virtual.ietec.com.brvirtual.ietec.com.br/mod/curriculum/file.php/orientation/... · web...
TRANSCRIPT
Instituto de Educação Tecnológica
Paolo Bordoni Caldeira
GESTÃO DE RISCO:
Uma pesquisa exploratória em projetos de segurança da informação
com abordagem em PMEs.
Belo Horizonte2013
Paolo Bordoni Caldeira
GESTÃO DE RISCO:
Uma pesquisa exploratória em projetos de segurança da informação
com abordagem em PMEs.
Trabalho de conclusão de especialização apresentado ao
Curso de Projetos do Instituto de Educação Tecnológica,
turma Nº 12 parcial à obtenção do título de especialista em
Gestão de Projetos.
Orientação do Prof. João Carlos
Belo Horizonte
2013
EPÍGRAFE
“Não corrigir nossas faltas é o mesmo que cometer novos
erros.” (Confúcio)
RESUMO
O objetivo central deste trabalho é analisar quais os riscos que projetos de
segurança da informação estariam expostos quando não consideram o ambiente
tecnológico e informacional de pequenas e médias empresas, podendo impactar no
sucesso de projetos relacionados de segurança da informação. Os profissionais da
área de TI e os empresários estariam preparados garantir a segurança da
informação, sua e de seus pares e consequentemente executar ações para garanti-
la, estes foram procurados para que então pudessem dar sua contribuição e
compartilhar suas experiências profissionais. O trabalho que foi desenvolvido não
tem como enfoque principal a parte técnica específicas de segurança, mas sim na
parte gerencial e estratégica com foco em Gestão de Risco, portanto este trabalho é
voltado para estudantes e profissionais que planejam reestruturar a organização de
forma mais segura. As entrevistas, realizadas através de uma pesquisa exploratória,
permitiram responder aos questionamentos e abordar de forma mais abrangente o
tema proposto; com isto os objetivos da investigação científica puderam ser
alcançados graças aos dados coletados com as entrevistados, empresas e
profissionais da área de tecnologia. Foi possível concluir, portanto que tem muito a
se fazer para que empresas de pequeno e médio porte possam chegar a um nível
aceitável de segurança.
Palavras chaves: Gestão de Risco, Segurança da Informação, Vulnerabilidades
Digitais, PMEs.
ABSTRACT
The aim of this work is to analyze what risks to information security projects would be
exposed when they do not consider the technological and informational environment
of small and medium enterprises, which can impact the success of projects related to
information security. The IT professionals and business owners would be prepared to
ensure security of information, and their peers and consequently take actions to
guarantee it, they were so popular that they could make a contribution and share
their professional experiences. The work was developed has as its primary focus the
technical specific security, but at the managerial and strategic focusing on Risk
Management, so this work is aimed at students and professionals who plan to
restructure the organization more secure. The interviews, conducted through an
exploratory allowed to answer questions and address more comprehensively the
proposed theme, with the goals of this research could be achieved thanks to the data
collected from the respondents, companies and professionals in the field of
technology. It can be concluded therefore that has much to do for small and midsize
can reach an acceptable level of safety.
Keywords: Risk Management, Information Security, Vulnerabilities, SMB
.
SUMÁRIO
1 INTRODUÇÃO.....................................................................................................101.1 TEMA E PROBLEMA...............................................................................................10
1.2 OBJETIVOS...........................................................................................................11
1.2.1Geral.................................................................................................................11
1.2.2Específicos......................................................................................................11
1.3 JUSTIFICATIVA.......................................................................................................11
1.4 ESTRUTURA DO TRABALHO...................................................................................12
2 REFERENCIAL TEÓRICO..................................................................................132.1 TEORIA DA COMPLEXIDADE....................................................................................15
2.1.1Cynefin.............................................................................................................16
2.1.2Contexto Simples – Domínio das Melhores Práticas...................................17
2.1.3Contextos Complicados – Domínio dos Especialistas................................17
2.1.4Contexto Complexo – Domínio da Emergência............................................18
2.1.5Contexto Caótico – Resposta Rápida...........................................................18
2.2 ANÁLISE DE IMPACTO NO NEGÓCIO........................................................................18
2.3 IDENTIFICAÇÕES DOS RISCOS.................................................................................19
2.4 ANÁLISE QUALITATIVA...........................................................................................20
2.5 ANÁLISE QUANTITATIVA.........................................................................................21
2.6 PLANEJAMENTO DE RESPOSTA A RISCOS...............................................................24
2.7 MONITORAMENTO E CONTROLE DE RISCOS.............................................................26
3 TABELA DE TEMAS...........................................................................................28
4 GESTÃO DE RISCO EM PROJETOS DE SEGURANÇA DA INFORMAÇÃO...294.1 SISTEMAS DE INFORMAÇÃO...................................................................................29
4.2 SISTEMAS DE INFORMAÇÃO E AS ORGANIZAÇÕES..................................................31
4.3 ATIVO UNIVERSAL – A INFORMAÇÃO.....................................................................33
4.4 SEGURANÇA DA INFORMAÇÃO...............................................................................34
4.5 COMITÊ DE SEGURANÇA........................................................................................35
4.6 AMEAÇAS.............................................................................................................37
4.6.1Engenharia Social...........................................................................................37
4.6.2Malware............................................................................................................38
4.6.3Ataques à Rede...............................................................................................38
4.7 CONTRA MEDIDAS.................................................................................................39
5 PESQUISA...........................................................................................................425.1 CONTEXTO DA PESQUISA......................................................................................42
5.2 APRESENTAÇÃO, DISCUSSÃO E ANÁLISE DE DADOS..............................................42
6 CONSIDERAÇÕES FINAIS.................................................................................49
REFERÊNCIAS.........................................................................................................54
ANEXO 1 – ENGENHARIA SOCIAL........................................................................57
LISTA DE FIGURAS
Figura 1 – Cynefin.....................................................................................................17
LISTA DE TABELAS
Tabela 1 - Matriz de probabilidade e impacto............................................................20
Tabela 2 - Matriz de probabilidade e impacto............................................................20
Tabela 3 - Planejamento de Resposta aos Riscos....................................................24
Tabela 4 - Monitoramento e Controle dos Riscos......................................................27
Tabela 5 – Tabela de Sub Temas.............................................................................28
1 INTRODUÇÃO
1.1 Tema e Problema
Em dias cada vez mais competitivos, obtenção de informações importantes e em
tempo hábil, tornaram fatores cruciais para a sobrevivência das organizações. É
necessário que empresas inseridas neste novo contexto, além de possuírem
sistemas ágeis para obtenção de informação, tenham um ambiente seguro.
De acordo com Laudon (1999) houve três mudanças globais que tornaram o espaço
empresarial altamente competitivo. A primeira foi o surgimento e o fortalecimento da
economia global, onde trouxe as ameaças da globalização e da tecnologia da
informação; a segunda foi a transformação da economia e da sociedade industrial,
onde começou uma revolução da informação e do conhecimento; e a terceira a
transformação das empresas, onde a tecnologia torna as empresas mais
dependentes do conhecimento. Estas transformações são os efeitos da Terceira
Onda, que segundo Polloni (2000), de acordo com Alvin Toffler, se trata da onda dos
sistemas de informação.
Nos últimos anos nunca ouvimos falar tanto sobre segurança da informação e
tivemos notícias sobre exposição de dados sigilosos. Um exemplo que poderíamos
citar seria o site WikiLeaks e os ataques realizados pelo grupo de hackers intitulados
Anonymous contra os serviços online do governo brasileiro e contra as instituições
bancárias brasileiras, mas este trabalho não tem a pretensão de abortar a segurança
destas grandes corporações e sim das empresas pequenas e médias corporações
como escritórios de advocacia, contabilidade e transportadores, fornecedores em
geral que detém de alguma formar informações relevantes de grande corporações
de maior porte.
Logo o problema da pesquisa será responder: As empresas de pequeno e médio
porte estão conscientes do seu papel sobre manutenção segura das informações?
10
Como a falta de consciências destas empresas, quais os riscos que estas podem
trazer aos projetos de segurança da informação, quando seus ambientes não são
levantados corretamente?
1.2 Objetivos
1.2.1 Geral
Este projeto de conclusão de curso terá como objetivo geral realizar dentro da
metodologia de gestão de risco do PMBoK, como o ambiente destas empresas
poderiam impactar os projetos de segurança da informação.
1.2.2 Específicos
Identificar quais empresas tem consciência sobre gestão de risco.
Identificar se através dos questionários para quais ataques as empresas
estão mais suscetíveis.
Identificar quais empresas conseguem quantificar o valor do bem
informacional.
Identificar quais empresas apresentam evolução e melhoria contínua na área
de segurança.
Identificar quantas empresas estão preparadas e lidas com incidentes de
segurança.
1.3 Justificativa
O tema sobre segurança da informação vem sendo discutido nas organizações,
principalmente colocando a responsabilidade do papel da gestão de segurança sob
o setor de tecnologia, mas é importante lembrarmos que tecnologia e seu setor é
somente um pilar da gestão de segurança, segundo Edson Fontes (2008), os
11
processos de segurança devem envolver toda a empresa, pois independentemente
do setor, um dos fatores mais críticos é justamente a conscientização e a educação
das pessoas.
Por se tratar de um processo complexo e que esbarra em características culturais
das organizações, muitos empresários preferem delegar esta responsabilidade a
área de TI, talvez pelo fato que culturalmente os profissionais desta área já tenham
desenvolvido a consciência da importância sobre segurança, analisando como ponto
de partida é uma estratégia, mas este processo tem de que evoluir para além disto a
começar pela conscientização de pessoas com poder de gerência e diretoria.
Não é uma tarefa fácil conscientizar o funcionário não pode deixar o relatório sigiloso
em cima da mesa, mesmo que ele que ele não compartilhe sua senha como outros
usuários para acessarem a este relatório, assim sem a aprovação ou apoio das
pessoas de gerências não tem como cobrar a eficiência do processo de segurança.
E se as empresas não tem a real consciência para os dados internos, protegendo
sua própria informação, qual seria o real nível de segurança das informações de
clientes dentro destas organizações?
1.4 Estrutura do Trabalho
Nos tópicos seguintes seguem o referencial teórico, o processo metodológico, a
pesquisa organizacional e a conclusão do projeto; sendo o referencial teórico toda a
teoria envolvida para dar base ao projeto e sustentabilidade à conclusão; o processo
metodológico demonstra a técnica utilizada para o levantamento dos dados; a
pesquisa organizacional descreve o perfil da amostra que será feito o levantamento
dos dados e por último a conclusão que demonstrou o resultado alcançado pela
pesquisa sendo esta uma imagem da pesquisa organizacional.
12
2 REFERENCIAL TEÓRICO
Segundo o PMBoK (2008), risco é um evento ou condição incerta que, se ocorrer,
tem um efeito em pelos menos um objetivo do projeto. Base neste conceito,
podemos estendê-lo para efeito de toda organização.
Já a metodologia de gerenciamento de projetos PRINCE2® (2009), conceitua que
risco é a percepção da probabilidade de uma ameaça ou oportunidade.
O risco da organização e de projetos de segurança está relacionado sempre ao
futuro e elementos que este está exposto que podem trazer algum impacto ou
prejuízo. O objeto do processo de gerenciamento de risco é relacionar, identificar e
preparar tanto a organização quanto a um projeto a responder quando um fator de
risco se torna real.
Ao analisar os risco é importante ter em mente que os fatores podem ser tanto
positivos quanto negativos, é verdades que os fatores de risco são em sua maioria
negativos, entretanto existem risco positivos e devem ser relacionados, identificados
e ter plano de ações preparados.
O gerenciamento de Risco como uma das áreas de conhecimento do PMBoK (2008)
sua análise impacta diretamente:
Estrutura Analítica do Projeto (EAP).
Cronograma e sua linha base.
Custo e sua linha base.
Plano de Base.
Plano de Aquisições.
Plano de Recursos Humanos
Do mesmo modo que a análise de risco impacta na maioria das áreas de
conhecimento de um projeto ela também impacta em toda a organização,
13
principalmente quando o tema é gerenciamento de projetos em segurança da
informação.
Magalhães (2008) divide o Gerenciamento de Risco em cinco atividades, sendo:
Identificação: atividade que identificar os riscos que colocam o negócio em
risco.
Priorização: prioriza quais os riscos que serão trabalhados.
Plano de ação: atividade que define o plano de ação para mitigar os riscos.
Divulgação ou Atualização: geração de documentos de controle.
Monitoramento: Verificar se o risco está controlado.
Segundo o PRINCE2® (2009), para que esse Gerenciamento de Riscos seja
eficaz, pode ser dividido em somente três fases, onde precisam ser:
Identificados: levantar os riscos que comprometem o alcance dos objetivos
do projeto e registrá-lo para que esse risco seja de conhecimento de todos os
integrantes do projeto.
Avaliados: Classificar os riscos em probabilidade de ocorrência e impacto no
projeto.
Controlados: Identificar as respostas devidas aos riscos, identificar a quem
este risco está associado e executar, monitorar e controlar as respostas aos
riscos.
Segundo Dulaney (2011), avaliação de risco ou análise de risco é cálculo do
peso de uma potencial ameaça com base em sua probabilidade de ocorrer. O
autor considera os seguintes analises para a avaliação do risco:
Risco que a organização está exposta: esta análise baseia-se em
desenvolver e criar cenários hipotéticos que podem ser vistos como risco para
a organização.
Risco que precisam ser mapeados: este é o mapeamento de risco que
foram classificados como reais.
14
Coordenação do risco de acordo com a BIA (Business Impact Analysis): a BIA permite que a organização relacione, através de decisões inteligentes,
as repostas para os riscos analisados.
O PMBoK (2008) relaciona os seguintes processos quanto ao gerenciamento de
risco:
Planejar o gerenciamento de risco: define como será conduzido o
gerenciamento de risco no projeto.
Identificar o risco: define quais os riscos podem afetar os projeto e
documentá-los.
Realizar a análise quantitativa dos riscos: prioriza o risco conforme análise
probabilística e impacto.
Realizar a análise quantitativa: analisar o risco de forma numérica.
Planejar as respostas aos riscos: é a elaboração de um plano de ação aos
riscos.
Monitorar e controlar os riscos: é o processo de implementação das
respostas e verificação dos resultados, monitorando os riscos residuais.
Diógenes (2011) define como risco residual como o valor não coberto pela ação de
resposta ao risco, como por exemplo, a elaboração de uma seguro de R$
500.000,00 para um bem R$ 800.000,00, sendo o risco residual de R$ 300.000,00.
2.1 Teoria da complexidade
A complexidade é mais uma forma de pensar sobre o mundo do que um modelo matemático. Há um século, Frederick Wislow Taylor, o pai da ciência magnética, revolucionou a liderança. Hoje, com os avanços na ciência da complexidade, combinada com o conhecimento da ciência cognitiva, estão transformando o cenário novamente. A ciência da Complexidade está pronta para ajudar os líderes atuais e futuros no que diz respeito a tecnologias avançadas, globalização, mercados, diferenças culturais, entre outros. (SNOWDEN, 2007, p. 3).
Segundo o artigo de Snowden (2007) um sistema complexo possui as seguintes
características:
15
Envolve um grande número de elementos interagindo entre si.
As interações são não lineares e pequenas mudanças podem produzir
grandes consequências.
O sistema é dinâmico, o todo é maior que a soma das partes e soluções não
podem ser impostas, pelo contrário elas surgem das circunstâncias. Isto é
frequentemente referenciado como emergência.
O sistema tem uma história, e o passado é integrado com o presente, os
elementos evoluem na relação com outros elementos e com o ambiente e
esta evolução é irreversível.
Embora um sistema complexo possa parecer ordenado e previsível, não é
possível prever as ações porque as condições externas e sistemas estão em
constante mudança.
Ao contrário dos sistemas ordenados (onde o sistema restringe os agentes) e
os sistemas caóticos (onde não há restrição), no sistema complexo os
agentes quantos o sistema restringe uns aos outros, isto significa que não há
como prever ou predizer o que acontecerá.
2.1.1 Cynefin
Ao longo de 10 anos de estudos o governo americano com o auxilio de empresas
privadas desenvolveram o modelo Cynefim, que permitem executivos a ver novos
pontos de vista, assimilar conceitos complexos e identificar reais problemas e
oportunidades.
O modelo Cynefin define graus de complexidade que são divididos inicialmente em
quatro categorias, sendo que quinta, desordem, é o conjunto das outras quatro.
16
Figura 1 – Cynefin Fonte: Snowden (2007)
2.1.2 Contexto Simples – Domínio das Melhores Práticas
Este contexto é caracterizado por estabilidade e clareza da relação causa e efeito.
Muitas vezes, a resposta certa é evidente e incontestável. Contextos simples,
devidamente avaliados, requerem gestão e monitorização simples, neste contexto os
líderes categorizam e agem, todos os agentes envolvidos no processo conseguem,
no contexto simples, identificar o problema e resolvê-lo.
2.1.3 Contextos Complicados – Domínio dos Especialistas
Contextos complicados, ao contrário dos simples, podem conter múltiplas respostas
certas, e embora haja uma clara relação entre causa e efeito, nem todos podem vê-
lo. Enquanto líderes em um contexto simples devem sentir, categorizar, e responder
a uma situação, aqueles em complicado contexto deve sentir, analisar e responder.
17
Neste tipo de contexto são os especialistas que tendem a sugerir soluções para os
problemas e não os líderes, o perigo disto é que geralmente os especialistas não
aceitam opinião de outros que não são e com isto ideias se perdem. Outra barreira
que pode ocorrer neste tipo de contexto é “paralisia de análise” quando um grupo de
especialistas atinge um impasse devido à opinião individual ou disputa de ego.
2.1.4 Contexto Complexo – Domínio da Emergência
No contexto Complicado existe pelo menos uma solução correta já no contexto
Complexo a solução é obscura. Este é geralmente o contexto encontrado nas
situações de decisão das organizações. Neste contexto os líderes utilizam de
históricos passados e intuição e monitoram a resposta do ambiente, de forma
cautelosa. Líderes que tentam impor ordem neste tipo de contexto geralmente
falham.
2.1.5 Contexto Caótico – Resposta Rápida
Neste contexto a busca por resposta certas é inútil. As relações entre causa e efeito
são impossíveis de determinar porque elas mudam constantemente e nenhum
padrão gerenciável existe somente turbulência. Neste contexto o líder não deve se
preocupar com padrões, ele deverá agir primeiro para tentar eliminar ou reduzir os
efeitos. De acordo com a resposta do ambiente o líder deverá identificar quais os
pontos estão novamente estáveis e quais ainda estão em estado caótico, agindo e
monitorando até que o ambiente retorne ao contesto de complexidade.
2.2 Análise de impacto no negócio
Dulaney (2011), a Análise de Impacto no Negócio (BIA – Business Impact Anaysis) é
um dos dois componentes chaves classificados por Dulaney como crucial para a
continuidade do negócio.Análise de Impacto no Negócio é o processo de avaliação de todo sistema crítico em uma organização para determinar os impactos e os planos de recuperação. A BIA não preocupa com ameaças externas ou vulnerabilidades esta análise coca no impacto e perdas que poderiam haver na organização. (DULANEY, 2011, p. 457)
18
Os itens da Análise do Impacto no Negócio, segundo Dulaney (2011) são:
Identificar Funções Críticas: identificar quais são as funções necessárias
para continuidade do negócio.
Priorizar Funções Críticas do Negócio: classificar as funções, definindo
ordem de prioridade para as funções.
Calcular o Tempo de Parada para Perda de Sistemas Críticos: definir
quanto tempo o negócio pode sobreviver sem uma das funções críticas e qual
seria o tempo para restabelecer a função.
Estimar os Impactos Tangíveis e Intangíveis na Organização.
2.3 Identificações dos riscos
“Identificar os riscos é o processo de determinação dos riscos que podem afetar o
projeto e de documentação de suas características.” (PMBOK, 2008, p. 282).
Magalhães (2008) considera que para realizar a identificação do risco é necessário
considerar as perspectivas físicas e lógicas.
Análise lógica refere-se aos padrões mínimos de configuração dos serviços da
Tecnologia da Informação, analisando quais deste não essências para manutenção
dos serviços críticos para o negócio ou projeto. Esta análise deve conter rotinas de
seguranças, mecanismos de alta disponibilidade, entre outros.
A análise física refere-se aos acessos físicos e condições de infraestrutura e
localização.
Estas análises devem levar em consideração sempre a priorização dos ativos,
classificando-os por valor financeiro, custo ou valor perante a concorrência, e
estabelecer os calores dos ativos tendo por base o valor físico e comercial do ativo.
Algumas ferramentas sugeridas pelo PMBOK (2008) para auxílio da identificação do
risco são: Brainstorming, Técnica de Delphi, Análise de Causa-Raiz, Digrama de
Ishikawa.
19
Para identificar os riscos, o PRINCE2® (2009) recomenda ações como:
Verificar as oportunidades e ameaças identificadas no levantamento de
riscos.
Preparar indicadores de alerta, antes mesmo de o risco começar a se
consolidar, para monitorar as fases críticas do projeto e se informar das
principais fontes de risco.
Entender as visões dos stakeholders sobre os riscos específicos capturados.
2.4 Análise qualitativa
Um das formas de priorizar os riscos é através qualitativa, esta análise é realizada
através de uma avaliação entre probabilidade e impacto é possível definir o grau de
prioridade para o risco.
Para realizar podemos utilizar ferramentas como a matriz de probabilidade de e risco
proposto pelo PMBoK (2008) e demonstrado na Tabela 1 - Matriz de probabilidade e
impacto e semáforos proposto por Kezner (2006) e demonstrado na
Tabela 1 - Matriz de probabilidade e impactoFonte: PMBoK (2008)
Tabela 2 - Matriz de probabilidade e impacto Fonte: Kezner (2006)
Probabilidade0,90 0,05 0,09 0,18 0,36 0,72 0,72 0,36 0,18 0,09 0,050,70 0,04 0,07 0,14 0,28 0,56 0,56 0,28 0,14 0,07 0,040,50 0,03 0,05 0,10 0,20 0,40 0,40 0,20 0,10 0,05 0,030,30 0,02 0,03 0,06 0,12 0,24 0,24 0,12 0,06 0,03 0,020,10 0,01 0,01 0,02 0,04 0,08 0,08 0,04 0,02 0,01 0,01
0,05 0,10 0,20 0,40 0,80 0,80 0,40 0,20 0,10 0,05
Ameaças Oportunidades
Símbolo Probabilidade Impacto•••• Certa Ameaça o sucesso de todos o projeto•••◌ Alta Afeta os resultados, cronograma e/ou orçamento••◌◌ Média Pode afetar resultados, cronograma e/ou orçamento•◌◌◌ Baixa Com empenho, pode ser administrado sem afetar resultados, cronograma e/ou orçamento◌◌◌◌ Improvável Pequeno ou nenhum
20
2.5 Análise quantitativa
Todo esforço de gestão de risco das instituições parte do planejamento dessa
gestão, e finaliza com a implementação efetiva das ações para gerenciá-los, e seu
monitoramento e controle. O último estágio antes da definição e implementação das
ações citadas é a análise quantitativa dos riscos, a qual é dispendiosa e complexa,
por isso só é implementada após estudos e classificações preliminares.
Brito (2007) considera nove classes de riscos operacionais como sendo os mais
impactantes para as instituições:
Risco de Reputação: retrata o impacto negativo gerado pelo fluxo de
informações no mercado não alinhadas com as expectativas dos
stakeholders.
Risco de Liquidação: ocorre quando a instituição ou qualquer stakeholder
não recebe determinada receita devida em determinado momento.
Risco humano: segundo o autor gerado durante o processo decisório devido
ao estresse o excesso de autoconfiança
Risco de descontrole interno: efeito de falha nos sistemas internos de
controle do processo.
Risco de gestão inadequada do negócio: refere-se à insuficiência ou
inadequação das ferramentas/softwares usados para conduzir o negócio.
Risco sistêmico: falha no processo operacional com consequências que
direta ou indiretamente se retroalimenta, gerando o efeito bola de neve.
Risco legal: decorre de desalinhamento dos processos internos da instituição
com as práticas tidas como legalmente corretas, seja devido à desatualização
em relação às leis vigentes.
Risco a imagem: refere-se ao comprometimento da marca da instituição por
perdas acumuladas no market share.
Risco de fraude: tem origem no tratamento tributário inadequado
considerado irresponsável ou desonesto pelo stakeholder.
21
Padoveze e Bertolucci (2009, p. 7-8) classificam os riscos operacionais em:
Estratégico: São estruturais e definidos no planejamento estratégico da
instituição, normalmente ocasionados por uma avaliação macro equivocada
do mercado e cenários futuros.
De gestão: são gerados por planejamento tático inadequado e geram perdas
financeiras em médio prazo, normalmente relacionadas ao planejamento
tributário, contábil, financeiro, RH ou TI.
Operacionais: relacionados com falhas humanas em seu processo decisório,
ou mesmo ineficiência ou ineficácia na condução do negócio, roubo ou
fraude.
Estando definidas as classes e tendo sido feita a análise qualitativa dos riscos, a
análise quantitativa torna-se pertinente para os riscos mais significativos, e com
relevantes benefícios em relação a outras ferramentas de gestão de riscos.
Ding Tan (2002) considera que a análise quantitativa é uma ferramenta mais
poderosa para embasar qualquer proposta apresentada aos gestores, com
objetividade e projeção direta de custos e benefícios. Defende também que ela pode
ser personalizada às indústrias onde são usadas atendendo a condições
específicas, e é menos exposta a questionamentos que outras ferramentas porque
suas projeções normalmente são geradas a partir de dados irrefutáveis.
Brito (2007) defende o uso tratamento quantitativo dos riscos operacionais com o
uso de técnicas, métodos e modelos matemáticos e estatísticos para mensurar
possíveis futuras perdas esperadas e inesperadas de determinada instituição.
Considera que estas ferramentas dividem-se em dois tipos básicos: bottom-up e top-
down. A primeira usa bases de dados extensas e detalhadas, segregadas por
fatores de risco e alocadas simulando hipóteses consistentes, com aderência
aceitável a realidade operacional. As ferramentas da classe top-down interpretam os
indicadores agregados de desempenho da instituição e seu impacto no resultado,
oferecendo os benefícios da simplicidade e do baixo custo, transparência e
aplicabilidade da técnica, e com a desvantagem da aproximação grosseira e ênfase
no passado.
22
Com relação a riscos de perda de prazo, Galvão (2005) considera que a grande
diferença entre a análise quantitativa de riscos e as técnicas determinísticas
tradicionais como o CPM (Critical Path Method), é que a primeira permite um
tratamento probabilístico dos parâmetros de projeto para os quais existem incertezas
associadas, como por exemplo, estimativas de duração. Na análise quantitativa as
estimativas são representadas por distribuições estatísticas de probabilidade entre
os valores mínimo e máximo. Como resultado o cronograma também passa a ser
representado em termos probabilísticos, o que permite a análise de diversos
cenários possíveis para o projeto, com diferentes chances de ocorrência.
A metodologia defendida por Ding Tan (2002) considera que uma modelagem de
análise quantitativa de riscos processa os seguintes dados:
Fator de exposição: percentagem do ativo perdida devido a uma ameaça
conhecida. Varia de 0 a 100%.
Expectativa de perda individualizada: É o resultado da multiplicação do
valor do ativo pelo fator de exposição, o que gera um valor provável de perda.
Taxa de ocorrência anualizada: refere-se à frequência estimada de uma
ameaça ocorrer e é decomposta em um valor anualizado, portanto se
apresenta frequentemente como um número fracionário.
Expectativa de perda anualizada: É o resultado da multiplicação da taxa de
ocorrência anualizada pela expectativa de perda individualizada.
Análise de custo/benefício das medidas mitigatórias: é um número que
avalia a validade da implementação das medidas mitigatórias. É calculado
subtraindo-se da expectativa de perda anualizada em valor moeda antes da
implementação das medidas mitigatórias por esta mesma expectativa de
perda após a implementação das medidas. Deste valor final ainda é subtraído
o custo de implementação das medidas mitigatórias.
O uso da análise citada acima permite a avaliação da Taxa Interna de Retorno do
investimento na implementação de cada medida mitigatória. Sendo esta TIR positiva
diretamente se valida à implementação da medida mitigatória de forma
individualizada.
23
2.6 Planejamento de resposta a riscos
Ao identificar e analisar os riscos, é imprescindível que uma resposta seja proposta
e realizada. Segundo Dinsmore (2009) a fase do planejamento da resposta do risco
é a parte mais importante do processo, devido ao fato da equipe de projeto se
prepara para fazer a diferença em relação ao aparecimento dos riscos enfrentados
no projeto.
Segundo Possi (2006), o Planejamento de Resposta aos Riscos é o processo que
encontra as opções e sugere ações para que as oportunidades cresçam e que as
ameaças aos objetivos do projeto diminuam, incluindo a identificação dos
stakeholders para cada resposta ao risco planejada.
“Este processo assegura que os riscos identificados serão corretamente tratados. A
efetividade da resposta planejada determinará diretamente se o risco aumentou ou
diminuiu para o projeto”. (POSSI, 2006, p.23)
A Tabela 3 - Planejamento de Resposta aos Riscos demonstra as entradas,
ferramentas e técnicas e saídas para o planejamento de resposta aos riscos:
Planejamento de Resposta aos Riscos
Entradas Ferramentas e Técnicas Saídas
- Plano de gerenciamento de riscos.
- Registro de Riscos.
- Estratégia para riscos negativos ou ameaças.- Estratégia para riscos positivos ou oportunidades.- Estratégia para ameaças ou oportunidades.- Estratégia para respostas contingenciadas.
- Registro de riscos (Atualizações).- Plano de Gerenciamento de Projetos (Atualizações).- Acordos contratuais relacionados a riscos.
Tabela 3 - Planejamento de Resposta aos RiscosFonte: POSSI (2006)
24
Ainda segundo Possi (2006), normalmente são utilizadas três estratégias com riscos
que, caso consolidados, podem vir a resultar em um impacto negativo aos objetivos
do projeto:
Prevenir: A prevenção do risco se dá com a mudança do plano do projeto,
para que, assim, o risco deixe de ser uma ameaça e ter uma melhor chance
de se tornar uma oportunidade. Reduzir escopo, adicionar recursos e
prorrogar prazos são exemplos de prevenção às ameaças.
Transferir: A transferência de risco é a transferência das consequências do
risco a uma terceira parte, bem como a responsabilidade da resposta ao
risco. Porém, isso simplesmente coloca um terceiro como responsável do
gerenciamento do risco, mas não o elimina.
Mitigar: A mitigação busca reduzir as consequências ou probabilidade de
ocorrências das ameaças. Isso se dá por agir preventivamente ao risco. Em
alguns casos, cabe-se até uma alteração de escopo para que essa redução
aconteça.
De acordo com Daychoum (2005), são utilizadas quatro estratégias com riscos
que, caso consolidados, podem vir a resultar em um impacto positivo aos
objetivos do projeto:
Melhorar: Procurar aumentar a probabilidade de ocorrência ou os impactos
positivos ao projeto.
Compartilhar: Procurar transferir a responsabilidade e propriedade do risco a
terceiros que possam ter um melhor aproveitamento das oportunidades
geradas pelo risco.
Explorar: Verificar maneiras para que o risco (oportunidade) realmente se
concretize, eliminando a incerteza da ocorrência.
Aceitar: Não modificar o plano do projeto para lidar com o risco ou não ser
capaz de identificar e fazer um planejamento de resposta ao risco.
Já para Passos (2008), as respostas planejadas dependem da capacidade da
equipe de agir sobre os eventos. O desenvolvimento de resposta aos riscos
envolvem definições de passos para tratamento das oportunidades e
25
desenvolvimento das ações necessárias aos riscos de impacto negativo, e eles
podem ser do tipo:
Eliminação: trata-se de eliminar o risco através da eliminação de suas
causas. É impossível eliminar todos os riscos, mas certos riscos específicos
sempre podem ser eliminados.
Mitigação: trata-se de reduzir o valor monetário esperado de um evento de
risco reduzindo sua probabilidade de ocorrência ou reduzindo o valor
esperado do evento (valor do impacto) ou ambos.
Transferência: esta técnica não elimina o risco, mas trata de transferir a sua
consequência para uma terceira parte. Algumas vezes, significa dar-lhes a
responsabilidade pelo gerenciamento do agente causador do risco. Pode-se
ainda transferir a consequência financeira do risco firmando contratos de
seguros. Da mesma maneira que as pessoas fazem seguros de automóveis
contra colisões e outros sinistros como forma de dispor de reserva financeira
extra para tratamento desses riscos caso ocorram, também podem ser feitos
esses seguros para projetos ou suas partes dependendo da necessidade e do
grau de impacto.
Aceitação: nessa abordagem o risco será aceito, bem como suas
consequências. A aceitação pode ser ativa ou passiva. No caso da aceitação
ativa são desenvolvidos planos de contingência a serem executados caso o
risco venha acontecer.
2.7 Monitoramento e controle de riscos
Para Dinsmore (2009), a fase final do processo de risco tem a finalidade de
assegurar que as resposta planejadas tenham tido a solução do que foi esperado
para o seu desenvolvimento. É de suma importância o acompanhamento do
aparecimento de novos riscos, avaliando a eficácia total do processo de
gerenciamento de riscos. Para um melhor resultado, esses objetivos deverão passar
por uma reunião de revisão do risco, embora seja possível, em projetos menores,
rever o risco como parte de uma reunião de progresso regular do projeto.
Segundo Possi (2006), os objetivos do monitoramento dos Riscos são verificar se:
26
As respostas aos riscos estão sendo executadas de acordo com o planejado;
As ações de resposta aos riscos estão efetivas, conforme esperado;
As premissas do projeto ainda estão válidas;
O risco se modificou de acordo com seu estado anterior, verificando suas
tendências;
Um alerta de risco aconteceu;
Os procedimentos estão sendo seguidos;
Um novo risco está iminente.
Ainda segundo Possi (2006), o controle dos riscos pode se dar pela escolha de
estratégias alternativas, pela implementação de um plano de contingência, por
tomada de ações corretivas ou até mesmo pelo replanejamento do projeto.
Monitoramento e Controle dos Riscos
Entradas Ferramentas e Técnicas Saídas
- Plano de gerenciamento de riscos.- Registro de Riscos.- Solicitação de Mudanças aprovada.- Informações sobre o desempenho do Projeto.- Relatório de Desempenho.
- Reavaliação dos Riscos.- Auditoria de Riscos.- Análise das tendências e da variação.- Medição do Desempenho Técnico.- Análise de Reservas.- Reuniões de Andamento.
- Registro de riscos (Atualizações).- Mudanças Solicitadas.- Ações corretivas solicitadas.- Ações preventivas recomendadas.- Ativos de processos organizacionais (Atualizações).- Plano de Gerenciamento de Projetos (Atualizações).
Tabela 4 - Monitoramento e Controle dos RiscosFonte: POSSI (2006)
O gerenciamento de risco é um processo interativo cíclico, e segundo Dinsmore
(2009), esse processo não deverá ser executado apenas uma vez, o ideal, sempre
que possível, seja analisado no projeto. Isso devido a alta modificação dos riscos,
principalmente quando envolve eventos externos, como ações ou falta delas, tanto
da equipe, quanto de outras partes.
27
3 TABELA DE TEMAS
Nome do Aluno Tema Sub tema
Paolo Bordoni Caldeira Gestão De Risco: Uma
Pesquisa Exploratória
Em Projetos De
Segurança Da Informação
Com Abordagem Em
PMEs.
Priscila Brito Namorato Gestão De Risco: Uma
Pesquisa Exploratória
Na Aplicação Em
Empresas Da Construção
Civil
Rafael Lima Moreira Gestão De Risco: Uma
Pesquisa Exploratória
Na Gestão Dos Potenciais
Riscos De Um Projeto De
Manejo Da Arborização
Urbana Com Foco Na
Distribuição De Energia
Elétrica
Zoilo Pereira De Almeida Filho Gestão De Risco: Uma
Pesquisa Exploratória
Nos Mecanismos De
Gestão De Risco Em
Projetos De Capital De
Grandes Corporações
Tabela 5 – Tabela de Sub Temas Fonte: Grupo do Projeto
28
4 GESTÃO DE RISCO EM PROJETOS DE SEGURANÇA DA INFORMAÇÃO
4.1 Sistemas de Informação
Segundo Stair e Reynolds (2006), um sistema é um conjunto de elementos ou
componentes que interagem para atingirem objetivos. O sistema de informação,
assim como um sistema aberto, é uma serie de elementos ou componentes em
sinergia que coletam (entrada), manipulam e armazenam (processo), disseminam
(saída) os dados e informações e fornecem um mecanismo de feedback.
A organização é tratada como sistema, uma vez que ela é composta por um
conjunto de pessoas e elementos que interagem sinergicamente para conquistar
objetivos em comum. A base da nossa pesquisa é nos sistemas de informação
baseado em computador, que é o sistema composto por hardware, software, banco
de dados, telecomunicação, pessoas e procedimentos.
O Hardware é a parte física do sistema de informação baseado em computador
(CBIS – Computer Based Information System), estes equipamentos têm a função de
entrada, saída e processamento de dados. Nos hardwares de entrada estão:
teclados, scanners, entre outros. Os de processamentos estão na CPU (Unidade
Central de Processamento), memória, HD, enquanto os de saída são: vídeos,
impressoras, entre outros.
O software é a parte lógica dos sistemas de informação baseados em computador
(CBIS); são os programas (aplicativos, Sistemas Operacionais) e instruções
passados ao computador. Os Softwares são responsáveis em transformar as
intenções do usuário em linguagem de máquina. Desta forma os softwares permitem
o processamento da folha de pagamento, relatórios, faturamento, reduzindo custos e
maximizando o trabalho.
O banco de dados é a parte responsável pela centralização e armazenamento de
fatos e informações da empresa, nele pode conter informações sobre: clientes,
29
funcionários, estoque, vendas. É considerada a parte mais importante de um
sistema de informação baseado em computador.
As telecomunicações são ferramentas que permitem ligar os sistemas de
computadores em rede, permitindo que um sistema se comunique com outro
independente de sua posição geográfica.
As pessoas são os recursos humanos que trabalham com sistemas de informação.
São profissionais as pessoas que gerenciam, executam, programam, e mantêm o
sistema de computadores. Os usuários são os administradores, tomadores de
decisões, empregados e todos aqueles que utilizam os computadores e seus
benefícios.
Os procedimentos são as estratégias, políticas, métodos e regras a serem utilizadas
para operar o sistema de computador baseado em computador.
Todos os sistemas estão sujeitos a falhas, até mesmo os sistemas de informação
baseados em computador; a falha pode ocorrer em qualquer um dos elementos: do
hardware ao processamento. Existem os sistemas tolerantes a falhas, ou seja, pode
haver um mau funcionamento em um dos elementos que o sistema continua a
funcionar isto porque ele trabalha em duplicidade, um sistema fazendo o
gerenciamento do outro.
Dentro do sistema de informação baseado em computador, segundo Stair e
Reynolds (2006), temos:
Sistemas de Processamento de Transações: (SPT) este sistema era
utilizado com as primeiras gerações de computadores com o objetivo de
redução de custos com a automatização das rotinas. O sistema de
processamento de transações tem aplicabilidade em transações rotineiras.
Sistemas de Informação Gerenciais: (SIG) estes sistemas começaram a
serem desenvolvidos na década de 60 com o objetivo de se produzir
informações e relatórios gerenciais. Esta necessidade nasceu quando se viu
que o STP reduzia o custo com funcionários com a automatização das
30
rotinas, porem não gerava informação para os administradores; então estes
relatórios vieram para ajudar os administradores a executar suas funções.
Sistemas de Apoio de Decisão: (SAD) elaborado na década de 70 e 80,
quando os computadores já eram utilizados em larga escala em todas as
tarefas da empresa, detectou-se a necessidade de um sistema que apenas
gerasse relatórios. O SAD é um sistema mais complexo, onde ele sugere
possíveis soluções para um determinado tipo de problema, auxiliando o
executivo na sua tomada de decisão.
Inteligência Artificial e Sistemas Especializados: estes sistemas vieram a
serem utilizados na década de 80 e 90. São sistemas extremamente
complexos e que simulam a capacidade de raciocínio humano. A Inteligência
Artificial é um sistema que possui características da inteligência humana. O
sistema Especialista é um sub campo da Inteligência Artificial onde ele pode
fazer sugestões e chegar a conclusões bastante semelhantes a um
profissional especialista.
4.2 Sistemas de Informação e as Organizações
Segundo Laudon e Laudon (1999), os sistemas de informação baseados em
computador já é uma realidade nas organizações, sendo uma solução
organizacional e administrativa que tem como objetivo de adaptar as contingências
do ambiente.
Os Sistemas de Informação baseado em computador se tornaram vitais para a
sobrevivência das organizações. O acesso e a disponibilidade da informação em
tempo real é essencial para que a organização tome suas decisões as mais rápidas
possíveis procurando estar sempre a frente de seu concorrente, e sem os sistemas
de informações baseados em computador alguns processos poderiam se tornar
extremamente demorados e custosos para a organização.
Esta necessidade de informação, segundo Cébrian, se deu depois de Revolução
Industrial, com a Revolução Digital. Cébrian diz que, ao contrário das demais
revoluções, a Revolução Digital se dá através de cabos e fios e se faz ser lido,
31
ouvido e visto em vários canais de comunicação. As organizações, como qualquer
outro tipo de sistema, têm a necessidade estar se adaptando para não sucumbir.
O processo da Globalização, intensificado com velocidade com as informações
circulam na Internet, fez com as empresas começassem a se preocupar mais com a
obtenção e qualidade das informações que entram na organização de modo as
tornarem mais competitivas. Porém não existe competitividade com custos altos,
logo se tornou necessário baixar custos na obtenção das informações sem perder
sua qualidade.
Como foi dito no capítulo sobre softwares os Sistemas conseguiram sanar a primeira
necessidade que era a de baixar custos; porém não existem Sistemas Gerências
(SIG e SAD) sem Hardware, Sistemas Operacionais, Telecomunicação e Pessoas.
Não bastava apenas baixar os custos de pessoas automatizando os processos, era
preciso baixar os custos também no processo de implantação nos Sistemas de
Informação Baseados em Computadores (CBIS).
O planejamento de um Sistema de Informação baseados em Computadores deve
levar em consideração a real necessidade da organização, deve tomar cuidado para
que o para que o investimento não vire custo, implantando sistemas e hardwares
muito complexo para a função a ser desempenhada ou muito obsoletos. Outro ponto
que deve ser considerado é estar de acordo com a legislação, respeitando as
licenças dos softwares. Não adiantaria de nada implantar um Sistema de Informação
perfeito e levar a empresa à falência por usar softwares ilegais.
Os hardwares, assim como os softwares, também devem ser dimensionados de
acordo com os reais objetivos da organização. Não adiantaria de nada colocar um
servidor de última geração dentro da empresa se ela não vá utilizar nem 5% de sua
capacidade total.
Assim a organização concentra os investimentos na área de Tecnologia de
Informação esperando que a empresa alcance sua eficiência e eficácia
organizacional, consiga se tornar competitiva o suficiente para sobreviver e superar
32
a concorrência, melhorar o seu produto e seu relacionamento com fornecedores e
clientes.
A responsabilidade do setor de TI é muito grande, pois ela tem que possibilitar que a
organização alcance sua excelência e competitividade e ao mesmo tempo reduzir
custos de implantação dos Sistemas de Informação sem perder a qualidade do
serviço a da segurança.
4.3 Ativo Universal – A Informação
Segundo Sêmola (2003), apesar das condições mercadológicas, culturais e
econômicas, a informação sempre foi a base e o elemento mais importante na
gestão do negócio.
Verificando a evolução do ambiente corporativo, vemos uma dependência muita
grande nos equipamentos tecnológico: computadores, notebooks, tablets,
smartphones. Ter a informação em tempo hábil e compartilhá-la de forma simples e
ágil viraram práticas de gestão das empresas e empreendedores modernos, Sêmola
(2003).
As informações permeiam todas as etapas de todos os processos da organização,
auxiliando os gestores nas tomadas de decisões. É importante salientar que quando
nos referíamos as informações não é somente as que apresentam no ambiente
lógico, mas também as que estão disponíveis fisicamente. Os equipamentos
tecnológicos disponíveis no mercado podem facilmente mudar o meio em que a
informação se encontra transformando-a ao bel prazer da pessoa que queria obtê-la.
Informações podem facilmente ser passadas de ambientes lógicos para físicos com
impressão e o inverso pode ser facilmente conseguido com um simples smartphone
com uma câmera fotográfica.
A complexidade em promover a segurança da informação está no simples fato que o
meio em que a informação está disponível é extremamente volátil, não bastando
somente equipamentos tecnológicos para prevenir roubos, fraudes, acesso
indevidos às informações sigilosas ou estratégicas, é necessário montar um comitê
33
multidisciplinar de segurança, criar e promover processos, treinar pessoas, testar
sistemas, promover teste de segurança implantar segurança física.
Sêmola (2003), diz que independente de qual seja o meio, físico ou lógico, em a
informação se apresente ela terá 4 etapas, sendo:
Manuseio: é momento que a informação é manipulada seja ao digitar e abrir
o documento no computador ou abrir e folear os papeis de um manual.
Armazenamento: é o momento em que a informação é guardada seja em
uma datacenter, ou seja, dentro de um armário.
Transporte: é o momento em que a informação é transportada seja pelos
protocolos do TCP/IP seja pelos correios ou carros da empresa.
Descarte: é o momento que a informação é eliminada seja ela “deletada” seja
ela posta dentro do lixo da sala.
4.4 Segurança da Informação
Segundo Sêmola (2003, p.43), podemos definir Segurança da Informação como:
“uma área de conhecimento dedicada à proteção de ativos da informação contra
acessos não autorizados, alterações indevidas ou sua indisponibilidade”.
De forma mais ampla, podemos também considera-la como a prática de gestão de risco de incidentes que impliquem no comprometimento dos três principais conceitos da segurança: confidencialidade, integridade e disponibilidade da informação. (SÊMOLA, 2003, p. 43).
Segundo Diógenes e Mauser (2011, p.3), quando pensamos em segurança da
informação os primeiros conceitos que são lembrados são seus pilares:
Confidencialidade: Trata-se da prevenção do vazamento da informação para usuários ou sistemas que não estão autorizados a ter acesso a tal informação; Integridade: Trata-se da prevenção/manutenção do dado na sua forma íntegra, ou seja, sem sofre modificações através de fontes não autorizadas; Disponibilidade: Trata-se da manutenção da disponibilização da informação, ou seja, a informação precisa estar disponível quando se necessita.
Outros autores, como Sêmola (2003, p.46), defendem que além dos pilares acima a
segurança da informação está apoiada em outras duas características:
34
Legalidade: características das informações que possuem valor legal dentro de um processo de comunicação, onde todos os ativos estão de acordo com as clausulas contratuais pactuadas ou a legislação política institucional, nacional ou internacional vigentes; Autenticidade: garantia de que as entidades (informação, máquinas, usuários) identificadas em um processo de comunicação como remetentes ou autores sejam exatamente o que dizem ser e quer a mensagem ou informação não foi alterada após o seu envio ou validação.
4.5 Comitê de Segurança
Diferente do que normalmente muitos gestores aplicam, a segurança da informação
dentro de uma organização não deve ser gerida somente pelo setor de Tecnologia
da Informação e nem tão pouco por apenas um setores. Esta é uma das, senão a
mais complexa, atividade dentro da organização moderna, garantir segurança com
processos rígidos e burocratizados sem que a empresa perca flexibilidade e
agilidade para adaptar-se ao mercado e novas demandas com o objetivo de
maximizar os resultados nos negócios.
Este comitê deve ser composto por uma equipe multidisciplinar, composta por
membros do departamento jurídico, comercial, financeiro, pessoal, entre outros,
além do de tecnologia. Este grupo para execução de suas funções deve ser
posicionado como staff respondendo somente ao conselho administrativo ou
diretoria, para que não seja prejudicado as tomadas de decisão referente a
segurança por subordinação. A sua estrutura, objetivo e função devem ser
comunicadas e formalizadas a toda organização.
O grande desafio do comitê do segurança é, após identificar o ativo informacional,
quantificar o seu valor, identificar quais ameaças está sujeito o ativo, identificar os
riscos, identificar as expectativas do negócio e então criar os procedimentos e
normas de segurança para este ativo, sem perder o foco no negócio. Existirão casos
que ou valor do ativo é tão insignificante ou o custo de proteção é tão alto que será
preferível que a organização aceite o risco do que ficar procurando, ou
implementado mecanismos de segurança.
35
É importante que notemos que a segurança existe para proteger um ativo, no caso
da segurança da informação este ativo é a informação, esta por sua vez é
importante por é um dos elementos essenciais para continuidade do negócio, assim
o foco sempre será o negócio, não adianto medidas extremamente seguranças mas
que engessem o negócio.
Autores como Sêmola e Diógenes, citam metodologias para elaboração de
processos de segurança, como a teoria de perímetro. O objetivo deste método visa
criar níveis de segurança até o ativo que será protegido. Estes níveis são
importantes, pois quando um deles é alcançado, ser de parâmetro e alerta para os
demais, podendo o comitê ou responsável providenciar alguma medida de correção
ou prevenção.
Na gestão de segurança da informação são classificadas 6 tipos de barreiras de
segurança de acordo com seu papel, segundo Sêmola:
Desencorajar: é primeira barreira que tem por objetivo desencorajar a
ameaça.
Dificultar: são mecanismos que servem, caso aconteça à ameaça, dificulte
que tenha êxito no na obtenção do ativo.
Discriminar: são mecanismos que identificam os acessos e separem os
devidos dos indevidos.
Detectar: são mecanismos que detectam as situações de risco.
Deter: são mecanismos que detém a ameaça.
Diagnosticar: são ferramentas e métodos que permite levantar e analisar os
riscos.
Segundo Sêmola (2003), devido a uma visão distorcida do tema sobre segurança da
informação, adota-se uma postura míope sobre a situação e agem de forma a
comprometer o negócio. Segundo o autor são considerados como péssima prática:
Atribuir a segurança da informação exclusivamente a área de TI.
Posicionar o Comitê de segurança hierarquicamente abaixo da Diretoria de
TI.
36
Definir investimentos limitados e subestimados.
Elaborar planos reativos.
Tratar os planos somente como despesas e não como investimento.
Adoptar sempre medidas paliativas e pontuais.
Criar falsa sensação de seguranças por ações isoladas.
Não cultivar cultura de segurança de âmbito corporativo.
Tratar segurança como projeto e não como processo.
4.6 Ameaças
Quando nos referimos a informação e passamos a analisar as ameaças nos
deparamos em um ambiente extremamente hostil, pois as ameaças podem surgir de
qualquer lugar:
Pessoas.
Ambiente físico.
Processos.
Ambiente Lógico.
Equipamentos.
4.6.1 Engenharia Social
A engenharia social usa a influência e a persuasão para enganar as
pessoas e convence-las de que o engenheiro social é alguém que na
verdade ele não é, ou pela manipulação. Como resultado, o engenheiro
social pode aproveitar-se das pessoas para obter as informações como ou
sem o uso da tecnologia. (MITNICK, 2005).
Apesar da complexidade do assunto, segurança da informação, todos os autores
usados neste trabalho concordam, o fator humano é o elo fraco da segurança da
informação e é por este motivo que o método de engenharia social pode ser um
eficiente método para recolher informação.
Mitinick foi um dos hackers de maior renome e um engenheiro social nato, no anexo
1 segue a transcrição de um exemplo de ataque social descrito em seu livro.
37
4.6.2 Malware
“Software malicioso, normalmente conhecido como malware, é um software que
entra no sistema operacional sem o consentimento ou conhecimento do usuário”.
(DIÓGENES; MAUSER, 2010, p. 13).
Dentre as categorias de malware temos:
Vírus: Segundo Diógenes e Mauser (2010), é um programa que é anexado
por ele mesmo para disseminar. O vírus executa duas tarefas, primeiro ele
replica e depois ele executa o código malicioso.
Worms: O worm ao contrário do vírus ele não precisa ser anexado a um
arquivo para contaminar outros computadores e também não precisa ser
acionado pelo usuário como o vírus para acionar o código malicioso.
Cavalo de Troia: São programas que estão no computador mascarados por
outro programa, abrindo conexões para que o atacante acesse o computador
da vítima.
Botnet: Segundo DIOGENES (2010), “é o termo genérico para o conjunto de
software “robotizados”, apelidados de bots”.
Bomba Lógica: São softwares criado para serem executados em um
determinado tempo ou evento.
Spyware e Adware: são softwares que coletam informações do usuário e
violam sua privacidade.
4.6.3 Ataques à Rede
Os ataques à rede acontecem por vários modos, que vão desde a exploração de
vulnerabilidade do protocolo utilizado para conexão até a exploração de
vulnerabilidades da aplicação. Dentre este método temos:
SYN Flood – Segundo Diógenes e Mauser (2010), este ataque aproveita de
uma vulnerabilidade no processo de TCP Handshake, em a conexão não é
estabelecida por completo e a sessão e o ataque inunda a vítima com
pacotes SYN, causando a parada do equipamento.
38
Man in the Middle – este método o atacante desvia os pacotes de dados da(s)
vítima(s) para ele, se colocando literalmente entre as conexões.
ARP Poisoning – Diógenes e Mauser (2010) trata este ataque como um dos
mais devastadores para rede local, caso não sejam tomadas as devidas
medidas para mitigá-la. Este é um processo utilizado para que o seja usado o
Man in the Middle, pois envenenando a tabela ARP o atacante pode se
colocar no lugar do Gateway ou desviar todo tráfego da rede para um
dispositivo inexistente fazendo que ela pare.
DOS e DDOS - o ataque de negação de serviços, Denial of Service e
Distributed Denial of Service respectivamente, para Diógenes e Mauser
(2010), é o ataque mais temido, pois o atacante consegue indisponibilizar os
serviços do alvo, deixando-o fora do ar.
Rainbow Table – esta técnica consiste em gerar uma tabela de senhas
criptografas para que seja comparadas com hash conseguido por um
analisador de pacotes ou através de ataque de man in the middle. Assim o
atacante consegue obter uma terminada senha, como por exemplo a chave
de acesso de um rede wireless com WPA.
É importante ressaltar que estas são algumas das ameaças e que medidas de
segurança de acesso físico também devem ser tomadas pois um atacante consegue
facilmente obter privilégios máximos em um computador caso tenha um acesso
local.
4.7 Contra medidas
Dentre as contra medidas mais conhecidas estariam:
Uso de Firewall.
Uso de antivírus.
Atualização de Patch de correção de sistemas.
IDS (Intrusion Detection System) – Sistema de Detecção de Intrusão.
39
IPS (Intrusion Prevention System) – Sistema de Prevenção de Intrusão.
Controles de Acessos Físicos.
VLANs.
Acessos Criptografados.
Conscientização, treinamento dos stakeholders.
Processos de Segurança bem definidos.
Ocultamente de redes wireless.
Sistemas de Proteção de Acesso: com NAP da Microsoft e NAC da Cisco.
Métodos seguros de descarte.
Tendo por base, principalmente, as ameaças acima e começando pelo engenharia
social, de nada vale termos Processos de Segurança e o mais modernos dos
sistemas de segurança se não houver conscientização e treinamento do fator
humano envolvido. Esta conscientização deve estar arregrada a cultura da empresa,
acompanhando todo o processo de ciclo de vida dos stakeholders dentro da
empresa.
Imaginemos o seguinte cenário, sabemos que a empresa “A” possui fortes
mecanismos de segurança contra ameaças externas e possui funcionários
despreparados e mecanismos básicos de segurança para o ambiente interno.
Vamos supor que um agente mal intencionado queira obter informações que esta
empresa detém. Este agente poderia incorporar ao quadro de funcionário da
empresa e assim ter acesso a informação que quisesse.
Procedimentos técnicos de segurança como, ocultamento do SSID da rede wireless
e sua troca periódica dificuldade que o atacante consiga gerar uma Rainbow Table
válida que consiga comprar o hash e obter a chave, assim como uso de níveis mais
altos de criptografia também garantem maior segurança.
Voltando ao exemplo do funcionário infiltrado, caso a empresa tive a rede dividida
por VLANs o método de Man in the Middle seria limitado à sub-rede que ele estaria
inserido não propagando para toda rede, assim como uso de criptografia para
proteção das informações interna dificultaria a obtenção de informações sem
autorização.
40
A conscientização dos stakeholders é importante também pelo fato de que as
informações não são mantidas somente no meio digital elas também se apresentam
no meio físico, assim é necessário que estes se conscientizem da importância de
que, não se pode deixar papéis jogados na mesa ou da importância de usar meios
que impossibilitem a recuperação de informações descartadas como por exemplo
incinerar ou picotar em múltiplas direções documentos de papel antes de irem para o
lixo.
41
5 PESQUISA
5.1 Contexto da Pesquisa
Nesta seção, será apresentado uma caracterização geral do contexto mercadológico
no qual as empresas, de pequeno e médio porte, que possuem um setor de
tecnologia e informação da cidade de Belo Horizonte estão inseridas. O cenário que
estas empresas atuam é o alvo de exposição neste momento, pois esta pesquisa
tem como enfoque a percepção dos profissionais de T.I. e de seus empresários
referente a segurança da informação.
Minas Gerais ocupa as primeiras posições dos levantamentos estatísticos quanto ao
número de PMEs, e estas possuem relações diretas de troca de informações com
grandes empresas em diversos segmentos, da indústrias a serviços.
As empresas de Belo Horizonte, em particular, refletem as características do
mercado mineiro: fechado e conservador. Muitas vezes tradições familiares
prevalecem à evolução do mercado, com isto empresas de tecnologia mesmo que
tenham know how para acompanhar o movimento tecnológico, não existe a
consciência de que é necessário começar a preparar a organização para garantir a
integridade das informações, ou por falta de conhecimento, ou por falta de visão em
investir em segurança.
O desenvolvimento, da pesquisa exploratória a seguir, descreverá o cenário
geralmente encontrado em empresas de pequeno e médio porte.
5.2 Apresentação, Discussão e Análise de Dados
CED Contabilidade
A CED Contabilidade Edvar Dias Campos Ltda é uma empresa especializada em
serviços profissionais de contabilidade, consultoria, assessoria tributária, trabalhista
e previdenciária, prestando seus serviços para empresas dos mais diversos
42
segmentos do mercado. Suas atividades iniciaram em 1986, estando hoje
solidamente segmentada no mercado, sempre buscando novas tecnologias que
agilizem os trabalhos da equipe em prol dos melhores resultados para os clientes.
O entrevistado foi o Sr. Edvar Dias Campos, que respondeu os dois questionários o
administrativo e o técnico, sendo que o segundo teve auxílio de um prestados de
serviços terceirizado.
A empresa não possui área de TI interna, sendo esta função realizada por um
técnico terceirizado. Sua infraestrutura está bem organizada, possuindo níveis
básicos de acessos aos arquivos locais e ferramentas básicas para acessos
originados no meio externo. Internamente a preocupação maior é quanto ao acesso
de conteúdo indevido prejudicando a produtividade da empresa. Para isto a empresa
conta com auxílio de um Proxy e um Gateway de Instant Messenger (IM).
Na entrevista fica evidente a não preocupação com a segurança, quando o assunto
é acesso indevido, a preocupação maior é quanto a perda dela e acessos indevidos
dos usuários quanto o assunto é produtividade. O Sr. Edvar acredita que não há
segurança para proteger as informações de sua empresa, mas pondera que este
fator não é visto como diferencial pelos seus clientes, mesmo sabendo que o maior
ativo de sua empresa é justamente as informações dos clientes. A empresa não
possui meios de monitorar e passar o roubo de informação dentro de sua rede local
e o uso de uma dispositivo wireless doméstico este risco torna-se bem maior.
A entrevista administrativa, reforça justamente este cenário, cuja visibilidade da área
de TI na CED Contabilidade é de suporte e não estratégica. A empresa que faz a
manutenção da área de tecnologia, não é inserida nas estratégias do negócio e não
participa do planejamento, assim adaptações são realizadas de forma não
planejadas e os riscos não são mensurados.
Escritório SRGA. Advocacia e Consultoria Jurídica
O entrevistado do escritório de advocacia SRGA foi o Sr. Rodolfo, que apresentou
um cenário comum em escritórios de pequeno porte. Poucos usuários, poucos
43
computadores, sem área ou suporte de TI e informações descentralizadas, apesar
deste último ser minimizado por uma computador de mesa que serve como servidor.
Em entrevista Rodolfo nos informou que diversos tipos de informações transitam no
escritório, informações de grandes clientes e algumas vezes sigilosas, porém os
questionários e a própria estrutura apresentada mostra a fragilidade da organização
em proteger as informações.
Assim como alegado pelo Sr. Edvar, da CED Contabilidade, o cliente não vê como
diferencial se o escritório tem mecanismos ou não de proteção de suas informações,
nem mesmos os grandes clientes.
O cenário do escritório é de total desconhecimento dos riscos, como informou o Sr.
Rodolfo nos questionários, não existe nenhum plano de criação ou implantação
métodos ou procedimentos para manutenção da segurança das informações na
organização. Da mesma forma que acontece com o escritório de contabilidade, o
escritório de advocacia está vulnerável a violação e roubo de informação
principalmente dentro de sua rede local, o uso na rede de dispositivos wireless
permite que um atacante consiga acessar a rede local sem ao menos precisar entrar
nos escritório usando scanner de espectro, criando um rainbow table, injeção de
pacotes e man in the middle. É importante ressaltar que na SRGA, ao contrário do
que acontece na CED Contabilidade, não existe o mínimo de preocupação quanto
ao conteúdo acessado pelos usuários.
Mobiliadora Universal
Fundada em 25 de maio de 2000, inaugurou sua primeira loja em 13 de julho do
mesmo ano, situada à Av. Silviano Brandão, no coração da Floresta, em um ponto
estratégico e tradicional do ramo moveleiro de Belo Horizonte. Em busca de uma
constante atualização em seu segmento, a Mobiliadora Universal está sempre
presente em todos os acontecimentos do ramo que possam proporcioná-la
aprendizado e possível crescimento.
44
Das empresas entrevistadas, esta talvez seja a com maior possibilidade de
ambiente, pois além de suas lojas, ela possui áreas administrativas descentralizadas
e um centro de distribuição.
O entrevistado foi o Sr. Anderson, dono da empresa e assessorado pela empresa
terceirizada para preenchimento do relatório técnico. Esta empresa é responsável
por todas a estrutura tecnológica da empresa, tanto das lojas, administrativo e centro
de distribuição.
A Mobiliadora Universal realiza as conexões entre as lojas e seu centro de
distribuição através de sessões remotos e através de acesso direto ao banco sem
um canal criptografado. É procedimento da empresa não inserir a área de tecnologia
nos planos estratégicos, não possui planos de segurança traçados, apesar de deixar
como responsabilidade da empresas de TI que atende a empresa elaborar os
procedimentos de segurança.
O resultado estas responsabilidades parciais é:
Como a empresas não deixa claro para o quadro de funcionário quais são os
procedimentos, mas que existam eles não são seguidos.
Somente os procedimentos implantados por ferramentas tecnológicas e
gerenciadas pela empresa de tecnologia que são usadas, pois não dependem
da interação dos usuários
Como os usuários não estão inseridos no processo, falhas do tipo, exposição
de senhas e acessos indevidos são constantes.
O setor administrativo da empresa detém além das informações cadastrais de seus
clientes dados financeiros, xerox documentos, contracheques de clientes e
funcionários e outros tipos de informações que poderiam ser usadas para fraudes e
outros atos ilícitos.
É justamente ai que está o ponto crítico do processo desta empresa, como
respondido pelo Sr. Anderson, ele só tem noção dos riscos a partir dos relatos da
45
empresa da área de tecnologia, porém como a empresa terceirizadas não está
inserida no processo do negócio ela também não tem noção do que deve proteger.
Como respondidos pelas outras empresas, mesmo Sr. Anderson entender que não
está preparado para proteger as suas informações e principalmente a dos seus
clientes, como não é percebido pelos seus clientes e nem torna diferencial ser uma
empresa que promove segurança da informação, o plano de segurança não é
tratado como deveria.
As respostas do questionário técnico evidenciam a preocupação do departamento
técnico para minimizar os riscos e adotam medidas básicas para garantir o mínimo
de segurança como uso de firewall, vpn, ocultamento das redes wireless, políticas
de formação de senha e tentam conscientizar os usuários quanto ao sigilo de
determinadas informações.
As medidas adotadas pela empresa tem por plano que os ataques aconteceram
sempre do ambiente externo ao ambiente interno e assim como as outras empresas
a Mobiliadora Universal encontra-se vulnerável a ataques acontecem de dentro da
rede local.
Clube Atlético Mineiro
O Clube Atlético Mineiro é um dos maiores clubes de futebol do Brasil, fundado em
1908 possui na sua sede um centro de processamento de dados composto por dois
servidores e trinta e cinco estação de trabalho, o clube procura reduzir custo nesta
área devido aos problemas internos que este passa atualmente.
O entrevistado foi o gerente da área de tecnologia Admilson Rodrigues. Ele atua
nesta área a mais de 10 anos configurando, planejando e desenvolvendo soluções
para a área, possui grande domínio em Clipper onde desenvolveu vários softwares
de gestão empresarial.
O clube possui uma rede que integra o Centro de Treinamento, os clubes e a sede
administrativa, isto através de links dinâmicos e scripts de nos proxies de
46
comunicações que refazem a conexão em caso de queda. Todos os servidores
conectados na internet estão com firewall e regras que bloqueiam o acesso de
tentativas de acesso mal sucedidas.
Rádios wireless proveem conexão aos dispositivos móveis dentro das dependências
dos clubes, centro de treinamento e sede administrativa e que o uso de chaves de
acessos existem em todos os sites mas o nível varia para cada ponto, a senha de
acesso é de conhecimento de todos. Segundo ele existe uma preocupação muito
grande por parte da equipe de TI do mandar e segurança das informações, apesar
de não existir um comitê para criar e gerir procedimentos de segurança da
informação.
Na rede do centro de treinamento existe divisões de redes, separada o acesso do
futebol profissional dos de base, mas não existe nenhum monitoramento ou regras
de firewall entre elas. Nos demais site não existe divisões na rede, sendo que
fornecedores, repórteres e parceiros utilizam a mesma rede que o funcionários
trafegam os dados importante e alguns sigilosos.
Apesar da experiência incontestável do Sr. Admilson e já ter ouvido falar de métodos
como Man in the Middle, ele não sabia na prática como o ataque acontecia e
consequentemente não saberia criar contramedida. Apesar do clube ter mais
recursos que os escritórios anteriores e possuir uma rede de computadores bem
maior, ele também estaria vulnerável aos do mesmo modo que os outros.
Phoenix Engenharia de Software
A empresa conta com 17 anos de experiência no mercado de informática. Empresa
pioneira no desenvolvimento, manutenção e operação integrada de serviços na web,
oferece soluções inéditas e surpreendentes para atender com rigor e exatidão as
necessidades de pessoas e organizações.
O entrevistado foi seu diretor, Augusto Modesto, que dentre os entrevistados foi que
transmitiu maior conhecimento e consciência da importância sobre a gestão de
47
tecnologia da informação, muito provavelmente devido ao seguimento de seu
empresa.
Na entrevista e no questionário técnico foi mostrado um cenários incomum para um
empresa de pequeno porte, mas que é a tendência mundial, a locação dos
servidores em Data Centers. O produto desenvolvido pela empresa é todo web,
inclusive o ambiente de desenvolvimento, assim com foco na flexibilidade,
mobilidade, agilidade e segurança, o Sr. Augusto transferiu toda sua estrutura para
um Data Center, assim ele aumentou a disponibilidade do serviço, reduziu custos de
manutenção de infraestrutura e garantiu a segurança dos dados por um equipe
especializada. Neste cenário vemos outra coisa incomum para um empresa deste
tamanho, todos os equipamentos tem seus licenças legalizadas e
consequentemente os sistemas são devidamente atualizados, por não existir
restrições das licenças.
Por outro lado percebesse um descuido quanto à segurança na rede local cujo
acesso por ela é possível obter de forma obscura usuários e senhas dos acesos ao
Data Center e consequentemente acesso a fontes e modelos de banco de dados.
Por não existir um servidor na rede local relatórios e outros documentos são de
responsabilidade de manutenção dos usuários e não existe um controle de backup
destes dados. Na entrevista o Sr. Augusto aponta um brecha crítica de segurança, a
sua rede wireless, que além de não ter o SSID oculto e alterado, está com WEP. A
criptografia fraca permite acesso a rede local deixando a empresa suscetível, como
as outras empresas entrevistadas, a ataques de Man in the Middle.
Das empresas entrevistadas, a Phoenix foi a que melhor se mostrou preparada e
apta as mudanças e riscos dos ambientas, foi a única que mostrou preocupada em
garantir a segurança de seus dados e de seus clientes. A sua área de TI, apesar de
terceirizada, tem papel estratégico em seu negócio e é sempre consultada quando
existe uma necessidade de mudança e expansão no negócio.
O Sr. Augusto respondeu que a preocupação com a segurança é uma preocupação
primária e que existe dentro da empresa um comitê de segurança formado, com
papéis definidos e que ajudam nesta manutenção.
48
6 CONSIDERAÇÕES FINAIS
As entrevistas mostram a percepção das empresas e das áreas de tecnologia
quanto o assunto é segurança da informação e considerando os objetivos propostos
no primeiro capítulo deste trabalho:
Identificar quais empresas tem consciência sobre gestão de risco.
Identificar se através dos questionários para quais ataques as empresas
estão mais suscetíveis.
Identificar quais empresas conseguem quantificar o valor do bem
informacional.
Identificar quais empresas apresentam evolução e melhoria contínua na área
de segurança.
Conclui-se, que das empresas entrevistadas, segurança da informação é um
assunto tratado com diversas perspectivas e prioridades. Dos empresários
entrevistados, a maioria não entendem os riscos para o negócio e adoptam somente
práticas, procedimentos e ferramentas básicas para prevenir e promover o mínimo
de segurança, nenhuma das entrevistas possuem gestão de risco ou qualquer plano
de continuidade de negócio.
As empresas possuem uma preocupação, muito grande, somente em ter um meio
de voltar os dados em caso de perda, assim o primeiro ponto abordado pela maioria
foi o backup como procedimento primário e somente depois vem a preocupação de
prevenir o acesso à informação por meio externo. Somente a Phoenix, que tem a
preocupação em manter e desenvolver procedimentos que garantam a continuidade
do negócio e foi somente ela que trata a área de TI como uma área estratégica
enquanto todas as outras tratam como suporte.
A Análise de Impacto no Negócio (BIA) admite que a análise seja realizada somente
tendo em vista os stakeholders internos da empresa em não os externos, partindo
da premissa que empresas de grande porte adotam análise de risco e procuram
direcionar-se através das melhores práticas e que em um cenário globalizado
empresas de grande e pequeno porte podem compartilhar de informações sigilosas,
49
a omissão das empresas de porte menor sobre a importância de se fazer uma
análise de risco e principalmente adotar procedimentos seguros pode colocar em
risco todo o projeto de segurança realizado por grandes corporações. O inverso
também é verdadeiro quando pensamos que grandes corporações podem ignorar os
cenários encontrados em empresas de menor porte, pelo simples fato que
metodologia como a Análise de Impacto da Empresa (BIA) enumera que deve
centralizar a análise internamente.
Seguindo a linha de raciocínio que o elo fraco na gestão de segurança é o fator
humano e que nas empresas entrevistadas este fator não faz parte de decisões
quando adoptado algum método de segurança e que só foi possível ver o uso de
estratégias tecnológicas é possível concluir que as empresas de pequeno e médio
porte são o elo fraco dentro da cadeia de gestão de segurança da tecnologia da
informação. Sabendo deste fato e que a informação é volátil e que pode estar
disponível em vários lugares ao mesmo tempo, nos remete a um ambiente
interessante. Um projeto de segurança de uma grande empresa pode ter sérias
falhas de segurança se não for levado em consideração quais informações estarão
de posse de seus parceiros e quais os níveis de segurança de estes possuem.
Das empresas entrevistas todas elas possuem rede wireless visível e nunca
alteraram o SSID, os rádios usados são domésticos e fecham conexão em WPA/
WPA2, permitindo que o atacante gerasse uma Rainbow Table e acessasse a rede
local pela radio. Dentro da rede ele poderia executar o método Man In The Middle
para redirecionar os pacotes para seu computador e então obter informações como
senhas. O ataque de Man in The Middle também seria possível executá-lo associado
com técnicas de Engenharia Social se passando por fornecedores ou possíveis
clientes, tendo acesso as redes cabeadas ou wireless. Isto se dá porque nenhuma
das empresas possuem redes separadas de visitantes e permitem que visitantes
acessem a redes corporativa para usufruir da internet. Podemos concluir que todas
as empresas entrevistadas possuem redes locais vulneráveis.
Novamente somente a empresa Phoenix sabia o real valor da informação dentro de
sua organização e conseguia contabilizar isto, ao ponto de definir que era mais
prudente tirar de dentro as organização a gestão destas informações críticas e
50
deixá-las para gestão de uma equipe qualificada, esta estratégia vai além do valor
dado a sua informação esta vinculada a continuidade do negócio. As demais
empresas não tem mensurado o valor da informação e acreditam estar promovendo
continuidade TI através de simples estratégias de backup e não promovem
continuidade de negócio. Não existe continuidade de TI sem continuidade de
negócio e esta falsa sensação trazem grandes prejuízos a estas empresas quando
um incidente ocorre.
Alguns dos entrevistados conheciam os ataques e as possibilidades na teoria,
somente a empresa Phoenix possuía um comitê de segurança desenvolvido, as
demais deixavam por conta da área de TI ou não possuíam, assim concluo que a
Phoenix que estava preparada para responder de forma efetiva a algumas ameaças,
mas as demais tinham respostas somente reativas.
A reação reativa é algo que se percebe em vários cenários, mesmo quando o risco é
conhecido, esta atitude está atreladas a um fator cultura, seja da empresa ou da
região, não é comum vermos empreendedores brasileiro de pequeno e médio porte
adotando medias preventivas.
É um fato que empresas de menor porte não estão preparadas para garantir a
segurança de sua informação e principalmente de parceiros maiores. Isto acontece,
nem tanto pela tecnologia adotada, mas pela postura empresarial e consciência do
micro empreendedor em relação à importância dada à informação. Metodologias de
Gestão de Projetos, especificamente a Gestão de Risco, não fazem parte do
cotidiano e cultura do pequeno empreendedor e esta postura podem impactar
diretamente na eficácia dos resultados de projetos de segurança que não levam ou
levantam possibilidades nos cenários dos Stakeholders por onde as informações
iram transitar.
Neste contexto, as entrevistas demostram que as empresas de pequeno e médio
porte são vulneráveis quando o assunto é manter suas informações seguras, os
resultados corroboram com outras experiências empíricas vividas com outras
empresas visitadas ao longo da minha vida profissional e que não fizeram parte das
entrevistas.
51
A formação do comitê de segurança permite que todas as áreas, ou pelo menos as
mais importantes para o negócio, estejam presentes permitindo que o processo de
segurança seja desenhado sem engessar a organização e torná-la improdutiva.
A adoção de firewall, acesso por nível de usuário, antivírus, isto é mínimo que se
espera de qualquer empresa, mas pesquisas mostram que a maioria dos ataques
vem no ambiente interno, assim é necessário que as empresas quebrem a crença
de investimento em tecnologia é somente para grandes corporações porque não e
na verdade elas estão totalmente vulneráveis.
Empresas de grande porte, principalmente as do mercado financeiro e alta
tecnologia, possuem a cultura de sistematizar e implantar comitês de segurança
para gerir os acessos às informações sejam eles acessados de forma física quanto
de forma eletrônica, porém a mesma informação pode estar disponível em vários
formatos e em vários lugares ao mesmo tempo e é devido a esta característica, que
mapear os caminhos percorridos pela informação é uma tarefa extremamente difícil;
dando à gestão de risco e procedimentos de segurança um maior nível de
importância a estes planejamentos.
O estudo visto de um do ponto de vista da metodologia de gestão de projetos junto
com as metodologias de segurança da informação mostrou um caminho que Gestão
Risco remete a segurança. A gestão de risco, tanto em projetos quanto em
segurança da tecnologia da informação, visa trazer segurança ao bem, no caso de
projeto é na maior parte das vezes a conclusão dos pacotes de trabalho dentro do
escopo, prazo e custos planejados.
No auxílio à tomada de decisão o método do Cynefin torna-se uma ferramenta de
extrema utilidade auxiliando o gestor a classificar melhor o cenário. Desta forma a
estratégia de resposta e até mesmo as estratégias de gestão podem ser melhores
direcionadas. Um exemplo de uso do Cynefin seria classificar o ambiente das
empresas de menor porte colocando-os em cada quadrante, com isto o gestor tem
um embasamento teórico para dizer que determinadas empresas não tem uma
solução aparente a ser tomada, sendo estas as empresas classificadas nos
quadrantes da esquerda, complexo e caótico.
52
Neste sentido é importante que empresas de menor porte comecem a conscientizar
que as informações sigilosas e importantes de seus clientes e parceiros trafegam em
suas redes e segurança da informação vai além de equipamentos eletrônicos e
computadores, conhecer o bem informacional e seu valor é crucial para que se dê a
devida importância a sua gestão e consciência que na cadeia que a informação
percorre empresas deste porte tão importantes quantos as grandes corporações.
As grandes corporações por sua vez são convidadas e refletir em seus projetos
levando em consideração não somente o ambiente em que elas estão expostas,
mas também as que seus Stakeholders também estão. Seguindo o raciocínio que
Gestão de Risco em projetos promove a segurança no projeto deixando-o mais
preparado a responder as ameaças. Em projetos de segurança da informação o
ambiente no qual os stakeholders estão expostos é matéria de gestão por parte do
GP, sendo que neste tipo de projeto a exposição dos stakeholders pode interferir
diretamente em seu sucesso.
.
53
REFERÊNCIAS
BRITO, Osias Santana. Gestão de Riscos: Uma abordagem orientada a riscos
operacionais. São Paulo: Saraiva, 2007.
DAYCHOUM, Merhi. Gerência de Projetos: Programa Delegacia Legal. 1ªEd. Rio
de Janeiro: Brasport, 2005.
DINSMORE, Paul C. AMA: Manual de gerenciamento de projetos. 1ªEd. Rio de
Janeiro: Brasport, 2009.
DIÓGENES, Yuri ; MAUSER, Daniel, Certificação Security + Da Prática para o Exame SYO-301. Rio de Janeiro: Novaterra, 2011.
DULANEY, Emmet. Comptia Security + Study Guide. 5ª Ed. Canada: Wiley
Publishing, 2011.
GALVÃO, M. Análise Quantitativa de Riscos com Simulação de Monte Carlo.
Mundo PM. Curitiba, 2005. Disponível em: <http://www.mundopm.com.br/download/
montecarlo.pdf> Acesso em: 17 fev. 2013.
LAUDON, Kenneth C. e LAUDON, Jane Price. Gerenciando Sistemas de Informação. Rio de Janeiro: Ed. LTC, 1999.
KEZNER, Harold, Gestão de Projetos. 2ª Ed. Porto Alegre: Bookman, 2006.
MAGALHAES, Ivan Luizio e PINHEIRO, Walfrido Brito, Gerenciamento de Serviços de TI na Prática, São Paulo: Novatec, 2007.
54
MITNICK, Kevin D. e SIMON, Willian L. A Arte de Enganar. São Paulo: Ed. Makron
Books, 2005.
OFFICE GOVERNMENT COMMERCE. Managing Successful Projects with PRINCE2. 6ª Ed. United Kington: TSO, 2009.
PADOVEZE, Clóvis Luís; BERTOLUCCI, Ricardo Galinari. Gerenciamento do Risco Corporativo em Controladoria. 2ª Ed. São Paulo: Cengage Learning, 2009.
PASSOS, Maria Luiza Gomes de Souza. Gerenciamento de projetos para pequenas empresas: combinando boas práticas com simplicidade. 1ªEd. Rio de
Janeiro: Brasport, 2008.
POSSI, Marcus. Gerenciamento de Projetos: Guia do Profissional. Volume 3 - Fundamentos Técnicos. 1ªEd. Rio de Janeiro: Brasport, 2006.
PROJECT MANAGEMENT INSTITUTE. PMBoK: Um Guia do Conhecimento em
Gerenciamento de Projetos. 4ª Ed. EUA: Mix Paper, 2008.
SÊMOLA, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva.
Rio de Janeiro: Ed. Campus, 2003.
SNOWDEN, David J.; BOONE, Mary E., A Leader's Framework for Decision Making,
Harvard Business Review, 2007.
STAIR, Ralph M.; REYNOLDS George W. Princípios de Sistemas de Informação: Uma Abordagem Gerencial. São Paulo: Ed. Pioneira Thompson Learning, 2006.
55
TAN, Ding, Quantitative Risk Analisys Step-By-Step. Versão 1.4b. SANS Institute,
2002. Disponível em: <http://www.sans.org/reading_room/whitepapers/auditing/
quantitative-risk-analysis-step-by-step_849> Acesso em: 15 fev. 2013
56
ANEXO 1 – ENGENHARIA SOCIAL
Certa vez esta em um restaurante com Henry e seu pai. Durante a conversa, Henry
respondeu seu pai por dar o número de seu cartão de crédito como quem dá o
número do telefone. ”É claro que tem que dar o número do seu cartão quando
compra alguma coisa.”, ele dizia. “Mas dá-lo em uma loja que arquiva o seu número
em seus arquivos – isso é burrice.”
“O único lugar em que faço isso é na Studio Vídeo”, disse o Sr. Conklin, referindo-se
a mesma cadeia de locadoras de vídeo. “mas verifico a minha fatura todos os
meses. Eu percebo se eles começaram aumentar a conta.”
“É claro”, salientou Henry, “mas depois que eles tem seu número, qualquer pessoas
pode roubá-lo.”
“Você se refere a um funcionário desonesto?”
“Não, qualquer pessoa e não apenas um funcionário.”
“Você está dizendo bobagens”, retrucou o Sr Coklin.
“Posso ligar agora mesmo e fazer com que eles me deem o número do seu cartão
Visa”, respondeu Henry.
“Não, você não pode”, afirmou o pai.
“Posso fazer isso em cinco minutos, bem na sua frente sem nem ter de sair da
mesa.”
O Sr. Coklin olhou firme, o olhar de alguém que se sentia seguro, mas que não
queria mostrar isso. ”Digo que você não saber do que está falando”, desafiou,
tirando do bolso a carteira e jogando uma nota de 50 dólares na mesa. ”Se fizer o
que está dizendo, o dinheiro é seu.”
“Não quero seu dinheiro pai”, disse Henry.
Ele pegou o telefone celular, perguntou ao pai qual era a loja e ligou para o Auxílio à
Lista pedindo o número de telefone e também o número da loja da região de
57
Sherman Oaks.
Em seguida, ligou para a loja de Sherman Oaks. (...) ele rapidamente conseguiu o
nome do gerente e o número da loja.
Ligou para a loja que seu pai tinha a conta. Ele usou o velho truque de se fazer
passar pelo gerente, deu o nome do gerente com o seu próprio e o número da loja
que havia obtido. Tornou a usar o mesmo truque: ”Os seus computadores estão
funcionando hoje? Os nossos às vezes funcionam, às vezes não. ”Ouviu a resposta
e continuou: ”Bem, tenho um dos seus clientes aqui comigo e ele quer alugar um
vídeo, mas os nossos computadores estão fora do ar agora. Preciso ver a conta do
cliente e ter certeza de que ele é um cliente da sua loja.”
Henry deu o nome do seu pai. Em seguida, usando apenas uma pequena variação
da técnica, pediu para elas ler as informações da conta: endereço, número de
telefone e a data em que a conta foi aberta. Depois disse: ”Ouça, estou com um fila
enorme de cliente aqui. Qual o número do cartão de crédito e a data de
vencimento?”
Henry segurou o celular no ouvido com uma das mãos e com a outra escreveu em
um guardanapo de papel. Ao terminar a ligação, ele colocou o guardanapo na frente
do pai, que ficou olhando para o número de boca aberta. O pobre senhor parecia
totalmente chocado, como se todo o seu sistema de confiança tivesse do por água
abaixo. (MITNICK, A Arte de Enganar, p. 36 – 37).
58