universidade estÁcio de sÁ alexandre luiz … · i universidade estÁcio de sÁ alexandre luiz de...
TRANSCRIPT
I
UNIVERSIDADE ESTÁCIO DE SÁ
ALEXANDRE LUIZ DE OLIVEIRA
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
NO ACESSO AOS PORTAIS FINANCEIROS BRASILEIROS
RIO DE JANEIRO
2009
II
ALEXANDRE LUIZ DE OLIVEIRA
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
NO ACESSO AOS PORTAIS FINANCEIROS BRASILEIROS
Dissertação apresentada à Universidade Estácio de Sá
como requisito parcial para a obtenção do grau
de Mestre em Administração e Desenvolvimento Empresarial
Orientador: Prof. Dr. Antônio Augusto Gonçalves.
RIO DE JANEIRO
2009
III
Dados Internacionais de Catalogação na Publicação (CIP)
O48
Oliveira, Alexandre Luiz de
Gestão da segurança de informação no acesso aos portais financeiros brasileiros. / Alexandre Luiz de Oliveira. - Rio de Janeiro, 2009.
130 f.
Dissertação (Mestrado em Administração e Desenvolvimento Empresarial)-
IV
V
À minha esposa Érica, amor
da minha vida, fonte de
inspiração e exemplo de
dedicação.
VI
ARADECIMENTOS
Antes de tudo agradeço a Deus por todas as superações necessárias que foram
providas desde o inicio do mestrado com as aulas em disciplinas isoladas, até a
consolidação de mestrando e a conclusão ao titulo de mestre.
Agradeço ao Professor, Dr. Antônio Augusto Gonçalves pela paciência que foi
testada durante todo o período de orientação. Agradecer ao Professor Dr. Jesús Domech
Moré pela cativa participação na avaliação do trabalho e ao professor Dr Carlos Eduardo
Costa Vieira da Fundação Oswaldo Aranha que foi o Doutor externo na avaliação desta
dissertação.
Agradeço à Unimed Federação Rio pela compreensão necessária para o
desenvolvimento deste trabalho. Agradecer ao Sr. Carlos Correa e ao Sr. Ralf Batista.
Agradeço à minha família que durante a construção deste mestrado deve um
aumento com a vinda do meu lindo filho, Alexander Luiz de Oliveira. Momento depois sofreu
uma grande Perda, o meu querido avô, José João da Silva, um autêntico batalhador
Brasileiro. Agradeço ao meu pai, um fresador que sempre se privou das vaidades
capitalistas para poder dar educação aos filhos e a minha mãe com o poder fiscalizador nas
ações acadêmicas deste o jardim.
Finalmente obrigado pelo apoio e carinho que a minha esposa prestou durante não
apenas este mestrado, mas sim, durante toda a minha vida.
Muito Obrigado pela ajuda de todos!
VII
RESUMO
O sistema de autenticação tradicional de usuário usado normalmente pelos sites
WEB, que utiliza senha, é um ponto explorado pelos “assaltantes cibernéticos”. Os usuários
de sites do setor financeiro são as vítimas preferenciais. Os fraudadores empregam desde a
construção e divulgação de falsos sites até programas maliciosos para a obtenção não
autorizada das senhas de acesso dos usuários.
Os bancos brasileiros mantêm sites de Internet banking nos quais os clientes podem
efetuar transações bancárias. Para agregar maior segurança, o processo de autenticação
dos sites de Internet banking passou a utilizar teclados virtuais e, em determinadas
transações, utiliza-se também uma terceira autenticação de usuário baseada em senha,
normalmente denominada pelos bancos de assinatura eletrônica.
Outros sistemas de autenticação de usuário possuem maior sofisticação, dificultando
a ação dos criminosos em obter as senhas de acesso: tokens OTP (One Time Password)
geram um único código de acesso, válido por determinado período; utilização de chaves
assimétricas que são armazenadas em arquivos ou em smart cards e PIN, utilizado em
conjunto com dispositivos como token.
Esta pesquisa tem o objetivo de comparar as características destes sistemas de
autenticação de usuário, verificando a sua aderência com a norma ISO NBR 17799:2005
Como resultado, apresenta o nível de segurança das instituições financeiras.
Palavras-chave: segurança TI; internet; autenticação; segurança de acesso.
VIII
ABSTRACT
The traditional user authentication system used normally by the WEB sites, based in
passwords, is a point explored by the “cybernetic assailants” and the users of the financial
sites are the preferential victims. The robbers employ since the construction and disclosure
of fake sites until malicious programs to get the users' password.
The Brazilian banks maintain Internet banking sites, which the clients can perform banking
transactions. To add greater security, the authentication process of the Internet banking sites
started to use virtual keyboards and, in specific transactions, also uses a third user
authentication based on passwords, called by the banks as electronic signature.
Others types of user authentication are more sophisticated, complicating the action of the
criminals in obtain the access passwords: tokens OTP (One Time Password) generate only
one access code, valid for a period of time; utilization of asymmetrical keys stored in files or
smart cards and PIN, used together with devices as tokens.
This research has the objective of compare the characteristics of these types of user
authentication, as check compliances with security information ISO NBR 17799:2005.
As result, it presents a security level of financial companies
Keywords: IT security; internet; authentication; security access.
IX
SUMÁRIO
1.INTRODUÇÃO 1
1.2 PROBLEMÁTICA 4
1.3 OBJETIVO GERAL 4
1.4 OBJETIVOS ESPECÍFICOS 4
1.5 JUSTIFICATIVAS DA PESQUISA 4
1.5 ESCOPO DO TRABALHO 7
2. REFERENCIAL TEÓRICO 10
2.1 QUADRO TEÓRICO 11
2.2 ECONOMIA DIGITAL 12
2.2.1 COMÉRCIO ELETRÔNICO 14
2.2.2 MODELOS DE COMÉRCIO ELETRÔNICO 16
2.3 SERVIÇOS ELETRÔNICOS 19
2.3.1 LOJAS ELETRÔNICAS 19
2.3.2 SERVIÇOS FINANCEIROS ELETRÔNICOS 21
2.3.3 O USO DO HOME BANKING 22
2.3.4 AMEAÇAS PARA AMBIENTE DOS PORTAIS FINANCEIROS 23
2.4 SEGURANÇA DA INFORMAÇÃO 23
2.4.1 GESTÃO DA INFORMAÇÃO 26
2.4.2 NORMAS: GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO 30
2.4.3 GOVERNANÇA EM TI 32
2.4.4 LEI SARBANES-OXLEY 33
2.4.5 GESTÃO DE TECNOLOGIA DA INFORMAÇÃO – FRAMEWORK COBIT 35
2.4.6 BIBLIOTECA DE BOAS PRÁTICAS DE TI – ITIL 40
2.4.7 NORMAS NBR ISO/IEC 27.001:2006 43
2.4.8 NORMAS ABNT NBR ISO/IEC 17.799 (ISO/IEC 27.002) 47
2.4.9 POLÍTICA DA SEGURANÇA DA INFORMAÇÃO 53
2.4.10 EVIDÊNCIAS DE CONFORMIDADE 55
2.4.11 MÉTODOS DE ATAQUE 57
2.4.12 ESTRATÉGIA DE DEFESA 59
2.4.13 SEGURANÇA DA INFORMAÇÃO EM SITES FINANCEIROS 68
X
2.4.14 AMEAÇAS PARA OS PORTAIS FINANCEIROS 71
2.4.15 AMEAÇAS INTERNAS 72
2.4.16 AMEAÇAS EXTERNAS 73
2.4.17 PRINCIPAIS AMEAÇAS 75
2.4.18 SERVIÇOS DE SEGURANÇA 75
2.5 SEGURANÇA DA INFORMAÇÃO NOS PORTAIS FINANCEIROS 78
2.5.1 CICLO DE VIDA DA INFORMAÇÃO 79
2.5.2 MECANISMOS DE SEGURANÇA – USO DE SENHAS 81
2.5.4 NORMAS DE SEGURANÇA 82
2.5.5 CONFORMIDADES COM A NOMA NBR ISO IEC 17799:2005 83
3 METODOLOGIA 86
3.1 MODELO DE ANÁLISE 89
3.1.1. CONTROLE DE ACESSO 97
3.1.2 - POLÍTICA PARA O USO DE CONTROLES DE CRIPTOGRAFIA (Q1) 97
3.1.3 - TÉCNICA E TIPOS DE CRIPTOGRAFIA (Q2) 98
3.1.4 - ASSINATURA DIGITAL (Q3) 99
3.1.5 – SERVIÇOS DE NÃO REPÚDIO (Q4) 100
3.1.6 – EXISTÊNCIA DO USO DE CHAVES (Q5) 101
3.1.7 – TIPO DE CHAVES UTILIZADAS (Q6) 102
3.1.8 – CRIPTOGRAFIA DAS CHAVES (Q7) 103
3.1.9 – RESPOSTA DE QUAISQUER REQUISIÇÕES (Q8) 104
3.1.10 – RESPOSTA DE REQUISIÇÕES PRÓPRIAS E FALSAS. (Q9) 104
3.1.11 – LIMITAÇÃO DE HORÁRIOS (Q10) 106
4. RESULTADOS 107
4.1 APRESENTAÇÃO DOS RESULTADOS 107
4.2 ANALISE DOS RESULTADOS 108
5. CONCLUSÕES E RECOMENDAÇÕES 114
5.1 BENEFÍCIOS 115
5.2 OPORTUNIDADES DE PESQUISA 116
REFERÊNCIAS 118
GLOSSÁRIO 122
1
1. INTRODUÇÃO
Atualmente o Brasil apresenta um aumento significativo no número de
computadores em domicílios (MAÇADA, 2007). Aliando este crescimento com a
evolução dos meios de comunicação, com o uso de banda larga, o acesso à Internet
é cada vez mais comum. Segundo agência Reuters (2009), os computadores
portáteis registram em 2009 o crescimento do setor com estimativa de vendas em
15,6 milhões de unidades, aumento de 9% em relação ao ano de 2008. Com as
facilidades do ambiente web, é cada vez maior o número de pessoas que utilizam
Internet. Para utilizar os serviços da rede mundial de computadores, é importante
que o ambiente web ofereça fácil acesso e segurança para a realização das
operações.
De acordo com pesquisa realizada pelo IBGE (2008), o Brasil possui 190
milhões de habitantes. Deste número, cerca de 42,6 milhões ou 22,4% da população
brasileira faz uso da Internet, o que representa 34,7% dos usuários da América
Latina.
Neste cenário, as organizações cada vez mais elaboram os seus processos
utilizando a Tecnologia da Informação (TI), pois seus produtos e serviços são
fundamentalmente apoiados em tecnologia.
Atualmente a informação fica exposta a uma grande variedade de ameaças.
Com isto existe a necessidade de estabelecer uma política de proteção da
informação contra os vários tipos de ameaças, minimizando riscos ao negócio.
Para Laudon e Laudon (2004), uma infra-estrutura de tecnologia da
informação consistentemente forte, pode, no longo prazo, desempenhar um
importante papel estratégico na vida da empresa.
2
Questões como a integridade da informação, e como os dados devem ser
adequadamente protegidos, são fundamentais para esse canal de comunicação. A
segurança da informação é definida como uma área de conhecimento dedicada à
proteção de ativos da informação contra acessos não autorizados, alterações
indevidas ou sua indisponibilidade (SÊMOLA, 2003).
Para que as organizações obtenham sucesso no processo de defesa de sua
informação, os gestores precisam tornar a segurança computacional uma parte
integrante da operação do negócio da organização (ENTRUST, 2004). Davenport
(1998) conclui que a TI isoladamente não garante a qualidade da informação
trabalhada e nem o seu bom uso.
Segundo Laudon e Laudon (2004) as empresas precisam aproveitar ao
máximo os benefícios gerados pelos sistemas de informação, para que possam cada
vez mais crescer, facilitando o controle da organização, proporcionando maior
produtividade e lucratividade, ao contrário disso, a empresa com sistema razoável
terá limitações nas tomadas de decisões, obtendo resultados insatisfatórios, não
atingindo as expectativas.
No cenário atual os sites das instituições bancárias estão sujeitos a ataques
de diversas naturezas, ficando vulneráveis as ameaças caracterizadas pelo aumento
dos roubos, vazamentos de dados e pela criação de códigos maliciosos que são
utilizados para a obtenção de ganhos em moeda corrente. Segundo Schneier
(2004), ataques onde um invasor consegue se inserir numa conversa e espioná-la
ou mudar seu contexto estão gerando grandes riscos na indústria financeira. Estes
criminosos seguem o dinheiro, utilizando táticas como envio de e-mails falsos,
mecanismos que induzem o cliente a utilizar sites fraudulentos ou a efetuar
download de programas como aplicações que têm como objetivo armazenar os
3
dados digitados no acesso aos portais de serviços financeiros. Desta maneira, os
criminosos conseguem as senhas de acesso aos portais dos serviços On-line.
Dados da FEBRABAN (2008) demonstram que fraudes eletrônicas causaram
prejuízos de R$ 300 milhões em 2005. É reportado o crescimento das fraudes
relacionadas à autenticação do usuário nestes serviços. Em um sistema de
automação bancária, em que vários serviços financeiros podem ser utilizados por
meio da Internet, o cliente necessita ser reconhecido por meio do serviço de
autenticação de usuário para usufruir destes serviços.
O setor bancário disponibiliza os portais para proporcionar aos seus clientes
comodidades no acesso aos serviços financeiros, atividade comercial que, segundo
Cameron (1997), define como comércio eletrônico qualquer negócio transacionado
eletronicamente. Estas transações ocorrem entre dois parceiros de negócio ou entre
um negócio e seus clientes.
As condicionantes impostas pela Internet e pelo comércio eletrônico
conduzem a três reflexões propostas por Drucker (1999): Qual é o seu negócio?
Quem é o seu cliente? O que o seu cliente valoriza? Sem estas respostas e a
adequada gestão da informação relacionada aos clientes, existe o risco de
reproduzir velhos comportamentos através das novas tecnologias.
Para que as instituições financeiras possam garantir a credibilidade das ações
realizadas pelos clientes no ambiente web, a segurança da informação é fator crítico
de sucesso. Cabe ressaltar que os mecanismos de segurança devem estar dentro
de métricas internacionais para garantir estas operações.
4
1.2 PROBLEMÁTICA
As instituições financeiras brasileiras podem garantir a segurança da
informação nos acessos dos clientes aos portais de serviços financeiros na Internet?
1.3 OBJETIVO GERAL
Esta pesquisa visa analisar os mecanismos de segurança da informação
utilizados pelas maiores instituições financeiras brasileiras no acesso aos recursos
oferecidos pelos portais financeiros, verificando a aderência com a norma ABNT
NBR ISO/IEC-17799:2005.
1.4 OBJETIVOS ESPECÍFICOS
- Revisar a literatura sobre segurança da informação no acesso aos serviços
financeiros dos bancos brasileiros disponíveis na Internet.
- Confrontar os mecanismos de controle de acesso com as regras
estabelecidas na norma de segurança NBR ISO/IEC-17799:2005.
- Analisar os portais de serviços das 15 maiores instituições financeiras em
atividades no Brasil quanto ao nível de conformidade com a norma NBR ISSO/IEC-
1779:2005.
1.5 JUSTIFICATIVAS DA PESQUISA
Antigamente exploravam-se vulnerabilidades do sistema operacional, do
servidor e do meio de comunicação. Entretanto, os investimentos em segurança
feitos pelas instituições financeiras tornaram estes ambientes relativamente mais
seguros, apesar de ainda estarem sujeitos a ameaças. Por outro lado, existe o
aumento das fraudes financeiras, que exploram a ingenuidade ou a inabilidade dos
5
clientes quanto aos requisitos de segurança a serem seguidos, tornando-as uma
prática lucrativa.
Os clientes são alvos de várias vulnerabilidades que podem ser exploradas
por criminosos. Pode-se citar a desinformação dos clientes sobre os conceitos de
segurança, os provedores de Internet com problemas de segurança nos serviços
disponibilizados, como serviços de nomes e e-mails; a facilidade de criação de sites
fraudulentos; os computadores utilizados sem proteção; e o sistema de autenticação
utilizado pelos bancos. A análise desta pesquisa é voltada para os ambientes web e
o trabalho não relaciona os possíveis controles que podem ser utilizados para
reduzir o risco de exploração das vulnerabilidades.
No Brasil, todos os incidentes que podem caracterizar tentativas ou invasão
aos sites, são reportados ao centro de estudos, resposta e tratamento de incidentes
de segurança no Brasil (CERT.BR). Com estas informações é possível a construção
do gráfico 01 para análise das ocorrências:
6
Gráfico 01: Total de incidentes de seguranças reportados de 1999 a
setembro de 2009
Fonte: CERT.BR (2009)
De acordo com este cenário, são propostas novas abordagens para autenticar
o usuário por meio de senhas. No entanto, estas abordagens não são comparadas
com outros sistemas de autenticação (CARNUT; HORA, 2005). Segundo Nilson
(2005), a abordagem é aplicada apenas na percepção do usuário do Internet
banking, com relação à segurança.
Dentro deste contexto, a contribuição deste trabalho será confrontar os
mecanismos de controle de acesso utilizados pelos bancos, com a Norma NBR ISO
17799:2005, com o intuito de fornecer subsídios para a tomada de decisão sobre o
sistema de autenticação que melhor se adapte às necessidades de negócio.
7
1.6 ESCOPO DO TRABALHO
O escopo deste trabalho é abranger a análise dos mecanismos de controle de
acesso utilizados pelos clientes nos portais de serviços financeiros brasileiros.
Dentro das limitações deste trabalho informa-se que não serão analisados os
sistemas que utilizam qualquer tipo de biometria.
Nesta pesquisa, os dados são analisados remotamente sem que exista a
necessidade de autorizações por parte das entidades financeiras analisadas. Não é
preciso executar nenhuma intervenção física direta, portando os aspectos como
integridade de Backup; os controles de tolerância à falhas; ou quaisquer ações que
se faz necessário uma intervenção interna na instituição bancária com a instalação
de agentes diretamente nos servidores para realizar a coleta dos dados não se
contempla neste trabalho.
Foram analisadas as forma de acesso aos portais financeiras das 15 maiores
instituições bancárias do Brasil como apresentadas na Tabela 01.
Tabela 01: Classificação das instituições financeiras no Brasil.
Instituição Financeira
Patrimônio Líquido
Lucro Líquido
Total de Ativo
N.º de Agências
Total de Intermediação
N.º de Funcionários
BB 26.370.992 3.991.577 403.468.392 4.117 361.023.125 104.545
ITAÚ 32.278.435 4.128.570 339.594.373 2.639 307.279.816 66.077
BRADESCO 33.797.050 4.115.513 348.350.211 3.205 295.872.864 76.339
CEF 12.480.163 2.543.015 264.392.895 2.060 250.562.283 104.179
ABN AMRO 13.035.679 902.855 164.211.331 1.148 158.472.483 33.949
UNIBANCO 12.823.866 1.491.036 169.712.541 947 143.433.185 26.492
SANTANDER 10.613.697 793.378 127.288.377 1.090 114.493.297 21.136
HSBC 5.913.500 769.321 97.489.411 925 96.464.159 27.338
VOTORANTIM 6.334.622 601.698 73.631.545 14 67.831.644 1.026
8
SAFRA 4.009.918 445.204 61.694.518 124 60.284.634 5.444
NOSSA CAIXA 3.198.091 525.749 54.010.850 560 54.010.850 15.583
CITIBANK 4.132.709 1.206.491 39.413.249 127 37.773.216 6.184
BNP PARIBAS 1.155.791 39.839 24.861.277 4 23.381.578 361
BANRISUL 2.907.012 308.256 23.370.995 423 21.654.491 11.238
CREDIT SUISSE 2.556.216 585.645 18.499.318 2 17.544.131 75
CITIBANK 4.132.709 1.206.491 39.413.249 127 37.773.216 6.184
Fonte: Banco Central do Brasil 2009
Foram utilizados mecanismos que coletaram de forma eletrônica as
informações necessárias de cada portal. Esta informação foi confrontada com as
recomendações de segurança da informação da norma ISO 17799:2005. No
quadro 01 existem fatores que segundo Turban (2004) geram preocupação do
setor bancário na gestão da segurança da informação.
Quadro 01: Preocupações tratadas pelas instituições financeiras.
Problema Preocupação do negócio Solução
Autorização O usuário tem permissão para acessar uma conta ou
informação de um computador específico?
Nome de usuários e senhas ou outro mecanismo de controle de
acesso
Autenticação O usuário é realmente quem se diz ser?
Hardware ou software especial para gerar números aleatórios
para identificar o usuário.
Integridade O remetente da mensagem realmente a enviou?
O destinatário pode estar certo que a mensagem não foi
trocada?
Assinatura digital
9
Privacidade A minha conversação (ou transação comercial) é privativa?
Existe alguém espionando?
Chaves públicas e privadas de criptografia
Fraude/Roubo Alguém está me roubando? Log, auditorias, procedimentos e política de administração de
sistemas
Sabotagem Alguém pode entrar no sistema e destruir ou alterar informações?
Firewalls – barreiras eletrônicas criadas com equipamentos dedicados e sistemas de
software que monitoram o tráfego da rede e validam o fluxo de
informação entre redes internas e externas
Fonte: TURBAN (2004)
10
2. REFERENCIAL TEÓRICO
Com base no estudo The information Superhighway and Retail Banking realizado
pela Boston Consulting Group (BCG) em 1998, Turban (2003) sugere que os bancos
direcionem esforços para uma das três estratégias descritas a seguir:
• Agentes de clientes – os bancos que se sentirem incapazes de processar e
desenvolver produtos devem-se concentrar em oferecer aos clientes uma ampla
escolha, incluindo produtos de várias fontes, e fornecendo o serviço de informações
integradas.
• Fabricantes de produtos – aqueles que tiverem a economia de escala
necessária para o desenvolvimento e processamento de produtos e serviços podem
ser distribuidores (com ou sem marca) especializando-se em determinados
segmentos de produtos e fornecendo-os para outras instituições de médio e
pequeno porte.
• Integradores – esta opção serve somente para os bancos com uma marca
forte bem como uma sólida posição em toda a cadeia de valor desde o
desenvolvimento até a entrega.
Segundo os autores, os bancos adotarão uma estratégia híbrida, que
apontam sobre quais áreas são estrategicamente muito arriscadas para terceirizar,
ou quais são as capacidades que necessitam aprimorar para desenvolver produtos e
serviços internamente.
A segurança é um grande problema para usuários (SANTOS, 2004) e
sistemas que utilizam serviços de senhas como bancos, comércio eletrônico e
sistemas corporativos (SCHNEIER, 2004). Estas senhas são utilizadas para diversos
fins, dentre eles: autenticação, acesso e transações bancárias.
11
No quadro 02 segue um resumo dos principais autores para a fundamentação
teórica deste trabalho.
Quadro 02: Fundamentação teórica.
Fundamentação Teórica Principais autores Contribuição Modelo para qualidade da informação na indústria bancária – o caso dos bancos públicos Governança de tecnologia de informação baseado na metodologia COBIT- O caso de um banco privado brasileiro Security for Internet banking- a framework
MAÇADA (Enanpad 2007) MAÇADA (2002) KHALIAD (2003)
Gerência da informação no impacto da Qualidade da Informação no setor bancário Como realizar um estudo de caso de um banco privado brasileiro medindo aspectos da Tecnologia da informação. Fatores determinísticos para a confiança nos serviços bancários na Internet
Web Server Security Effective method of security measures in virtual banking On-line frauds in banks with phishing Tecnologia da informação para gestão Segurança na Internet
HUTCHINSON (2003) ARUMUGA (2006) SINGH (2007) TURBAN (2004) COMER (2005)
Desenvolvimentos e implementação de processos de segurança nos portais financeiros Uso de métodos adequados para medir segurança em portais financeiros Método de roubo de identidade para acesso aos portais financeiros. Phishing Reconhecer as vulnerabilidades do sistema de informação Política de informação e segurança na Internet.
Esta pesquisa tem a necessidade embasada da constatação de que o grande
volume de transações financeiras efetuadas pela Internet atrai, cada vez mais,
12
quadrilhas de fraudadores e que os usuários das instituições financeiras ainda são
ingênuos, em relação à segurança, ao utilizar os serviços disponíveis na Internet
(MAÇADA, 2007).
O setor bancário, assim como o setor de varejo possui um dos maiores
volumes de investimentos destinado à segurança de informação, que é o principal
serviço prestado pela chamada economia digital ALBERTINI (2000).
2.1 ECONOMIA DIGITAL
Com a evolução tecnológica e o advento das redes, a economia passou a ser
a "economia digital" (LAUDON & LAUDON, 2004). A economia para a idade da
inteligência em rede é uma economia digital. Na velha economia, o fluxo de
informação era físico: dinheiro, cheques, faturas, notas de embarque, relatórios,
reuniões olho-no-olho, segundo Tapscott (1995), na nova economia, a informação e
todas as suas formas tornaram-se digitais, reduzidas a bits armazenadas em
computadores e sendo transportadas à velocidade da luz através das redes.
Usando este código binário, informação e comunicação transformam-se em
dígitos um e zero. O novo mundo de possibilidades daí criado é tão relevante quanto
a invenção da própria linguagem, o velho paradigma no qual todas as interações
baseadas fisicamente ocorriam (LAUDON & LAUDON, 2004).
Desta forma, cria-se um elo da economia tradicional com a digital, mas com
muito mais facilidades disponíveis ao simples toque de nossos dedos. Nos EUA,
para cada US$ 1 vendido no mercado On-line, a Internet influencia o gasto de outros
US$ 3,45 em lojas físicas, uma grande interação entre as duas economias (KOTLER
e PFOERTSCH, 2008).
13
Diante dos conceitos fomentados por Maçada (2007), as instituições
bancárias são as pioneiras e as mais desenvolvidas para as ações comerciais na
rede mundial de computadores, que se caracteriza pela forma descentralizada de
apresentação dos seus produtos.
Oferecer serviços envolvendo os recursos comuns existentes na rede como a
comunicação de dados, acesso remoto, transferência de arquivos e correio
eletrônico são ações pioneiras na prestação de serviços das empresas financeiras
(MAÇADA, 2007).
Observando as questões técnicas mencionadas por Comer (2004), os
serviços na Internet usam uma arquitetura baseada em um modelo chamado
TCP/IP, também conhecidas como conjunto de IP (Internet Protocol), que atribui a
cada computador conectado à Internet um endereço exclusivo (endereço IP). Desta
forma é possível localizar os clientes conectados a um portal de home banking ou
qualquer outro serviço conectado à rede que deseja acessar os dados de uma base
pertencente a uma instituição financeira (SAWAYA, 1999).
Na economia digital, os bancos utilizam o mundo World Wide Web (WWW ou
Web), da forma de um acervo universal de serviços de páginas interligadas por
vínculos (links), os mais diferentes produtos bancários ficam a disposição do usuário
com informações completas do mercado financeiro (ESTRADA, 2006).
Segundo Albertin (2000), o Comércio Eletrônico, representa a realização de
toda a cadeia de valor dos processos de negócio num ambiente eletrônico. A
constatação de que o grande volume de transações financeiras efetuadas pela
Internet atrai, cada vez mais, quadrilhas de fraudadores e que os usuários das
instituições financeiras ainda são ingênuos, em relação à segurança, ao utilizar os
serviços disponíveis na Internet (MAÇADA, 2007).
14
2.2.1 COMÉRCIO ELETRÔNICO
Pode-se definir o comércio eletrônico (CE) de acordo com Albertin (2000)
como “a realização de toda a cadeia de valor dos processos de negócio num
ambiente eletrônico, por meio da aplicação intensa das tecnologias de comunicação
e de informação, atendendo aos objetivos de negócio”.
Conforme Turban (2004), o comércio eletrônico, (CE), “é o processo de
compra, venda e troca de produtos, serviços e informações por redes de
computadores ou pela Internet”. Segundo Albertin (2000) o CE pode ser definido
como “qualquer negócio transacionado eletronicamente, em que as transações
ocorrem entre dois parceiros de negócios ou entre um negócio e seus clientes”.
De acordo com O’ Connell (2002), pode-se definir o CE a partir de quatro
perspectivas:
* A Perspectiva da Comunicação: o CE é a distribuição de produtos, serviços,
informação ou pagamentos por meio de redes de computadores ou outros meios
eletrônicos.
* A Perspectiva de Processo Comercial: o CE é a aplicação de tecnologia
para a automação de transações e do fluxo de trabalho.
* A Perspectiva de Serviços: O CE é uma ferramenta que satisfaz a
necessidade de empresas, consumidores e administradores, quanto à diminuição de
custos e à elevação nos níveis de qualidade e agilidade de atendimento.
* A Perspectiva On-line: o CE é a possibilidade de compra e venda de
produtos e informações pela Internet e por outros serviços On-line.
Foram incluídas por Turba (2004) mais duas perspectivas:
* A Perspectiva da Cooperação: O CE é um instrumento de mediação inter e
intra-cooperativa dentro de uma organização.
15
* A Perspectiva Comunitária: o CE é um ponto de encontro para os membros
de uma comunidade poder aprender a realizar negócios e cooperar uns com os
outros.
Conforme O’ Connell (2002), a maioria da população vê o CE como uma
maneira de guiar as transações que, antes do uso da Internet como uma opção para
as negociações, em meados da década de 90, eram efetuadas de maneira
convencional através do telefone, carta, fax, sistemas proprietários de troca
eletrônica de dados ou contato pessoal.
O comércio eletrônico identifica o uso intensivo de Tecnologia da Informação
(BEAM e SEGEV, 1996) na mediação das relações entre consumidores e
fornecedores. Para a melhor compreensão das vantagens e riscos do comércio
eletrônico, no entanto, é útil a sua divisão em dois blocos principais.
O primeiro bloco indica as atividades relativas a transações entre empresas
que compram e vendem produtos entre si. Este grupo se caracteriza por um número
relativamente baixo de transações de alto valor financeiro. O segundo bloco das
transações entre empresas e consumidores finais, se caracteriza por alto volume
relativo de transações com baixo valor financeiro envolvido em cada uma delas.
Nas transações empresa-empresa, o Electronic Data Interchange (EDI) é o
exemplo mais conhecido (SOKOL 1989). Apesar de já existir há algumas décadas, o
EDI também está sendo afetado pela expansão da Internet. Algumas experiências
de utilização de EDI baseado na Internet têm sido estudadas com o objetivo de
expandir as possibilidades desse tipo de tecnologia (SEGEV et al. 1995). Na
comparação da Internet com as alternativas de EDI, as questões custo e segurança
são as mais ponderadas.
16
Segundo Turbam (2004), o custo de implantação de EDI pela Internet é baixo,
enquanto o das redes privadas de acesso publico são altos. Para se ter uma
comparação, num estudo feito no Bank of America observou que uma transação
feita pela Internet chega a ser entre duas e três ordens de grandeza menor do que a
mesma transação feita por uma loja local. Em compensação, em termos de
segurança, o uso de EDI pela Internet não tem ainda os mesmos níveis de confiança
dos usuários que têm as redes privadas.
Para DavenPort (1998) se numa rede privada existe alto grau de controle das
informações que nela trafegam, na Internet a situação é um tanto diferente. Apesar
disso, o crescente interesse comercial na Internet começa a influenciar o
desenvolvimento de recursos para aumentar a confiabilidade e o grau de controle
sobre as informações em trânsito, tais como tempo para entrega e priorização de
mensagens.
Desta forma, Comer (2004) retrata que para garantir todo o processo quanto
às falhas humanas e naturais, os pontos de maior possibilidade de falhas podem
adotar sistemas de redundância. Por tratar de área na quais as transações são mais
estruturadas, o potencial da Internet em aplicações que envolvem transações entre
empresas é muito grande; mas o lado do comércio eletrônico que mais tem atraído à
atenção são as suas possibilidades de colocar empresas em contato com
consumidores finais de qualquer lugar, a qualquer hora.
2.2.2 MODELOS DE COMÉRCIO ELETRÔNICO
A Internet abriu uma ampla variedade de oportunidades, as quais estão sendo
utilizadas pelas empresas, para a troca de informações internamente, e para se
comunicarem externamente com outras empresas, criando uma plataforma universal
17
para a compra de bens e serviços, ou para dirigir importantes processos de negócios
dentro das empresas. Com tais aplicações, a Internet tende a se converter em
expressivo catalisador tanto do e-commerce como do e-business (LAUDON, 2004).
Os principais tipos de atividades do comércio eletrônico podem ser
estabelecidos de cinco formas: entre as próprias empresas (B2B ou Business to
Business), entre a empresa e o mercado consumidor (B2C ou Business to
consumer), entre consumidor e as empresas (C2B ou Consumer to business), entre
consumidores (C2C ou Consumer to consumer) e governo no mercado virtual é
representado pela modalidade de E-government.
Ainda segundo Laudon e Laudon (2004), o primeiro tipo de atividade (B2B)
ocorre entre fornecedores e varejistas, que, por meio da troca de informações
digitais, controlam melhor os estoques, a distribuição e os pagamentos. As
empresas ampliam geograficamente seus mercados, mas devem considerar a
exigência de uma infra-estrutura computacional e de comunicação de dados
adequada, além de logística e segurança. O comércio eletrônico possibilita grande
otimização por meio do just-in-time, ou seja, a produção e a movimentação sob
demanda ocorrem com corte de tempo e de gastos com estocagem em todas as
etapas do processo produtivo. Duas importantes ferramentas nesse caso são o ECR
(Efficient Consumer Response) e o SCM (Supply Chain Management).
Neste segundo tipo de atividade, (B2C), a empresa disponibiliza ao
consumidor as informações detalhadas e visualizadas eletronicamente sobre seus
produtos, a venda desses produtos sem necessidade de intermediação e a
possibilidade de efetuar o pagamento de forma eletrônica. A entrega do produto
18
também pode ser feita utilizando-se a rede, como, por exemplo, a entrega de um
software por meio de download (SMITH, 2002).
No terceiro tipo de atividade, (C2B) o consumidor torna-se uma voz ativa no
processo de compra de produtos ou serviços pela Internet. É o cliente definindo
como deseja ser atendido, a que preço e de que forma.
No quarto tipo de atividade, (C2C), busca-se uma participação conjunta de
todos os consumidores; são os chamados leilões virtuais. Tem-se, a partir daí, uma
otimização da comunicação entre as pessoas físicas, visando desenvolver um
mercado sem intermediários e de fácil negociação.
O quinto tipo, E-government, reflete as ações do governo para promover
maior transparência das suas atividades, por meio da Internet, e permitir o exercício
da cidadania pelos membros da sociedade.
As aplicações do B2B também incluem aquelas entre os órgãos
governamentais e as empresas das quais compram ou para as quais vendem. O
B2B abrange todas as atividades da cadeia de suprimentos, inclusive as operações
internas. Entretanto, ao utilizarem o comércio eletrônico B2B, as empresas poderão
ver-se obrigadas a redesenhar os processos ao longo da cadeia de suprimentos
(TURBAN, 2004).
As instituições financeiras mantêm como foco nos seus serviços prestados
pela Internet o cliente final como seu usuário e principal consumidor de novos
produtos e serviços.
19
2.3 SERVIÇOS ELETRÔNICOS
Essa é outra área onde as empresas podem explorar a Internet. Muitas
companhias usam a Internet para fornecer serviços a clientes (ALBERTINI, 1997).
Para Rezende e Abreu (2001) os serviços para o comércio eletrônico tiveram
como início o final dos anos 80, quando os bancos e operadoras de cartões de
crédito começaram a utilizar os recursos da rede telefônica ou da rede de dados,
como a rede nacional de pacotes, RENPAC, no Brasil, para programarem serviços
eletrônicos, na busca da projeção empresarial em nível nacional e até mesmo
internacional.
A popularização dos serviços eletrônicos foi dada a partir da redução dos
preços, tornando-se um recurso indispensável para qualquer empresa, seja ela
micro-empresa ou uma multinacional. ALBERTIN (2000).
Segundo Maçada e Becker (1998), os melhores exemplos de serviços
eletrônicos situam-se no setor dos serviços bancários. Os bancos são as empresas
mais desenvolvidas e quem mais investe nos mecanismos de segurança da
informação para a gerência de todo o sistema de informação.
2.3.1 LOJAS ELETRÔNICAS
Segundo Rezende (2001), as lojas eletrônicas são locais onde há a
comercialização de produtos e serviços diretos ao consumidor final pelas empresas
que possuem lojas virtuais expondo seus produtos e oferecendo as informações
necessárias para a tomada de decisão do comprador.
Segundo Turban (2004), refere-se a uma comercialização dos produtos da
empresa através da web. Pode ser feita tanto para promover a empresa, produtos e
20
serviços ou para realmente vender os produtos e serviços através desta loja virtual.
Os principais benefícios são:
O aumento da procura;
Uma rota de custo mais baixo para o alcance mundial;
Redução de custos de promoção e vendas;
Custos reduzidos;
Benefícios para os clientes;
Preços mais baixos;
Maior escolha;
Melhor informação;
Conveniência.
A realização de compras através destas lojas On-line está rapidamente
ganhando popularidade e aceitação. Embora a maioria das receitas seja o B2B, as
vendas B2C também tendem a melhorar nos próximos anos. No entanto, para que
isto ocorra, as lojas On-line necessitam atribuir muito mais valor aos seus clientes e,
ao mesmo tempo, encontrar novas formas de gerar receitas.
Segundo Resende (2001), o varejo vem sofrendo significativas transformações
ao longo do tempo. Desde a época dos armazéns de bairro, em que o dono
conhecia a preferência de seus clientes e os atendia pelo nome, muita coisa mudou.
Com a lógica de as indústrias introduzirem maior variedade de produtos,
aumentando a oferta para satisfazer uma demanda crescente, o varejo acabou
21
ganhando espaço, e grandes grupos varejistas surgiram. E, com isso, o eixo de força
começou a deslocar-se da indústria para o varejo, que passou a comprar milhões
das indústrias e vender milhões para os consumidores.
Ao mesmo tempo, para manter seu espaço e hegemonia, o setor vem
diversificando o seu mix de produtos e serviços ofertados. Uma das novidades é a
oferta de serviços financeiros juntamente com seus produtos tradicionais, como
eletrodomésticos, eletrônicos, móveis e alimentos, (RESENDE, 2001).
2.3.2 SERVIÇOS FINANCEIROS ELETRÔNICOS
O foco nos serviços financeiros na Internet, nos últimos anos, é popularizado
para o consumidor de baixa renda, por este público adquirir cada vez mais
importância e devido ao seu grande potencial de consumo (PAINE, 2002).
Para exibir um exemplo de sucesso em serviços financeiros eletrônicos, ainda
Segundo Paine (2002), foram as ações iniciadas pela parceria entre a loja vestuários
C&A e a instituição financeira, o Banco IBI, que registram inúmeras opções de
crédito disponíveis eletronicamente, sendo a melhor forma de possibilitar o aumento
de consumo.
Os serviços financeiros eletrônicos tornam possível a dispersão das indústrias
de serviços financeiros. Alguns aspectos da indústria de serviços financeiros
beneficiam-se da centralização de suas atividades, devido a economias de escala na
coleta e processamento de informações (MAÇADA, 2007).
No entanto, outros aspectos são favorecidos pela descentralização, por
exemplo, quando a informação onerosa sobre clientes locais, pequenas firmas e
condições específicas de mercados locais apontam para a necessidade de contato
22
frontal direto e de operações descentralizadas ou quando as diferenças nacionais e
internacionais nos fusos horários impõem outras economias de centralização.
Ainda segundo Maçada (2007), apoiadas pela base financeira, outras
atividades de serviços vêm se difundindo mundialmente, visando ao atendimento de
assessoria a empresas ou à demanda de serviços de consumo familiar. Existe uma
série de empresas prestadoras de serviços de outros países que investiram no
mercado nacional, mais intensamente na segunda metade dos anos 90,
principalmente por meio de franquias. (SÊMOLA, 2003).
2.3.3 O USO DO HOME BANKING
Desde a década de 70 surgiram promessas sobre o inevitável banco
eletrônico que se tornaria acessível virtualmente. A frustração dessas promessas
levanta a descrença de alguns (WHITE, 2007) no novo “boom” anunciado para o
home banking. Kalakota e Whinston (1997), entretanto argumentam que alguns
fatores serão responsáveis pela consolidação do home banking. Entre estes fatores
destaca-se este elenco:
A curva de aprendizado dos usuários dos serviços bancários, que estão
tornando-se cada vez mais habilitados no uso de computadores;
Uma consciência maior por parte dos mesmos usuários dos bancos sobre as
possibilidades do home banking, devido até ao próprio marketing dos bancos,
nunca antes tão forte na divulgação do potencial do banco virtual;
A busca de alternativas para a redução do custo de processamento de
transações;
A base instalada de microcomputadores com modems nas residências, que
nunca foi tão grande e continua crescendo a taxas vigorosas;
23
A competição sofrida pelos bancos por empresas não bancárias na oferta de
serviços On-line.
2.3.4 AMEAÇAS PARA AMBIENTE DOS PORTAIS FINANCEIROS.
Termos como pharming, cavalos de Tróia e ataques man-in-the-middle,
ataque onde um invasor consegue se inserir numa conversa e espioná-la ou mudar
seu contexto, são as principais ameaças para os serviços financeiros On-line. É
fundamental para os bancos permanecerem à frente dessas crescentes ameaças, os
ataques de phishing permanecem sendo a técnica predominante para arrancar dos
clientes suas informações pessoais e dados financeiros On-line (MITNICK, 2003).
A razão pela qual o phishing continua tão difundido é porque ainda é muito
efetivo. Porém, como as instituições financeiras aprimoram seus níveis de proteção
On-line e os clientes obtêm mais conhecimento sobre phishing. Novas e mais
sofisticadas técnicas de fraude On-line começam a consolidar-se (MITNICK, 2003).
2.4 SEGURANÇA DA INFORMAÇÃO
Segurança da Informação está relacionada aos métodos de proteção
aplicados sobre um conjunto de dados no sentido de preservar o valor que possui
para um indivíduo ou uma organização (LAUDON, 2004) São características básicas
da segurança da informação os aspectos de confidencialidade, integridade e
disponibilidade, não estando reservados somente a sistemas computacionais,
informações eletrônicas ou sistemas de armazenamento (COMER, 2004). O
conceito se aplica a todos os aspectos de proteção de informações e dados.
24
A Segurança da Informação refere-se à proteção existente sobre as
informações de uma determinada empresa ou pessoa, isto é, aplicam-se tanto as
informações corporativas quanto pessoais (LAUDON, 2004).
Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor
para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou
exposta ao público para consulta ou aquisição (DAVENPORT, 1998). Podem ser
estabelecidas métricas, com o uso ou não de ferramentas para a definição do nível
de segurança existente e, com isto, serem estabelecidas as bases para análise da
melhoria ou piora da situação (LAUDON, 2004).
A segurança de uma determinada informação pode ser afetada por fatores
comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infra-estrutura,
até por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar
tal informação (DAVENPORT, 1998).
A tríade Confidencialidade, Integridade e Disponibilidade (CID) representa as
principais propriedades que orientam a análise, o planejamento e a implementação
da segurança para um determinado grupo de informações que se deseja proteger.
(STEAFANEK, 2002). Atualmente outras propriedades estão sendo apresentadas
(legitimidade e autenticidade) na medida em que o uso de transações comerciais em
todo o mundo, através de redes eletrônicas (públicas ou privadas) se desenvolve.
(STEAFANEK, 2002).
Os conceitos básicos podem ser explicados pelos níveis: (STEAFANEK,
2002).
25
A) Confidencialidade - propriedade que limita o acesso à informação tão
somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da
informação.
B) Integridade - propriedade que garante que a informação manipulada
mantenha todas as características originais estabelecidas pelo proprietário da
informação, incluindo controle de mudanças e garantia do seu ciclo de vida
(nascimento, manutenção e destruição).
C) Disponibilidade - propriedade que garante que a informação esteja sempre
disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo
proprietário da informação.
Para garantir a segurança da informação, foi realizado um trabalho para
padronizar regras e modelos. Desta forma, mecanismos internacionais
uniformizaram regras e padrões para a segurança da informação. Maçada (2007)
descreveu os problemas envolvidos no processo de se fornecer os mecanismos
necessários para salvaguardar a segurança de computadores. O que representou no
início do processo oficial de criação, um conjunto de regras para segurança de
computadores. Este esforço foi liderado pela International Organization for
Standardization (ISO). O primeiro resultado foi apresentado como a norma
internacional de segurança da informação ISO/IEC-17799 (2000), a qual já possui
uma versão aplicada aos países de língua portuguesa, denominada NBR ISO/IEC-
17799:2005.
26
2.4.1 GESTÃO DA INFORMAÇÃO
Conforme Sêmola (2003) as empresas sempre usufruíram da informação,
independente do segmento de mercado, porte e core business com o objetivo de
reduções de custo, aumento da agilidade, produtividade e competitividade e apoio à
tomada de decisão. Entretanto, Davenport (1998) explica que a abordagem
comumente aceita para gestão da informação não funciona, pois se baseia,
principalmente, no investimento em novas tecnologias. Assim, Davenport (1998)
aponta que os administradores precisam de uma visão holística, para que possam
se adaptar as realidades sociais e as alterações repentinas que ocorrem no “mundo
dos negócios”. Para Davenport (1998) o modelo ecológico informacional é baseado
no modo como as pessoas criam, distribuem e usam a informação. Desta forma
Davenport (1998) relata que:
A informação não pode ser facilmente arquivada nos computadores;
Os sistemas de informação possuem menos utilidade quando se tornam mais
complexos;
A informação, na organização, pode possuir vários significados;
A tecnologia não é com freqüência um meio eficaz de operar mudanças em
uma organização, pois é apenas um dos componentes do ambiente
informacional.
Neste contexto a tecnologia tem sim um papel importante como catalisador, pois
a mais valiosa função da tecnologia na gestão do conhecimento é estender o
alcance e aumentar a velocidade da transferência do conhecimento (DAVENPORT,
1998). Entretanto, como visto até agora, o papel da tecnologia é de meio e não de
finalidade. Davenport (1998) chama de Engenharia de Máquina a maneira usual das
organizações de lidarem com a informação segmentando o problema analisado e o
27
contrapondo com a visão holística que será chamada de “Visão Ecológica”. Desta
forma pode-se fazer um comparativo das duas abordagens como é demonstrado no
Quadro 4:
Quadro 4: Comparativo entre a engenharia de máquina (IBM apud Davenport 1998) e a visão Ecológica de Davenport (1998)
Esta visão pode ser sintetizada pela abordagem que é simplesmente aceita
para o gerenciamento de informação e investimento em novas tecnologias. Para
obter plena gestão os administradores precisam na verdade, de uma perspectiva
holística, que possa assimilar as alterações repentinas no mundo dos negócios e
adaptar-se sempre as realidades sociais. (DAVENPORT, 1998).
Neste aspecto, Davenport (1998) apontam que um ponto que merece
destaque é a informação não estruturada, dado que as pessoas possuem uma forma
narrativa de pensar. Deste modo Davenport (1998) relata que deste o século XXI
a.C., quando blocos de argila foram reunidos para formar a primeira biblioteca na
Suméria, bibliotecários, pesquisadores de mercado e executivos vêm reunindo
informações e que histórias, boatos e rumores fazem parte da cultura organizacional
e por isso não devem ser ignorados. Teixeira Filho (2004) aponta uma profunda
relação entre o conhecimento (e por conseqüência a informação) na estratégia
Fonte: Adaptado de Davenport (1998)
28
empresarial. O conhecimento coletivo é crucial na estratégia da empresa. Por outro
lado o conhecimento que a organização tem de si mesma é fundamental para a sua
evolução.
Para Sêmola (2003), a informação, representa a inteligência competitiva dos
negócios e ela é reconhecida como ativo crítico para a continuidade operacional e
saúde da empresa. O aumento da quantidade de informação e os novos riscos e
desafios tornam cada vez mais complexo gerir uma organização. Como citado por
Teixeira Filho (2000), hoje mais que no passado, a gestão envolve uma gama maior
de atividade e por este motivo, o gestor deve ser capaz de perceber, refletir e agir
em condições totalmente diferentes das que existiam antes. Teixeira Filho (2000)
aponta como desafios do gestor:
Interdisciplinaridade;
Aumento da complexidade;
Exigüidade dos processos de decisão;
Multiculturalidade entre as pessoas;
O fator inovação e a presença de um mercado cada vez mais competitivo.
Assim estes vários aspectos devem ser levados em conta em uma organização
moderna, pois, como aponta Teixeira Filho (2000), há uma tendência das empresas,
com o passar do tempo, trabalhar na forma de unidades produtivas em rede. Sêmola
(2003) por sua vez, aponta que a presença dos computadores nos escritórios,
quebrou o paradigma do acesso local à informação, podendo ser acessado em
qualquer lugar do mundo graças as tecnologias portáteis como os notebooks e a
Internet.
29
Este paradigma está certamente centrado na infra-estrutura de informação (e
não somente na de tecnologia da informação ou de sistemas). A estratégia atual
deve abordar a importância do fator humano nas organizações e não apenas a
tecnologia. Sêmola (2003) aponta a necessidade de as organizações possuírem
velocidade de se adaptar as mudanças, de forma que se possível aquelas devam
ser capaz de se antecipar a estas. Desta forma Sêmola (2003) aponta que é
necessário transcender a prática do treinamento contínuo ao aprendizado contínuo
em todos os níveis da empresa. Isto se alinha com o raciocínio do modelo de
ecológico da informação defendido por Davenport (1998) onde são abordados
aspectos organizacionais relativos à informação tais como:
Política da informação;
Cultura e comportamento em relação à informação;
Equipe da informação;
Processos de administração informacional;
Arquitetura da informação.
A política da informação é definida por Davenport (1998) como um fator crítico,
pois envolve relações de poder proporcionadas pelo seu gerenciamento e uso, onde
a tentativa de criação de um ambiente de ampla troca de informações pode falhar se
não for percebida a presença do “modelo informacional feudal”, onde os executivos
esforçam-se em ocultar e acumular informação, Sobre a cultura e comportamento
em relação à informação, Davenport (1998) aponta que o uso de incentivos,
recompensas, punições, instruções e advertências influenciam o comportamento
informacional no objetivo de compartilhar a informação e obter conhecimento
duradouro. Daí a necessidade, segundo Davenport (1998), da equipe da informação,
30
pois as pessoas são as melhores nas ações de identificar, filtrar, categorizar, integrar
e interpretar a informação, devendo esta ser formada por diferentes tipos de pessoas
como especialistas em conteúdo, bibliotecários e pesquisadores de mercado,
projetistas e facilitadores de bases informacionais e os respectivos elos. Por
processos de administração informacional, Davenport (1998) explica que em uma
situação ideal, uma empresa deve ter a visão mais ampla, definindo os processos
informacionais como todas as atividades exercidas por quem trabalha com a
informação. Assim o ecologista da informação, nesta situação ideal, deveria primeiro
solicitar que para cada parte do trabalho informacional fosse descrito seu
funcionamento.
Por fim para a arquitetura da informação, Davenport (1998) explica que a
facilidade e o entendimento nos processos de comunicação devem ser mais
importantes que o detalhe e a precisão.
Para Santos (2004), ao tentar estabelecer um projeto informacional em uma
organização, deve haver esforço para compreender a cultura organizacional, pois
esta é um elo entre a administração dos recursos humanos e a gestão da
informação.
2.4.2 NORMAS: GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO
As práticas do mercado no que dizem respeito a sistemas de informação, sua
infra-estrutura e a segurança da informação. Tais práticas convencionam-se
denominar de Melhores Práticas (MP).
Segundo Kotler (2008), normalmente as organizações sofrem três tipos de
pressões:
31
De mercado;
De tecnologia ;
De pressões sociais.
Por isso, Turban (2004) propõe que o “Planejamento de um sistema de
informação” deve compreender:
Alinhar o plano de TI com o plano de negócios da empresas;
Desenhar uma arquitetura de TI para a empresa;
Alocar de forma eficiente os recursos operacionais e de desenvolvimento de
sistemas de informação;
Planejar os projetos de sistemas de informação de modo que possam ser
concluídos dentro do prazo e orçamento e incluam as funcionalidades
especificadas.
Projetos por sua vez, são descritos por Turban (2004) como empreendimentos
finitos, com objetivos claramente definidos em função do problema, oportunidade ou
interesse de uma pessoa ou organização.
Tendo estes fatores em mente, são necessários parâmetros para servirem de
guias no planejamento e projeto de um sistema de informação. Para isso, estão
disponíveis guias e normas, de cunho público ou proprietários para as melhores
práticas da gestão da Informação. Isto é chamado de “Governança em TI”
(TURBAN, 2004).
32
Segundo a Associação Brasileira de Normas Técnicas (ABNT), normalização, de
forma genérica é: “Atividade que estabelece, em relação a problemas existentes ou
potenciais, prescrições destinadas à utilização comum e repetitiva com vistas à
obtenção do grau ótimo de ordem em um dado contexto.” (ASSOCIAÇÃO..., 2007).
2.4.3 GOVERNANÇA EM TI
De acordo com Turban (2004) no início do século passado, na criação das
que hoje são grandes empresas, havia a figura do dono, que aportava capital próprio
ou de terceiros, que supervisionava pessoalmente a gestão da sua empresa e que
quando delegava sua autoridade a executivos cobrava resultados sobre o capital
investido.
Para compreender os surgimentos das práticas modernas, normas e leis que
regem a Governança Corporativa e subseqüentemente a Governança em TI, Turban
(2004) aponta alguns dos fatores históricos que acabaram por motivar este
movimento em torno de boas práticas de gestão da informação:
1887 – American Institute of Certified Public Accountants (AICPA) –
publicação de balanços e auditorias.
1929 – Crise na bolsa de Nova York leva à intensificação na publicação de
balanços e auditorias.
1946 – American Society for Quality (ASQ) impulsionou ondas como a
Reengenharia, o Total Quality Mannagent, Customer Relationship
Management (CRM), Enterprise Resource Planning (ERP) seguidas dos
respectivos processos de certificação e premiações do tipo ISO9.000 e
33
Malcon Baldrige National Quality Award (Prêmio Nacional de Qualidade
(PNQ) no Brasil)
1985 - Committee of Sponsoring Organizations of the Treadway Commission
– COSO com o objetivo de aprimorar a qualidade dos relatórios financeiros, a
ética nos negócios, a efetividade dos controles e a governança corporativa,
visando garantir a continuidade das empresas e o retorno sobre o
investimento realizado.
1988 – O Banco de Compensações Internacionais formulou o primeiro acordo
de capitais na cidade de Basiléia na Suíça.
Ainda, de acordo com Turban (2004), no final do Século XX houve a “Bolha
das empresas ponto com” e a quebra de empresas que eram vistas como sólidas
como a empresa de energia Eron, da Consultoria Arthur Andersen e da WorldCom
na área de telecomunicações, por fraudes contábeis, fazendo que economias de
uma vida de muitas pessoas desaparecessem, abalando a credibilidade do mercado
de ações norte americano, o que levou o governo norte americano a sancionar a lei
Sarbanes-Oxley em 2002. Embora tenha acontecido no mercado norte americano,
os impactos foram sentidos no mercado mundial, tendo repercussão inclusive no
Brasil.
2.4.4 LEI SARBANES-OXLEY
Segundo Sapoznik (2005), em 30 de julho de 2002 foi legalizada a lei
Sarbanes-Oxley, como resposta aos escândalos financeiros de até então
respeitadas empresas norte americanas como a Worldcom e a Eron. Tais
34
escândalos tiveram como resultado, uma grande perda de confiança pública nos
balanços corporativos e em seus sistemas de informação.
Para Vieira Sapoznik (2005), no panorama atual, é impossível separar os
processos de negócios da tecnologia. Deste modo, Sapoznik (2005) afirma que a lei
Sarbanes-Oxley, ao regular as atividades de contabilidade e auditoria, reflete
diretamente nos sistemas de Tecnologia de Informação.
Segundo Sapoznik (2005) a lei Sarbanes-Oxley estabelece penalidade de
danos à corporação, com punições mais rígidas aos crimes como o de colarinho
branco e fraude de títulos, assim como estabelece novos padrões corporativos de
responsabilidade contábil. Sapoznik (2005)aponta ainda que foi dada ao Security
Exchange Commition (SEC) a propriedade de emitir as normas que implementam
várias cláusulas da lei Sarbanes-Oxley (SOX) assim como o poder de estender as
normas além das exigências estatuárias.
Segundo o U.S. Securities and Exchange Commition (SEC) (2007), este
órgão, fundado em 1934, tem a missão de proteger investidores, manter os
mercados justos, ordenados e eficientes e facilitar a formação de capital. O U.S.
Securities and Exchange Commition (2007), diz que não existem garantias no
mercado de ações, sendo um mercado onde é necessário a pesquisa e o
questionamento. Conhecer as empresas onde se investe capital é fundamental e
desta forma a transparência e a credibilidade das instituições envolvidas são fator
chave para a economia de vários países, pois impactos em uma economia como a
americana podem tem repercussão global, atingindo inclusive o Brasil.
35
Segundo Sapoznik (2005) a lei Sarbanes-Oxley é o ápice do regramento em
torno da boa governança corporativa apresentando um novo paradigma na atividade
de proteger ativos intangíveis referentes à tecnologia da informação.
Como aponta Silva (2005), a Sarbanes-Oxley torna obrigatório para as empresas
atingidas pela lei, a adoção de controles rígidos e uso de práticas de segurança de
redes e de tratamento de incidentes de segurança da informação como vírus, roubo
de dados, invasões a sistemas, entre outras ameaças, podendo implicar em
responsabilidades diretas dos administradores (inclusive os de redes) com sanções
legais e penais se não forem comprovadas, de forma consistente, a adoção de forma
coordenada de medidas preventivas. Silva (2005) afirma que para empresas
estrangeiras se adequarem aos controles necessários, o prazo prescreveu em 15 de
julho de 2006.
2.4.5 GESTÃO DE TECNOLOGIA DA INFORMAÇÃO – FRAMEWORK COBIT
Segundo Silva (2005), a área de TI, para os investidores, era vista como uma
“caixa preta”, sendo então considerado um sério risco ao retorno sobre o
investimento, ou mesmo um sério risco à continuidade da empresa. Silva (2005)
aponta que devido ao interesse público com os problemas de conformidade ligados
à crescente dependência da tecnologia da informação na composição e na
sustentação dos produtos e dos serviços que o Control Objectives for Information
and Related Technologies (COBIT) ganhou força.
De acordo com o IT Governance Institute, o Committee of Sponsoring
Organizations and Treadway Commission’s (COSO) apresentou o COBIT como um
reflexo à Lei Sarbanes-Oxley.
36
O IT Governance Institute, segundo Vieira (2007), explica que o COBIT visa
equilibrar o risco com o retorno sobre investimento (ROI) em TI e seus processos.
Para que isto ocorra o COBIT é formado por uma estrutura de relações e processos
para dirigir e controlar o ambiente de TI. O IT Governance Institute, aponta que as
áreas de foco da Governança em TI são:
Alinhamento Estratégico;
Entrega de Valor;
Gerenciamento de Recursos;
Gerenciamento de Risco;
Mensuração de Performance.
Silva (2005) aponta ainda que, o COBIT trata a tecnologia da informação em
quatro dimensões:
Planejamento e organização;
Aquisição e implementação;
Entrega e suporte;
Monitoramento.
Como o COBIT é um framework (COBIT 4.1 5), ou seja, “uma estrutura básica
conceitual de idéias”, de objetivos a serem atingidos, não diz como as coisas devem
ser feitas. Na explanação de Silva (2005), cabe aos conceitos, às tecnologias e às
ferramentas de mercado a execução daquilo que o COBIT diz que deve ser feito.
Assim Silva (2005) aponta que cada “como fazer” do COBIT é um subdomínio
que por sua vez são abordados por instituições e processos que caracterizam as
37
Melhores Práticas, podendo ser implementadas e certificadas. Silva (2005) aponta
como exemplos de especialidades à implementarem conceitos do COBIT:
Information Technology Infrastructure Library – ITIL, apontado por Silva
(2007) como o modelo de referência mais aceito mundialmente.
Capability Maturity Model (CMM), um modelo de maturidade que corrobora na
melhoria dos processos de desenvolvimento de software.
Capability Maturity Model Integrated (CMMi), apontado pelo Carnegie Mellon
Software Engineering Institute, como uma metodologia de melhoria de
processos.
Project Management Institute (PMI), Project Management Institute é a
principal associação mundial sem fins lucrativos em Gerenciamento de
Projetos.
Project Management Body of Knowledge (PMBOK), de acordo com o Project
Management Institute, é um guia das melhores práticas para gerenciamento
de projetos.
ISO/IEC 17.799 registra as melhores práticas de segurança da informação.
ISO 9.000, apontado pela ABNT (ASSOCIAÇÃO..., 2007) como sendo sobre
sistemas de gestão da qualidade, definindo a padronização de terminologias
e descrevendo os sistemas de gestão da qualidade, que por sua vez devem
ser auditadas segundo a norma NBR ISSO 9.001.
Total Quality Management (TQM), uma estratégia que visa inserir os
conceitos de qualidade por toda a organização.
Six Sigma, metodologia de melhoria de processos pela eliminação sistemática
de defeitos.
38
Design for Six Sigma, uma derivação do six sigma com foco de localizar as
necessidades do cliente na organização e aplicar no produto.
Benchmarking, mensuração de um processo em relação à uma melhora
prática.
Balanced Business Scorecard (BSC), segundo Silva (2005), o BSC é um
sistema de gerenciamento e não apenas um sistema de medição. Foi
desenvolvido por Kaplan e Norton na Havard Business School e se diferencia
segundo Silva (2005), The Balanced Score Card Institute (2007), por não se
basear apenas em dados financeiros, mas também nas perspectivas de
capacidade de aprendizado, de processos de negócio e dos consumidores.
Unified Process, ou Unified Software Development Process, conjunto de
metodologias incrementais de desenvolvimento de software que podem ser
adaptados para diferentes projetos e organizações, onde o modelo mais
conhecido é o Rational Unified Process (RUP), um modelo proprietário.
Business Process Redesign, que é o reprojeto dos processos organizacionais.
Business Process Management, é um conjunto de práticas de gestão de
negócios e tecnologia da informação, para colaborar com a gestão.
Integrated Definition Methods, um modelo de descrição de sistemas de
informação entre outras.
O IT Governance Institute acrescenta as seguintes normas: ISO 9.001:2000
para auditoria da norma ISO 9.000, a metodologia de processos PRINCE2 e a lei
Sarbanes- Oxley. Deve-se ainda complementar a lista, com a norma ISO/IEC 27.001
– Requisitos para Sistemas de gestão de Segurança de Informação, pois esta é
complementada pela norma ISO/IEC 17.799 que por sua vez será renomeada para
ISO 27.002 pela ABNT (ASSOCIAÇÃO..., 2006).
39
Dentre estas normas, a ISO/IEC 17.799 será abordada mais profundamente
adiante, pois é nela em que os trabalhos do autor se baseiam. Porém é salutar
compreender o contexto na qual a norma ISO/IEC 17.799 se encontra, assim como a
relevância das outras normas, guias e leis citados por Vieira (2007) no parágrafo
anterior e sua correlação com a norma ISO 27.000.
Segundo Silva (2005) órgãos reguladores brasileiros como o Banco Central
do Brasil e a Superintendência de Seguros Privados (SUSEP), usam o COBIT como
base de avaliação e práticas de controle de TI, assim como vêm sendo amplamente
utilizado por empresas de vários setores e seguimentos.
Silva (2005) aponta que segurança, confiabilidade e qualidade da informação
são requerimentos do negócio e pressupõem as seguintes diretrizes:
Efetividade: informação precisa no prazo, forma e formato adequado.
Eficiência: provimento da informação de forma mais produtiva e econômica.
Conformidade (compliance): cumprimento das leis, contratos e
regulamentações.
Confiabilidade: Fornecimento de informações precisas e apropriadas aos
gestores para a tomada de decisão, prestação de contas sobre finanças e
conformidade.
Integridade: Informação completa, acurada, e validada de acordo com os
valores e expectativas do negócio.
Disponibilidade: Informação disponível para o negócio quando requerida,
agora e no futuro, assim como a salvaguarda dos recursos necessários e
capacidade associadas.
40
Segundo Sapoznik e Dequech (2005) o COBIT trata de governança em TI e tem
seus controles apoiados em métricas, sendo estas estruturadas com base no
Balanced Business Scorecard (BSC) e são vistos de acordo com quatro
perspectivas:
Financeira,
Clientes,
Processos,
Inovação e Aprendizado.
Davenport (1998), classifica que os princípios de TI são solicitados de forma
federativa e se a decisão sobre a requisição é tomada de maneira duopólica,
federativa ou monárquica, podendo então prever os possíveis pontos de conflito.
Desta forma compreendendo as relações de poder sobre a informação na
organização pode-se adotar uma postura mais adequada. Sapoznik e Dequech
(2005) diz que partindo da análise pode-se atuar nos pontos certos e otimizar a
forma como as decisões são tomadas em TI.
O COBIT não especifica como são implementados os controles propostos,
cabendo ao mercado fazê-lo.
2.4.6 BIBLIOTECA DE BOAS PRÁTICAS - ITIL
Segundo Sapoznik e Dequech (2005) independente do tamanho da empresa,
há a necessidade de reduzir os custos de TI e melhorar a qualidade dos serviços
prestados. Vieira (2007) aponta, ainda, que questões como a “pressão por redução
41
de custo” e “Que serviços de TI serão oferecidos?” estão relacionados à geração de
valor ao cliente, assim segundo o mesmo, a metodologia Information Technology
Infra-structure Library (ITIL) foi criada para a entrega de serviços de maneira eficaz e
otimizada.
Para Silva (2005), o ITIL é o modelo de referência para o gerenciamento de TI
mais aceito mundialmente. Tamanha é a importância que o ITIL se tornou a norma
britânica (British Standard) BS 15.000 e faz parte dos anexos da ISO 9.000:2000
Segundo Silva (2005), a norma é organizada em aproximadamente 40 livros,
distribuído em módulos, onde estão descritos as recomendações das melhores
práticas e os principais processos de TI. Silva (2005) afirma que os módulos mais
importantes do ITIL são:
IT Service Support;
IT Service Deliver.
Sendo respectivamente sobre suporte ao serviço de tecnologia de informação
e entrega de serviços de tecnologia de informação. As principais características do
ITIL apontadas por Silva (2005) são:
Ser modelo de referência para processo de TI não proprietário;
Estar adequado para todas as áreas de atividade;
Ser independente de tecnologia e fornecedor;
Ser um padrão de fato;
Estar baseado nas melhores práticas;
Ser um modelo de referência para a implementação de processos de TI;
42
Padronizar de terminologias. Interdependência de processos;
Ter diretivas básicas para implementação;
Ter diretivas básicas para funções e responsabilidades dentro de cada
processo;
Ter um checklist testado e aprovado;
Diz o que fazer e o que não fazer;
Fazer com que as melhorias de qualidade possam ser medidas;
Tornar os processos de gerenciamento dos serviços de TI mensuráveis;
Fornecer uma forma consistente de trabalho;
Fornecer uma terminologia padronizada;
Aperfeiçoar os processos de comunicação tornando-a mais rápida e dirigida;
Aumentar a satisfação do cliente, ajustando corretamente sua expectativa;
Auxiliar a obtenção da certificação ISO 9.000;
Fornecer uma gestão mais eficiente da infra-estrutura e dos serviços;
Apontar maior controle nos processos e menores riscos envolvidos;
Eliminar tarefas redundantes e definir de forma clara e transparente as
funções e responsabilidades;
Apontar maior qualidade nos serviços prestados;
Apresentar flexibilidade na gestão de mudança;
Possibilitar a mensuração da qualidade;
Reduzir os custos de TI;
Tornar a organização de TI mais clara e sistemática;
Os processos são otimizados, consistentes e interligados, fornecendo
respostas e processos mais ágeis.
43
Assim Sapoznik e Dequech (2005) apontam que é fundamental ter processos
corretos, otimizados e organizados e que empresas que adotaram o ITIL, “estão
preocupadas em gerar valor da TI para os negócios da empresa”, citando exemplos
de empresas como HP, Siemens e IBM. Desta forma, Silva (2005) explicita que a
além da necessidade de redução de custos, a necessidade de qualidade nos
serviços de TI independem do tamanho da empresa e foi neste contexto que o ITIL
foi criado.
Assim o ITIL, vem a ser uma boa opção como um conjunto de melhores práticas
para complementar as diretrizes do COBIT e se necessário, como controles de TI
para a Sarbanes- Oxley.
2.4.7 NORMAS NBR ISO/IEC 27.001:2006
A norma NBR ISO/IEC 27.001:2006 será referenciada simplesmente por ISO
27.001 a menos que seja uma citação direta. Para Silva (2005) a norma ISO 27.001
“estabelece requisitos e diretrizes que ajudarão a implantar, analisar criticamente,
monitorar, gerenciar e manter um Sistema de Gestão de Segurança da Informação
(SGSI) completo e eficaz”. Segundo o mesmo tais práticas são complementadas
pela ISO/IEC 17.799 – Código de prática para a gestão da informação.
Segundo a ABNT (ASSOCIAÇÃO..., 2006) a ISO 27.001 foi preparada para
prover um modelo para estabelecer, implementar, operar, monitorar, analisar
criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação
(SGSI), estando alinhada com as normas ABNT NBR ISO/IEC 9.001:2000 e ABNT
NBR ISO/IEC 14.001:2004.
44
A norma ISO 27.001 (2006) aponta claramente que a alta administração deve
fornecer forte evidência de seu comprometimento com o estabelecimento,
implementação, operação, monitoramento, análise crítica, manutenção e melhoria do
SGSI.
a) Tópicos da Norma:
Ativo ISO/IEC 13335-1:2004;
Disponibilidade ISO/IEC 13335-1:2004;
Confidencialidade ISO/IEC 13335-1:2004;
Segurança da Informação ABNT NBR ISO/IEC 17.799:2005;
Evento de Segurança da Informação ABNT NBR ISO/IEC 18044:2004;
Incidente de Segurança da Informação ISO/IEC TR 18044:2004;
Sistema de Gestão da Segurança da Informação ABNT NBR ISO/IEC
27.001:2006;
Integridade ISO/IEC 13335-1:2004;
Risco Residual ABNT ISO/IEC Guia 73:2005;
Aceitação de Risco ABNT ISO/IEC Guia 73:2005;
Análise de Riscos ABNT ISO/IEC Guia 73:2005;
Análise/Avaliação de riscos ABNT ISO/IEC Guia 73:2005;
Avaliação de Riscos ABNT ISO/IEC Guia 73:2005;
Gestão de Riscos ABNT ISO/IEC Guia 73:2005;
Tratamento de Riscos ABNT ISO/IEC Guia 73:2005;
Declaração de Aplicabilidade ABNT NBR ISO/IEC 27.001:2006.
De acordo com a norma, todos os processos citados, são baseados no modelo
PDCA – (Plan, Do, Check, Analyze) que significa planejar, executar, checar e
45
analisar. Para a ABNT (ASSOCIAÇÃO..., 2006) um SGSI deve ser estabelecido,
implementado, operado, monitorado, analisado criticamente e documentado de
acordo com o contexto das atividades de negócio e seus riscos. Para o
estabelecimento dos processos do SGSI, a norma ISO 27.001
(ASSOCIAÇÃO...2006) provê os seguintes passos:
Incluir uma estrutura para definir objetivos e estabelecer um direcionamento
global e princípios de ações relacionadas com a segurança da informação;
Considerar requisitos de negócio, legais e/ou regulamentares, e obrigações
de segurança contratuais;
Alinhar com o contexto estratégico de gestão de riscos da organização no
qual o estabelecimento e manutenção do SGSI.
Sobre o tratamento de riscos a norma ISO 27.001 (ASSOCIAÇÃO..., 2006)
sugere:
Aplicar controles apropriados;
Aceitar os riscos consciente e objetivamente, desde que satisfaçam
claramente às políticas da organização e aos critérios de aceitação de riscos;
Evitar riscos e transferir os riscos associados aos negócios a outras partes,
por exemplo, seguradoras e fornecedores.
Alguns fatores que devem ser levados em conta para implementar e operar um
SGSI segundo a ABNT (ASSOCIAÇÃO..., 2006) são:
Definir como medir a eficácia dos controles;
Implementar programas de treinamento e conscientização;
Gerenciar as operações do SGSI e
Gerenciar os recursos para o SGSI,
46
Analisar de forma crítica pela direção .
Ainda como fatores críticos apontados pela ISO/IEC 27.001 (ASSOCIAÇÃO...,
2006) estão a provisão de recursos para o SGSI além do treinamento,
conscientização ou pela contratação de pessoal competente para satisfazer as
necessidades.
São ainda recomendadas auditorias internas para verificação dos controles
assim como a adoção de ações preventivas identificando não conformidades
(ASSOCIAÇÃO..., 2006).
A norma ISO/IEC 27.001 (ASSOCIAÇÃO..., 2006) relata que a documentação
deve garantir a rastreabilidade das decisões da direção, registrando-as assim como
suas relações com a política organizacional garantindo a reprodução dos resultados.
É importante que se possa demonstrar a relação dos controles selecionados
com os resultados da análise/avaliação de riscos e do processo de tratamento de
riscos, e conseqüentemente com a política e objetivos do SGSI (ASSOCIAÇÃO...,
2006).
A norma ISO/IEC 27.001 (ASSOCIAÇÃO..., 2006) aponta que a norma ABNT
NBR ISO/IEC 17.799 como um guia das melhores práticas, fornecendo as
recomendações para implementação de um processo de SGSI, porém aponta
também que tais recomendações não são exaustivas devendo a organização
ponderar sobre a adoção de controles complementares.
47
2.4.8 NORMAS ABNT NBR ISO/IEC 17.799 (ISO/IEC 27.002)
De acordo com Sêmola (2003), a comunidade britânica BSI – British Standard
Institute criou a norma BS7799, que reúne as melhores práticas para o
gerenciamento de segurança de informação. Com base na BS7799 parte 1, a ISO –
International Standard Organization criou a norma ISO/IEC 17.799:2000.
Assim, segundo Sêmola (2003), a Associação Brasileira de Normas Técnicas
(ABNT), após pequenas modificações e após uma consulta pública trouxe à luz a
norma NBR ISO/IEC 17.799. Para Sêmola (2003) a norma é abrangente, porém
superficial. Seus controles podem ser adotados para indicar a conformidade da
empresa e sua preocupação com a informação, pois não é uma norma nativamente
voltada para certificação, devendo ser encarada, como um código de conduta sobre
a gestão de segurança de informação. Ainda para Sêmola (2003), assim como a
norma ISO 9.000, a norma ganhar força conforme empresas importantes entrem no
mercado.
De acordo com a ABNT (ASSOCIAÇÃO..., 2005), a norma ISO\IEC 17.799, foi
incorporada ao novo sistema de numeração como ISO/IEC 27.002.
A ABNT (ASSOCIAÇÃO..., 2005) afirma que as organizações, seus sistemas
de informação e as redes de computadores estão expostos a ameaças de diversos
tipos, tais como fraudes eletrônicas, espionagens, sabotagem, vandalismo, incêndio,
inundação, códigos maliciosos, hackers, ataques de negação de serviço. Cita, ainda,
que estes incidentes estão se tornando cada vez mais comuns, mais ambiciosos e
incrivelmente mais sofisticados.
A Norma ISO/IEC 17.799 (2005), ainda ressalta que:
48
Os sistemas de informação, em sua maioria, não foram projetados para
serem seguros;
A segurança que pode ser alcançada usando tecnologia é limitada;
A identificação dos controles deve ser cuidadosa;
É necessária a participação de todos os funcionários da organização;
Pode ser necessária a participação de acionais, terceirizados, clientes e
outras partes externas;
Uma consultoria externa especializada pode ser também necessária.
Partindo da premissa citada pela ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005), de
que os sistemas geralmente não são projetados para serem seguros, será abordado
mais à frente a norma ISO/IEC 15.408 que cobre o desenvolvimento seguro de
software.
Segundo a ABNT (ASSOCIAÇÃO..., 2005), os controles essenciais, para uma
organização, do ponto de vista legal são:
Proteção de dados e privacidade de informações pessoais;
Proteção de registros organizacionais;
Direitos de propriedade intellectual.
Alem destes, a norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005) também propõe
as seguintes práticas, que segundo a mesma se aplicam a maioria das organizações
e a maioria dos ambientes:
Documentos da política de segurança;
Atribuição de responsabilidades para a segurança de informação;
Conscientização, educação e treinamento em segurança de informação;
Processamento correto das informações;
49
Gestão das vulnerabilidades técnicas;
Gestão da continuidade de negócio;
Gestão dos incidentes de segurança da informação e melhorias.
São considerados fatores críticos de sucesso pela ISO/IEC 17.799 (2005):
Política de segurança de informação: os objetivos e as atividades devem
refletir os objetivos de negócio;
Processos devem ser consistentes com a cultura organizacional;
Deve haver comprometimento e apoio visível de todos os níveis gerenciais;
Deve haver bom entendimento dos requisitos de segurança e da gestão de
análise do risco;
Deve haver divulgação eficiente da segurança da informação para todos os
envolvidos no processo (gerentes, funcionários e outros), visando
conscientização ampla;
Divulgação de diretrizes e normas sobre a política de segurança da
informação para todos os envolvidos na organização;
Deve ser distribuídos para todos os gerentes, funcionários e pessoas
envolvidas as diretrizes e normas sobre a política de segurança da
informação;
Devem ser providos recursos financeiros para atividades da gestão de
segurança da informação;
Prover de forma adequada conscientização, treinamento e educação;
Deve ser estabelecido um eficiente processo de gestão da informação;
Deve ser implementado um sistema de medição com a finalidade de avaliar o
SGSI e obter sugestões de melhoria;
50
Para Sêmola (2003) incidente de segurança é um evento que explora uma
vulnerabilidade que provoca perda de confidencialidade, de integridade ou de
disponibilidade, podendo causar danos a um ou mais processos de negócio.
“Segundo o Disaster Recovery Institute - DRI, de cada cinco empresas que
possuem interrupção nas suas operações por uma semana, duas fecham as portas
em menos de três anos” (SÊMOLA, 2003). Assim esta afirmação aponta para uma
probabilidade de 40% de uma organização encerrar suas atividades após um
incidente grave. Para este valor, Sêmola (2003) aponta que diversos fatores facilitam
a ocorrência dos incidentes de segurança:
Crescimento sistemático da digitalização das informações;
Crescimento exponencial da conectividade da empresa;
Crescimento das relações eletrônicas entre empresas;
Crescimento exponencial do compartilhamento de informações;
Barateamento do computador, facilitando sua aquisição;
Gratuidade do acesso à Internet;
Baixo nível de identificação do usuário no acesso gratuito à Internet;
Acesso a conexões Internet em banda larga;
Alto compartilhamento de técnicas de ataque e invasão;
Carência de mecanismos legais de responsabilidade em ambiente virtual;
Carência de conscientização da similaridade entre o crime real e o virtual;
Carência de jurisprudência que tenha regulado sobre atos ilícitos em meio
eletrônico;
Comunicação de massa exaltando o jovem invasor pelo mérito da invasão;
Criação do estereotipo do gênio e herói que obteve êxito na invasão;
51
Associação equivocada entre inteligência competitiva e espionagem
eletrônica;
Diversificação dos perfis da ameaça : concorrente, sabotador, especulador,
adolescentes, hacker, funcionário insatisfeito etc.;
Crescente valorização da informação como principal ativo da gestão das
empresas.
Quando da ocorrência de um Incidente de Segurança da Informação, a norma
ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005) propõe uma série de controles para
contornar os impactos iniciais como:
Uso de processos adequados à realimentação de informação;
Formulários para ajudar as pessoas durante os eventos;
Não tomar atitudes, mas informar imediatamente responsável competente;
Ter um processo disciplinar para funcionários, terceiros e fornecedores.
Um exemplo de atitude durante um evento, citado pela norma ISO/IEC 17.799
(ASSOCIAÇÃO..., 2005), é o alarme de coação, no qual a pessoa pode sinalizar que
está sendo coagida a executar uma atitude indesejada.
Assim a norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005) recomenda a instrução
aos funcionários, fornecedores e terceiros para que notifiquem suspeitas, incidentes
e fragilidades, imediatamente, por um meio de fácil acesso e que não tentem testar
as fragilidades pois pode causar danos ao sistema ou serviço de informação,
resultando em responsabilidade legal ao indivíduo que efetuar o teste.
Outros exemplos citados pela norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005)
são as sobre cargas de sistemas, as perdas de equipamentos e os erros humanos.
52
Por este motivo a ABNT (ASSOCIAÇÃO..., 2005) recomenda que sejam
estabelecidos responsabilidades e procedimentos com relação aos riscos inerentes
e aos incidentes. Que sejam criados, também, mecanismos de aprendizagem onde
os tipos, as quantidades e os custos dos incidentes de segurança sejam
quantificados e monitorados.
Os procedimentos, segundo a norma ISO/IEC 17.799 (ASSOCIAÇÃO...,
2005), devem ser detalhadamente registrados. Esta recomendação é importante
para a coleta de evidências.
Nos casos em que uma ação de acompanhamento contra uma pessoa ou
organização, após um incidente de segurança da informação, envolver uma ação
legal (civil ou criminal), convém que evidências sejam coletadas, armazenadas e
apresentadas em conformidade com as normas de armazenamento de evidências
das jurisdições pertinentes.
A norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005) aponta que na detecção de
um incidente de segurança da informação, pode não parecer óbvio que resultará em
um possível processo jurídico e por este motivo existe o perigo de que a evidencia
seja destruída intencionalmente ou acidentalmente.
Sêmola (2003) aponta que o impacto de uma invasão, interna ou externa, que
contenha o roubo de informações, não pode ser facilmente calculado, pois
geralmente não se sabe que destino teve aquela informação e muito menos como
ela será explorada.
Como citado por Sêmola (2003), ameaças específicas exploram
vulnerabilidades específicas, tais como peças que se encaixam. Assim se faz
53
necessário uma ação organizacional formal, materializada pela política de segurança
da informação.
2.4.9 POLÍTICA DA SEGURANÇA DA INFORMAÇÃO
Para a ABNT (ASSOCIAÇÃO..., 2005) o documento da Política de Segurança
da Informação tem o objetivo de prover a orientação e o apoio da direção ao SGSI e
este documento deve estar de acordo com os requisitos do negócio e com as leis e
regulamentações relevantes.
Ainda segundo a ABNT (ASSOCIAÇÃO..., 2005), uma Política de Segurança
da Informação deve demonstrar sua importância, ser um agente habilitador para o
compartilhamento da informação e estar alinhado com os objetivos de negócio. Deve
ainda demonstrar a conformidade legal, contratual e regulamentar, provendo
treinamento e educação, definindo responsabilidades e conseqüências caso a
política não seja respeitada.
De acordo com Sêmola (2003) o plano diretor de segurança de informação,
deveria ser desenvolvido pela gestão da segurança da informação, que por sua vez
deve ter uma conotação tática operacional, apoiada por uma equipe e por gestores
de diferentes departamentos.
Assim, Sêmola (2003) aponta que o plano deve ser desenvolvido sob medida,
alinhada às diretrizes estratégicas e deve organizar as atividades de negócio de
forma a buscar controles que visem à redução dos riscos operacionais a níveis
aceitáveis para a organização.
A ABNT (ASSOCIAÇÃO..., 2005) recomenda a leitura da ISO/IEC
13.335:2004, para os cuidados necessários de não se revelar informação sensível
54
(confidencial), recomendando a análise crítica da política levando em consideração o
histórico de ações da alta administração e a realimentação das partes interessadas.
Para se ter um SGSI, faz-se necessário o preenchimentos de uma série de
pré-requisitos de forma a se ter o estado atual da organização, o ponto ao qual se
deseja alcançar em diferentes aspectos e por fim como executar, mensurar e
aprimorar o plano. Sêmola (2003) aponta que é um fator crítico para a determinação
da anatomia do problema de segurança que sejam identificados os elementos
internos e externos que interferem nos riscos de segurança de informação. Desta
forma deve-se mapear as características físicas, tecnológicas e humanas da
empresa, o mercado onde a organização e seus concorrentes vão atuar, sem se
esquecer dos planos e definições estratégicas do negócio.
Primeiramente a norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005) aponta que
é conveniente que a direção aprove a política de segurança da informação,
atribuindo as funções, coordenando e analisando criticamente a implementação da
segurança da informação em toda a organização.
Para ocorrer isto, a norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005)
recomenda que seja assegurado que a política de segurança da informação atenda
os requisitos da organização e que esteja também integrada aos processos
relevantes.
A norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005) volta também a reforçar a
importância do fator humano, recomendando treinamento e a o uso de acordos de
confidencialidade para que as informações críticas sejam protegidas e se atribuam
responsabilidades. Deve-se também, segundo a norma ISO/IEC 17.799
(ASSOCIAÇÃO..., 2005) existir controle da conformidade dos novos sistemas com
55
os sistemas já existentes, identificando ameaças significativas e os níveis de
exposição da informação e dos recursos de processamento. Porém, caso ocorra um
incidente ou violação da lei, a norma ISO/IEC 17.799 (ASSOCIAÇÃO...,2005) aponta
que pode ser necessário acionar alguma autoridade, por este motivo, convém que
seja mantido contato com os provedores de acesso à Internet, autoridades legais,
corpo de bombeiros e autoridades fiscalizadoras.
Tais aspectos são relevantes não só aos colaboradores da organização, mas
como é citado pela norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005) se estende aos
clientes e aos colaboradores terceirizados. Dentre as recomendações, da norma
ISO/IEC 17.799 (ASSOCIAÇÃO...,2005) aponta que deve existir uma declaração de
que todo o acesso que não esteja explicitamente permitido é proibido.
Desta forma, pode-se verificar que os controles propostos pela norma
ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005) não estão focados somente em TI, mas
também em processos de gestão, políticos e jurídicos.
2.4.10 EVIDÊNCIAS DE CONFORMIDADE
De acordo com a norma ISO\IEC 17.799 (ASSOCIAÇÃO..., 2005) é objetivo
da Conformidade, evitar a violação de leis, estatutos, regulamentos ou obrigações
contratuais além dos requisitos de segurança da informação. Desta forma deve-se
garantir a conformidade mútua de forma a proteger não só a informação em
diferentes aspectos mas também a própria organização e as pessoas inseridas no
contexto.
São aspectos de conformidade abordados pela norma ISO\IEC 17.799 (2005):
56
Legislação vigente;
Propriedade intellectual;
Proteção dos registros organizacionais;
Proteção de dados e privacidade de informações pessoais;
Prevenção do mau uso dos recursos de processamento da informação;
Regulamentação de controles de criptografia;
Conformidade com normas e políticas de segurança da informação e
conformidade técnica.
A norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005) ainda aponta que além da
proteção das informações de auditoria sejam protegidas também as ferramentas de
auditoria, garantindo a integridade de ambas e prevenindo o uso indevido das
ferramentas.
Para que os controles, e mesmo a organização, estejam em conformidade
com a legislação vigente, a norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005) propõe
que seja procurado uma consultoria ou um profissional qualificado para
levantamento dos requisitos legais. Desta forma controles e responsabilidades
podem ser atribuídos aos indivíduos e os mesmos devem estar documentados.
No tocante a proteção de dados e privacidade de informações pessoais, a
norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005) descreve que se faz necessário a
proteção das mesmas por meio do conhecimento da legislação vigente e deve
constar nas cláusulas contratuais caso seja aplicável, incluindo nisto a proteção a
propriedade intelectual.
Para a norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005) tal aspecto tem
impacto na prevenção de mau uso de recursos de processamento da informação
57
visando que os usuários não utilizem os recursos de processamento para propósitos
não autorizados. Para que isto ocorra a norma ISO/IEC 17.799 (ASSOCIAÇÃO...,
2005) propõe o uso de autorização assinada pelo usuário, e de coleta de registros
quando cabível legalmente e pelo uso de mensagens nos sistemas lembrando os
usuários das implicações do uso não autorizado.
A norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005) ainda lembra que o uso de
criptografia esta sujeito à conformidade com as leis locais, ou possuir restrição para
ser importado ou exportado cabendo à organização buscar a conformidade ao
menos com as leis locais. Por ultimo, a norma ISO/IEC 17.799 (ASSOCIAÇÃO...,
2005) trata da conformidade com a própria política de segurança da informação,
onde se deve garantir que todos os procedimentos estejam sendo executados,
dentro da área de responsabilidade dos gestores.
2.4.11 MÉTODOS DE ATAQUE:
Segundo Mitnick (2003), as tentativas de acesso não autorizado aos sistemas
foi tratado com maior importância após o uso comercial da Internet, pois a
disponibilidade dos serviços bancários na Internet tornou mais crítico o problema. As
ameaças podem ser listadas como: hackers, vírus, cavalo de tróia e backdoors.
Mitinick (2003) e Turban (2004), explica com detalhamento sobre cada fator:
* Hackers – são em geral jovens e adolescentes amadores aficionados por
informática, normalmente com alto grau de inteligência e capacitação no ramo, cuja
principal diversão é conseguir ultrapassar as barreiras de acesso aos grandes
sistemas de computação que operam em rede, principalmente na Internet.
58
* Vírus – são programas de computador capazes de se reproduzir, se auto-copiar
para discos eletrônicos, unidades de redes ou anexos de e-mail. Geralmente,
destroem os programas e arquivos do computador, ou simplesmente atrapalham
deixando o sistema mais lento.
* Cavalo de Tróia – deve seu nome ao fato de funcionar baseado em estratégia
similar à contada pela mitodologia grega. Conhecidos também como Torjan Houses,
estes programas são construídos de tal maneira que, uma vez instalados nos
computadores, abrem “portas” na conexão com a Internet tornando possível o
acesso de hackers.
* Backdoors – São as portas abertas de forma ilícita nos computadores e sistemas
de informação possibilitando o acesso de hackers, manipulação ou furto de dados
que não estão disponíveis.
* Worm – Verme de programa que, explorando deficiências de segurança de hosts,
logrou propagar-se de forma autônoma na Internet na década de 80.
* Salami Slicing - (fatias de salame) - ladrão que regularmente faz transferências
eletrônicas de pequenas quantias de milhares de contas bancárias para a sua
própria.
* Superzapping - É a paralisação do computador, impedindo que ele realize
operações normais e, com isso, permite o acesso ao banco de dados e memória e,
portanto, a todo o sistema informático.
* Trap Door – Alçapão ou armadilha, na primeira experimentação de um novo
programa é deixada uma espécie de "abertura" no sistema. Essa abertura permite
ao programador realizar eventuais correções no sistema, mas deveria ser eliminada
59
na programação final. Não o fazendo, permite que o programador possa manipular o
programa posteriormente.
* Sniffer – é a forma de farejar pacotes na Internet que estão assinalados para outro
destino e não o computador do usuário que realiza o sniffer.
* Spoofing - Referente ao que é forjado ou falsificado. Um ataque de “IP Spoof” é
aquele onde o endereço IP do remetente é forjado. Um e-mail “spoofed” é um e-mail
onde o cabeçalho da mensagem (”De:” ou “From:”) foi falsificado.
* War Dialing - Processo de utilização de ferramentas de marcação de números de
telefone. Habitualmente utilizadas contra uma central telefônica ou na descoberta de
modems com objetivo malicioso.
2.4.12 ESTRATÉGIA DE DEFESA
Segundo Turban (2003), a Internet é a maior rede de computadores do
mundo. Trata-se de um ambiente aberto e de compartilhamento, admiravelmente
sem censuras.
Segundo Albertin (2000), o comércio eletrônico tem grande valor como uma
alavanca para novas estratégias de gerenciamento de clientes. Para as instituições
financeiras o e-commerce permite conectar diretamente correntistas e os produtos
oferecidos pelo banco; elimina, portanto, o limite de tempo e lugar.
Com o grande aumento no número de ameaças, ao ambiente da Internet,
surgem diversas ferramentas que procuram fechar as portas que são utilizadas para
acesso não autorizados. Estas ferramentas utilizam base de infra-estrutura
60
complexa, necessitando de vários servidores para suportar uma única aplicação de
gestão da segurança da informação (COMER, 2004).
Os métodos usados na estratégia tratam os aspectos preventivos, a detecção
de intrusos, a limitação do ambiente, a recuperação que é conhecida como as ações
de disaster recovery e os aspectos corretivos ao ambiente.
As normais internacionais institucionalizadas para tratar os aspectos da
segurança da informação são mecanismos adotados pelas corporações bancárias
para estabelecer métricas que alimentam as estratégias de defesa da gestão da
segurança da informação (SÊMOLA, 2003).
A) Gestão de Ativos
Na gestão de ativos, segundo a norma ISO/IEC 17.799 (ASSOCIAÇÃO...,
2005), estão inclusos os acordos e contratos, os software, os sistemas e as
informações e dados armazenados, a infra-estrutura física, as pessoas e suas
qualificações, a reputação e a imagem da organização. Desta forma percebe-se que
a gama formada pelos ativos também é composta de bens intangíveis, devendo
então desta forma, segundo a norma ISO/IEC 17.799 (ASSOCIAÇÃO...,2005),
estarem contidos em um inventário. Este controle é importante tanto para a
Segurança da Informação, quanto para a Gestão de Riscos, como se pode perceber
no parágrafo seguinte. Os inventários de ativos ajudam a assegurar que a proteção
efetiva do ativo pode ser feita e também pode ser a requerido para outras finalidades
do negócio, como saúde e segurança, seguro ou financeira (gestão de ativos). O
Processo de compilação de um inventário de ativos é um pré-requisito importante no
gerenciamento de riscos (ASSOCIAÇÃO... NBR ISO/IEC 17.799, 2005).
61
Para que os ativos sejam devidamente protegidos a norma ISO/IEC 17.799
(ASSOCIAÇÃO...,2005) recomenda que sejam atribuídos proprietários aos ativos,
que por sua vez deverão salvaguardar o cumprimento das normas que os regem. O
termo proprietário não se restringe a uma pessoa, podendo ser uma organização e
não dá direito de posse do bem. No que diz respeito especificamente à informação,
a norma ISO/IEC 17.799 (ASSOCIAÇÃO...,2005) fornece diretrizes de classificação
e responsabilidade quanto à confidencialidade,aos requisitos de integridade e aos
requisitos de disponibilidade da mesma. “Em geral, a classificação dada à
informação é uma maneira de determinar como esta informação vai ser tratada e
protegida.” (ASSOCIAÇÃO, ... 2005).
B) Segurança em Recursos Humanos
Em relação aos recursos humanos a norma ISO/IEC 17.799
(ASSOCIAÇÃO..., 2005) aponta a importância no ato de assegurar que funcionários
(colaboradores), fornecedores e terceiros compreendam suas responsabilidades
com a segurança da informação já antes da contratação, reduzindo assim o risco de
fraude, roubo e mau-uso da informação. Se os funcionários, fornecedores e terceiros
não forem conscientizados das suas responsabilidades, eles podem causar
consideráveis danos para a organização. Pessoas motivadas têm maior
probabilidade de serem confiáveis e de causar menos incidentes de segurança da
informação (ASSOCIAÇÃO..., 2005). Assim a norma ISO/IEC 17.799
(ASSOCIAÇÃO..., 2005) propõe que seja adotado um processo disciplinar e a
proposição de responsabilidades tanto ao contratado, quanto à organização
assegurando um tratamento justo e correto à ambas as partes. Porém pode também
ser enérgica a ponto de prever a saída imediata de uma pessoa mediante escolta.
62
Um dos vários aspectos que são previstos para reforçar um comportamento
coerente como o desejado é possuir um ambiente que coíba atos indesejados e
proteja os ativos nele contidos.
C) Segurança Física e do Ambiente
Os aspectos da segurança física e do ambiente, segundo a norma ISO/IEC
17.799 (ASSOCIAÇÃO...,2005) são de prevenir o acesso físico não autorizado assim
como prevenir danos físicos à organização pelo uso de controles físicos tais como
portões, paredes e controle de entrada, assim como alarmes de intrusão, sistema de
incêndio e aspectos físicos de arquitetura e engenharia do ambiente. Desta forma, a
norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005), aponta a necessidade da
organização ter mecanismos de controle de acesso de funcionários, profissionais
terceirizados e visitantes e a previsão do comportamento da segurança nos eventos
de acesso. Entre outros aspectos relevantes que são levados em consideração pela
norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005) estão a saúde dos funcionários e os
processos de entrega e manutenção de equipamentos.
D) Controle de Acesso
Assim como na troca de informação, o acesso a ela deve ser protegido de
forma concisa, fazendo, segundo a norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005),
parte de uma política de autorização e disseminação da informação. A norma
ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005) aponta que política de acesso deve trazer
requisitos formais de pedido de acesso à informação, incluindo os direitos
informacionais de um usuário padrão e a remoção dos direitos. Outra prática
apontada pela norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005) é a política de
senhas, onde há a necessidade do comprometimento dos usuários pela
63
conscientização das responsabilidades inerentes ao uso de senhas e da segurança
dos próprios equipamentos. Tal política se completa pela “política de mesa e tela
limpa” que visa proteger o acesso aos sistemas e à informação a partir de
documentos, de papéis e de mídias sobre mesa. Novamente a norma ISO/IEC
17.799 (ASSOCIAÇÃO..., 2005) recomenda o uso de sanções contratuais para
proteger a organização de terceiros e dos próprios funcionários de tentativa de
acesso não autorizado a instalações e sistemas. Estimula, ainda, o desenvolvimento
de sistemas que não necessitem de privilégios para serem executados e que
identifiquem o usuário e os direitos de acesso.
E) Gestão das Operações e Comunicações
Dentre as ações de segurança da informação, a Gestão das Operações e
Comunicações segundo a norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005) tem o
objetivo de garantir a operação segura e correta dos recursos de processamento da
informação. Assim este tópico está diretamente relacionado com o manuseio dos
recursos de TI. Assim a norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005) aborda os
seguintes tópicos operacionais:
Procedimentos e responsabilidades operacionais;
Gerenciamento de serviços terceirizados;
Planejamento e aceitação de sistemas;
Cópias de segurança;
Gerenciamento de segurança em redes;
Manuseio de Mídias;
Troca de informações;
Serviços de comércio eletrônico;
64
Monitoramento.
A norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005) aponta a necessidade de que
controles de gestão sejam entendidos aos ativos de informação, prevendo as
premissas para a aceitação de sistemas seguros, devendo tais critérios ser
previamente estabelecidos, bem como a correta utilização de recursos, tudo isso
baseado em projeções futuras. No tocante a proteção, específica à informação, a
norma ISO/IEC 17.799 (ASSOCIAÇÃO...,2005) propõe que seja detalhado o
processamento da informação, prevendo os controles necessários ao seu acesso e
a sua auditoria, métodos de cópia de segurança e procedimentos formais para
reinício e recuperação dos sistemas. Caso seja atribuído um procedimento a um
terceiro, a norma ISO/IEC 17.799 (ASSOCIAÇÃO...,2005) recomenda que seja
atribuído a um indivíduo da organização o gerenciamento deste serviço, assim como
se atribui ao terceiro a responsabilidade de cumprir os requisitos e estar em
conformidade com a organização. A norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005)
lembra que ao adotar a terceirização, a organização não se exclui da
responsabilidade da informação processada pelo terceiro. Porém a norma ISO/IEC
17.799 (ASSOCIAÇÃO..., 2005) cita que é importante que os serviços de auditoria
permaneçam independentes. Outra prática necessária, é a Gestão de Mudanças.
Segundo a norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005) são necessários
controles de análise de risco, por meio da análise dos impactos potenciais. Risco é a
“combinação da probabilidade de um evento e suas conseqüências”
(ASSOCIAÇÃO... ,2005).
Como maneira de diminuir o risco, a norma ISO/IEC 17.799 (ASSOCIAÇÃO...,
2005) propõe o uso da segregação de funções, pois esta prática reduz o risco do
uso inadequado e deliberado dos sistemas, mesmo em pequenas organizações,
65
devendo ser aplicado sempre que possível. Dentre os riscos que circundam um
sistema informacional, citados pela norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005)
estão os códigos maliciosos, tais como os worms de rede, que são um subtipo dos
vírus de computador.
Desta forma a norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005), faz
recomendações de como evitar incidentes com o uso de tecnologia, mas também faz
referência a procedimentos para a devida conscientização dos usuários protegendo
também documentos em papel como cartas e fax. Porém, caso ainda ocorram
incidentes, são necessárias além de medidas preventivas, como a cópias de
segurança (backup), e procedimentos para recuperação organizacional em tempo
aceitável. A norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005), prevê que em casos
graves, onde a própria continuidade do negócio se torne um problema,
procedimentos de contorno sejam preparados.
F) Troca de Informações
Segundo a norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005), complementar a
gestão das operações e comunicações, o ato da troca de informações, os software,
sistemas e mídias envolvidos, seja por meio físico ou eletrônico devem ser
devidamente protegidos. Assim a norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005),
propõe que haja uma política para troca de informações e software entre as
organizações e que esta esteja de acordo com legislação pertinente. Segundo a
norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005), quando em trânsito, a informação
pode sofrer interceptação, cópia, modificação, desvio e destruição e pode existir em
diferentes formas físicas. Quando em sistemas eletrônicos, a norma ISO/IEC 17.799
(ASSOCIAÇÃO..., 2005), aponta para o uso de uma política de uso aceitável da
66
informação, prevendo o controle de códigos maliciosos e o uso de criptografia para
que seja mantido o sigilo e a autenticidade na transmissão, especialmente em meios
de transmissão sem fio (wireless). Para formatos não eletrônicos, como papel, a
mesma norma, propõe práticas para a proteção dos documentos, como os deixados
nos aparelhos de fax e na memória do mesmo e como as correspondências devem
ser retidas e descartadas de forma adequada.
O aspecto jurídico não é esquecido, pois a norma ISO/IEC 17.799
(ASSOCIAÇÃO...,2005), aponta a necessidade da atribuição de responsabilidades
aos funcionários, fornecedores e demais usuários de proteger a organização, de
atos como: difamação, assédio, falsa identidade, retransmissão de ‘correntes’,
compras não autorizadas entre outros. Na troca entre organizações, a norma
ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005), entende que estas devem estabelecer um
acordo entre as partes para práticas de rastreabilidade da informação, o não-repúdio
de identidade e os controles necessários para a manutenção do sigilo na
transmissão da informação. “Os acordos podem ser eletrônicos ou manuais, e
podem estar no formato de contratos formais ou de condições de contratação.”
(ASSOCIAÇÃO..., ISO/IEC 17.799 2005). Por último, com relação ao comércio
eletrônico, a norma ISO/IEC 17.799 (ASSOCIAÇÃO...,2005), faz recomendações
inerentes à proteção do cliente, à confidencialidade e integridade necessárias
lembrando que a organização é responsável por quaisquer transações fraudulentas.
G) Gestão da Continuidade de Negócio
Segundo a norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005), a organização
deve ter mecanismos de impedir a interrupção das atividades do negócio e proteger
os processos críticos contra efeitos de falhas ou desastres significativos, de forma a
67
retomar em tempo hábil o funcionamento da organização. Para Sêmola (2003) a
função do plano de continuidade de negócios é, de forma clara, contingênciar
situações e incidentes de segurança que não puderem ser evitados. O Plano de
Continuidade tem, por sua natureza, um alto nível de complexidade, podendo
assumir diversas formas, em função do objeto a ser contingenciado e a abrangência
de sua atuação. Diferente do que muitos imaginam, uma empresa não possuirá um
plano único, mas diversos planos integrados e focados em diferentes perímetros,
sejam físicos, tecnológicos ou humanos e, ainda, preocupada com múltiplas
ameaças potenciais. Esta segmentação é importante; afinal, uma empresa tem
processos cuja tolerância à falha é variável, os impactos idem, assim como o nível
de segurança necessário à natureza das informações manipuladas (SÊMOLA,
2003).
Segundo Sêmola (2003), tem-se primeiramente a situação de contingência,
ou seja a preocupação em diminuir ou estancar a causa da falha o mais rápido
possível, e se necessário preservar e coletar as evidências. Paralelamente deve-se
iniciar, o quanto antes, o plano de recuperação que visa reparar ou diminuir os
danos causados pela falha de segurança como o dano à imagem organizacional, à
investigação e aos processos judiciais e outras atividades necessárias para que o
plano de retorno seja executado com sucesso e a organização volte a sua operação
normal.
Desta forma a norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005), recomenda
que sejam feitos planos de prevenção e recuperação para que os processos chave,
em caso de falha, voltem a operar em tempo e níveis aceitáveis incluindo operações,
funcionários, materiais, transporte e instalações. Assim a Gestão da Continuidade do
Negócio, compreende algo maior que é a própria gestão do negócio, que “é algo de
68
deve ser criado e mantido” (ASSOCIAÇÃO..., 2005). Sêmola (2003) fornece um
conjunto de ferramentas para classificação dos processos de negócio quanto a sua
importância, como o Business Impact Analysis (BIA)
Uma vez detectado os processos mais importantes, a segunda etapa é a
análise segundo o processo CIDAL proposto por Sêmola (2003), de forma que,
pelas características informacionais de cada processo de negócios, são classificados
os níveis de confidencialidade, integridade, disponibilidade, autenticidade e
legalidade requeridos, em uma escala que vai de “não considerável” a “vital”.
A norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005) propõe que na aquisição
de novos softwares os mesmos apóiem os controles manuais e que seja
considerado a inclusão de controles automáticos, tal como a criptografia. Neste
caso, (uso de sistemas criptográficos) a norma ISO/IEC 17.799
(ASSOCIAÇÃO...,2005) recomenda o uso das normas ISO/IEC JTC1 SC27, da IEEE
P1363 e a norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005) recomenda ainda que
nas mudanças de sistema operacional, sejam analisados os impactos no negócio e
na segurança e que estes estejam de acordo com o Plano de Continuidade de
Negócios. Desta forma segundo a norma ISO/IEC 17.799 (ASSOCIAÇÃO..., 2005)
devem ser levados em conta aspectos da manutenção e modificação do software.
2.4.13 SEGURANÇA DA INFORMAÇÃO EM SITES FINANCEIROS
O setor bancário é um dos setores que mais tem investido em TI, tendo
grande parte de seus produtos e serviços dependentes da tecnologia. Dados da
FEBRABAN (2008) demonstram que os bancos investem permanentemente na
69
segurança física e virtual de seus pontos de atendimento (MAÇADA, 2007). O
investimento total do sistema dobrou para R$ 6 bilhões em 2006 em relação a 2003.
A) O SETOR BANCÁRIO E A TECNOLOGIA DA INFORMAÇÃO
O computador tem exercido um forte impacto sobre as operações bancárias,
sendo hoje, a indústria bancária a mais informatizada de todas (DRUCKER, 1999).
As transações automatizadas, realizadas sem a intervenção de funcionários,
representam parcelas cada vez maiores do total de operações, especialmente
porque podem ser realizadas em período muito mais amplo do que o do expediente
das agências e em locais mais próximos e cômodos.
As novas tecnologias, especialmente as de telecomunicações, permitiram
colocar os serviços bancários à disposição dos clientes – muito além da rede de
agências e postos de atendimento – em seus domicílios, locais de trabalho e de
conveniência, terminais no comércio e em locais públicos de grande freqüência,
usando os mais diferentes canais, como telefone, computadores, fax, etc.
Conhecer os investimentos em TI e o impacto que a automação proporciona
no setor bancário é uma questão essencial para este tipo de organização, que atua
em um ambiente extremamente competitivo, onde a atenção para o alinhamento dos
negócios e das estratégias de TI deve ser o primeiro foco no esforço organizacional
(MAÇADA, 2007).
Fatores como a estrutura, a forma de gerenciamento, o serviço oferecido aos
clientes e o desempenho de cada banco fazem com que algumas instituições
financeiras se destaquem mais do que outras, entretanto, um bom alinhamento entre
70
todos esses fatores pode garantir uma maior segurança no andamento das
atividades de um banco (ALBERTIN, 1997).
A identificação dos fatores e efeitos da TI sobre as variáveis estratégicas
tiveram origem no trabalho de Porter (1996), que define claramente a importância da
tecnologia da informação como fonte de vantagem competitiva sustentável.
De acordo com Maçada e Becker (1998), a área bancária abrange as
organizações que mais têm investido em Tecnologia da Informação, projetando suas
estratégias com apoio na sua utilização e aplicação. Com isso, verifica-se um
cenário onde a sofisticação do sistema financeiro, aliado à agilidade e ao
crescimento da utilização da Internet, resulta em um grande crescimento das
transações pelo Internet Banking. Segundo a FEBRABAN (2006), em 2005, foram
executados 5,849 bilhões de transações e a quantidade de clientes que utilizaram a
Internet, para efetuar transações financeiras, aumentou 271% desde 2001,
alcançando 26,3 milhões do total de 95,1 milhões de clientes.
B) SERVIÇOS BANCÁRIOS NO AMBIENTE DIGITAL
O aumento de computadores nos domicílios e a maior oferta de acesso à
Internet estão levando ao crescimento nos acessos aos portais de bancos e demais
instituições financeiras. Uma fatia de 16,65% dos usuários da Internet no Brasil já
utiliza a Rede Mundial de Computadores para acessar serviços financeiros. O novo
paradigma, os portais das instituições financeiras oferecem vários tipos de serviços,
tais como empréstimos, consultas. Segundo o IBGE (2007) o serviço que mais
desperta à procura dos usuários é a consulta à conta corrente que corresponde a
12,09% dos acessos.
71
Com origem nos meados da década de 90, a indústria bancária adotou a
inovação da Internet. Com o impulso da indústria bancária, a Internet tornou-se
definitivamente o ambiente digital — a teia mundial de redes de computadores e
serviços de informação (ALBERTIN, 1997) — onde as pessoas de lugares
completamente diferentes podem se comunicar interativamente, podem pedir
produtos e serviços, e onde empresas podem realizar transações de negócios com
seus fornecedores e instituições financeiras, entre muitas outras possibilidades.
2.4.14 AMEAÇAS PARA OS PORTAIS FINANCEIROS
Segundo Hofacker (2001), os riscos são de cinco naturezas, a saber: o risco
de tempo, quando o consumidor percebe que vai perder tempo navegando na
Internet pela dificuldade em encontrar o que precisa; o risco associado ao vendedor,
quando o site pode ser falso ou a empresa não ser idônea, temor que é reforçado
pela inexistência ou desconhecimento quanto à localização física, o que não
permitiria contato pessoal em caso de problemas; o risco de segurança, associado à
possibilidade de ser vítima de algum crime pelo mal uso de suas informações
pessoais por estranhos; o risco associado à marca, referente a possível má
qualidade do produto ou serviço; o risco de privacidade, associado a possível venda
para terceiros ou mal uso de suas informações pessoais.
Segundo Maçada (2007), historicamente, os bancos comerciais realizaram
seus maiores investimentos em suas redes de agências. Este é um reflexo da
tradicional necessidade de alocar os funcionários do banco próximos aos clientes.
Entretanto, com os recursos tecnológicos, os bancos têm crescentemente
72
aproveitado as oportunidades para conseguir um alcance mais amplo usando novos
canais eletrônicos de entrega, como a Internet (CREDE e CULLYER, 1998).
Acompanhando a demanda do crescimento dos bancos em sua atuação na
Internet, existe o aumento da exposição das instituições financeiras quanto às
ameaças decorrente da prestação de seus serviços pelos portais bancários.
(ALBERTINI, 2000).
Termos como pharming, cavalos de Tróia e ataques man-in-the-middle,
ataque onde um invasor consegue se inserir numa conversa e espioná-la ou mudar
seu contexto, são as principais ameaças para os serviços financeiros On-line. É
fundamental para os bancos permanecerem à frente dessas crescentes ameaças, os
ataques de phishing permanecem sendo a técnica predominante para arrancar dos
clientes suas informações pessoais e dados financeiros On-line (MITNICK, 2003).
A razão pela qual o phishing continua tão difundido é porque ainda é muito
efetivo. Porém, como as instituições financeiras aprimoram seus níveis de proteção
On-line e os clientes obtêm mais conhecimento sobre phishing, novas e mais
sofisticadas técnicas de fraude On-line começarão a consolidar-se (MITNICK, 2003).
2.4.15 AMEAÇAS INTERNAS
Segundo Turban (2003), o sistema de informação é qualquer tipo de sistema
que possui um conjunto de elementos interligados e que coleta, processa,
armazena, analisa e dissemina a informação dentro de um ambiente, fornecendo um
mecanismo de feedback para o controle, sendo estruturado pelas etapas de
aquisição ou entrada da informação e saída, após o processamento da mesma.
73
Gerenciar a informação não é apenas zelar pela estrutura física ou controlar
as fragilidades na Tecnologia da Informação (DAVENPORT, 1998).
Existe a constante ocorrência de ameaças internas dentro dos ambientes
corporativos que podem ser exemplificada na figura dos profissionais desmotivados
ou insatisfeitos, na qual acabam expondo a público, informações confidenciais
(MITNICK, 2003).
Atualmente existem ferramentas de auxilio tecnológico que podem auxiliar na
segurança da informação, como o gerenciamento de identidades com uso da
Biometria, que é o controle da movimentação e acessos das pessoas pela
identificação da impressão digital (MITNICK, 2003). Estes recursos são importantes
para identificar quem está fazendo o que e onde.
2.4.16 AMEAÇAS EXTERNAS
As ameaças externas aos sistemas de informação surgem na forma de
programas maliciosos, os malwares, e a disseminação de e-mails como os spams. A
produção destes eventos, são realizadas por pessoas comumente chamadas de
hackers (MITNICK, 2003).
Esses hackers, antigamente tinham por motivação fama e notoriedade,
mesmo que fosse dentro do seu universo. Hoje os hackers visam lucro. O crime
cometido na Internet é uma atividade altamente lucrativa (SÊMOLA, 2007).
Estas atividades criminosas têm como principal alvo os clientes das
instituições financeiras. Estes eventos são praticados por grupos profissionais e
muito organizados tornando as ameaças mais sofisticadas e complexas a cada dia
(MAÇADA, 2007).
74
As atividades praticadas pelos hackers vão desde espionagem e sabotagem
até roubo de informações, como o número do cartão de crédito, senhas de acesso
aos portais dos bancos, além de chantagens e extorsões (SÊMOLA, 2003).
Segundo Sêmola (2003), a propagação de e-mails em larga escala é
conhecida como SPAM. Estes e-mails afetam os servidores das instituições
bancárias, pois o excesso de e-mails causa uma série de prejuízos como a
sobrecarga dos canais de comunicação tornando o acesso ao portal financeiro mais
lento.
Para os usuários, um SPAM pode ser confundido com os e-mails legítimos
que são enviados pelas instituições financeiras, além de propagandas indesejadas,
estes e-mails carregaram consigo uma série de ameaças como phising, spywares e
outros códigos maliciosos (MAÇADA, 2007).
Dentre os riscos aos negócios provocados pelos ataques de hackers, pode-se
citar (MITNICK, 2003):
● Perda de dados importantes;
● Tempo perdido e custos para consertar os estragos, restaurar sistemas e
recuperar dados;
● Problemas com prazos críticos (ex.: proposta para uma licitação ou
entrega de produto);
● Estragos na confiança e fidelidade de clientes;
● Publicidade negativa e danos à reputação;
● Perda de receita;
● Penalidades legais.
75
2.4.17 PRINCIPAIS AMEAÇAS
O termo phishing, que também pode ser tratado por phishing scam, é uma
fraude comum na Internet.
As primeiras referências do termo ocorreram em janeiro de 1996, quando
usuários avançados que se dedicam para forçar a entrada nos portais, os crackers
que atuavam junto do provedor America On-line conseguiam senhas de acesso
(LAU, 2006).
Os ataques phishing dispõem de variadas possibilidades de condução.
Podem-se promover ataques phishing via correio eletrônico, avisos de publicidades
falsos, programas de mensagem instantânea e trojans de infecção de navegador
criados por programadores para conduzir o usuário à página falsa quando procurava
a verdadeira (OLLMANN, 2006).
As mensagens com phishing geralmente contêm logos e conteúdo publicitário
relacionado a uma instituição financeira ou de comércio eletrônico renomadas. A
idéia é direcionar a vítima até uma falsa página na Internet onde o usuário enviará,
via formulário HTML, as informações que o phisher quiser capturar (LAU, 2006).
2.4.18 SERVIÇOS DE SEGURANÇA
Os serviços de segurança da informação são funcionalidades específicas de
segurança oferecidas por procedimentos ou componentes (software e hardware)
com a intenção de garantir segurança adequada aos sistemas ou à comunicação
(DAVENPORT, 1998). Os principais serviços de segurança são a identificação do
usuário, a confidencialidade e a integridade da informação.
A identificação do usuário é um serviço de individualização de usuário perante
o ambiente. O método mais utilizado é exigir do usuário um código que o identifica
76
no sistema (NIST,1995). Por exemplo, no Internet banking, o cliente é identificado
pelo número da conta corrente, código do usuário ou ambos, atuando em conjunto
usando o serviço para o controle de acesso que procura certificar que somente os
usuários autorizados tenham acesso aos recursos do sistema (SMITH, 2002).
O serviço de confidencialidade garante que os dados armazenados ou em
trânsito são acessados exclusivamente pelos usuários autorizados (NIST, 2001). Por
exemplo, nos sistemas baseados no protocolo Hyper Text Transfer Protocol (HTTP),
a confidencialidade no canal de comunicação de dados geralmente é mantida pelo
protocolo Security Socket Layer (SSL) ou Transport Layer Security (TLS).
O serviço de integridade permite detectar quando uma informação foi alterada
por uma entidade não autorizada ou por um erro de sistema (NIST, 2001).
O serviço de autenticação do usuário permite validar o usuário que está se
identificando, geralmente é utilizada uma chave de autenticação, que é verificada
perante o sistema nesta fase (NIST, 2001). O usuário é autenticado fornecendo algo
que o torne único, algo que possua ou algo que apenas ele conheça como, por
exemplo, a senha.
O serviço de autenticação da mensagem garante que a mensagem foi gerada
por uma determinada entidade ou grupo. O serviço autenticação do parceiro de
comunicação permite identificar a outra entidade envolvida em uma sessão de
comunicação (NIST, 2001). Por exemplo, no sistema Internet banking, o servidor
WEB é identificado utilizando processo de certificação digital, que comprova
autenticidade do servidor.
O serviço disponibilidade possibilita garantir que os recursos que compõem o
sistema estejam livres para as entidades autorizadas, no período de utilização.
77
Também assegura que os recursos do sistema são usados somente para os
propósitos a que foram designados (NIST, 1995).
TABELA II – ATIVIDADES ATIVIDADES DESENVOLVIDAS NA INTERNET - SERVIÇOS FINANCEIROS Percentual sobre o total de usuários de Internet1
Percentual (%)
Con
sulto
u co
nta
corre
nte
Pag
amen
tos
Con
sulta
ao
cartã
o de
cr
édito
Con
sulto
u P
oupa
nça
Rec
arga
de
celu
lar
Tran
sfer
ênci
as (D
OC
, TE
C, e
tc)
Inve
stim
ento
s (a
plic
açõe
s fin
ance
iras,
P
revi
dênc
ia, e
tc)
Out
ros
serv
iços
fin
ance
iros
Total 12,09 5,92 5,48 5,60 3,76 3,48 1,98 0,77
NORTE/NORDESTE 7,80 4,08 4,51 4,55 2,35 1,74 1,24 0,84
SUDESTE 12,88 6,41 6,25 5,67 4,40 3,52 2,28 0,43 SUL 12,70 6,46 3,47 6,16 3,33 3,96 1,38 0,84
REGIÕES DO PAÍS
CENTRO-OESTE 12,62 4,20 5,09 4,54 2,61 4,01 1,60 1,14
Masculino 12,72 5,87 6,10 6,55 3,56 3,28 2,09 1,19 SEXO Feminino 11,41 5,98 4,81 4,58 3,97 3,71 1,87 0,32
AB 17,97 8,53 7,90 7,63 5,05 5,44 2,89 1,05
C 9,48 5,00 4,59 4,80 3,38 2,50 1,41 0,51 CLASSE SOCIAL3
DE 3,04 1,12 1,09 2,10 1,12 0,85 1,15 0,78 1 Base: 2.924 entrevistados que usaram a Internet nos últimos três meses. Respostas múltiplas.
1 Projeção populacional: 42,6 milhões de pessoas, com 10 anos ou mais, segundo estimativa realizada com base na PNAD 2005.
2 Na categoria não integra população ativa estão contabilizados os estudantes, aposentados e as donas de casa. 3 O critério utilizado para classificação leva em consideração a educação do chefe de família e a posse de uma serie de
utensílios domésticos, relacionando-os a um sistema de pontuação. A soma dos pontos alcançada por domicílio é associada a uma Classe Sócio-Econômica específica (A, B, C, D, E).
Fonte: NIC.br - jul/ago 2006
Dessa forma, o modelo tradicional de fazer negócios tornou-se obsoleto
(SILVA, 2005), já que as fronteiras atualmente são digitais. O mundo encontra-se em
plena transformação, com a queda das barreiras físicas entre países.
A globalização, crescimento explosivo do comércio global e da competição
internacional, faz com que nenhum país possa permanecer ilhado da economia
mundial, gerando desta forma oportunidades, mas também ameaças (KOTLER,
1998). Segundo Albertin (1997), que reforça esta idéia de mudanças, afirma que a
78
forma de fazer negócio está transformando um “conceito geográfico de fazer
negócios” (onde estou fazendo negócios) para um “conceito empresarial” (como eu
faço negócio), alterando o enfoque, antes centralizado, para descentralizado
(negócios em qualquer lugar), passando do isolamento para uma situação de
fronteiras pouco importantes ou até inexistentes.
2.5 SEGURANÇA DA INFORMAÇÃO EM PORTAIS FINANCEIROS
Para melhorar a segurança do sistema de autenticação de usuário utilizando
senhas, adicionalmente passou-se a utilizar frases secretas e teclados virtuais.
Alguns clientes utilizam softwares de segurança como antivírus, firewall e programas
de anti-espionagens. Entretanto, estes incrementos não estão sendo suficientes
para diminuir os prejuízos causados pelos crimes eletrônicos. Não estão disponíveis
estatísticas relacionadas somente às fraudes na autenticação do usuário nos
sistemas On-line prestadores de serviços dos bancos.
O acesso não autorizado às informações sensíveis de autenticação pode
implicar prejuízos financeiros e comprometimento da imagem e seriedade da
instituição financeira, além da perda da confiança na utilização dos serviços
disponibilizados On-line pelas instituições financeiras por parte do cliente. Uma das
grandes ameaças relacionadas ao acesso não autorizado é conhecida como
personificação, que é caracterizada por um usuário passar-se por outro com o
objetivo de acessar o sistema.
O processo de autenticação de usuário que se utiliza de senha apresenta
fragilidade para validar eficazmente o cliente, sendo alvo de vários ataques com
objetivo de obter os dados de acesso à sessão de serviços On-line do cliente.
79
A senha é uma seqüência de caracteres que deve ser mantida secreta e
memorizada pelo usuário. Ela é um segredo conhecido pelo usuário e pelo sistema
de autenticação. Para obter acesso o usuário deverá lembrá-la e utilizá-la. O sistema
de autenticação permitirá o acesso se a senha informada for igual à armazenada.
Pode-se avaliar a qualidade da senha pela quantidade total de combinações
possíveis. Este número de combinações é denominado espaço de chaves
(keyspace). Que é descrito pela relação: S=An, no qual S é a quantidade de senhas
possíveis, A é a quantidade de caracteres que podem ser utilizados para formar a
senha e n é o tamanho da senha (SMITH, 2002). Uma senha numérica de três
dígitos tem o keyspace de 1.000. Já uma senha numérica com quatro dígitos tem o
keyspace de 10.000.
Segundo Smith (2002), um outro modo de avaliar a senha é pela entropia. A
entropia mostra a relação estatística de como os usuários selecionam a senha.
Quanto maior a entropia, menor a chance de adivinhar a senha. A entropia é o
tamanho do keyspace em bits. A entropia de uma senha é afetada pela tendência
dos usuários de não escolherem senhas aleatórias ou pelo fato das senhas ficarem
limitadas aos caracteres do teclado do computador (SMITH, 2002). Por exemplo,
considere uma senha cujo tamanho seja de 4 caracteres e somente possam ser
utilizados números, e uma senha na qual, além de números, as letras também
possam ser utilizadas.
2.5.1 CICLO DE VIDA DA INFORMAÇÃO
Pelo sumo valor que cada vez mais é atribuído à informação, além de saber
utilizar estrategicamente, garantir a segurança deste recurso tem sido visto como um
critério que tem recebido mais cuidado das organizações. Sendo que, assegurar que
80
as informações sejam preservadas e estejam sobre controle considerando todos os
momentos que fazem parte do seu ciclo de vida, é primordial. O ciclo de vida da
informação pode ser identificado pelos momentos vividos por esta e que a colocam
em risco. Estes momentos existem quando são realizadas ações para manter a
operação da empresa. Segundo Silva (2005) o ciclo de vida da informação
compreende as seguintes etapas:
a) identificação das necessidades e dos requisitos: a fim de desenvolver
serviços e produtos de informação para a necessidade interna e externa dos
usuários, sendo fundamental identificar a necessidade de informação destes
indivíduos;
b) obtenção: esta etapa compreende obter as informações para suprir as
necessidades identificadas na etapa anterior. Nesta etapa não se pode esquecer da
integridade dos dados, ou seja, que a informação é autêntica e de uma fonte
confiável;
c) tratamento: esta etapa é o processo de organização, formatação,
estruturação, análise, síntese, apresentação e reprodução, com a finalidade de
deixar esta mais acessível aos usuários;
d) distribuição: a distribuição da informação possibilita que esta seja
disseminada a quem precisa dela;
e) uso: esta é uma das mais importantes etapas pois não é a existência da
informação que garante melhor resultado e sim o uso que é feito;
f) armazenamento: o armazenamento permite o uso e o reuso da informação,
sendo necessário assegurar a conservação da informação, incluindo também o
cuidado com as mídias utilizadas;
81
g) descarte: obedecendo as normas da empresa de política de descarte
quando uma informação se torna obsoleta ou perde a sua utilidade ele deve ser
descartada. A exclusão de informações inúteis proporciona economia no
armazenamento o que aumenta a eficiência na localização de informações, no
entanto, este processo precisa ser realizado dentro das condições de segurança.
2.5.2 MECANISMOS DE SEGURANÇA – USO DE SENHAS
Segundo Turban (2004), informação são dados organizados ou processados,
precisos e fornecidos no momento oportuno. Conforme Sêmola (2003), o segredos
de negócios, análise de mercado e da concorrência, dados operacionais históricos e
pesquisas, são informações fundamentais e se revelam como um importante
diferencial competitivo ligado ao crescimento e a continuidade do negócio.
Os bancos brasileiros, na maioria das vezes, utilizam senhas para autenticar
seus clientes no sistema Internet banking. Quando surgiram os primeiros
computadores não havia a necessidade de autenticação. Segundo Smith (2002), o
controle de acesso físico ao ambiente, no qual se localizavam as gigantescas
máquinas, era o principal controle.
No início da década de 1960, com o surgimento dos computadores
multiusuários, houve a necessidade de identificar o usuário que estava utilizando o
computador, para criar e manter ambientes privativos para cada usuário. Desta
necessidade foram criados os primeiros programas de autenticação que foram
aperfeiçoados ao longo do tempo.
O princípio deste modo de autenticação ainda é utilizado até os nossos dias:
digita-se a identificação do usuário (também conhecida como login ou sigla) e uma
senha. No entanto, a forma de armazenamento tem mudado constantemente. Os
82
primeiros sistemas de autenticação armazenavam a sigla e senha em arquivos-texto,
fáceis de serem lidos. Devido às vulnerabilidades deste tipo de armazenamento, pois
as senhas podiam ser lidas facilmente, as senhas passaram a ser armazenadas de
modo cifrado.
De acordo com Smith (2002), a gestão da segurança da informação passou-
se a utilizar funções one-way cipher, atualmente conhecidas como one-way hash,
para armazenar as senhas, tendo como propriedade que o processo inverso não é
possível. Entretanto, estes métodos podem ser suscetíveis a ataques por força bruta
e ataques por dicionário de dados. Para minimizar o risco de ataques, foi criado mais
uma variável na geração do hash, conhecida como salt.
Salt é um número aleatório, com tamanho de 12 bits, utilizado no processo de
hashing como forma de possibilitar uma variação do resultado do código hash. Isto
permite que a mesma senha tenha hash diferente toda vez que ela passar pela
função.
O novo algoritmo fez com que ataques para descobrir a senha por força bruta
se tornassem inviáveis nas décadas de 1960 e 1970 em decorrência do tempo para
processar todas as combinações possíveis. No entanto, ainda está suscetível contra
tentativas de acesso utilizando ataques por dicionário de dados.
Os sistemas de codificação e armazenamento de senhas que não utilizam salt
são também suscetíveis a ataques com base pré-compilada de codificação de
senhas.
2.5.3 NORMAS DE SEGURANÇA
As normas e padrões técnicos são um referencial importante para estabelecer
a qualidade de determinado processo, quando estes são desenvolvidos nas
83
conformidades com padrões e normas asseguram-se garantias maiores de eficiência
e confiabilidade (SILVA, 2005).
Segundo Sêmola (2002), no que se refere à segurança da informação existem
várias referências internacionais, entre as quais são citadas as normas mais
utilizadas nas organizações, no entanto, a ênfase maior ocorre na norma brasileira
NBR ISO/IEC 17799 que é advinda da norma internacional BS 7799 (British Standart
7799) a ser analisada na próxima seção. Entre as normas mais conhecidas e
utilizadas dentro das organizações temos (SILVA, 2005):
a) ITIL (IT Infrastructure Library): conjunto de documentos desenvolvido pelo
gobverno do Reino Unido visando o registro das melhores práticas na área de
gestão de serviços de TI;
b) COBIT (Control Objetives for Information and Related Technology):
conjunto de diretrizes para a gestão e auditoria de processos de controles de TI,
desenvolvido pela Information System Audit and Control Association (ISAC) e pelo IT
Governance Institute;
c) ISO Guide 73: (Risk management – vocabulary – guidelines for use
instandards), publicada em 2002, define 29 termos da Gestão de Riscos;
d) ISO/ IEC 13335: (Guidelines for the management of IT security) é um
conjunto de diretrizes de gestão de segurança voltadas especificamente para a
tecnologia da informação.
2.5.4 CONFORMIDADES COM NORMA NBR ISO IEC 17799:2005
A segurança dos sistemas de informações foi um dos primeiros itens a ter
padrões definidos. Esta necessidade de segurança é particularmente verdade nas
84
transações via Internet. A gerência de segurança da informação visa identificar os
riscos e implantar medidas que de forma efetiva tornem estes riscos gerenciáveis.
A NBR ISO IEC 17799:2005 é um código de prática de gestão de segurança
da informação e sua importância pode ser dimensionada pelo número crescente de
pessoas e variedades de ameaças a que a informação é exposta na rede ao uso dos
portais de serviços financeiros. Os objetivos explícitos desta norma são para
estabelecer um referencial que possa fornecer mecanismos para as organizações
desenvolverem, implementarem e avaliarem a gestão da segurança de informação,
além de promover a confiança nas transações comerciais entre as organizações. Em
sua documentação a ISO/IEC-17799:2005 aborda 11 tópicos que se descrevem
como:
1. Política de segurança - Este tópico descreve a importância e relaciona os
principais assuntos que devem ser abordados numa política de segurança.
2. Segurança organizacional - Este tópico aborda a estrutura de uma
gerência para a segurança de informação, assim como aborda o estabelecimento de
responsabilidades incluindo terceiros e fornecedores de serviços.
3. Classificação e controle de ativos de informação - Este tópico trabalha a
classificação, o registro e o controle dos ativos da organização.
4. Segurança em pessoas - Este tópico tem como foco o risco decorrente de
atos intencionais ou acidentais feitos por pessoas. Também é abordada a inclusão
de responsabilidades relativas à segurança na descrição dos cargos, a forma de
contratação e o treinamento em assuntos relacionados à segurança.
5. Segurança ambiental e física - Este tópico aborda a necessidade de se
definir áreas de circulação restrita e a necessidade de proteger equipamentos e a
infra-estrutura de tecnologia de Informação.
85
6. Gerenciamento das operações e comunicações - Esta seção aborda as
principais áreas que devem ser objeto de especial atenção da segurança. Dentre
estas áreas destacam-se as questões relativas a procedimentos operacionais e
respectivas responsabilidades, homologação e implantação de sistemas, gerência
de redes, controle e prevenção de vírus, controle de mudanças, execução e guarda
de backup, controle de documentação, segurança de correio eletrônico, entre outras.
7. Controle de acesso - Este tópico aborda o controle de acesso a sistemas, a
definição de competências, o sistema de monitoração de acesso e uso, a utilização
de senhas, dentre outros assuntos.
8. Desenvolvimento e manutenção de sistemas - Neste item são abordados
os requisitos de segurança dos sistemas, controles de criptografia, controle de
arquivos e segurança do desenvolvimento e suporte de sistemas.
9. Gestão de incidentes de segurança - Esta seção, incluída na versão 2005,
apresenta dois itens: Notificação de fragilidades e eventos de segurança da
informação e Gestão de incidentes de segurança da informação e melhorias.
10. Gestão da continuidade do negócio - Esta seção reforça a necessidade de
se ter um plano de continuidade e contingência desenvolvido, implementado, testado
e atualizado.
11. Conformidade - A seção final aborda a necessidade de observar os
requisitos legais, tais como a propriedade intelectual e a proteção das informações
de clientes.
86
3. METODOLOGIA
Abordagem apresentada nesta pesquisa é qualitativa. Segundo Gil (1994) na
pesquisa qualitativa o agente pesquisador deverá presenciar o maior número de
situações que possam sugerir a manifestação deste fato, não possuindo nenhum
tipo de manipulação sobre os dados coletados. Esta coleta deverá ocorrer
naturalmente, e não são passíveis de influência em seu contexto, devendo-se
manter um contato estreito e direto com a situação, mantendo a originalidade e
contexto.
Segundo Gil (1994), a análise de dados de campo, neste caso os portais
financeiros, começa durante a fase observacional do estudo. Colocando atenção na
sistematização das observações, que para esta pesquisa será trabalhada
automaticamente usando as ferramentas de analises que deverão ter uma interação
mecânica com os portais. Desta forma, o pesquisador pode acumular um corpo de
notas pronto para ser ordenadamente analisado. Estas notas serão analisadas de
tempos em tempos, durante a coleta de dados, podem-se desenvolver noções
teóricas e hipóteses que direcionam cada vez mais sistematicamente a coleta dos
dados.
Segundo Albertini (2000) os dados coletados são predominantemente
descritivos, levando em conta o fato de que o material obtido na pesquisa é
predominante em descrições de fatos; extraídos através de uma aplicação que
posteriormente será confrontado com a norma técnica brasileira, NBR ISO
17799:2005 e a sua aplicabilidade nos portais financeiros das maiores instituições
bancárias do Brasil.
87
Para Maçada (2007) os dados devem ser descritos na forma de relatório de
conformidade, baseando-se nos modelos de relatórios existentes no mercado e
utilizados pelas empresas de auditoria e certificadoras de normas internacionais. O
padrão de tipologia, mais adequando que envolve o estudo dos portais financeiros
quanto à conformidade com a norma ISO NBR 17799:2005 é o estudo de caso.
De acordo com Gil (1994) o estudo de caso é preferido quando o tipo de
questão de pesquisa é da forma “como” e “por quê?”; quando o controle que o
investigador tem sobre os eventos é muito reduzido; ou quando o foco temporal está
em fenômenos contemporâneos dentro do contexto de vida real.
Para Benbasat, Goldstein e Mead (1987), os argumentos mais comuns dos
críticos do Estudo de Caso são:
Falta de rigor;
Influência do investigador – falsas evidências, visões viesadas;
Fornece pouquíssima base para generalizações;
Segundo Yin (1984) há maneiras de evidenciar a validade e a confiabilidade
do estudo. O que se procura generalizar são proposições teóricas (modelos) e não
proposições sobre populações. Nesse sentido os estudos de casos múltiplos ou as
replicações de um estudo de caso com outras amostras podem indicar o grau de
generalização de proposições.
De acordo com Lima, Garcia e Saul (1996), o mais adequado para esta
natureza de pesquisa é a realização de uma análise descritiva dos principais fatores
avaliados. Os dados coletados devem ser codificados gerando-se um banco de
88
dados na qual a análise destes dados é realizada com o uso do programa
computacional.
Com a mesma visão usada na pesquisa do Maçada (2007), o tipo de estudo
deverá ser descritivo, pois é realizado com embasamento nas descrições dos artigos
científicos de Khaliad (2003); Arumuga (2006) e Singh (2006) que confrontam a
segurança da informação nos portais de serviços financeiros com as normas
adequadas.
Segundo Yin (1984) a forma de argumentação mais adequada para ser
aplicada é a indutiva, pois não se pretende generalizar resultados. A coleta de dados
foi realizada com o resultado obtido na leitura de softwares que foram aplicadas nos
portais das instituições financeiras na data entre os dias 31/10/2009 à 02/11/2009. O
resultado foi comparado ao pressuposto teórico, pois existem artigos científicos que
servirão de base teórica.
Para Maçada (2007) a metodologia utilizada é capaz de avaliar características
da segurança e conveniência. Segurança é mensurada pelas vulnerabilidades que
podem ser exploradas e os controles utilizados. A conveniência é um fator subjetivo,
associado à comodidade do usuário em lembrar uma senha complexa ou carregar
um dispositivo para se autenticar.
Esta dissertação confrontou os parâmetros de aderência dos sistemas de
autenticação com a norma Brasileira NBR ISO 17799:2005. O sistema de acesso e
autenticação das instituições financeiras, na primeira fase, será confrontado um a
um com a norma NBR ISO 17799:2005, para depois serem apresentados em
conjunto, no formato de tabela. Este formato facilita a comparação entre os sistemas
89
de autenticação. A condução da pesquisa consolidada neste trabalho compreende
as seguintes atividades:
• Levantamentos bibliográficos;
• Pesquisas para identificar o sistema de autenticação de usuário mais utilizado
pelas instituições financeiras no Brasil;
• Identificação dos controles utilizados pelos mecanismos de autenticação;
• Análise da aderência das instituições com a norma NBR 17799:2005.
3.1 MODELO DE ANÁLISE
Segundo Laudon e Laudon (2004), atualmente todos admitem que conhecer
Sistemas de Informação (SI) é essencial para os administradores, porque a maioria
das organizações precisam deles para sobreviver e prosperar.
De acordo com Maçada (2007), o gerenciamento de acesso do usuário aos
procedimentos devem cumprir todas as fases do ciclo de vida de acesso do usuário,
da inscrição inicial como novos usuários até o cancelamento final do registro de
usuários que já não requerem acesso a sistemas de informação e serviços. Atenção
especial seja dada, onde apropriado, para a necessidade de controlar a distribuição
de direitos de acesso privilegiado que permitem os usuários mudarem controles de
sistemas.
Segundo Turban (2004) convém que o acesso à informação, recursos de
processamento das informações e processos de negócios sejam controlados com
base nos requisitos de negócio e segurança da informação.
90
As regras de controle de acesso devem levar em consideração as políticas
para autorização e disseminação da informação exibindo um modelo de controles
para proteger os dados do sistema de informação, como pode-se observar no
Quadro 4 de Turban (2004), onde as regras de controle de acesso e direitos para
cada usuário ou grupos de usuários são expressas claramente na política de
controle de acesso. Deve-se fornecer aos usuários e provedores de serviços uma
declaração nítida dos requisitos do negócio a serem atendidos pelos controles de
acessos.
Quadro 4: Controles Gerais – Protegendo a informação do sistema
Dos controles apresentados por Turban (2004), esta pesquisa tem como foco
central a análise dos dados que representam o acesso e validação do usuário nos
Fonte: Turban (2004)
91
portais financeiros, verificando os processos de controles na web em conjunto com a
sua autenticação e a sua criptografia. Segundo Maçada (2004), o acesso aos portais
financeiros é um ponto importante na gestão da segurança da informação das
instituições financeiras.
Para Gil (1994), a informação e os processos de apoio, sistemas e redes são
importantes ativos para os negócios. Confidencialidade, integridade e disponibilidade
da informação podem ser essenciais para preservar a competitividade, o
faturamento, a lucratividade, o atendimento aos requisitos legais e a imagem da
organização no mercado. Desta forma estudar a aderência dos serviços
disponibilizados pelos portais das instituições financeiras, com a norma NBR ISO
17799:2005 contribui para a estrutura desta pesquisa.
Segundo Turban (2004) a dependência nos sistemas de informação e
serviços significa que as organizações estão mais vulneráveis às ameaças de
segurança digital. A interconexão de redes públicas e privadas e o compartilhamento
de recursos de informação aumentam a dificuldade de se controlar o acesso. A
tendência da computação distribuída dificulta a implementação de um controle de
acesso centralizado realmente eficiente.
De acordo com Comer (2004) os requisitos de segurança são identificados
através de uma avaliação sistemática dos riscos de segurança. Os gastos com os
controles necessitam ser balanceados de acordo com os danos causados aos
negócios gerados pelas potenciais falhas na segurança. As técnicas de avaliação de
risco podem ser aplicadas em toda a organização ou apenas em parte dela, assim
como em um sistema de informação individual, componentes de um sistema
específico ou serviços, quando for viável, prático e útil.
92
Para Turban (2004) uma vez tendo sido identificados os requisitos de
segurança, convém que os controles sejam selecionados e implementados para
assegurar que os riscos sejam reduzidos a um nível aceitável. Os controles podem
ser selecionados a partir da norma ISO 17799:2005 ou de outro conjunto de
controles, ou novos controles podem ser desenvolvidos para atender às
necessidades específicas, quando apropriado.
Como a gestão da segurança da informação poderá medir a segurança nos
acessos aos portais financeiros? Para responder a pergunta, o ponto de partida
para a segurança da informação pode ser observado no Quadro 5 de Turban (2004)
que é baseado tanto em requisitos legais como nas melhores práticas de segurança
da informação (SI), normalmente usadas e são baseadas na norma ISO 17799:2005
que trata deste tema.
Quadro 5: Diagrama de caminhos do modelo de mensuração da SI
A vulnerabilidade dos Sistemas de Informação
Backup Cópia extra dos dados, mantida em local seguro.
Decriptografar Transformar código criptografado em dados legíveis.
Criptografar Transformar dados em código antes de sua
transmissão.
Exposição O dano, perda ou prejuízo que pode ocorrer em caso
de falha.
Tolerância à falhas O dano, perda ou prejuízo que pode ocorrer em caso
93
de falha.
Controles de
Sistemas de
Informação
Capacidade de continuar atuando por tempo limitado na
ocorrência de falha.
Integridade dos
dados
Garantia de Precisão, integridade e Confiabilidade dos
dados.
Risco Probabilidade que a ameaça se concretize
Ameaças Diversos perigos aos qual o sistema esta exposto.
Vulnerabilidade A suscetibilidade do Sistema ao dano causado pela
ameaça.
Fonte: Turban 2004
No modelo de mensuração na qual se detalha a vulnerabilidade dos sistemas
de informação, apresentado por Turban (2004), os aspectos como Backup não serão
tratados nesta pesquisa, pois se faz necessário uma intervenção direta na instituição
financeira e não existem ferramentas que possam verificar sobre a existência de
uma rotina de backup em um determinado site ou se esta rotina está em pleno
funcionamento sem que exista uma intervenção direta no ambiente.
As ações de decriptografar e criptografar podem ser analisadas com
ferramentas remotas, assim como a exposição e controles de tolerância à falhas. Os
controles de Sistemas de Informação podem ser identificados, sendo parte da
limitação do trabalho, não será possível testar os mesmos, visto que seria
94
necessário provocar uma falha no portal financeiro para forçar a solução de
contorno.
Sobre a integridade dos dados, é possível estimar que os dados estejam
íntegros com o uso de mecanismos de segurança como a criptografia, mas como
informado na limitação do escopo da pesquisa, não é possível informar sobre a
integridade da informação, pois para a comprovação deste evento, faz-se necessário
uma intervenção interna na instituição bancária com a instalação de agentes
diretamente nos servidores para realizar a coleta dos dados. Os riscos, ameaças e
vulnerabilidade são ações presumidas e foram detalhadas no embasamento teórico
desta pesquisa.
Para obter as informações necessárias devem-se utilizar ferramentas
eletrônicas de varredura remota aos sites dos portais financeiros. Estas ferramentas
contribuem na captura dos dados que serão avaliados verificando a aderência dos
portais financeiros com as recomendações encontradas na norma NBR ISO/IEC
17799:2005. Uma destas ferramentas é chamada Tamanduá Mirim, desenvolvido na
COPPE/UFRJ, e foi utilizada para consolidação de dados na pesquisa do Gonçalves
(2005), que verificava o nível de segurança da informação que era aplicado aos sites
testados. Segundo Singh (2006) pode-se fazer uso de outra ferramenta que é
chamada de COBRA – Consultive, Objective and Bi-functional Risk Analisis; Outra
ferramenta é apontada por Semola (2004) e tem o nome de Check-up Tool da
Modulo Security que é uma ferramenta de definição de segurança da informação,
resumo das metas de segurança que uma empresa deseja alcançar.
Na visão de Hutchinson (2006) referências à documentação que possam
apoiar a política, por exemplo, políticas e procedimentos de segurança mais
95
detalhados de sistemas de informação específicos podem ser obtidas com o
conjunto de ferramentas da aplicação chamada de NetIQ.
Para esta pesquisa foi utilizada a ferramenta NetIQ que fornece sistemas e
soluções para gerenciamento da segurança, ajudando as empresas a melhorar a
oferta e eficiência dos serviços de TI. Com mais de 12.000 clientes mundialmente,
essas soluções avançadas ajudam a oferecer serviços críticos de TI, mitigar riscos
operacionais e documentar a conformidade com as políticas. O portfólio de soluções
da NetIQ inclui gerenciamento de sistemas, gerenciamento da segurança,
gerenciamento de mudanças e controle das configurações. Os relatórios de
conformidade gerados pela solução da NetIQ, Security Manager, para validação de
conformidade com a norma ISO NBR 17799:2005 é utilizado nesta pesquisa. Outro
ponto utilizado na pesquisa são os comandos aplicados em modo de linha de
comando baseado em protocolos de ICMP - Internet Control Menssage Protocol, os
principais comandos são conhecidos como o Ping, Traceroute e nmap.
De acordo com Maçada (2007) as responsabilidades pela proteção de cada
ativo e pelo cumprimento de processos de segurança específicos devem ser
claramente definidas. Gerenciamento de privilégios será concedido a usuários
conforme a necessidade de uso e com base em eventos alinhados com a política de
controle de acesso.
Segundo Hutchinson (2003) a gestão da segurança da informação passa pela
importância do controle dos acessos, tanto os gerados internamente quanto aqueles
obtidos de origem externa, residem na necessidade de identificação do pessoal
autorizado para análise e aprovação, na identificação do status da sua revisão e na
identificação para distribuição as pessoas que têm acesso às informações
96
disponíveis. Outra característica do controle de acesso é que ele seja capaz de
disponibilizar prontamente as informações sendo capaz de ser registrado
prontamente nos documentos, bem como evitar o uso de documentos inválidos e/ou
obsoletos.
Ainda segundo Hutchinson (2003), um sistema de controle de acesso precisa
ser capaz de gerar, emitir, receber, armazenar ou de outra maneira processar as
informações buscando manter a integridade e principalmente os registros de data e
hora dos acessos.
Segundo Mitnick (2004) a classificação e controle dos ativos de informação
devem seguir os elementos que serão investigados. Para verificação junto à
aderência com a norma ISO 17799:2005, é necessário montar um conjunto de
campos que segundo Maçada (2007) devem ser usados para manter a proteção
adequada dos ativos da organização. No Quadro 6, são exibidos os campos para
manter a integridade e disponibilidade dos serviços de comunicação e
processamento da informação.
QUADRO 6: Campos investigados quanto à sua aderência à norma 17799:2005
Seção Questão de auditoria Sim Não
Q1 Política para o uso de controles de criptografia
Se foi implantada uma política para o uso de controles de criptografia para a proteção da informação.
Q2 Técnica e tipos de Criptografia Se técnicas de criptografia foram utilizadas para proteger os dados
Q3 Assinatura digital Se assinaturas digitais foram utilizadas para proteger a autenticidade e integridade de documentos eletrônicos
Q4 Serviços de não repúdio Se serviços de não repúdio foram utilizados, onde eles devem ser necessários para resolver disputas sobre ocorrência ou não ocorrência de um evento ou ação.
97
Exemplo: Disputa envolvendo o uso de assinatura digital em um pagamento ou contrato eletrônico.
Q5 Existência do uso de chaves Se existem sistemas de gerenciamento para suportar o uso de técnicas de criptografia, como técnicas de chave secreta e técnicas de chave pública.
Q6 Tipo de Chaves utilizadas Se o sistema de gerenciamento faz uso de chaves criptográficas.
Q7 Criptografia das chaves Se o sistema de gerenciamento de chaves foi baseado em um conjunto acordado de normas, procedimentos e métodos seguros.
Q8 Resposta de quaisquer requisições
Se o portal responde as requisições realizadas oriundas da Internet – Deve negar
Q9 Resposta de supostas requisições próprias e falsas.
Se o portal responde as requisições oriundas da Internet com o seu nome – deve negar, pois a resposta é feita via VPN – Virtual Private Network
Q10 Limitação de horários Se o sistema de gerenciamento faz uso de horários de bloqueio de funções para a segurança dos usuários
Quadro adaptado de Singh (2006)
3.2 Controle de Acesso
Segundo Maçada (2007), os requisitos do negócio para controle de acesso
convém que o acesso à informação e processos do negócio seja controlado na base
dos requisitos de segurança e do negócio levando em consideração as políticas de
autorização e disseminação da informação.
3.2.1 - Política para o Uso de Controles de Criptografia (Q1)
Existe a necessidade de implantar uma política para o uso de controles de
criptografia e para a proteção da informação. Desta forma, ter uma Política para o
uso destes controles, segundo Mitnick (2003), significa que as conexões não
seguras a serviços de rede podem afetar toda a organização. Os usuários devem ter
acesso direto somente aos serviços que eles estão especificamente autorizados
98
para uso. Este controle é particularmente importante para as conexões de rede com
aplicações sensíveis ou críticas do negócio ou para usuários que estão em locais de
alto risco, como, por exemplo, em áreas públicas ou externas.
Uma política deve ser formulada considerando-se o uso de redes e seus
serviços. Convém incluir:
a) redes e serviços de rede na qual o acesso é permitido;
b) procedimentos de autorização para a determinação de quem têm acesso a
que redes e quais serviços de rede;
c) procedimentos e controles de gerenciamento para proteger o acesso às
conexões e serviços de rede.
3.2.2 - Técnica e Tipos de Criptografia (Q2)
Técnicas de criptografia devem ser utilizadas para proteger os dados.
Conforme afirma Mitnick (2004) as conexões externas proporcionam um potencial
para acesso não autorizado às informações do negócio, por exemplo, acessos
através de métodos de linhas discadas. Portanto, os acessos de usuários remotos
devem conter autenticação.
Existem diferentes métodos de autenticação, alguns deles fornecendo maior
nível de proteção que outros, por exemplo, métodos baseados no uso de técnicas de
criptografia podem fornecer autenticação forte. É importante determinar o nível de
proteção requerido a partir de uma avaliação de risco. Isso é necessário para
selecionar apropriadamente um método de autenticação.
99
A autenticação de usuários remotos pode ser alcançada pelo uso, por
exemplo, de técnicas baseadas em criptografia, de dispositivos de tokens ou de
protocolo de desafio/resposta, que não será tratado nesta pesquisa. Linhas privadas
dedicadas ou recursos de verificação de endereço de usuário de rede podem
também ser utilizados para garantir a origem das conexões.
Controles e procedimentos de discagem reversa, por exemplo, uso de
modems com discagem reversa, podem fornecer proteção contra conexões
indesejáveis ou não autorizadas aos recursos de processamento de informação da
organização. Este tipo de controle autentica aqueles usuários que tentam
estabelecer uma conexão com a rede da organização a partir de uma localização
remota. Ao se utilizarem estes controles, convém que uma organização não faça uso
de serviços de rede que incluam call forwarding ou, se fizer, convém que seja
desabilitado o uso de tais facilidades para evitar exposição a fragilidades associadas
ao call forwarding. É importante também que o processo de discagem reversa inclua
a garantia de que uma desconexão efetiva ocorra pelo lado da organização. Caso
contrário, o usuário remoto pode manter a linha aberta com a pretensão de que a
verificação da chamada reversa tenha ocorrido. Os procedimentos e controles de
chamada reversa devem ser exaustivamente testados para essa possibilidade.
3.2.3 - Assinatura Digital (Q3)
Deve-se garantir que assinaturas digitais sejam utilizadas para proteger a
autenticidade e integridade de documentos eletrônicos, desta forma a assinatura
digital é estabelecida pelos controles criptográficos. De acordo com Comer (2004)
para a proteção dos serviços de rede, o acesso aos serviços internos e externos
devem ser controlados. Isto é necessário para garantir que usuários com acesso às
100
redes e aos serviços de rede não comprometam a segurança desses serviços,
assegurando:
a) Uso de interfaces apropriadas entre a rede da organização e as redes de
outras organizações ou redes públicas;
b) Uso de mecanismos de autenticação apropriados para usuários e
equipamentos;
c) Controle de acesso dos usuários aos serviços de informação.
3.2.4 – Serviços de não Repúdio (Q4)
Não pode haver a negação sobre a autoria da execução de uma ação, assim
serviços de não repúdio devem ser utilizados, onde for necessária para resolver
disputas sobre ocorrência ou não de um evento ou ação, como por exemplo,
disputa envolvendo o uso de assinatura digital em um pagamento ou contrato
eletrônico. Segundo Comer (2004), a facilidade de conexão automática para um
computador remoto pode proporcionar uma forma de se ganhar acesso não
autorizado a uma aplicação do negócio. Portanto, as conexões a sistemas remotos
de computadores devem ser autenticadas. Isto é especialmente importante se a
conexão usar uma rede que está fora do controle do gerenciamento de segurança
da organização.
A autenticação de nó pode servir como um meio alternativo de autenticação
de grupos de usuários remotos, onde eles são conectados a um recurso
computacional seguro e compartilhado.
101
3.2.5 – Existência do Uso de Chaves (Q5)
É necessário verificar se existe um sistema de gerenciamento para suportar
o uso de técnicas de criptografia, como técnicas de chave secreta e técnicas de
chave pública. Para Mitnick (2003) a senha é um dos principais meios de validar a
autoridade de um usuário para obter acesso a um serviço de computador. Os
sistemas de gerenciamento de senhas proporcionam facilidade interativa e eficaz
que assegure senhas de qualidade. Algumas aplicações requerem que senhas de
usuário sejam atribuídas por uma autoridade independente. Na maioria dos casos as
senhas são selecionadas e mantidas pelos usuários. O sistema de gerenciamento
de senhas deve contemplar:
a) Obrigação do uso de senhas individuais para manter responsabilidades;
b) Onde apropriado, permitir que os usuários selecionem e modifiquem suas
próprias senhas, incluindo um procedimento de confirmação para evitar erros;
c) Obrigação da escolha de senhas de qualidade;
d) Onde os usuários mantêm suas próprias senhas, obrigue a troca;
e) Onde os usuários selecionam senhas, obrigue a troca da senha temporária
no primeiro acesso;
f) Manter registro das senhas anteriores utilizadas, por exemplo, para os 12
meses passados, e bloqueie a reutilização de senhas;
g) Não mostrar as senhas na tela quando forem digitadas;
h) Armazenar os arquivos de senha separadamente dos dados de sistemas e
de aplicação;
102
i) Armazenar as senhas na forma cifrada, usando um algoritmo de criptografia
unidirecional;
j) Alterar senhas-padrão fornecidas pelo fabricante, após a instalação do
software.
6.6 – Tipo de Chaves Utilizadas (Q6)
Deve-se verificar se o sistema de gerenciamento de chaves foi baseado em
um conjunto acordado de normas, procedimentos e métodos seguros. Segundo
Comer (2004) o caminho entre o terminal do usuário e o serviço do computador pode
necessitar ser controlado. Redes são projetadas para permitir a máxima extensão no
compartilhamento de recursos e flexibilidade de roteamento. Estas características
podem oferecer também oportunidades para acessos não autorizados às aplicações
ou ao uso não autorizado dos recursos de informação. A incorporação de controles
que restringem a rota entre um terminal de usuário e os serviços do computador, aos
quais o usuário é autorizado a obter acesso, como, por exemplo, a criação de uma
rota forçada, pode reduzir tais riscos.
O objetivo de uma rota forçada é prevenir que qualquer usuário selecione
rotas fora da rota entre o terminal do usuário e os serviços para os quais ele está
autorizado a obter acesso.
Isto usualmente requer a implementação de um número de controles em
diferentes pontos da rota. A idéia é limitar as opções de roteamento para cada ponto
da rede através de alternativas predeterminadas. Exemplos disto são os seguintes:
a) Alocação de linhas ou número de telefones dedicados;
103
b) Portas de conexão automática para sistemas de aplicação específicos ou
gateways de segurança;
c) Limitação das opções de menu e submenu para usuários individuais;
d) Prevenção de transferência (roaming) ilimitada na rede;
e) Imposição do uso de sistemas de aplicação específicos e/ou gateways de
segurança para usuários de redes externas;
f) Controle ativo das origens permitidas para comunicação com destinos
através de gateways de segurança, por exemplo, firewalls;
g) Restrição de acesso à rede através do estabelecimento de domínios
lógicos separados, por exemplo, redes virtuais privadas, para grupos de
usuários dentro da organização.
Os requisitos para a especificação de rotas (imposição de caminho) devem
ser baseados na política de controle de acesso.
3.2.7 – Criptografia das Chaves (Q7)
Segundo Comer (2004), redes compartilhadas, especialmente aquelas que se
estendem através dos limites organizacionais, necessitam da incorporação de
controles de roteamento que garantam que as conexões de computador e o fluxo de
informações não violam a política de controle de acesso das aplicações. Este
controle é geralmente essencial para redes compartilhadas com prestadores de
serviços (usuários que não pertencem ao quadro da organização).
Os controles de roteamento são baseados em fontes confiáveis e
mecanismos de checagem de endereço de destino. A tradução dos endereços de
104
rede também é um mecanismo muito útil para isolar redes e prevenir a utilização de
rotas da rede de uma organização para redes de uma outra organização. Eles
podem ser implementados em software ou hardware.
6.8 – Resposta de Quaisquer Requisições (Q8)
Um portal de serviços financeiros não deve responder as requisições de
controle realizadas oriundas da Internet. Deve negar estas respostas de requisições,
de acordo com Mitnick (2003) a identificação automática de terminal é considerada
para autenticar conexões a locais específicos e para equipamentos portáteis. A
identificação automática de terminal é uma técnica que pode ser usada quando for
importante que uma sessão só possa ser inicializada a partir de uma localização
particular ou de um terminal de computador específico. Um identificador de terminal
ou um identificador anexado ao terminal pode ser utilizado para indicar se o terminal,
em particular, possui permissão para iniciar ou receber transações específicas. Pode
ser necessário aplicar proteção física para o terminal, para manter a segurança do
identificador. Outras técnicas também podem ser utilizadas para autenticar usuários.
3.2.9 – Resposta de Supostas Requisições Próprias e Falsas. (Q9)
É necessário saber se o portal responde as requisições oriundas da Internet
quando as mesmas se passam com o seu nome, pois isto deve ser negado. A única
resposta deve ser dada utilizando um protocolo de rede privada virtual. Para Comer
(2004) o acesso aos serviços de informação são realizados através de um processo
seguro de entrada no sistema chamado de log-on. O procedimento para entrada no
sistema de computador é projetado para minimizar a oportunidade de acessos não
autorizados. O procedimento de entrada no sistema (log-on), portanto, divulga o
105
mínimo de informações sobre o sistema, de forma a evitar o fornecimento de
informações desnecessárias a um usuário não autorizado. Um bom procedimento de
entrada no sistema (log-on) executa as seguintes tarefas:
a) Não mostra identificadores de sistema ou de aplicações até que o processo
de entrada no sistema (log-on) tenha sido concluído com sucesso;
b) Mostra um aviso geral informando que somente pessoas autorizadas
devem obter acesso ao computador;
c) Não fornece mensagens de ajuda durante o procedimento de entrada no
sistema (log-on) que poderiam auxiliar um usuário não autorizado;
d) Valida a informação de entrada no sistema (log-on) apenas quando todos
os dados de entrada estiverem completos. Caso ocorra uma condição de erro,
o sistema não deve indicar que parte do dado de entrada está correta ou
incorreta;
e) Limita o número de tentativas de entradas no sistema (log-on) sem sucesso
(é recomendado um máximo de três tentativas) e considere:
1) Registro das tentativas de acesso inválidas;
2) Imposição de tempo de espera antes de permitir novas tentativas de
entrada no sistema (log-on) ou rejeição de qualquer tentativa posterior
de acesso sem autorização específica;
3) Encerramento das conexões por data link;
f) Limita o tempo máximo e mínimo para o procedimento de entrada no
sistema (log-on). Se excedido, o sistema deverá encerrar o procedimento;
106
g) Mostra as seguintes informações, quando o procedimento de entrada no
sistema (log-on) finalizar com êxito:
1) Data e hora da última entrada no sistema (log-on) com sucesso;
2) Detalhes de qualquer tentativa sem sucesso de entrada no sistema
(log-on) desde o último procedimento efetuado com sucesso.
3.2.10 – Limitação de horários (Q10)
Para Albertini (1997) devem existir restrições nos horários de conexão
proporcionando segurança adicional para aplicações de alto risco. Limitando o
período durante o qual as conexões de terminal são permitidas para os serviços
computadorizados, se reduz a janela de oportunidade para acessos não autorizados.
Tal controle é considerado para aplicações computacionais sensíveis, especialmente
aquelas com terminais instalados em locais de alto risco, por exemplo, em áreas
públicas ou externas fora dos limites do gerenciamento de segurança da
organização. Exemplos deste tipo de restrição incluem a utilização de blocos de
tempo predeterminados, por exemplo, para transmissão de arquivos em lote ou
sessões regulares interativas de curta duração.
107
4. RESULTADOS
Segundo Hutchinson (2003), todos os modelos de segurança têm seus limites
teóricos e práticos. Nem sempre é possível satisfazer a todos os requisitos de
segurança desejados. De acordo com o referido autor, o emprego de um modelo de
segurança não implica em segurança total pois constantemente novas técnicas são
criadas para fazer alterações indevida (hacking) de sistemas e produtos.
4.1 APRESENTAÇÃO DOS RESULTADOS
A norma Brasileira ABNT NBR ISO/IEC 17799:2005, é um código de prática
para a gestão da segurança da informação que tem como objetivo estabelecer
diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão
de segurança da informação em uma organização.
O emprego dos controles, baseados na ABNT NBR ISO/IEC 17799:2005, são
uma forma efetiva de se criar uma política de segurança eficaz, contudo, conforme
ressalta Hutchinson (2003), o emprego de controles não é o suficiente para
assegurar as informações. Para McLean, a formação de uma cultura de segurança
da informação aos usuários dos serviços de portais financeiros é uma peça de vital
importância nesse esquema.
O Quadro 4 mostra o resultado da pesquisa, que apresenta 15 bancos
analisados em 10 questões. Ao todo foram identificados 150 pontos possíveis para
conformidade com a norma NBR ISO/IEC 17799:2005, destes 114 pontos foram
positivos e aderentes à norma.
108
Quadro 4: Resultado da coleta de dados.
Instituições Financeiras
Q1 Q2 Q3 Q4 Q5 Q6 Q7 Q8 Q9 Q10 %
1 Banco 1 1 1 0 1 1 0 1 0 1 1 70%
2 Banco 2 1 1 1 0 1 1 1 0 1 1 80%
3 Banco 3 1 0 1 1 1 0 1 1 1 1 80%
4 Banco 4 0 0 1 1 1 1 0 1 1 1 70%
5 Banco 5 1 1 1 0 1 0 1 1 1 1 80%
6 Banco 6 1 1 0 1 1 1 0 1 0 1 70%
7 Banco 7 1 1 1 1 0 1 1 1 1 1 90%
8 Banco 8 1 0 0 0 1 1 0 1 1 1 60%
9 Banco 9 1 1 0 1 1 0 1 0 1 1 70%
10 Banco 10 1 1 1 0 1 1 1 1 1 1 90%
11 Banco 11 1 1 1 0 1 1 1 1 1 1 90%
12 Banco 12 0 1 1 1 1 1 1 0 1 1 80%
13 Banco 13 1 0 1 0 1 0 1 0 1 0 50%
14 Banco 14 1 1 1 1 0 1 1 1 0 0 70%
15 Banco 15 1 1 1 0 1 1 1 1 1 1 90%
86,7 73,3 73,3 53,3 86,7 66,7 80,0 66,7 86,7 86,7
Fonte: Relatório de conformidade ISO NBR IEC 17799:2005
4.2 Análise dos Resultados
A norma ISO NBR 17799:2005, possui 12 capítulos, entre eles o capítulo
sobre a segurança no acesso à informação, que possui 40 pontos de
recomendações para serem seguidos. Destes 40 pontos, foram tratados 10 pontos
no qual é possível fazer a verificação de sua conformidade de forma remota sem a
109
intervenção e autorização da instituição financeira para a instalação de software
cliente em seus servidores. Desta forma, espera-se encontrar alto percentual de
conformidade nas questões analisadas. Por outro lado, é importante saber que o
ambiente na rede Internet pode ter oscilações. Para contemplar estas variações, o
resultado da amostra deste trabalho será favorável quando obtiver 90% das
questões analisadas, ou seja, em 10 questões, nove deverão apresentar
conformidade para ser considerada segura uma instituição financeira.
Sobre a primeira questão, foi verificado que em 86,7% das instituições
financeiras possui a existência de uma política para o uso de controles de acesso às
informações, neste caso, a criptografia para a proteção da informação. Nos testes
realizados foram verificados se o portal possui funções que apenas devem ser
acessadas utilizando-se técnicas de criptografia para evitar a interceptação de
informações através da Internet. Para isto faz-se necessária a utilização de um
certificado digital. O certificado digital utilizado é emitido pela Autoridade
Certificadora, filiada à ICP-Brasil, que é o órgão brasileiro responsável pela Infra-
estrutura de Chaves Públicas. É uma estrutura composta de um ou mais
certificadores denominados de Autoridades Certificadoras - AC que, através de um
conjunto de técnicas, consegue assegurar a identidade de um usuário de mídia
eletrônica ou assegurar a autenticidade de um documento suportado ou conservado
em mídia eletrônica.
Sobre a segunda questão, em 73,3% das instituições financeiras foi possível
verificar que existem técnicas de criptografia utilizadas para proteger os dados. Nos
testes realizados na segunda questão foram verificados se o portal financeiro faz uso
de chaves publicas de criptografia como 3DES Triple Data Encryption Standard, AES
Advanced Encryption Standard e IDEA International Data Encryption Algorithm. As
110
diversas Infra-estruturas de Chaves Públicas existentes hoje no mundo conseguem
assegurar a autenticidade de assinaturas digitais utilizadas atualmente na rede
mundial de computadores de modo a possibilitar, com elevadíssimo grau de
segurança no acesso aos portais.
Sobre a terceira questão em 73,3% das instituições financeiras foi possível
verificar que as assinaturas digitais foram utilizadas para proteger a autenticidade e
integridade de documentos eletrônicos.
Nos testes realizados na terceira questão, foram verificados se o portal faz
uso de uma assinatura digital, pois a assinatura digital é o meio mais seguro para
garantir a integridade na troca de informação entre duas partes, através do uso de
chaves de criptografia públicas e privadas. As chaves são obtidas através de uma
autoridade certificadora que define as chaves de criptografia.
Com os valores obtidos na quarta questão 53,3% das instituições financeiras
foi possível verificar que serviços de não repúdio foram utilizados, fornecendo todas
as evidências necessárias para garantir o Não-Repúdio de transações eletrônicas,
prevenindo e detectando alterações ou manipulações fraudulentas de conteúdos
eletrônicos nas transações realizadas nos portais.
Constata-se na quinta questão que em 86,7% das instituições financeiras foi
possível verificar que existe um sistema de gerenciamento para suportar o uso de
técnicas de criptografia, como técnicas de chave secreta e técnicas de chave
pública.
Sobre a sexta questão em 66,7% das instituições financeiras foi possível
verificar que o sistema de gerenciamento de chaves foi baseado em um conjunto
acordado de normas, procedimentos e métodos seguros.
111
Os dados capturados na sétima questão mostram que em 80,0% das
instituições financeiras foi possível verificar que o sistema de gerenciamento de
chaves foi baseado em um conjunto acordado de normas, procedimentos e métodos
seguros.
Foi importante observar que na oitava questão em 66,7% das instituições
financeiras foi possível verificar se o portal responde as requisições realizadas
oriundas da Internet.
Com as informações obtidas na nona questão, exibe que em 86,7% das
instituições financeiras foi possível verificar se o portal responde as requisições
oriundas da Internet com o seu nome deve negar, pois a resposta é feita via VPN.
Na décima questão, constata-se que em 86,7% das instituições financeiras
existem restrições de horários para efetuar pagamentos de contas e outras
requisições oriundas da Internet.
Entre as 10 questões analisadas, pode-se verificar que quatro questões
apresentam conformidade em 86,7% das instituições financeiras, ou seja, das 15
organizações analisadas, 4 estão em conformidades com 8 prerrogativas de
recomendações da norma ISO NBR 17799:2005. Os bancos trabalham com
políticas para o uso de controles de criptografia, fazem uso de chaves criptográficas,
as chaves possuem o nível de complexidade recomendado, os portais negam as
respostas para supostas requisições próprias e falsas, além de fazer alguma
limitação de suas funções em determinados horários.
Foi possível analisar que em duas questões foi obtida a conformidade em
73,3% das instituições financeiras, apresentando conformidades com as questões
da assinatura digital, a natureza das chaves de criptografia utilizada e uma
112
instituição bancária soma-se a esta conformidade a negação de qualquer requisição
que tenha origem à Internet, tendo um portal analisado em conformidade com 80%
das prerrogativas recomendadas com a ISO NBR 17799:2005. Estes dados
apresentados no cenário indicam um alerta, pois o mercado bancário como um todo
apesar de estar próximo de obter a conformidade indicada pela norma ISO NBR
17799:2005 não apresenta o resultado desejado.
É verificado na pesquisa que em duas questões, o nível de conformidade foi
obtido em 66,7% das organizações financeiras, mostrando que as técnicas
criptográficas recomendadas pela norma são obtidas em 10 dos 15 bancos
estudados.
A grande preocupação volta-se para uma única questão, que obteve
conformidade em apenas 53,14% dos portais financeiros analisados. Isto implica que
dos 15 bancos estudados, apenas oito deles, fazem as ações necessárias
recomendadas pelo ISO NBR 17799:2005 na questão que trata o não repúdio.
Este dado é preocupante, pois segundo Comer (2006) o não-repúdio, ou não
recusa, é a garantia que o emissor de uma mensagem ou a pessoa que executou
determinada transação de forma eletrônica, não poderá posteriormente negar sua
autoria, visto que somente aquela chave privada poderia ter gerado aquela
assinatura digital. Deste modo, a menos de um uso indevido do certificado digital,
fato que não exime de responsabilidade, o autor não pode negar a autoria da
transação.
As ferramentas utilizadas pelos bancos para disponibilizar acesso aos
usuários aos serviços prestados pelos portais, foram analisadas de forma eletrônica
e imparcial nesta pesquisa.
113
O cenário elaborado a partir desta pesquisa apresenta aos usuários dos
serviços bancários que em média 76% das 10 questões estudadas nas 15 maiores
instituições financeiras brasileiras estão em conformidade com as recomendações
da norma ISO NBR 17799:2005. Este percentual é considerado abaixo da
expectativa para se obter a certificação, mas como esta é uma análise do mercado
bancário como um todo e não de uma determinada instituição financeira, pode-se
esperar que as organizações bancárias em muito breve estejam em plena
conformidade com as recomendações da norma.
114
5. CONCLUSÕES
Este trabalho realizou uma análise sobre a aderência dos sistemas de
autenticação remota de usuário no acesso a sistemas WEB, mais especificamente
para sistemas de Internet banking. Estes parâmetros de comparação foram
selecionados da norma ISO NBR 17799:2005 descrita no embasamento teórico
desta pesquisa.
Os testes desta pesquisa foram realizados usando como cenário as 15
maiores instituições financeiras do Brasil. Nenhuma instituição financeira obteve
100% de conformidade com as questões analisadas da norma ISO NBR
17799:2005.
Para este tipo de pesquisa devem-se ter todas as respostas favoráveis para
todas as questões analisadas, pois este estudo trata apenas das questões que são
possíveis verificar remotamente sem ter a intervenção física nos data-centers ou
necessidade de instalar qualquer agente coletor de dados nos servidores que
hospedam os sites dos portais financeiros.
Diante do cenário analisado o maior índice de conformidade obtido foi de
86,7% e este valor foi alcançado por apenas quatro instituições financeiras, ou seja,
27% de um universo de amostras composto por 15 companhias bancárias. Em uma
única organização, foi possível observar conformidade em 80% das questões
analisadas. Em uma instituição, foi obtida conformidade em seis das 10 questões e
em apenas um único portal financeiro foi possível ter apenas 50% de conformidade
nas questões analisadas.
O setor bancário é um dos setores que mais investe em gestão da segurança
da informação, mas é possível observar que apesar dos grandes avanços obtidos no
115
âmbito da proteção da informação, ainda existe muito espaço para desenvolver e
colocar em prática o que as normas internacionais recomendam para este
segmento.
A proposta deste trabalho de pesquisa foi a análise de conformidade para os
acessos aos portais financeiros, segundo a norma Brasileira NBR ISO 17799:2005.
Este é um modo a aumentar a segurança e garantir a confidencialidade da senha.
Em momento algum o usuário informa sua senha, ele deverá sim, provar que a
conhece. Esta pesquisa pode ser utilizada em qualquer sistema que exija a
apresentação de senhas e não apenas para os portais financeiros.
A pesquisa mostra que quanto maior a aderência do portal financeiro com a
norma ISO NBR 17799:2005 pode-se informar se ele é seguro ou não. Assim, este
trabalho quer identificar para a sociedade que os portais financeiros brasileiros não
estão em sua plenitude em conformidade com as prerrogativas da norma ISO NBR
17799:2005.
5.1 BENEFÍCIOS
Esta pesquisa alerta para a sociedade sobre o crescimento da Internet nos
lares brasileiros. A pesquisa mostra que os computadores conectados à Internet
possuem muitas possibilidades, entre elas o acesso aos serviços que podem
economizar tempo para a população quando realizados na rede mundial de
computadores.
De acordo com estas informações, de um lado existem os usuários
conectados e do outro as empresas oferecendo sua prestação de serviços na
Internet e as instituições financeiras perceberam que podem oferecer serviços aos
116
usuários que já estão conectados na rede mundial de computadores. Desta forma
com o aumento dos computadores para uso doméstico, com o crescimento dos
meios de conexão à Internet e a disposição das instituições financeiras em oferecer
os seus serviços nesta via digital, é notória a necessidade de investigar a segurança
no acesso dos usuários aos portais financeiros.
Como métrica de definição de um ambiente seguro, foi adotado o confronto
com a norma ISO NBR 17799:2005 que estabelece as práticas necessárias para que
um ambiente tenha os dados protegidos e uma gestão que possa priorizar a
segurança da informação.
5.2 OPORTUNIDADES DE PESQUISAS
Esta pesquisa pode servir de base para verificar a aderência de qualquer
cenário dentro da gestão da tecnologia da informação em relação às normas que
regem a boa gestão e prática da segurança da informação.
A norma ISO NBR 17799:2005 exibe recomendação sobre como se deve
tratar a gestão da segurança da informação. Estas informações podem ser
colocadas em prática em diferentes cenários de diversas empresas da economia
digital.
O setor de varejo pode fazer uso dos mecanismos e da dinâmica empregada
nesta pesquisa.
Para obter maior desempenho o comércio eletrônico (CE) é utilizado
intensamente por supermercados virtuais por formas de varejo e atacado conhecidas
– incluindo os supermercados comuns. O usuário final, ao pagar suas compras
utilizando o cartão de crédito ou de débito, o atacadista que transfere dinheiro para a
117
conta do fabricante via transferência de fundos, o atacadista que recebe do varejista
no pagamento de um boleto pela Internet ou com o banco pelo telefone todos são
exemplos comuns de transação via CE. As negociações podem ser executadas e
concluídas com a utilização de meios eletrônicos (TV, telefone, Internet etc.) para
transações entre negócios diferentes, entre organizações e empresa-consumidor.
Outros setores como as organizações que atuam na área de saúde
complementar, podem usar as recomendações para a gestão da segurança da
informação diante da seriedade e confidencialidade de informações que devem ser
prestadas apenas aos pacientes.
Para dar continuidade diretamente nesta pesquisa tratando da gestão da
segurança da informação no acesso aos portais financeiros, como proposta de
trabalhos futuros, sugere-se:
a) A definição de um protocolo que utilize abordagem apresentada, ou seja,
em conformidade com a ISO NBR 17799:2005 tendo a segurança de um
protocolo criptográfico;
b) Modelos matemáticos para analisar a complexidade da segurança do
protocolo;
c) Implementação de um modelo para avaliação da satisfação e a sensação
de segurança dos usuários em geral.
118
REFERÊNCIAS:
ABNT– Associação Brasileira de Normas e Técnicas. Tecnologia da informação – Código de prática para a gestão da segurança da Informação. NBR ISO/IEC 17799. 30/09/2005 ABNT - Associação Brasileira de Normas e Técnicas. Código de Prática para a Gestão da Segurança da Informação. NBR ISO/IEC 27.002:2005. ALBERTIN, A. L. Comércio eletrônico: um estudo no setor bancário. São Paulo, 1997. 223 p. Tese de doutorado em Administração, Faculdade de Economia, Administração e Contabilidade da Universidade de São Paulo, 1997. ALBERTIN, Alberto Luiz. Comércio Eletrônico modelo, aspectos e contribuições de sua aplicação. 2. ed. São Paulo: Atlas S.A, 2000. ARUMUGA, P. S. Effective Method of Security Measures in Virtual Banking. 2006. BEAM, C.; SEGEV, A. The rise of electronic commerce: contributions from three factors. CITM Working Paper, Aug. 1996. BENBASAT, I.; GOLDSTEIN, D.; MEAD, M. The case research strategy in studies of information systems. MIS Quarterly, Minnesota, v. 11, nº 3, Set. 1987. BCB Site: http://www.bcb.gov.br/fis/TOP50/port/Top502008060P.asp acessado em: maio de 2009 CAMERON, D. Electronic commerce: the new business platform of the Internet. Charleston:Computer Technology Research, 1997. CARNUT, M. C.; HORA, E. C. Improving the Diceware Memorable Passphrase Generation System. In: VII Simpósio Segurança em Informática (SSI 2005), São José dos Campos, SP, Brasil. Anais... Novembro. 2005. CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes. http://www.cert.br acessado em: abril de 2008 COMER, D. Segurança na Internet, Rio de Janeiro: Campos, 2004. CREDE, CULLYER, J. The Technology of Safety and Security. Computer Bulletin, v.5, 1998. DAVENPORT, Thomas H. Ecologia da Informação. São Paulo: Futura, 1998. DRUCKER, P. Desafios gerenciais para o século XXI. São Paulo: Pioneira, 1999. ESTRADA, Manuel Martin Pinto. A Internet banking no Brasil, na América Latina e na Europa. Revista Prismas. Direito, Políticas Públicas e Mundialização. UniCEUB. Brasília. V. 2, n. 1, janeiro-junho 2005.
119
ENTRUST. Information Security Governance (ISG): An Essential Element of Corporate governance. April, 2004. Disponível On-line em: http://www.entrust.com/governance/. Visitado em agosto de 2008. FEBRABAN site: http://www.febraban.org.br/seguranca_site/ acessado em março de 2008. GIL, A. C. Métodos e técnicas de pesquisa social. São Paulo: Atlas, 1994. GONÇALVES, Luiz. Dissertação de Mestrado LNCC 2006, disponível em: http://arquivosweb.lncc.br/pdfs/dissertacao-luis-goncalves-0205.pdf Visitado em agosto de 2008. HOFACKER, Charles F. Internet Marketing. New York: John Wiley & Sons, 2001. HUTCHINSON, D. Security for Internet banking- a framework 2003. IBGE - Instituto Brasileiro de Geografia e Estatística Site: http://www.ibge.gob.br acessado em março de 2008. INTERNETWORLD site: http://www.Internetworldstats.com/stats10.htm acessado: Julho de 2008. ISO/IEC 27.002:2005 - Information technology - Security techniques - Code of practice for information security management. KALAKOTA, R.; WHINSTON, B. A. Electronic commerce: a manager’s guide. ISBN 0-201-88067-9. [S.l.], 1997. KHALIAD, M. N. Web Server Security. 2003 KOTLER, P. PFOERTSCH, W. Gestão de Marcas em Mercados B2B, São Paulo: Bookman, 2008. LAU, Marcelo. Análise das fraudes aplicadas sobre a ambiente Internet banking. Dissertação (Mestrado em Engenharia) - Escola Politécnica da Universidade de São Paulo, São Paulo. 2006. LAUDON & LAUDON, C. Sistemas de Informação Gerenciais, São Paulo: Prentice-Hall, 2004. LIMA, C., GARCIA, G., SAUL, M. Banking soundness and macroeconomic policy. Washington, DC.: IMF, 1996. MAÇADA, Antonio Carlos Gastaud; BECKER, João Luiz. Modelo para avaliar o impacto da tecnologia da informação nas variáveis estratégicas dos bancos brasileiros. Publicado no ENANPAD - 22º Encontro Nacional da Associação de Pós-graduação em Administração, 1998.
120
MAÇADA, Antonio Carlos Gastaud, Modelo para Qualidade da Informação na Indústria Bancária – o caso dos Bancos Públicos. Publicado no ENANPAD - 31º Encontro Nacional da Associação de Pós-graduação em Administração, 2007. MITNICK, Kevin. A arte de enganar. Ed. Makron Books 2003. NIST - National Institute of Standards & Technology. An Introduction to Computer Security: The NIST Handbook. FIPS 800-12. NIST. Outubro. 1995. O’ CONNELL, Brian . B2B.com Ganhando dinheiro no e-commerce Business-to-Bussiness . São Paulo: Makron Books Ltda . 2002. OLLMANN, Gunter. The phishing guide: understanding & preventing phishing attacks, 2007. http://www.nextgenss.com/papers/NISR-WP-Phishing.pdf>. Acessado em: Julho de 2008 PORTER, Michael E. What Is Strategy? Harvard Business Review, p. 61-78, Nov./Dec. 1996. REZENDE, D A; ABREU, A F. Tecnologia da Informação Aplicada a Sistemas de Informação Empresariais. São Paulo: Atlas. 2001. REUTERS, Vendas no setor de tecnologia. Disponível em: http://br.reuters.com/ acessado em 09/2009. SANTOS, F. G., et al. Autenticação utilizando senhas descartáveis baseadas em caos. Disponível em <http://inf.ufsc.br>. 2004. SAPOZNIK, Ralph; DEQUECH, Luciano. Governança corporativa e direitos de acionistas. Revista RI: relações com investidores, Rio de Janeiro, nov. 2005. SAWAYA, M. R. Dicionário de Informática e Internet. São Paulo: Nobel. 1999. SCHNEIER, B. Customers, Passwords, and Websites In: IEEE Security & Privacy Columns. Julho/Agosto. 2004. SEGEV, A. et al. Financial EDI over the Internet: a case study. CITM Working Paper, June 1995. SÊMOLA, Marcos. “Gestão da Segurança da Informação – Uma visão Executiva”. Rio de Janeiro: Campus, 2003. SINGH, N. P. Effective Method of Security Measures in Virtual Banking. 2006. SILVA, André Luiz Carvalhal da. Governança corporativa e decisões financeiras no Brasil. Rio de Janeiro: Mauad, 2005. SOKOL, P. EDI: The competitive edge. New York : McGraw-Hill, 1989.
121
SMITH, Richard E. Authentication: From Passwords to Public Keys. Addison Wesley, 2002. STEAFANEK, G. L. Information Security Best Practices 205 Rules, Boston: Butterworth-Heinemann. 2002 TAPSCOTT, D. The digital economy: promise and peril in the age of networked intelligence. New York: McGraw-Hill, 1995 THIOLLENT, J. Metodologia da pesquisa-ação. São Paulo: Atlas, 1992. TURBAN, E. Tecnologia da informação para gestão. São Paulo: Bookman, 2004. TURBAN, E; KING, David. Comércio Eletrônico Estratégia e Gestão. São Paulo: Prentice Hall, 2004. TURBAN, Efraim; RAINER, R. Kelly; POTTER, Richard E. Administração de Tecnologia da Informação. Rio de Janeiro: Campus, 2003. YIN, R. K. Case study research, design and methods. London: Sage Publications, 1984. WHITE, L. J. Electronic banking? Whoa, not so fast!: reports on the death of the paper check have been greatly exaggerated. http://www.stern.nyu.edu electronic.html. Aug. 2007.
122
GLOSSÁRIO Ameaça – evento ou atividade executada de maneira deliberada ou intencional, podendo causar danos em sistemas, através da exploração de vulnerabilidade. Dados críticos de segurança - representam informações sensíveis e relacionadas à segurança, tais como: Chaves criptográficas privadas, chaves simétricas de caráter secreto, chaves de sessão e dados de autenticação (senhas e PIN, por exemplo), cuja divulgação ou modificação podem comprometer a segurança de um módulo criptográfico. Engenharia social – técnica para obter informações sensíveis sem autorização, enganando ou induzindo o detentor das informações a fornecê-las. Função one-way hash (função de espalhamento) – algoritmo que gera um valor com tamanho fixo a partir de uma mensagem, utilizado para identificar se a mensagem foi alterada. Não é possível derivar a mensagem original a partir deste valor. ICMP – Internet Control Menssage Protocol, um protocolo de controle. O ICMP não é usado para a transmissão de dados, mas nem por isso deixa de desempenhar diversas funções importantes. A mais trivial delas é o ping, utilizada para verificar se uma determinada máquina está On-Line. Hash – valor com tamanho fixo produzido por uma função hashing, cujas características são não ser possível recompor o valor original a partir do hash e que a alteração de pelo menos um bit da mensagem original altera o hash. Keylogger – tipo de programa espião que captura as teclas pressionadas. Keyspace – conjunto de valores diferentes e possíveis para uma chave. Man-in-the-middle – tipo de ataque em que a mensagem original é interceptada antes de chegar ao destino, podendo ser manipulada. Spyware – programas espiões instalados no computador sem o conhecimento do usuário, ou instalados através de controles ActiveX ou Java, que podem estar armazenados em páginas de sites da Internet. Trojan – programa que se instala no computador do usuário, tendo como objetivo o roubo de dados específicos. Após colher os dados, como número de contas e senhas bancárias, enviam estes dados e pode auto destruir-se, eliminando qualquer vestígio de sua existência. Vulnerabilidade – falha ou fragilidade de um sistema ou programa, que pode possibilitar brechas para a ocorrência de danos no sistema ou programa.