidentes
envolvendo scanners já ultrapassam mais de 25.000 varreduras de redes,
objetivando um futuro ataque. Dos ataques informados a CERT.br no primeiro
trimestre, as varreduras nas portas de rede estão se aproximando da casa dos 30%
do total acumulado, esse é um número extremamente alarmante e deve sim causar
preocupações a qualquer empresa que use sistemas computacionais.
42
3.2.6 Negação de Serviço
Comumente conhecido como Denial-of-Service Attack (DOS), o ataque de
negação de serviço, diferentemente dos outros tipos de ataque, não tem o objetivo
de obter informações sigilosas. Os ataques de DOS “fazem com que recursos sejam
explorados de maneira agressiva, de modo que usuários legítimos ficam
impossibilitados de utilizá-los.” (NAKAMURA e GEUS, 2007, p. 103). Esse é um
típico ataque que consiste em ferir o princípio básico de Segurança da Informação
que é a disponibilidade da informação, fazendo com que os usuários da própria rede
não consigam acessar as informações necessárias a seus fins, causando prejuízos
incalculáveis para as organizações.
3.3 FERRAMENTAS DE SEGURANÇA LÓGICA
Como visto em tópicos anteriores, existem várias formas de ataques e
atacantes, que têm variados objetivos ao efetuar um ataque a um sistema.
Entretanto, também existem muitos métodos utilizáveis na defesa de sistemas
computacionais, tanto para evitar a quebra em qualquer um dos princípios da
segurança da informação, quanto no impedimento da concretização de qualquer dos
objetivos almejados pelos hackers.
3.3.1 Identificação e Autorização
A identificação e a autorização, juntamente com o firewall – que será visto no
próximo subtópico – fazem a linha de frente na maioria dos sistemas. Ambas têm
crucial importância e são acionadas quando se solicita um pedido para acessar um
sistema em uma determinada rede. Entretanto, o firewall não é visível aos olhos do
usuário comum, pois, se um funcionário está digitando um usuário e senha,
certamente já obteve a permissão de um firewall em algum lugar da rede para digitar
tais informações no sistema.
De acordo com a NBR ISO/IEC 17799 (2001, p. 28) as regras para
autorização de acesso devem ser baseadas na premissa que “tudo deve ser proibido
a menos que expressamente permitido“, ao invés da regra “tudo é permitido a
menos que expressamente proibido”.
43
Analisando-se tal expressão, infere-se que apenas os usuários autorizados
devem ter acesso aos sistemas, que os recursos disponibilizados para a execução
de suas atividades sejam apenas os necessários e que eles só possam efetivar
procedimentos compatíveis com suas funções.
Essa autorização, autenticação ou a validação da identificação do usuário
pode ser realizada de três formas: “com base no que se sabe, com base no que se
possui ou com base nas características do usuário.” (NAKAMURA e GEUS, 2007, p.
364).
A autenticação com base no que se sabe é bastante utilizada em sistemas
presentes nas microempresas. O sistema solicita um nome de usuário, uma senha,
uma data de nascimento, um CPF, enfim, alguma informação que o usuário saiba,
para que assim possa efetivar a autenticação.
Já a autenticação com base no que se tem é um pouco mais elaborada e,
consequentemente, mais difícil de ser burlada. Esse tipo de autenticação era mais
comum em bancos, onde além da senha – com base no que se sabe – os caixas-
rápido solicitavam um dispositivo de memória, ou um simples cartão com vários
códigos, e toda vez que digitada a senha era necessário digitar também esses
códigos. Entretanto, isso não é mais um recurso que só os bancos utilizam.
Atualmente quase todas as microempresas participantes do plano tributário
Simples Nacional estão obrigadas a terem os chamados smart tokens, podendo ser
cartões digitais com um chip – semelhante a cartões de crédito – ou um pen drive
contendo um certificado de autenticidade. Na emissão das Notas Fiscais Eletrônicas
(NF-e), no envio de declarações tanto à receita federal quanto à estadual, faz-se
necessário uma assinatura digital que só é feita através de um smart token,
contendo as informações da empresa e do seu empresário responsável. Já no envio
de informações ao Fundo de Garantia do Tempo de Serviço (FGTS), gerido pela
Caixa Econômica Federal (CEF), todas as empresas que têm funcionários, inclusive
as micro e pequenas empresas, terão até o fim do ano para obtenção de um
certificado digital, pois o envio de tais informações aos servidores da CEF só serão
acatadas se forem assinadas por um certificado digital.
Por fim, há a autenticação com base nas características do usuário. Este tipo
de autenticação não é muito comum em microempresas, tanto em virtude das outras
duas estarem suprindo suas necessidades, quanto dos altos custos necessários
para implantação de sistemas baseados nas características do usuário.
44
Contudo, essa autenticação fez-se necessária pelo fato de os outros dois
tipos de autenticidade serem, potencialmente, falhos, pois além dos usuários
esquecerem suas senhas, eles também perdem os dispositivos necessários para a
autenticação. Objetivando o mínimo de falhas possíveis e alta segurança, algumas
empresas optam pela autenticação baseada nas características do usuário, que
podem ser características físicas ou comportamentais, chamados de biometria.
A biometria “é um método de autenticação que analisa as características
físicas ou comportamentais de um indivíduo, comparando-as com os dados
armazenados no sistema de autenticação.” (NAKAMURA e GEUS, 2007, p. 369).
Impressão digital, características faciais, reconhecimento de voz, íris do olho, poros
da pele, maneira de andar, padrão de escrita, etc., são algumas das características
utilizadas na biometria.
É nessa ferramenta também que fica alocado o recurso de logs, que é um
banco de dados que mantém todas as rotinas dos usuários como: qual nome de
usuário acessou o sistema, a que horas, quanto tempo passou, o que visualizou,
editou, imprimiu, entre outros.
Apesar de muito seguro e com remotas chances de serem enganados, os
sistemas de autenticação baseado nas características do usuário não são
normalmente vistos em uma microempresa.
3.3.2 Firewall
Em virtude da crescente necessidade das microempresas pelo acesso a
outras redes externas, como a Internet, faz-se necessário o uso de um firewall. De
acordo com a ISO/IEC 17799 (2001, p.53) firewall é um “sistema ou combinação de
sistemas que protege a fronteira entre duas ou mais redes.” Chapman (apud
NAKAMURA e GEUS, 2007, p. 221) define firewall como sendo um componente ou
conjunto de componentes que restringe o acesso entre uma rede protegida e a
internet, ou entre outros conjuntos de rede.
45
Figura 7 – Definição de firewall
Fonte: Nakamura e Geus (2007, p. 222)
Em suma, pode-se dizer que firewall é um software que fica na fronteira
entres duas ou mais redes, solicitando informações de registro, permitindo ou
negando acesso às diversas portas e pacotes da rede, gerindo assim, todo tráfego
que por ele passa.
Ao contrário do que muitos pensam, este recurso não irá solucionar todos os
problemas de segurança de uma rede, pois, não poderá impedir que um funcionário
mal intencionado espete um pen drive em um terminal, e transfira um cavalo de tróia
ou um worm, ou até mesmo se ele resolve copiar informações. O firewall age nos
limites de uma rede, deixando entrar apenas aqueles que estão autorizados. Essa
não é sua principal função, mas um firewall adicional pode ser configurado para
monitorar a rede interna, entretanto ele não irá auditar o que os usuários editam ou
copiam, isso será função de um software de registro - log, que armazenará em um
banco de dados todas as rotinas de um usuário autenticado.
3.3.3 Sistemas de Detecção de Intrusos
Conhecido como Intrusion Detections System (IDS), este sistema tem como
função monitorar possíveis invasões, efetuar automaticamente procedimentos
predefinidos para inibição desses possíveis ataques e/ou notificar aos
administradores da rede para que eles possam tomar medidas mais enérgicas.
De acordo com Stair e Reynolds (2006, p. 578) o IDS é um “sistema de
segurança que monitora o sistema e os recursos de rede e notifica o pessoal de
Ponto único
Firewall
Rede 1
Rede 2
46
segurança de redes quando percebe uma possível invasão.” Também é uma
ferramenta imperceptível aos usuários comuns, trabalhando constantemente,
vasculhando todo o tráfego da rede na busca por algum indício de invasão.
Os IDS funcionam como câmeras de segurança, estão monitorando todos os
movimentos e qualquer atitude suspeita será notificada aos administradores da rede.
Esses sistemas vão ao banco de dados de logs e verificam quais usuários falharam
na autenticação, analisam a hora dessa tentativa de autenticação, vão ao firewall e
analisam quais conexões solicitaram a entrada na rede, sempre em busca de
atitudes suspeitas.
É evidente que a localização dessas “câmeras” tem grande influência para
identificação dos autores, os IDS têm que ser alocados em locais estratégicos,
facilitando assim a identificação e a localização desses possíveis invasores.
3.3.4 Criptografia
É ciência de manter as mensagens seguras. A cifragem é o processo de
disfarçar a mensagem original, o texto claro, de tal modo que sua substância é
escondida em uma mensagem com texto cifrado, enquanto a decifragem é o
processo de transformar o texto cifrado de volta em texto claro original. (NAKAMURA
e GEUS, 2007). Esses processos de cifragem e decifragem são feitos através de
fórmulas matemáticas que fazem dos textos claros, textos ilegíveis a um usuário que
não o algoritmo de decifragem.
Essa é uma ferramenta muito comum no envio e recebimento de e-mails, tem
uma fácil utilização para os usuários e para uma microempresa também, entretanto
tem um imenso e complexo grau de dificuldade para quebra, ou descoberta do
algoritmo utilizado na encriptação da mensagem.
Os smart tokens também usam criptografia para a leitura ou utilização das
informações contidas no cartão – assinatura digital, e após digitação da senha o
próprio aplicativo de leitura do cartão ou pen drive, usa os algoritmos e faz a
decifragem da informação, para uma legível leitura do usuário.
3.3.5 Backup
Backup nada mais é do que uma cópia de segurança dos arquivos e banco de
dados de todos os sistemas da organização. Pensando em uma possível perda
47
dessas informações, convém efetuar e guardar, freqüentemente, em um ambiente
seguro uma cópia de todas as informações existentes nos discos rígidos das
microempresas. “Convém que cópias de segurança dos dados e de software
essenciais ao negócio sejam feitas regularmente.” (NBR ISO/IEC 17799, 2001, p.
21). O uso dessa ferramenta é comumente praticado no ambiente de
microempresas, os próprios programas utilizados por elas têm essa rotina de cópia
de segurança.
O enorme valor da cópia de segurança só será realmente percebido, quando
uma microempresa, por algum motivo perde informações e não tem de onde
recuperá-las; como já foi visto anteriormente a perda de informações pode ocasionar
prejuízos incalculáveis.
3.3.6 Antivírus
É um software que protege um computador de programas maliciosos como:
vírus, worm, cavalo de tróia. Conforme Stair e Reynolds (2006, p. 578) antivírus são
“programas ou utilitários que evitam vírus e recuperam um computador no caso de
infecção.” Em virtude de crackers estarem produzindo programas maliciosos
exaustivamente, os antivírus têm a necessidade de serem atualizados
constantemente; essa periodicidade de atualizações varia de acordo com o
fabricante do programa.
Com a disseminação da internet o uso do antivírus faz-se uma ferramenta de
enorme importância, percebe-se também que o uso dessa ferramenta está bastante
difundido, quando se compra um computador essa é uma ferramenta que já vem
acoplada. Assim como o cinto de segurança para os carros, o antivírus é uma
ferramenta básica na segurança da informação que não pode faltar.
3.4 SEGURANÇA FÍSICA
Convém que segurança física dos recursos e instalações de processamento
das informações do negócio “sejam mantidos em áreas seguras, protegidas por um
perímetro de segurança definido, com barreiras de segurança apropriadas e controle
de acesso.” (ISO/IEC 17799, 2001, p. 13). Não basta apenas ter segurança lógica!
Quando os hackers tentarem efetivar a engenharia social, certamente a segurança
física terá um papel fundamental para inibir que eles penetrem nas instalações das
48
organizações afim de extrair informações ou danificar os sistemas, impossibilitando
usuários legítimos de terem acesso às informações requisitadas.
Conforme a ISO/IEC 17799 (2001, p. 13) aconselha-se também que as “áreas
sejam fisicamente protegidas de acesso não autorizado, dano ou interferência.”
Essas proteções físicas podem ser: grades, muros, portas, câmeras, alarmes,
seguranças posicionados em locais estratégicos, crachás de identificação, portas
reforçadas ou até mesmo controles de acesso biométricos; enfim, todos os recursos
possíveis para inibir que pessoas não autorizadas tenham acesso as instalações ou
até mesmo a algum terminal da empresa.
A ISO/IEC 17799 (2001, p. 15) também faz menção aos riscos ambientais,
aconselhando que “os equipamentos sejam fisicamente protegidos contra ameaças
à sua segurança e perigos ambientais.” Na tentativa minimizar ameaças potenciais,
como: fogo, fumaça, poeira, água, interferência no fornecimento elétrico, etc.
Logo, faz-se necessário fazer um levantamento de quais recursos serão
necessários para segurança física, monitoração dos recursos e das instalações de
processamento das informações das microempresas.
3.5 POLÍTICAS DE SEGURANÇA
Nakamura e Geus (2007, p. 188) ensinam que a política de segurança “é a
base para todas as questões relacionadas à proteção da informação,
desempenhando um papel importante em todas as organizações.”
Já a NBR ISO/IEC 17799 (2001, p. 5) diz que o objetivo da política de
segurança informação é “prover a direção uma orientação e apoio para a segurança
da informação.” Ainda de acordo com a NBR ISSO/IEC 17799 (2001, p. 5), convém
que as seguintes orientações sejam seguidas:
a) definição de segurança da informação, resumo das metas e escopo e a importância da segurança como um mecanismo que habilita o compartilhamento da informação; b) declaração do comprometimento da alta direção, apoiando as metas e princípios da segurança da informação; c) breve explanação das políticas, princípios, padrões e requisitos de conformidade de importância específica para a organização, por exemplo: 1) conformidade com a legislação e cláusulas contratuais; 2) requisitos na educação de segurança; 3) prevenção e detecção de vírus e software maliciosos; 4) gestão da continuidade do negócio; 5) conseqüências das violações na política de segurança da informação.
49
d) definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança; e) referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que convém que os usuários sigam.
A definição das políticas de segurança da informação faz-se necessária, pois
é nessa cartilha que estarão descritas políticas, normas e procedimentos, regras a
serem seguidas preventivamente. É através de uma cartilha como essa que os
funcionários de uma organização irão basear suas ações, objetivando que nenhuma
ação corretiva seja preciso ser tomada por parte dos administradores de sistemas.
A definição das políticas de segurança pode seguir um roteiro, assim como
para a administração (com o planejamento, a organização, a direção e o controle),
as políticas de segurança podem ter o planejamento, os elementos e a
implementação. Alguns autores acreditam que por vários motivos, os maiores
obstáculos a serem vencidos nesta etapa das políticas de segurança é a
implementação. Percebe-se que o maior e mais complicado de todos eles é o
componente humano, pois os diversos tipos de valores e conceitos carregados pelos
seres humanos os tornam fatores extremamente complexos.
3.5.1 O Planejamento
O planejamento da política de segurança tem que ser feito de uma forma
macro, bastante ampla, não com uma abordagem reativa, mas pró-ativa, onde os
significados das obrigações de cada indivíduo devem estar claramente definidos,
para que a gestão da segurança da informação seja executada da forma mais fácil
possível.
“O planejamento da política de segurança deve ser feito tendo como diretriz o
caráter geral e abrangente de todos os pontos, incluindo as regras que devem ser
obedecidas por todos.” (NAKAMURA e GEUS, 2007, p. 190).
50
Figura 8 – O planejamento da política de segurança
Fonte: Nakamura e Geus (2007, p. 190)
Como visto na figura 8, a política fica no topo da pirâmide, acima das normas
e procedimentos, pois de maneira global é o elemento que orienta as ações e as
implementações futuras. As normas abordam detalhes como os passos da
implementação, os conceitos e os projetos de sistemas e controles. Já os
procedimentos servem para que os usuários possam cumprir aquilo que foi definido
na política. (NAKAMURA e GEUS, 2007).
3.5.2 Os Elementos
Os elementos aconselháveis que uma política de segurança deve ter dizem
respeito a tudo que é necessário para o combate as adversidades, tanto nos
ataques de hackers quanto na infra-estrutura da própria organização.
Figura 9 – Fatores de sucesso da política de segurança
Fonte: Nakamura e Geus (2007, p. 193)
Política
Normas
Procedimentos
VIGILÂNCIA
Política de segurança
de sucesso
ATITUDE
ESTRATÉGIA TECNOLOGIA
51
Nakamura e Geus (2007, p. 193) dizem que a vigilância, atitude, estratégia e
tecnologia podem ser considerados os fatores de sucesso da política de segurança.
A vigilância consiste em os membros das organizações entenderem a
importância da segurança da informação na organização, atuando como verdadeiros
guardiões da rede, evitando ao máximo qualquer tipo de problema.
A atitude diz respeito à postura, a conduta que os membros das organizações
devem ter quanto às políticas já definidas. Essa atitude já deve ser pré-selecionada
no momento do recrutamento ou da seleção desses funcionários, entretanto pode
ser aprimorada através de palestras e treinamentos, que trarão a conscientização
desses funcionários para qual a atitude correta aos olhas da organização.
A estratégia está mais ligada à flexibilidade e a criatividade por parte desses
funcionários em executar essas políticas e em se adaptar com as constantes
mudanças do meio.
Já na tecnologia as soluções devem ser mais flexíveis ainda, pois em virtude
da TI estar exaustivamente evoluindo, é necessária uma maior flexibilidade e
cuidado por parte das microempresas na aquisição por esses equipamentos; pois
novo não é sinônimo de seguro.
Entende-se que a política de segurança não seja um manual técnico, ela é a
“bíblia” de segurança da informação, que abrange toda e qualquer organização,
independentemente do seu porte.
3.5.3 A Implementação
Normalmente a implementação é considerada a parte mais difícil da política
de segurança. Sua criação e definição envolvem muitas variáveis, como: ambiente
de rede, organização, cultura, tecnologia e pessoas. Entretanto, a execução da
implementação é avaliada como a maior dificuldade desse processo de política de
segurança, pois leva um pouco de tempo para que as pessoas entendam, aceitem e
cumpram as designações definidas na cartilha. “Isso faz com que um ponto
importante para a aceitação e conformidade com a política definida seja a educação”
(NAKAMURA e GEUS, 2007, p. 198). Os funcionários devem ter a conscientização
da enorme importância que tem a política de segurança, para que não a tornem
inoperante de modo a reduzir sua eficiência e eficácia.
Nakamura e Geus (2007, p. 199) dão alguns exemplos de formas de
divulgação que podem ser utilizadas:
52
a) Comunicação interna (e-mails, painéis, páginas na intranet);
b) Reuniões de divulgação e conscientização; c) Treinamento específico ou inclusão em programas vigentes; d) Dramatização de exemplos práticos em curtas peças teatrais; e) Incorporação ao programa de recepção a novos funcionários; f) Pôsters, protetores de tela e mouse pads podem ser utilizados para oferecer dicas
de segurança, lembrando a todos da importância da segurança de informações.
A completa implantação da segurança da informação pode levar até anos
para conseguir os resultados almejados, logo é importantíssimo que esse
planejamento seja bem efetuado, tanto a curto quanto a longo prazo.
53
4 CONSIDERAÇÕES FINAIS
As microempresas têm uma enorme importância para a economia brasileira,
pois elas representam 98,9% das empresas do país e participam com 40,1% dos
empregos totais gerados no Brasil. Já para Pernambuco esse valor muda, o
percentual é de 97,4%, de um total de 62.155 empresas.
Assim como as microempresas, as informações também cresceram, e em um
ambiente onde fica impossível sobreviver sem a TI. Como ensina Chiavenato, o
conhecimento começou a encabeçar os recursos organizacionais, pois todos os
outros recursos passaram a depender do conhecimento que as pessoas possuem. A
partir de então, as empresas mais bem sucedidas são aquelas que conseguem
convergir esse conhecimento em favor delas próprias.
O valor da informação está diretamente ligado a tomada de decisão e ao
gerenciamento estratégico do negócio. É muito mais comum medir a importância da
informação pelo valor agregado que ela traz, aquilo que é mais concreto, mais
visível aos olhos. Muitas vezes os gestores não conseguem perceber, no dia-a-dia, o
valor da informação, eles só percebem o efetivo valor quando explicitamente
precisam da informação.
Com a disseminação da informação, quase todas as organizações passaram
a ser automatizadas, inclusive as microempresas, massificando assim o uso da TI.
No atual cenário não há mínima condição de uma microempresa existir sem utilizar
algum tipo de sistema computacional. Os órgãos governamentais estão, a cada dia,
mais sofisticados, reduzindo o cerco, afim de que todas as informações
apresentadas a eles sejam através da internet, por softwares específicos e com
assinaturas digitais.
Também foi analisado o impacto causado pela TI nas microempresas, foi
demonstrado que o maior impacto é na melhoria de atendimento ao cliente e isso é
um fator extremamente relevante a se destacar, pois para que as microempresas
sobrevivam, elas também necessitarão se atentarem para a melhoria contínua do
atendimento ao cliente.
Algo relevante que foi descoberto no fim dessa pesquisa foi que, na
Secretaria da Fazenda do Estado de Pernambuco (SEFAZ/PE) todas as empresas
54
que utilizarão o recurso de Nota Fiscal Eletrônica (NF-e) deverão informar o cadastro
de uma pessoa responsável pelo TI da empresa, assim como o de um contador;
mesmo um terceiro sendo contratado para fazer esse serviço de TI, direta ou
indiretamente fica evidente a importância da TI para as microempresas.
Por estarem tão dependentes da TI, as microempresas também precisam
cuidar da segurança de suas informações, pois elas estão diante de constante risco.
Seguindo os três princípios básicos da segurança da informação que são sigilo,
integridade e disponibilidade da informação, as microempresas se nortearão sobre
quais ferramentas lógicas e quais os recursos físicos que devem ser seguidos.
Os diversos tipos de hackers invadem sistemas pelos mais variados motivos,
como: curiosidade, satisfação do próprio ego, compartilhar as informações coletadas
na invasão, divergência política, invasões para danificar o banco de dados invadido
ou ferir o princípio de disponibilidade da informação através do ataque de DOS que,
comumente são feitos pelos crackers.
As microempresas devem estar alertas para as diversas técnicas de invasão
usadas pelos hackers. Podendo, para tanto se valer de ferramentas de segurança
lógica: firewall, sistemas de identificação e autorização, IDS, criptografia, backup e
antivírus, são exemplos destas ferramentas.
O firewall e os sistemas de identificação e autorização farão a linha de frente
dessa segurança lógica. O firewall cuidará das fronteiras da rede, de modo que só
permita o acesso a usuários pré-estabelecidos. Já os sistemas de identificação farão
a correta identificação dos usuários que estão solicitando o acesso às informações,
com base no que eles sabem, no que eles têm e/ou nas características dos
usuários, para só então dar a devida autorização – de acordo com seu nível de
cargo – para acesso das informações requisitadas.
Os IDS, posicionados em locais estratégicos da rede, funcionarão como
câmeras, estarão em constante busca por irregularidades na rede, vasculhando
cada terminal, cada rotina dos usuários e qualquer atividade suspeita será notificada
aos administradores da rede, para que eles possam tomar as medidas cabíveis.
As microempresas também poderão utilizar a Criptografia, para codificar as
informações internas, de modo que só os usuários autênticos – os que têm os
descodificadores – possam ler tais informações.
Os Backups são ferramentas utilizadas de uma forma mais preventiva, sendo
usadas no momento em que alguma informação seja avariada ou perdida.
55
Os antivírus, protegerão as microempresas de pragas virtuais: vírus, worms,
spans, spywares, e até mesmo dos cavalos de tróia; entretanto esses antivírus têm
que estar em freqüente atualização, pois a cada dia novas pragas são feitas.
Quanto à segurança física, convém que toda essa estrutura da empresa seja
protegida do acesso não autorizado, dano ou algum tipo de interferência tanto por
parte de hackers quanto por parte dos funcionários mal intencionados – os insiders,
também deve haver uma preocupação com ameaças ambientais. Essa segurança
física pode ser estabelecida através de grades, muros, portas reforçadas, câmeras,
alarmes anti-furto, alarmes de incêndio, homens fazendo a segurança do local e até
mesmo os simples crachás dos funcionários.
As microempresas também devem se preocupar em definir uma política de
segurança da informação, seguindo o planejamento, os elementos e a
implementação – que é a etapa mais difícil. É nessa cartilha que conterá todas as
normas e regras organizacionais em relação aos cuidados que devem existir dentro
da microempresa quanto à segurança da informação.
Por fim, os funcionários das microempresas têm um papel importantíssimo
para concretização de uma segurança da informação mais assertiva, pois nenhum
desses recursos físicos ou ferramentas lógicas serão eficazes sem a cooperação
dos colaboradores. O fator humano é algo extremamente complexo de mensurar e
gerir, portanto as organizações têm que investir nesses colaboradores para que,
pela falta de conhecimento ou até mesmo pela inocência, elas não venham a ser
prejudicadas.
Objetivando diminuir ao máximo as ações corretivas dos administradores dos
sistemas e conseqüentemente qualquer tipo de prejuízo, as microempresas devem
utilizar tal modelo, de modo que a segurança da informação se torne mais coerente.
56
5 REFERÊNCIAS
Ambiente Empresarial das Micro e Pequenas Empresas Gaúchas 2010.
Disponível em: <http://www.sebrae-rs.com.br/Download_File.aspx?arquivoCaminho=
~/files/arq_2436_1_1_1.pdf&arquivoNome=Estudo_RS_2010.pdf> Acesso em: 10
mai. 2011
Anuário do Trabalho na Micro e Pequena Empresa 2008. Disponível em:
<http://201.2.114.147/bds/BDS.nsf/572C3CE47D9997DC83257486004E858E/$File/
NT00038B0A.pdf> Acesso em: 10 mai. 2011.
BRASIL. Constituição da República Federativa do Brasil, IN: VADE MECUM.
5.ed. atual. e ampl. São Paulo: Saraiva, 2008.
_______. Decreto nº. 737, de 25 de novembro de 1850. Disponível em:
<http://www.planalto.gov.br/ccivil_03/decreto/1800-1850/D737.htm> Acesso em: 08
abr. 2011.
_______. Lei nº. 10.406, de 10 de janeiro de 2002 (Código Civil Brasileiro). Porto
Alegre: Síntese, 2003.
_______. Lei Complementar nº. 123, de 14 de dezembro de 2006. Disponível em:
<http://www.planalto.gov.br/ccivil_03/Leis/LCP/Lcp123.htm> Acesso em: 13 abr.
2011.
CHIAVENATO, Idalberto. Introdução à teoria geral da administração: uma visão
abrangente da moderna administração das organizações. 7.ed. Rio de Janeiro:
Elsevier, 2003.
Contas Regionais do Brasil 2004-2008. Disponível em:
<http://www1.ibge.gov.br/home/estatistica/economia/contasregionais/2008/tabelas_p
df/tab02.pdf> Acesso em: 10 mai. 2011.
57
Estatísticas dos Incidentes Reportados ao CERT.br. Disponível em:
<http://www.cert.br/stats/incidentes> Acesso em: 15 mai. 2011.
FAZZIO JÚNIOR, Waldo. Manual de Direito Comercial. 8.ed. São Paulo: Atlas,
2007.
FERREIRA, Fernando Nicolau Freitas. Segurança da Informação. Rio de Janeiro:
Ciência Moderna Ltda., 2003.
GIL, Antonio Carlos. Como elaborar projetos de pesquisa. 4.ed. São Paulo: Atlas,
2006.
Incidentes ao CERT.br - Janeiro a Março de 2011. Disponível em:
<http://www.cert.br/stats/incidentes/2011-jan-mar/tipos-ataque-acumulado.html>
Acesso em: 15 mai. 2011.
LACORTE, Edson. A Microempresa e a Empresa de Pequeno Porte no Direito
Brasileiro. Disponível em: <http://www.franca.unesp.br/artigos/edson.pdf> Acesso
em: 14 mar. 2011.
MEDEIROS, João Bosco. Redação Científica: a prática de fichamentos,
resumos, resenhas. 11.ed. São Paulo: Atlas, 2010.
MEIRELLES, Fernando de Souza. Informática: novas aplicações com
microcomputadores. 2.ed. São Paulo: Pearson Education do Brasil, 1994.
MELCHOR, Paulo. Leis da Microempresa e Empresa de Pequeno Porte e o novo
estatuto. (Lei 9841/99). Jus Navigandi, Teresina, ano 4, n. 37, 1 dez. 1999.
Disponível em: <http://jus.uol.com.br/revista/texto/751> Acesso em: 14 mar. 2011.
NAKAMURA, Emilio Tissato.; GEUS, Paulo Lício de. Segurança de redes em
ambientes cooperativos. São Paulo: Novatec, 2007.
NBR ISO/IEC 17799. Tecnologia da Informação - Código de Prática para Gestão
58
da Segurança da Informação. Associação Brasileira de Normas Técnicas. Rio de
Janeiro, 2001.
PERFIL DA EMPRESA DIGITAL – 2002. Federação das Indústrias do Estado de
São Paulo e Fundação Instituto de Pesquisas Econômicas (FIESP/FIPE), USP, São
Paulo. Disponível em:
<http://www.fiesp.org.br/pesqpont.nsf/d456804fabbd197d83256c7e0059e915/ac55b
11645fdaf0683256cd2004ab36f/$FILE/ATTHROTH/PERFIL%20DA%20EMPRESA%
20DIGITAL%202002.PDF> Acesso em: 10 mai. 2011.
REQUIÃO, Rubens. Curso de Direito Comercial. 26.ed. São Paulo: Saraiva, 2005.
SILVA, Arídio.; RIBEIRO, José Araújo.; RODRIGUES, Luis Alberto. Sistemas de
Informação na Administração Pública. Rio de Janeiro: Revan, 2004.
SILVA FILHO, Cândido Ferreira da.; SILVA, Lucas Frazão. Tecnologia da
Informação e Gestão do Conhecimento: Teoria e estudos em organizações.
Campinas: Alínea, 2005.
SPÍNOLA, André Silva. Breves Considerações sobre a Microempresa no Direito
Brasileiro. Disponível em: <http://direitoemdebate.net/index.php/direito-
comercial/220-breves-consideracoes-sobre-a-microempresa-no-direito-brasileiro>
Acesso em: 14 mar. 2011.
STAIR, Ralph M.; REYNOLDS, George W. Princípios de Sistemas de Informação:
uma abordagem gerencial. São Paulo: Pioneira Thomson Learning, 2006.
ULBRICH, Henrique César.; DELLA VALLE, James. Universidade Hacker. 6.ed.
São Paulo: Digerati Books, 2009.