a segurança da informação no projeto integrador, do ......a segurança da informação no projeto...
TRANSCRIPT
Universidade de Brasília
Faculdade de Economia, Administração, Contabilidade e Gestão de Políticas Públicas
Departamento de Administração
ALAIR BARBOSA DA SILVA
A Segurança da Informação no Projeto Integrador, do
Subprograma SISCOT, pertencente ao Programa Estratégico do
Exército Proteção da Sociedade - Proteger
Brasília
2019
ALAIR BARBOSA DA SILVA
A Segurança da Informação no Projeto Integrador, do
Subprograma SISCOT, pertencente ao Programa Estratégico do
Exército Proteção da Sociedade - Proteger
Trabalho de conclusão de curso apresentado no
Curso de Pós-Graduação Lato Sensu em Gestão
de Projetos, pelo Departamento de
Administração da Universidade de Brasília -
UnB
Orientador: Prof. Dr. João Carlos Neves de
Paiva
Co-Orientador: Dr. Jeronymo Mota Alves de
Carvalho
Brasília
2019
A Segurança da Informação no Projeto Integrador, do
Subprograma SISCOT, pertencente ao Programa Estratégico do
Exército Proteção da Sociedade - Proteger
A Comissão Examinadora, abaixo identificada, aprova o Trabalho de Conclusão do Curso de
Administração da Universidade de Brasília do aluno
ALAIR BARBOSA DA SILVA
Prof. Dr. JOÃO CARLOS NEVES DE PAIVA
Professor-Orientador
Dr. JERONYMO MOTA ALVES DE CARVALHO
Co-Orientador
Prof. MAURÍCIO ABE MACHADO (PMP)
Professor-Examinador
Dr. EMERSON MAGNUS DE ARAÚJO XAVIER
Professor-Examinador
Brasília, 12 de setembro de 2019
Dedico este trabalho à minha família pelo apoio
incondicional a mim dedicado.
AGRADECIMENTOS
Aos meus pais, os quais me ensinaram os valores éticos e morais para se viver em sociedade.
À minha família - meu alicerce e inspiração - agradeço a compreensão durante a realização
desta pesquisa.
Ao Prof. João Carlos Neves de Paiva pelo apoio, paciência, respaldo e incentivo na elaboração
deste trabalho.
Ao Major do Exército, Engenheiro Militar JERONYMO Mota Alves de Carvalho, por aceitar
o convite para ser co-orientador deste trabalho e pelas preciosas orientações.
Ao Major do Exército, Engenheiro Militar EMERSON Magnus de Araújo Xavier, por aceitar
o convite para avaliar este trabalho.
Ao corpo docente do Curso MBA em Gestão de Projetos, da Faculdade de Economia,
Administração e Contabilidade - FACE, da Universidade de Brasília pelo apoio e aprendizado.
À secretaria do Curso MBA em Gestão de Projetos, na pessoa da secretária Mara, meus sinceros
agradecimentos.
Ao amigo, companheiro de trabalho e colega do curso Antonio Carlos Monteiro pelo apoio e
imensa colaboração durante todo o curso.
Aos colegas do Curso MBA em Gestão de Projetos, da Faculdade de Economia, Administração
e Contabilidade - FACE, da Universidade de Brasília pelo apoio e saudável convívio.
Ao Exército Brasileiro pelo reconhecimento e oportunidade.
Por fim, agradeço a Deus pela dádiva da vida e pelas bênçãos recebidas.
RESUMO
Nos dias de hoje, medidas especiais devem ser tomadas para verificar a integridade, a
confiabilidade, a autenticidade e a disponibilidade das informações e para garantir que dados
sensíveis estejam adequadamente protegidos e em segurança. Sistemas que armazenam dados
críticos ou manipulam quaisquer ativos de informação, devem dispor de recursos de segurança
confiáveis e atualizados a fim de coibir ações danosas, sejam elas de origem interna ou externa,
causadas intencionalmente ou não. Diante disso, o objetivo deste trabalho consistiu em verificar
as melhores práticas e explorar os padrões em gestão de segurança da informação utilizados no
software Integrador, identificando possíveis vulnerabilidades no acesso, no armazenamento dos
dados e apresentação das informações por meio de um estudo exploratório. Mais
especificamente, o estudo buscou realizar uma análise comparativa dos padrões de segurança
de tecnologia da informação utilizados no Integrador com os padrões internacionais norteados
pelas normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013. Os
resultados realizados por meio de pesquisa bibliográfica e por meio de um questionário dirigido
aos usuários e desenvolvedores do referido software, mostram que a adoção de práticas de
segurança implementadas na gestão do software Integrador, está alinhada com as
recomendações internacionais recomendadas pelas normas específicas em vigor.
Palavras-chave: Segurança da informação. Gestão de segurança.
ABSTRACT
In the present days, special measures must be taken to verify the integrity, reliability,
authenticity and availability of information and to ensure that susceptible data are correctly
protected and in security. Systems that store critical data or manipulate some information assets
shall have reliable and up-to-date security resources in place to curb harmful actions, whether
of internal or external origin, intentionally caused or not. Therefore, the objective of this work
was to verify the best practices and explore the standards in information security management
used in the integrating software, identifying possible vulnerabilities in access, data storage and
presentation of information by means of an exploratory study. More specifically, the study
sought to perform a comparative analysis of the information technology security standards used
in the integrator with the international standards guided by the Standards ABNT NBR ISO/IEC
27001:2013 e ABNT NBR ISO/IEC 27002:2013. The results achieved through bibliographic
research and through a questionnaire addressed to users and developers of said software, show
that the adoption of security practices implemented in the management of the integrating
software are aligned with the international recommendations recommended by the specific
standards in force.
Keywords: Information Security. Security management.
ILUSTRAÇÃO
Figura 1 Organograma do Programa Estratégico do Exército PROTEGER ...... 28
LISTA DE QUADROS E TABELAS
Quadro 1 - Medidas de segurança 12
Quadro 2 - Objetivos dos Programas Estratégicos do Exército 20
Quadro 3 - Principais Objetivos da Defesa Nacional 21
Quadro 4 - Benefícios do Integrador 27
Quadro 5 - Instrumento de coleta de dados 42
Quadro 6 - Requisitos das normas ISO 27001/2013 44
Tabela 1 - Resultados do questionário 47
Quadro 7 - Comportamentos positivos dos usuários 54
Quadro 8 - Comportamentos negativos dos usuários 55
Quadro 9 - Recomendações de uso 55
Quadro 10 - Medidas a serem implementadas 56
LISTA DE ABREVIATURAS E SIGLAS
BID Base Industrial de Defesa
C MIL A Comando Militar de Área
CCOP Centro de Coordenação de Operações
CDS Centro de Desenvolvimento de Sistemas
COTER Comando de Operações Terrestres
DDoS Distributed Denial of Service
DE Divisão de Exército
DN Defesa Nacional
EB Exército Brasileiro
EETer Estrutura Estratégica Terrestre
FA Forças Armadas
FT Força Terrestre
GLO Garantia da Lei e da Ordem
GVA Garantia da Votação e Apuração
IPS Intrusion Prevention Systems
ISO International Organization for Stardardization
MD Ministério da Defesa
NEGAPEB Normas para Elaboração, Gerenciamento e Acompanhamento
de Projetos no Exército Brasileiro
OEA Organização dos Estados Americanos
ONU Organização das Nações Unidas
PAED Plano de Articulação e Equipamento de Defesa
PEE Programa Estratégico do Exército
PEE Proteger Programa Estratégico do Exército Proteger
PMBOK Project Management Institute Guide
PRODE Produto de Defesa
PSI Política de Segurança da Informação
SD Sistema de Defesa
SGSI Sistema de Gestão da Segurança da Informação
SI Sistema de Informação
SISCOT Sistema de Coordenação de Operações Terrestres
TI Tecnologia da Informação
UPD Unidade de Processamento de Dados
VAC Valve Anti Cheat
SUMÁRIO
1 INTRODUÇÃO ........................................................................................ 9
1.1 Contextualização ....................................................................................... 9
1.2 Formulação do problema .......................................................................... 10
2 OBJETIVOS DA PESQUISA .................................................................. 14
2.1 Objetivo Geral ........................................................................................... 14
2.2 Objetivos Específicos ............................................................................... 14
2.3 Justificativa ............................................................................................... 15
3 REFERENCIAL TEÓRICO ..................................................................... 17
3.1 Contextualização ....................................................................................... 17
3.2 O Projeto Integrador ................................................................................. 18
3.3 Sistema de Coordenação de Operações Terrestres - SISCOT......... 19
3.4 Programa Estratégico do Exército Proteção da Sociedade ...................... 19
3.5 Defesa Nacional ...................................................................................... 20
3.6 Indústria de Produtos de Defesa .............................................................. 22
3.7 ISO - International Organization for Standardization - 27001 .............. 25
3.8 O Software Integrador .............................................................................. 26
3.8.1 Razões da sua concepção ......................................................................... 26
3.8.2 Benefícios ................................................................................................ 27
3.8.3 Perspectivas do produto ........................................................................... 28
3.8.4 Caracterização .......................................................................................... 28
3.8.5 O processo de comunicação no projeto Integrador .................................. 29
3.8.6 Camadas de proteção do servidor e do software Integrador .................... 31
3.8.6.1 IPS ........................................................................................................... 32
3.8.6.2 Firewall ................................................................................................... 32
3.8.6.3 Anti-DDoS ............................................................................................... 33
3.8.6.4 Balanceador de carga ............................................................................... 33
3.8.6.5 Contingenciamento no ambiente de segurança ....................................... 33
3.8.6.6 Mitigação de ataques ............................................................................... 33
3.8.6.7 Ataques volumétricos .............................................................................. 34
3.8.6.8 Autenticação de usuário no ambiente de rede ......................................... 34
3.8.6.9 Proteção antifraude .................................................................................. 35
3.8.7 Ameaças à segurança da informação ....................................................... 35
3.8.7.1 Vírus ........................................................................................................ 37
3.8.7.2 Origem dos ataques ................................................................................. 38
4 MÉTODOS E TÉCNICAS DE PESQUISA ........................................... 39
4.1 Tipologia e descrição dos métodos de pesquisa ...................................... 39
4.1.2 Caracterização e descrição dos instrumentos de pesquisa ....................... 39
4.1.3 Procedimentos de coleta e de análise de dados ....................................... 40
4.1.4 Definição do questionário ....................................................................... 42
4.1.5 Aplicação do questionário ....................................................................... 43
5 RESULTADOS DO QUESTIONÁRIO E ANÁLISE DOS DADOS .... 44
6 CONSIDERAÇÕES FINAIS .................................................................. 53
REFERÊNCIAS ...................................................................................... 56
APÊNDICE A - Roteiro de perguntas aos entrevistados ........................ 59
APÊNDICE B - Respostas do questionário ............................................ 62
9
1 INTRODUÇÃO
1.1 Contextualização
Segundo o Portal GSTI, "Segurança da Informação é a disciplina que envolve um
conjunto de medidas necessárias por garantir que a confidencialidade, integridade e
disponibilidade das informações de uma organização ou indivíduo de forma a preservar esta
informação de acordo com necessidades específicas. Portanto, a informação é um
instrumento estratégico em todas as organizações e um recurso de vital importância nas
empresas.
Segundo Bluephoenix (2008), “A segurança da informação de uma empresa garante,
em muitos casos, a continuidade de negócio, incrementa a estabilidade e permite que as
pessoas e os bens estejam seguros de ameaças e perigos” (apud MELO, 2017).
Nesta era moderna, os sistemas intensivos de software1 tornaram-se uma parte
importante de nossas vidas. Nós dependemos altamente de sistemas de software em várias
áreas ligadas às nossas atividades diárias, tais como serviços financeiros, telecomunicações,
eletrônica, transporte, eletrodomésticos e muito mais. Como o sistema de software está
envolvido em vários aspectos da sociedade, a segurança torna-se uma questão importante e
um requisito vital para o sistema de software, como relatam Salini e Kanmani (2012).
Segundo Mua e M. Zulkernine (2009), "Muitas questões de segurança, tais como
confidencialidade, disponibilidade e integridade devem ser preservadas, a fim de considerar
o software seguro".
A segurança da informação é, de forma sucinta, a maneira de assegurar que os ativos
de informação estejam acessíveis somente aos seus responsáveis de direito, ou as pessoas às
quais foram enviados, por exemplo, uma organização multinacional com diversos projetos e
participando de grandes concorrências comerciais. Nestes casos, é desejável e natural que
tais dados sejam sigilosos, mas existe o risco de exposição de uma ou outra informação.
Quando isso ocorre, a perda pode ser irreparável e os prejuízos incalculáveis.
1 Conjunto de componentes lógicos de um computador ou sistema de processamento de dados.
10
Esses dados podem chegar a mãos erradas, e geralmente chegam a esse destino
indesejável sem a intervenção de um usuário final. Nem todos percebem, mas o simples
encaminhamento de um e-mail para a pessoa errada pode culminar no envio de dados
sigilosos que podem ser usados contra esse remetente ou organização.
A segurança da informação não se refere apenas a um problema de utilização de
tecnologias, deve ser reconhecida como a gestão inteligente da informação em qualquer
ambiente (BEAL, 2008). Portanto, ela não está restrita a sistemas de comunicação, se aplica
a todos os aspectos de proteção de dados de uma organização.
1.2 Formulação do Problema
Devido às constantes mudanças que ocorrem no seu ambiente, devido à globalização
e a evolução das tecnologias de informação (TI), a indústria de artigos destinados à defesa
nacional (DN), depara-se com novas formas de realizar o seu negócio e diferentes realidades.
A indústria de produtos de DN tem necessidade de adaptar a sua estrutura fabril, organização,
planejamento e tomada de decisão, capazes de responder aos novos desafios e aumentar a
competitividade. Portanto é de vital importância que a indústria de produtos de DN tenha
um Sistema de Informação (SI) moderno e atualizado.
Como afirma O’Brien (2004), Sistema de Informação (SI) "é um conjunto organizado
de pessoas, hardware, software, redes de comunicações e recursos de dados que coleta,
transforma e dissemina informações em uma organização".
Segundo Kruger e Kearney (2008), os usuários de SI devem ser sensibilizados para
as questões de segurança, nomeadamente para os efeitos negativos que uma falha ou quebra
de segurança podem provocar.
De acordo com Furnell e Thomson (2009), um dos grandes problemas e ameaças
verificados na implementação de práticas e procedimentos na segurança da informação são
os usuários. Por este fato, torna-se necessário o desenvolvimento de uma cultura de
segurança dentro das organizações e assegurar que as boas práticas sejam um componente
natural do comportamento dos usuários.
Para Knapp; Morris; Marshall; e Byrd (2009), desenvolver um conjunto de políticas
de segurança da informação é o primeiro e mais importante passo para preparar a
11
organização contra eventuais ataques cibernéticos, quer estes tenham origem interna ou
externa.
A segurança da informação envolve uma construção multifacetada, e a sua gestão
exige que tenham que ser consideradas questões não apenas técnicas, mas também
organizacionais, estruturais, comportamentais e aspectos sociais (DHILLON, 2004).
Portanto é necessária a conscientização por partes de todos da organização da importância
da segurança da informação.
Segundo Sêmola (2014 p.41), "podemos definir segurança da informação como uma
área de conhecimento dedicada à proteção de ativos da informação contra acessos não
autorizados, alterações indevidas ou sua indisponibilidade."
A segurança da informação tem um grande desafio, conscientizar os usuários sobre
sua importância, como afirmam Ferreira e Araújo (2014, p.89), "os colaboradores devem
manter suas senhas como informação confidencial. Não deve ser permitido compartilhá-las,
nem acessar sistemas de outros colaboradores sem autorização expressa".
Para Kruger e Kearney (2008), a implementação efetiva de controles de segurança
cibernética depende da criação e divulgação de um conjunto de boas práticas e
comportamentos que sejam percebidos e adotados por todos os elementos da organização.
Essas práticas devem ser do conhecimento de todos na organização, independente do nível
hierárquico.
As organizações, além de definirem procedimentos de segurança dos SI, devem
motivar os usuários a aplicá-los, mostrando-lhes através de simulações que as suas ações
podem provocar vulnerabilidades e consequentemente, ataques de cibercriminosos aos SI da
organização (WORKMAN; BOMMER; E STRAUB; 2008). A fim de que as medidas de
segurança surtam efeito e possam ser observadas por todos, podem ser criados métodos de
incentivos ou premiações àqueles usuários que se dedicarem a aplicá-las.
De acordo com Rhee, Cheongtag e Ryu (2009), Kruger e Kearney (2008), Workman,
Bommer e Straub (2008) e Albrechtsen (2007), os usuários dos SI devem, além de empregar
os mecanismos de segurança cibernética pré-definidos, adotar as medidas de segurança
apresentadas no QUADRO1.
12
Quadro 1 - Medidas de segurança
Medidas de segurança
Utilizar e atualizar com frequência os programas antivírus e antispyware2
Não compartilhar ou divulgar as suas senhas
Realizar cópias de segurança regularmente
Utilizar senhas robustas e diferentes em cada aplicação
Procurar transmitir a sua informação de forma encriptada
Não partilhar a informação do seu computador com outros
Ser cuidadoso na utilização de dispositivos de armazenamento externos
Bloquear a tela do computador quando se ausentar, mesmo que por pouco tempo
Utilizar um firewal3
Não utilizar software ilegal (pirata) ou de compartilhamento de arquivos
Informar imediatamente, no caso de incidentes com vírus, roubos ou perdas de informação
Estar ciente de que todas as ações praticadas têm consequências
Ser responsável e cuidadoso ao utilizar a internet e o correio eletrônico
Aplicar as atualizações de segurança recomendadas
Fonte: elaboração própria
Portanto, com base nos requisitos de segurança e na necessidade de manter a
preservação dos dados trafegados nos diversos sistemas utilizados pelo Exército Brasileiro
(EB), o Comando de Operações Terrestres (COTER), decidiu desenvolver um software que
tivesse a capacidade de integrar diversos sistemas a fim de auxiliar no planejamento e
coordenação de operações e no apoio à decisão e, com isso, garantir a integridade dos dados.
Esta plataforma tornou-se então a solução informatizada do Programa Estratégico do
Exército Proteção da Sociedade Proteger (Prg EE Proteger), recebendo o nome de
Integrador.
Fazem parte do Integrador diversos sistemas que armazenam dados críticos e
manipulam vários ativos de informação. O tráfego desses dados deverão ser confiáveis e
atualizados a fim de coibir ações danosas, sejam elas de origem interna ou externa, causadas
intencionalmente ou não. Portanto, a pesquisa deste trabalho consistiu em analisar as
melhores práticas e explorar os padrões em gestão de segurança da informação utilizadas no
software Integrador à luz das normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR
2 São programas capazes de detectar e eliminar do sistema, outros programas espiões que visam roubar dados
dos usuários. 3 Recurso utilizado nos computadores que tem por objetivo aplicar uma política de segurança a um determinado
ponto da rede.
13
ISO/IEC 27002:2013, a fim de identificar possíveis vulnerabilidades no acesso, no
armazenamento dos dados e apresentação das informações.
14
2 OBJETIVOS DA PESQUISA
Busca-se neste trabalho desenvolver um estudo para identificar possíveis ameaças
que vulnerabilizem a segurança da informação no software Integrador, provendo as
informações relevantes a serem implementadas pelo setor de TI para que seus sistemas e
informações não sejam violados e invadidos por usuários que não possuam a permissão para
visualizá-los.
O tema a ser exposto será a Segurança da Informação no software Integrador,
apresentando um estudo para descrever as principais tecnologias, controles e medidas de
segurança que são empregados no referido software.
2.1 Objetivo Geral
Averiguar os padrões de segurança da informação empregados no Projeto Integrador,
identificando possíveis vulnerabilidades no acesso, no armazenamento dos dados e
apresentação das informações, servindo também como proposta para adoção de melhores
práticas, de políticas sólidas e unificadas de segurança da informação no referido software a
nível institucional.
2.2 Objetivos Específicos
Os objetivos específicos a seguir são propostos, a fim de operacionalizar o objetivo
geral:
i. Verificar os processos de análise e inspeção no software Integrador, a fim de
contribuir para promover melhorias e aperfeiçoamento;
ii. Identificar e apresentar os controles de acesso físicos e lógicos utilizados na
proteção dos dados, visando à segurança da informação no software Integrador;
iii. Gerar informações que sejam convertidas em conhecimentos; Contribuir para
elaboração de novas pesquisas; e
15
iv. Comparar os procedimentos de segurança da informação utilizados no
Integrador com o que estabelecem as normas ABNT NBR ISO/IEC 27001:2013 e
ABNT NBR ISO/IEC 27002:2013.
2.3 Justificativa
Segundo afirmam Bastos e Caubit (2009), a segurança da informação é caracterizada
pela aplicação adequada de dispositivos de proteção sobre um ativo ou um conjunto de ativos
visando preservar o valor que este possui para as organizações. A aplicação destas proteções
busca preservar aspectos como a confidencialidade, a integridade e a disponibilidade, não
estando restritos somente a sistemas ou aplicativos, mas também informações armazenadas
ou veiculadas em diversos meios além do eletrônico ou em papel.
Segundo Roratto e Dias (2014), além destes, são apresentados mais alguns aspectos
que são indispensáveis para a garantia da segurança da informação:
i. Autenticação: “Garantir que um usuário é de fato quem alega ser”.
ii. Não repúdio: “Capacidade do sistema de provar que um usuário executou uma
determinada ação”.
iii. Legalidade: “Garantir que o sistema esteja aderente à legislação”.
iv. Privacidade: “Capacidade de um sistema de manter anônimo um usuário,
impossibilitando o relacionamento entre o usuário e suas ações”.
v. Auditoria: “Capacidade do sistema de auditar tudo o que foi realizado pelos
usuários, detectando fraudes ou tentativas de ataque”.
Segundo a norma ISO/IEC 27002 (2013, p.4),
"Em um mundo interconectado, a informação e os processos
relacionados, sistemas, redes e pessoas envolvidas nas suas operações
são informações que, como outros ativos importantes, têm valor para a
organização e, consequentemente, requerem proteção contra vários
riscos".
A segurança da informação é complexa, envolvendo aspectos de negócios, processos
tecnológicos, jurídicos, humanos, de inteligência e outros. Portanto, definir os ativos de
informação que devem ser protegidos e determinar quem será o responsável para implantar
uma Política de Segurança da Informação (PSI), que proporcione a confiabilidade, a
16
autenticidade, a integridade e a disponibilidade das informações, é fundamental. Estabelecer
uma PSI que se dedica à proteção dos dados, recursos e procedimentos abrangentes, e, além
do monitoramento constante e acompanhamento da evolução das novas técnicas e
tecnologias, são procedimentos que demandam trabalhos de elevada complexidade. PSI
pode ser definida como um manual que determina as medidas mais importantes para
certificar a segurança de dados da organização.
No entanto, é possível desenvolver um sistema com alto grau de confiança que seja
capaz de identificar, anular ataques e ser tolerante a falhas por meio de algumas medidas de
contingência. Essa orientação está prevista no Sistema de Gestão da Segurança da
Informação (SGSI), que segundo as normas ISO 27001, "...preserva a confidencialidade,
integridade e disponibilidade da informação por meio da aplicação de um processo de gestão
de riscos e fornece confiança para as partes interessadas de que os riscos são adequadamente
gerenciados.
Na indústria de produtos militares voltados à DN, alguns cuidados especiais devem
ser aplicados na verificação da integridade como o aperfeiçoamento dos dispositivos e
procedimentos de segurança que reduzam a vulnerabilidade dos sistemas relacionados à DN
contra ataques cibernéticos e, se for o caso, que permitam seu pronto restabelecimento a fim
de garantir que dados sensíveis estejam adequadamente protegidos.
3 REFERENCIAL TEÓRICO
17
3.1 Contextualização
O referencial teórico é o embasamento para o desenvolvimento de uma pesquisa.
Neste trabalho foi definido que o estudo irá abordar conceitos correspondentes ao Projeto
Integrador e seu enquadramento dentro da hierarquia do Exército Brasileiro (EB), a definição
de Defesa Nacional e Indústria de Produtos de Defesa, as normas ABNT NBR ISO/IEC
27001:2013, que norteiam o padrão internacional de segurança da informação - e o Software
Integrador, como objeto de pesquisa.
Portanto, consolida-se, assim, a fundamentação teórica que norteia esta pesquisa. A
seção que aborda o Projeto Integrador apresenta sua definição e a finalidade à qual se destina.
Nas duas seções seguintes são apresentados o sistema e o programa aos quais o Integrador
está inserido, o Sistema de Coordenação de Operações Terrestres (SisCOT) e o Programa
Estratégico do Exército Proteção da Sociedade PROTEGER (Prg EE Proteger).
A seção referente à Defesa Nacional destina-se a apresentar seu conceito e definição,
bem como seus principais objetivos. A Indústria de Produtos de Defesa é descrita numa
seção que apresenta a definição de Produto de Defesa (PRODE), onde se enquadra o
software Integrador, bem como a definição de Base Industrial de Defesa (BID), que engloba
todas as empresas estatais e privadas que participam de uma ou mais etapas de pesquisa,
desenvolvimento, produção, distribuição e manutenção de produtos estratégicos de defesa –
bens e serviços que, por suas peculiaridades, possam contribuir para a consecução de
objetivos relacionados à segurança ou à defesa do país.
Na seção que apresenta as normas ISO 27001/2013, são descritas a finalidade da sua
adoção pelas organizações e as vantagens de se ter uma abordagem 360º à segurança da
informação.
Em seguida, a seção que trata do software Integrador, objeto deste estudo, traz uma
síntese das razões da sua concepção, os benefícios e as perspectivas advindos do seu
desenvolvimento, sua caracterização, o processo de comunicação dentro do projeto e as
camadas de proteção que possui, a fim de resguardar a disponibilidade, a confidencialidade
e a integridade dos dados trafegados nos seus sistemas integrados.
3.2 O Projeto Integrador
18
Projeto, segundo o PMBOK (2017, p.4), “é um esforço temporário empreendido para
criar um produto, serviço ou resultado exclusivo”. A sua natureza temporária prevê um início
e um término definidos, seu término se dá quando os objetivos tiverem sido alcançados, ou
quando se concluir que eles não serão ou, não poderão ser atingidos ou quando não forem
mais necessários ou compensadores. Além disso, geralmente, esse termo não se aplica ao
produto, serviço ou resultado criado pelo projeto.
O projeto Integrador se refere ao desenvolvimento de uma plataforma digital,
informatizada, capaz de integrar todos os dados necessários e disponíveis sobre as diferentes
estruturas estratégicas terrestres do Brasil, gerenciadas por diferentes entes públicos. Esse
software, utilizado pelo Sistema de Coordenação de Operações Terrestres (SISCOT), do Prg
EE Proteger, será empregado na integração dos diversos sistemas da força terrestre (FT), e
daí a denominação Integrador.
O Integrador visa ser um amplo software compartilhador de informações e
conhecimentos entre o EB e as agências e órgãos parceiros do SisCOT, com o objetivo de
aumentar a eficácia das ações na proteção das Estruturas Estratégicas Terrestres (EETer) do
país, como ferrovias, aeroportos, usinas hidrelétricas e portos, buscando assim garantir a
integridade de instalações e serviços que, se interrompidos, provocariam sério impacto
econômico, social e ambiental. Sua implementação é importante também para os
planejamentos de segurança em grandes eventos, para o apoio à Defesa Civil, para o
atendimento à população em calamidades e para as medidas de contraterrorismo.
O software Integrador foi previsto para ser desenvolvido em fases e irá inicialmente
integrar os sistemas de nível estratégico e tático da FT de interesse das operações. Na sua
continuidade, ele contribuirá para a integração com os demais sistemas de comando e
controle das Forças Armadas (FA), forças policiais e outros órgãos e agências
governamentais federais, estaduais, municipais e, ainda, com empresas e instituições civis
de interesse, potencializando a atuação de todos em um ambiente de operações interagências.
Nesse contexto, o Integrador visa proporcionar consciência situacional e apoio à
tomada de decisão nas diversas operações de emprego da FT no território nacional,
favorecendo o processo de planejamento e condução das operações por parte dos
comandantes e seus Estados-Maiores.
3.3 Sistema de Coordenação de Operações Terrestres - SisCOT
19
O SisCOT é um projeto cuja arquitetura contempla instalações, viaturas e softwares
embarcados que ampliarão a capacidade de planejamento, comando, controle e coordenação
da FT e contará basicamente com Centros de Coordenação de Operações (CCOp) fixos e
móveis, e o desenvolvimento de um software, denominado Integrador, que permitirá a
integração dos diversos sistemas empregados no planejamento e coordenação de operações.
O projeto prevê a instalação de um CCOp em Brasília, conjuntamente com o COTER, órgão
central do SisCOT.
O SisCOT ainda possui CCOP móveis, aprovados pela Portaria nº 011 - EME, de
14/01/2019, que estão à disposição dos Comandos Militares de Área, (C Mil A), para atender
as localidades isoladas. Um CCOP móvel é constituído por um conjunto de viaturas com
capacidade de comando e controle e possibilidade de estabelecer enlaces de dados com um
CCOp ou o CCOT – Brasília, provendo assim, conexão de dados à localidades isoladas.
3.4 Programa Estratégico do Exército Proteção da Sociedade (Prg EE - Proteger)
Segundo as NEGAPEB (2017), Prg EE são os programas com impactos estratégicos,
cujos produtos atuam como indutores do processo de transformação da FT e, por isso, os que
recebem a mais alta prioridade no orçamento do EB.
Segundo a Portaria n° 133-EME, de 08/08/2018, o Prg EE Proteger "...é um sistema
complexo que visa ampliar a capacidade do EB para coordenar operações de proteção da
sociedade, destacando-se a integridade de infraestruturas críticas, as EETer". Define, ainda,
que em situação de crise, o Prg EE Proteger apoia a defesa civil em casos de: a) calamidades
naturais ou provocadas, inclusive em áreas contaminadas por agentes químicos, biológicos,
radiológicos e nucleares; b) coordenação de segurança e atuação em grandes eventos; c)
realização de operações de Garantia da Lei e da Ordem (GLO); d) Garantia da Votação e
Apuração (GVA) em pleitos eleitorais; e) ações de prevenção e combate ao terrorismo,
quando demandada pelo governo federal; e f) operações subsidiárias.
O sistema Proteger destina-se à integração de esforços voltados para a proteção das
EETer do país, garantindo o funcionamento de infraestruturas e serviços essenciais ao
desenvolvimento socioeconômico face às ameaças físicas, além de garantir a proteção da
sociedade em grandes eventos, suporte à defesa civil, proteção ambiental e apoio à segurança
pública.
20
Dessa forma o QUADRO 2 apresenta os objetivos dos Prg EE:
Quadro 2 - Objetivos dos Prg EE
Objetivos dos Programas Estratégicos do Exército
Permitir superar o atual estágio de obsolescência do material de emprego militar
Respaldar a estratégia de cooperação com os países do entorno do território brasileiro
Elevar a capacidade de dissuasão do país
Consolidar o processo de transformação em curso no EB, ao agregar novas capacidades operacionais,
indispensáveis ao cumprimento das missões constitucionais
Produzir significativos impactos socioeconômicos pela geração de postos de trabalho, seja nos segmentos
diretamente ligados às atividades operacionais, seja naqueles que proverão produtos e serviços para o EB,
com destaque para a indústria nacional de defesa
Benefícios relevantes relacionados à ampliação da capacidade de pesquisa e desenvolvimento científico em
tecnologias de domínio restrito, como a busca de produtos de elevado valor agregado, o incremento das
operações interagências, bem como a possibilidade de aumento da cooperação regional
Fonte: Programa Estratégico do Exército Proteção da Sociedade - PROTEGER (2018)
Com o presente planejamento, o EB espera ter iniciado um processo de permanente
aperfeiçoamento de parâmetros úteis para a identificação e dimensionamento das prioridades
orçamentárias. Estas permitirão não só a obtenção de novas capacidades operacionais, assim
como e, sobretudo benefícios sociais, econômicos e científico-tecnológicos necessários para
alavancar o desenvolvimento socioeconômico nacional e respaldar os interesses soberanos
do Brasil no cenário internacional.
3.5 Defesa Nacional
O conceito de Defesa Nacional (DN), é definido pela Política Nacional de Defesa
(2012), como "...um conjunto de medidas e ações do Estado, com ênfase na expressão
militar, para a defesa do território, da soberania e dos interesses nacionais contra ameaças
preponderantemente externas, potenciais ou manifestas".
Quadro 3 - Principais objetivos da Defesa Nacional Principais Objetivos da Defesa Nacional
21
A garantia da soberania, do patrimônio nacional e da integridade territorial
Defender os interesses nacionais e das pessoas, dos bens e dos recursos brasileiros no Brasil e no exterior
Contribuir para a preservação da coesão e da unidade nacionais
Promover a estabilidade regional
Contribuir para a manutenção da paz e da segurança internacionais
Projetar o Brasil no concerto das nações e sua maior inserção em processos decisórios internacionais
Manter as Forças Armadas, doravante denominadas (FA), modernas, integradas, adestradas e balanceadas, com
crescente profissionalização, operando de forma conjunta e desdobradas adequadamente no território nacional
Conscientizar a sociedade brasileira da importância dos assuntos de defesa do País
Desenvolver a indústria nacional de defesa, orientada para a obtenção da autonomia em tecnologia,
indispensáveis
Estruturar as FA em torno de capacidades, dotando-as de pessoal e material compatíveis com os planejamentos
estratégicos e operacionais
Desenvolver o potencial de logística de defesa e de mobilização nacional
Fonte: Política Nacional de Defesa - PND (2012)
A Estratégia Nacional de Defesa (END), em vigor desde dezembro de 2008 e
atualizada em 2012, preencheu uma importante lacuna na sistemática de reorganização e
reorientação das FA para atendimento à Política Nacional de Defesa (PND). As organizações
têm dificuldades para tratar as ameaças de invasões de criminosos cibernéticos, hoje em dia,
haja vista que os criminosos virtuais se utilizam de técnicas de invasão cada dia mais difíceis
de serem detectadas. Portanto se faz necessário possuir um plano de ação em casos de
ataques cibernéticos ou ameaças de invasão aos sistemas, que poderiam resultar em fraudes,
vazamento de informações ou sequestro de dados, a fim de garantir a confidencialidade,
confiabilidade, integridade, autenticidade e disponibilidade das informações.
Em países que investem em soluções voltadas à transformação digital dos negócios,
como mobilidade e aplicações na área de segurança da informação, as preocupações com a
defesa nacional transcendem a política. Nesses países, instituições que representam a
sociedade, a inteligência e a mídia contribuem informalmente para a formação de um senso
comum sobre o tema.
A estrutura básica do senso comum no Brasil sobre DN, segundo a PND, pode ser
assim resumida:
i. Uma capacidade de poder militar tecnologicamente moderno, dimensionado
criteriosamente, com capacidade de dissuadir agressões e capaz de abortar
22
qualquer tentativa concreta, em qualquer parte do território nacional. Esse
cenário imagina-se ser o ideal, mas hoje não pode ser considerado real, pois a
estruturação de um poder militar moderno e tecnologicamente desenvolvido
demanda muito tempo e exige altos investimentos;
ii. Com base nas injunções interativas do mundo globalizado, economicamente e
nas áreas ambiental e das comunicações, essa capacidade de poder militar deve poder
constituir força(s) de intervenção, em condições de apoiar mandatos das Organizações das
Nações Unidas (ONU), da Organização dos Estados Americanos (OEA) e de outras
organizações e tratados dos quais o Brasil esteja associado, em nível significativo e com o
devido protagonismo na sua região.
Além disso, o poder militar das FA precisa ser capaz de atender as diversas
necessidades como: o controle rotineiro das fronteiras terrestres e da costa e de responder às
necessidades eventuais e temporárias de controle da ordem interna na garantia dos poderes
constituídos, da lei e da ordem.
3.6 Indústria de Produtos de Defesa
O conceito de Produto de Defesa (PRODE) foi definido no inc. I do art. 2º da Lei nº
12.598, de 21/03/2012, que estabelece normas especiais para as compras, as contratações e
o desenvolvimento de produtos e de sistemas de defesa como: “...todo bem, serviço, obra ou
informação, inclusive armamentos, munições, meios de transporte e de comunicações,
fardamentos e materiais de uso individual e coletivo utilizados nas atividades finalísticas de
defesa, com exceção daqueles de uso administrativo”.
Por sua vez, o conceito de Sistema de Defesa (SD) é definido no inc. III do art. 2º
da mesma lei como: “conjunto interrelacionado ou interativo de PRODE que atenda a uma
finalidade específica”. Dessa forma, o conceito de SD é dependente do conceito de PRODE,
deste modo, só se pode ter em vista o significado de SD entendendo-se previamente o de
PRODE.
O conceito de PRODE se estende por realidades bastante amplas: obras, bens e
serviços diversos podem ser abarcados por ele. Deste modo, o que diferencia um PRODE
de outras obras, produtos e bens, não é a sua natureza, mas a finalidade que lhe é atribuída.
23
Por premissa, a expressão "utilizados nas atividades finalísticas de defesa" se refere
a "todo bem, serviço, obra ou informação". Portanto, conclui-se que armamentos, munições
e fardamentos, meios de transporte e de comunicação, materiais de uso individual e
coletivo, assim como quaisquer outros bens, serviços e obras, serão PRODE apenas quando
afetados às atividades finalísticas de defesa (GAMELL, 2014).
O Ministério da Defesa (MD), define Base Industrial de Defesa (BID) como "...o
conjunto das empresas estatais ou privadas que participam de uma ou mais etapas de
pesquisa, desenvolvimento, produção, distribuição e manutenção de produtos estratégicos
de defesa – bens e serviços que, por suas peculiaridades, possam contribuir para a
consecução de objetivos relacionados à segurança ou à defesa do país".
Para que possa se consolidar com sucesso, a BID depende do trabalho conjunto e
harmônico do setor produtivo, concentrado essencialmente na iniciativa privada, com o setor
de desenvolvimento, a cargo do Estado. A defesa do Brasil requer a reorganização da BID,
formada pelo conjunto de empresas públicas e privadas, bem como as organizações civis e
militares que realizem ou conduzam pesquisa, projeto, desenvolvimento, produção, reparo,
conservação, revisão, conservação, modernização ou manutenção de PRODE.
O MD atua com vistas a promover condições que permitam alavancar a BID
brasileira, capacitando a indústria nacional do setor para que conquiste autonomia em
tecnologias estratégicas para o país. Ciente da magnitude desse desafio, o MD trabalha
também para que haja esforço orçamentário continuado para os projetos estratégicos de
defesa, conforme a Portaria Normativa nº 899, do Ministério da Defesa, de 19/07/2005.
Duas iniciativas nesse sentido são a instituição do Plano de Articulação e
Equipamento de Defesa (PAED), e o advento da Lei de fomento à BID. Além de instituir
um marco regulatório para o setor, a norma diminui o custo de produção de companhias
legalmente classificadas como estratégicas e estabelece incentivos ao desenvolvimento de
tecnologias indispensáveis ao Brasil, conforme a Portaria Normativa nº 764, do Ministério
da Defesa, de 27/12/2002.
Os PRODE, por padrão, não são totalmente seguros, cujas possíveis falhas ou
vulnerabilidades poderiam ser exploradas por algum tipo de ator ou invasor malicioso. Com
a globalização e a proliferação de produtos de diversas origens, é cada vez mais difícil saber
se um produto de segurança é, de fato, seguro e se fornece as funcionalidades que sejam
eficazes para as necessidades de negócios.
A indústria de PRODE requer de confiança para que os produtos de segurança não
obstante as vulnerabilidades conhecidas permaneçam seguros, frente a um ambiente
24
frequente de ameaças de invasões aos sistemas de informação. Uma avaliação imparcial por
uma entidade independente pode ajudar a alcançar o nível de confiança desejado, verificando
as alegações de segurança de um fornecedor de produtos e aplicação de teste de
vulnerabilidades (FONTES, 2012).
Os produtos formalmente avaliados aumentam a confiança no fabricante. Utilizar um
produto de maneira diferente da qual foi avaliado pode introduzir ameaças de invasão nos
sistemas de produção e vulnerabilidades funcionais que não foram consideradas na avaliação
inicial. Portanto, existem riscos de segurança que necessitam ser reconhecidos e aceitos ao
selecionar e usar PRODE, sobretudo softwares, que utilizam informações sensíveis de
segurança e DN.
A aplicação de processos recomendados baseados em riscos de aquisição, instalação
e configuração de PRODE proporcionam segurança e funções de proteção da informação,
bem como o valor de seguir as informações de rotulagem, manutenção, sanitização e
procedimentos de eliminação desses produtos.
Sob a tendência de a guerra tornar-se cada vez mais complexa e tecnológica, faz-se
necessário arguir sobre a estrutura produtora da tecnologia militar. Com base na evolução
da tecnologia militar de impacto, o homem tem mantido condições de combate ao longo do
tempo, mediante a construção de uma estrutura operante e efetiva.
A estrutura, em termos funcionais, é complexa e composta de várias instituições e
empresas, com diferentes especializações, de difícil relacionamento e, por vezes, com
interesses conflitantes. Portanto, precisaria operar de forma harmoniosa para produzir os
materiais e serviços necessários às forças combatentes.
Dessa forma, o abastecimento resulta da implementação do planejamento da ativação
dos campos ciência e tecnologia, em situação de normalidade, enquanto a mobilização se
traduz na implementação do planejamento da ativação desses campos, em uma situação de
necessidade extrema.
Em suma, nesse contexto, o que irá distinguir, na prática, um PRODE de outros
produtos é o critério formal da sua classificação como tal.
3.7 ABNT NBR ISO - International Organization for Standardization - 27001:2013
25
A norma ABNT NBR ISO/IEC 27001:2013 é o padrão internacional para a gestão
da segurança da informação, assim como a ISO 9001 é a referência internacional para a
certificação de gestão em qualidade. A ISO 27001 é a principal norma que uma organização
deve utilizar como base para obter a certificação empresarial em gestão da segurança da
informação. Por isso, é conhecida como a única norma internacional auditável que define os
requisitos para um Sistema de Gestão de Segurança da Informação (SGSI).
Ao longo dos anos, inúmeros profissionais contribuíram com suas experiências para
o estabelecimento de um padrão estável e maduro, mas que certamente continuará a evoluir
ao longo dos tempos. O princípio geral das normas ISO é prover um conjunto de requisitos,
processos e controles com o objetivo de mitigar e gerir adequadamente o risco da
organização.
Inúmeras entidades em todo o mundo utilizam as práticas ISO e usufruem dos
benefícios da sua adoção, sendo que, as entidades que assim o desejem podem também se
certificarem, demonstrando, assim, de forma idônea, que cumprem os requisitos e os
processos constantes na Norma.
Determinadas organizações, obrigam os seus fornecedores ou parceiros a obter tais
certificações, nomeadamente a ISO 27001, como garantia do cumprimento dos princípios
nelas estabelecidos, proporcionando aos seus clientes e parceiros um nível extra de conforto
no que concerne à segurança da informação. As organizações que adotam e se certificam
nessa norma, atribuem especial importância à proteção da informação e demonstram-na por
meio da sua certificação.
Segundo a própria norma ISO 27001, sua adoção serve para que as organizações
adotem um modelo adequado de estabelecimento, implementação, operação,
monitoramento, revisão e gestão de um SGSI. Esse SGSI, de acordo com os princípios da
norma ISO 27001, é um modelo holístico de abordagem à segurança e independente de
marcas e fabricantes tecnológicos. É holístico por ser uma abordagem 360º à segurança da
informação, tratando de múltiplos temas, tais como as telecomunicações, segurança
aplicacional, proteção do meio físico, recursos humanos, continuidade de negócios,
licenciamento, dentre outros e independentemente de fabricantes porque se destina ao
estabelecimento de processos e procedimentos que depois podem ser materializados à
realidade de cada organização de forma diferente e com a especificidade de cada ambiente
tecnológico e organizacional.
A norma padrão ABNT NBR ISO/IEC 27001:2013 é composta por duas
componentes relativamente distintas:
26
i. Primeira componente da norma: onde são definidas as regras e os requisitos de
cumprimento da norma;
ii. Segunda componente da norma: é composta por um conjunto de controles que as
organizações devem adotar.
Portanto, conforme preconiza a ABNT (2013) convém que um conjunto de PSI seja
definido e aprovado pela direção, publicado e comunicado para todos os funcionários e
partes externas relevantes.
3.8 O Software Integrador
3.8.1 Razões da sua concepção
Devido à dificuldade de integrar dados e informações para se obter prognósticos,
alarmes e conhecimentos relativos aos temas de proteção da sociedade e proteção das EETer,
associada à dificuldade de coordenar operações em ambiente interagências e ainda devido
aos cenários de incertezas, com ameaças difusas e assimétricas, revestir-se de elevada
complexidade, no âmbito nacional e no exterior, com riscos decorrentes tanto de causas
naturais quanto de amplo espectro de possíveis ameaças de origem humana, tais como
sabotagens, crime organizado e ataques terroristas, dentre outras. Ainda, levando em
consideração a inexistência de um sistema que integre de forma adequada as atividades de
prevenção, antecipação e emprego operacional, visando a minimizar ou mitigar os riscos e
as ameaças, foi concebido o desenvolvimento um software que pudesse concentrar as
informações relativas à segurança das EETer e as disponibilizasse de forma oportuna para
atuação coordenada da FT na proteção delas.
Esse software utilizado no apoio à decisão do SisCOT/Prg EE PROTEGER será
empregado na integração dos diversos sistemas da FT e será denominado Integrador. O
Integrador deverá ser um software abrangente, compartilhador de informações e de
conhecimentos entre o EB e as agências e órgãos parceiros do SisCOT, com o objetivo de
aumentar a eficácia das ações na proteção das EETer.
27
O Integrador poderá ser acessado, via browser4, por meio do computador de cada
participante do SisCOT, que esteja devidamente habilitado para isso, a fim de auxiliar na
consciência situacional compartilhada dos integrantes do EB.
3.8.2 Benefícios
O software Integrador apresenta os benefícios institucionais, econômicos e sociais,
destacados no QUADRO 4:
Quadro 4 - Benefícios institucionais, econômicos e sociais do Integrador
Institucionais
Melhores condições para atuação do Exército na proteção da sociedade e das EETer
Maior confiabilidade no fornecimento dos serviços das EETer
Otimização de esforços e recursos
Elevação da capacidade operacional do Exército
Econômicos
Redução dos riscos de descontinuidade do negócio das EETer
Elevação de credibilidade
Segurança para investimentos
Estímulo à indústria nacional
Sociais Aumento da sensação de segurança e paz social
Aumento da segurança permitindo a continuidade dos serviços essenciais à população
Fonte: elaboração própria
3.8.3 Perspectivas do Produto
Figura 1 - Organograma do Prg EE PROTEGER
4 Navegador de internet.
28
Fonte: Programa Estratégico do Exército Proteção da Sociedade (PROTEGER)
O Integrador deverá ser utilizado em todo o SisCOT cujo órgão central será o Centro
de Coordenação de Operações Terrestres (CCOT), localizado em Brasília. Integra-se ainda
ao SisCOT os CCOP, de cada C MIL A; e os CCOp das Divisões de Exército (DE) e Brigadas
(Bda) do EB que estiverem disponíveis.
3.8.4 Caracterização
O software Integrador deverá ser um grande sistema aglutinador e compartilhador de
informações e conhecimentos entre o EB e as agências e órgãos parceiros do SisCOT, com
o objetivo de aumentar a eficácia das ações na proteção das EETer.
Um CCOp congregará em um mesmo ambiente os tomadores de decisão, os
assessores de Estado-Maior e, quando for o caso, os representantes de órgãos e agências
governamentais, que juntos, participarão da condução das operações de guerra (ofensivas e
defensivas) e não guerra, como pacificação e apoio a órgãos governamentais.
3.8.5 O processo de comunicação no projeto Integrador
PROGRAMA ESTRATÉGICO DO EXÉRCITO PROTEÇÃO DA
SOCIEDADE (Pgr EE PROTEGER)
Sistema de Coordenação Operacional Terrestre (SISCOT)
Projeto
INTEGRADOR
Projeto
Sistema de Tecnologia da Informação e Comunicações
Projeto
Prevenção e Combate ao Terrorismo
29
A comunicação no projeto Integrador tem como principais objetivos:
i. Conectar as partes interessadas do projeto Integrador, respondendo suas
necessidades de informação, gerando confiança e entusiasmo pelo projeto e
estimulando o trabalho em equipe e cooperação;
ii. Agilizar a tomada de decisão, disponibilizando a informação certa, na hora certa,
para as pessoas certas;
iii. Garantir o alinhamento entre as pessoas, disponibilizando uma documentação
resumida e eficiente, o que implicará em menos discussões e conflitos;
iv. Fornecer as ligações críticas entre os diversos usuários e as partes interessadas e
informações necessárias para comunicações bem-sucedidas; e
v. Garantir a geração, disseminação, armazenamento, recuperação e descarte de
informações referentes ao projeto Integrador.
O êxito de qualquer projeto passa pela clareza, oportunidade e precisão das
informações. O projeto Integrador possui uma rede variável de pessoas e instituições que
necessitam ser atualizadas com as informações de gerenciamento e de decisões, com reflexos
importantes na execução do projeto.
Outra característica importante do projeto Integrador é a necessidade de
compartimentar informações sensíveis, sejam pela natureza do conteúdo em relação a dados
com classificação sigilosa, seja pelo interesse de empresas diversas em temas que mereçam
ser protegidos.
Resumidamente, podem-se elencar os seguintes requisitos no processo de
comunicação: clareza, oportunidade, precisão e compartimento das informações.
Para atender aos requisitos acima elencados, dois aspectos devem ser considerados:
os meios a serem utilizados e a frequência.
Quanto aos meios, observadas as necessidades de segurança orgânica do conteúdo,
serão utilizados os telefones, e-mails e o contato pessoal por intermédio das reuniões
decisórias e de acompanhamento.
Os contatos entre os integrantes da equipe de gerenciamento do projeto Integrador
devem ser diários. As reuniões de acompanhamento com as partes interessadas principais
devem ser, no mínimo, mensais. As reuniões com as demais partes interessadas (empresas,
fornecedores, outros setores do EB) devem ocorrer mediante solicitação prévia e com a
frequência que se fizer necessária. Em todos os casos, as atas das reuniões devem seguir o
30
modelo do Escritório de Projetos do Exército (EPEx), ressaltando os assuntos tratados, as
ações futuras e os responsáveis por cada uma delas.
As habilidades de comunicação fazem parte das habilidades de gerenciamento geral
e são usadas para trocar informações. As habilidades de gerenciamento geral estão
relacionadas às comunicações e tem como objetivo garantir que as pessoas certas obtenham
as informações corretas no seu devido momento, conforme definido no plano de
gerenciamento das comunicações do Projeto Integrador. Além disso, essas habilidades
também incluem a arte de gerenciar os requisitos das partes interessadas.
O sistema de coleta e recuperação das informações no projeto Integrador pode
ocorrer por diversos meios, inclusive sistemas manuais de arquivamento, software de
gerenciamento de projetos, bancos de dados eletrônicos, back-ups e sistemas que
possibilitem o acesso à documentação técnica, como especificações de modelagem, plano
de testes e projeto básico.
A distribuição das informações é a coleta, compartilhamento e transmissão das
informações às partes interessadas durante o ciclo de vida do Projeto Integrador. As
informações sobre o projeto serão distribuídas usando diversos métodos, como:
i. Reuniões do projeto, distribuição de cópias impressas de documentos, sistemas;
ii. Manuais de arquivamento e bancos de dados eletrônicos de acesso
compartilhado;
iii. Ferramentas para conferências e comunicação eletrônica, como e-mail,
videoconferência, correio de voz, fax, telefone, áudio conferências e publicações
na rede interna e Portal do COTER na rede corporativa do EB (EBnet);
iv. Ferramentas eletrônicas de gerenciamento de projetos (GPEx), como elaboração
de cronogramas e interfaces Web para software de gerenciamento de projetos,
software para dar suporte a reuniões, portais, escritórios virtuais e ferramentas
de gerenciamento de trabalho colaborativo.
Todos os procedimentos relacionados à comunicação do projeto Integrador devem
seguir as políticas e procedimentos adotados pelo COTER e pelo EPEx.
Estas políticas e procedimentos deverão ser documentados no sistema de gestão da
qualidade utilizando a metodologia de gerenciamento de projetos.
3.8.6 Camadas de proteção do servidor e do software Integrador
31
Existem alguns pilares que estão ligados à segurança da informação nas organizações
que são as informações que transitam em diversos departamentos e estão sendo consultadas,
inseridas e modificadas a todo instante. Por isso, a segurança da informação existe para
garantir a disponibilidade, a confidencialidade e a integridade dos dados. (SECURITY,
2016).
i. Disponibilidade: Está relacionada ao tempo e à acessibilidade que se tem dos
dados e sistemas da organização, ou seja, é a garantia de que a informação estará
sempre disponível para que os usuários autorizados possam acessar os dados em
tempo real.
ii. Confidencialidade: Trata da privacidade dos dados da organização a fim de
assegurar que as informações confidenciais e críticas não sejam roubadas dos
sistemas organizacionais por meio de ataques cibernéticos, espionagem, dentre
outras práticas.
iii. Integridade: É importante que os dados circulem ou que sejam armazenados do
mesmo modo como foram criados, sem que haja interferência externa para
corrompê-los, danificá-los ou comprometê-los.
O comprometimento dos pilares supracitados oferece um risco à segurança dos
dados. A vulnerabilidade de dados sigilosos de integrantes do governo, de empresas e de
pessoas comuns, pode ser explorada por usuários maliciosos a fim de obter vantagens
indevidas de seu interesse particular.
Conforme preconiza a IG-01-014 (2014), que aprova as Instruções Gerais de
Segurança da Informação e Comunicações para o Exército Brasileiro, "todas as informações
produzidas e manuseadas no âmbito do EB devem ser tratadas para assegurar a
disponibilidade, integridade, confidencialidade e autenticidade. Portanto a monitoração de
ameaças deve ser constante e ininterrupta, pois os mecanismos sofrem atualizações para se
resguardar de riscos que podem comprometer um sistema que possui informações e dados
importantes que precisam estar seguros.
Segundo a Cartilha de Segurança para Internet/CERT.br (2012), podemos descrever
algumas camadas de proteção relacionadas à segurança da informação que serão detalhadas
a seguir:
32
3.8.6.1 IPS
Intrusion Prevention Systems (IPS) - sistema de prevenção de intrusão, que é o
monitoramento de rede passivo com detecção em linha que permite a detecção de intrusos e
também uma interação com o firewall no que diz respeito ao controle do acesso e com outros
IPS que utilizam processos.
Esses processos combinam regras de endereço IP e portas, pois diferentemente do
firewall, ele é inspirado no conteúdo de aplicação. Os IPS estão sendo aperfeiçoados cada
vez mais e devido à demanda, passaram também a exercer a função de host, prevenindo
atividades maliciosas.
3.8.6.2 Firewall
É um dispositivo de segurança de rede que controla o acesso de fluxos de tráfego à
rede entre uma zona confiável (rede corporativa ou privada) e uma zona não confiável – a
internet. O firewall atua como um controlador na rede, onde todas as comunicações precisam
passar por ele, que autoriza ou não o tráfego. Os firewalls aplicam os controles de acesso
através de um modelo que é conhecido como “negar por padrão”, pois ele autoriza apenas o
tráfego definido na política de firewall, negando os outros.
3.8.6.3 Anti-DDoS
Distributed Denial of Service - DDoS - Previne contra a saturação da banda de
internet em caso de ataques de negação de serviço, que ocasiona lentidão e sobrecarga de
servidor, proporcionando maior proteção contra o tráfego malicioso e fazendo sua
33
identificação e descarte antes que o mesmo atinja a rede do usuário, tornando-a virtualmente
inacessível.
3.8.6.4 Balanceador de carga
Balanceamento de carga é uma técnica que distribui a carga de trabalho de maneira
uniforme entre dois ou mais dispositivos e/ou recursos (computadores, enlaces de rede,
discos rígidos ou outros recursos), com o intuito de maximizar o desempenho, evitar a
sobrecarga, minimizar o tempo de resposta e aperfeiçoar a utilização de recursos.
Utilizando múltiplos componentes com o balanceamento de carga em vez de um
componente único, pode aumentar a confiabilidade através da redundância.
3.8.6.5 Contingenciamento no ambiente de segurança
É uma possibilidade para amenizar riscos em TI ou até mesmo eliminá-los - tarefa
considerada por muitos como impossível - não sendo recomendável ser feita tal promessa
aos níveis de decisão, visto que os riscos são renovados a cada dia, com velocidade
assustadora.
3.8.6.6 Mitigação de ataques
É um termo utilizado para designar os meios e as medidas implementadas para
atenuar os efeitos negativos ligados a um risco. Para resistir aos ataques DDoS, a mitigação
consiste em filtrar o tráfego não legítimo e aspirá-lo através do Valve Anti-Cheat5 (VAC),
que é um sistema oficial da empresa Valve6 que detecta o uso de hacks7, cheats8 e outras
5 Software antitrapaça desenvolvido pela Valve Corporation como um componente da plataforma Steam
lançado pela primeira vez no jogo Counter-Strike, em 2002. 6 Válvula. 7 Corte. 8 Fraude.
34
ações proibidas, deixando passar todos os pacotes legítimos. O VAC é composto por vários
equipamentos onde cada um assegura uma função específica a fim de bloquear um ou vários
tipos de ataques (DDoS, Flood9 , dentre outros). De acordo com o tipo de ataque, uma ou
várias estratégias de defesas podem ser implementadas em cada um dos equipamentos que
compõem o VAC.
3.8.6.7 Ataques volumétricos
Os ataques volumétricos agem tentando esvaziar a banda disponível aumentando o
tráfego. Para tal aumento são utilizados mecanismos que alteram a Unidade de
Processamento de Dados (UPD) permitindo um maior tráfego em máquinas com bastante
banda larga ou máquinas com pouca banda, porém em grande quantidade.
3.8.6.8 Autenticação de usuário no ambiente de rede
A autenticação no nível de rede é um método de autenticação que pode ser usado
para melhorar a segurança do servidor host10 da sessão da área de trabalho remota,
solicitando a autenticação do usuário antes de criar uma sessão. Quando completa, ela
proporciona vantagens ao usuário como a redução de ataques de navegação e menor uso de
recursos do computador remoto.
3.8.6.9 Proteção antifraude
9 Encher. 10 Hospedeiro ou anfitrião. Em informática, é o responsável por implementar a estrutura da camada de rede
de endereçamento.
35
É o conjunto de medidas, com a utilização de diversos mecanismos, que tem por
objetivo manter a organização livre de invasões maliciosas, como as de hacker,
investigações de concorrentes e outras, e tem por finalidade preservar as informações
sigilosas da organização, dos associados, dos cooperadores, dos funcionários, dos clientes,
etc.
3.8.7 Ameaças à segurança da informação
Segundo Lento (2011), todo sistema de informação está sujeito a variados tipos de
violações entre os quais podemos citar:
i. Físicas – Quando há acesso indevido a compartimentos protegidos;
ii. Naturais – Provocados por desastres naturais;
iii. Equipamentos e softwares – Falhas em equipamentos podem comprometer a
segurança assim como erros no desenvolvimento de softwares podem permitir
que intrusos tenham acessos indevidos e possam roubar informações e/ou
modificá-las;
iv. Emanação – Equipamentos diversos e também os que são mal projetados podem
prejudicar as comunicações devido a possíveis radiações eletromagnéticas ou
mesmo interceptações nas comunicações;
v. Comunicação – Todo sistema que está conectado em uma rede está vulnerável a
invasão e interceptação de dados;
A ameaça corresponde a qualquer potencialidade que possa violar a segurança da
informação. A ameaça existe a partir de uma vulnerabilidade e uma vez detectada uma
vulnerabilidade a ameaça pode se transformar em um ataque, causando perdas e
comprometendo s segurança dos sistemas de informação da organização.
Segundo a Cartilha de Segurança para Internet/CERT.br (2012), as ameaças podem
ser classificadas em três tipos:
i. Acesso não autorizado: compreende os delitos praticados na internet, em
sistemas e programas diversos, havendo ou não a inviolabilidade dos dados
36
informáticos, sem à prática de violência, cujo agente denomina-se cracker11,
cujos objetivos são a quebra de sistemas de segurança de programas, o acesso
ilícito a informações armazenadas em computadores, a invasão de páginas da
internet e/ou a propagação de vírus.
ii. Ataques por imitação: consistem em fazer que um determinado usuário ou
sistema se comporte como outro, para a obtenção de informação, recursos
críticos ou perturbação do funcionamento de serviços. Nesta categoria incluem-
se os Spoofing attacks12, em que se utiliza informação falsa para obter acesso
indevido a dados e recursos e os Replay attacks13, nos quais as mensagens que
circularam na rede são copiadas e posteriormente repetidas, simulando um
usuário autorizado.
iii. Negação de serviços (Denial of Service - DoS), é uma forma bastante freqüente
de ataque, cujo objetivo é a interrupção ou perturbação de um serviço, devido a
danos físicos ou lógicos causados nos sistemas que o suportam. Algumas formas
de provocar um "DoS" são a geração artificial de grandes volumes de trafego ou
a geração de grandes volumes de pedidos a servidores, que devido a essa
sobrecarga ficam impedidos de processar os pedidos normais e a disseminação
de vírus.
De acordo com a Cartilha de Segurança para Internet/CERT.br (2012), os códigos
maliciosos são programas especificamente desenvolvidos para executar ações danosas e
atividades maliciosas em um computador. Uma vez instalados, os códigos maliciosos
passam a ter acesso aos dados armazenados no computador e podem executar ações em nome
dos usuários, de acordo com as permissões de cada usuário.
A Cartilha de Segurança para Internet/CERT.br (2012) descreve os principais tipos
de vírus existentes que serão apresentados nas próximas seções.
11 Pessoa aficionada por informática que utiliza seu grande conhecimento na área para quebrar códigos de
segurança, senhas de acesso a redes e códigos de programas com fins criminosos. 12 Tipo de ataque de falsificação tecnológica que procura enganar uma rede ou uma pessoa fazendo-a acreditar
que a fonte de uma informação é confiável. 13 É um ataque de repetição que ocorre quando um invasor copia um fluxo de mensagens entre duas partes e
repete o fluxo de uma ou mais das partes.
37
3.8.7.1 Vírus
Segundo a Cert.br, vírus "...é um programa ou parte de um programa de computador,
normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de
outros programas e arquivos".
Para os usuários em geral, qualquer tipo de código malicioso que atrapalhe o
funcionamento dos computadores ou apague os dados neles contidos, é chamado de vírus.
Mas atualmente, os chamados vírus de computador são classificados em vários tipos, cada
um com suas formas de contágios, particularidades de funcionamento e disseminação. Os
principais tipos de vírus são:
i. Vírus simples: é um vírus de computador com características de um software e
que possui a capacidade de se duplicar, infectando outros programas, geralmente
com alguma intenção maliciosa. Um vírus não pode executar-se sozinho, ele
requer a execução do seu programa hospedeiro para ativar o vírus;
ii. Cavalo de Tróia: Possui características de um programa que aparenta ter uma
função útil, mas possui alguma função maliciosa capaz de burlar os mecanismos
de segurança. Este tipo de vírus não possui a capacidade de se autorreplicar.
iii. Worm: Apresenta-se como um programa de computador que pode se executar de
forma independente, propagar-se sozinho pelos computadores de uma rede,
podendo consumir os recursos dos computadores destrutivamente;
iv. Vírus polimorfo: tipo de vírus que modifica a si mesmo a medida que se
dissemina, dificultando a sua localização e eliminação;
v. Vírus de Macro: utiliza-se da linguagem “VBScript14” dos softwares Microsoft,
podendo ser executado em qualquer computador que possua, por exemplo, o
aplicativo Word instalado. Os vírus propagam-se de várias maneiras: por
disquetes infectados, por downloads feitos na Internet, executando-se arquivos
anexos de e-mail e, ultimamente, apenas lendo-se um e-mail infectado.
14 Versão de linguagem utilizada para tarefas e construção dinâmica de páginas de internet do tipo HTML.
38
Seus malefícios podem ser desde uma simples mensagem de protesto na tela do
computador infectado, a perda total dos dados gravados ou a sobrecarga da rede, impedindo
seu funcionamento ou gerando lentidão.
3.8.7.2 Origem dos ataques
Conforme a Cert.br, os ataques costumam ocorrer na Internet com diversos objetivos,
visando diferentes alvos e usando variadas técnicas. Os motivos que levam os atacantes a
desferir ataques na Internet são bastante diversos, variando da simples diversão até a
realização de ações criminosas. Alguns exemplos são:
i. Hacker: o termo hacker é definido como alguma pessoa com um grande
interesse e conhecimento de tecnologia, não utilizando eventuais falhas de
segurança descobertas em benefício próprio. O termo é usado erroneamente,
especialmente pelos meios de comunicação, como alguém que efetue crimes
cibernéticos.
ii. Cracker: o termo cracker, esse sim, é definido como alguém que tente obter
acesso a sistemas de outras pessoas sem ser convidado, quebrando a
segurança. Não sendo necessariamente uma pessoa com grande conhecimento
de tecnologia como um hacker.
A seguir serão descritos os métodos e as técnicas de pesquisa, a fim de verificar o
nível de segurança do software Integrador.
39
4 MÉTODOS E TÉCNICAS DE PESQUISA
4.1 Tipologia e descrição geral dos métodos de pesquisa
O objetivo deste estudo é demonstrar os mecanismos de segurança utilizados pelo
software Integrador, quanto à segurança dos dados e das informações sigilosas tramitadas
no seu sistema e explanar o quanto seguro é o sistema utilizado e a importância que ele
possui.
Para alcançar este objetivo foi realizado um estudo descritivo bibliográfico focado
no modelo de segurança utilizado pelo software Integrador. Buscou-se, também neste
estudo, identificar o que existe de mais significativo em segurança da informação no referido
software, comparando os meios utilizados com o que prescrevem as normas ABNT NBR
ISO/IEC 27001:2013, que define os requisitos para Sistemas de Gestão de Segurança da
Informação (SGSI) e ajuda a organização a adotar um SGSI que permita mitigar os riscos de
segurança atribuídos aos seus ativos e adequar as necessidades à área de negócio e ABNT
NBR ISO/IEC 27002:2013, que é um código de práticas com um conjunto completo de
controles que auxiliam a aplicação do SGSI, facilitando atingir os requisitos especificados
pela norma ISO 27001.
4.1.2 Caracterização e descrição dos instrumentos de pesquisa
A classificação da pesquisa inicia-se pela sua natureza aplicada na geração de
problemas específicos em que é observado o comportamento e aplicação de mecanismos de
segurança, onde aborda um método descritivo, no intuito de demonstrar a realidade que
concerne o embasamento para a pesquisa.
Para isso utiliza-se de uma pesquisa por meio de um questionário dirigido aos
usuários e desenvolvedores do software Integrador, leitura de artigos, livros, teses,
40
reportagens e materiais já publicados, para a captura da linguagem em tecnologia a fim de
entender o tema abordado, esclarecendo a teoria e a prática aplicada.
Com base em comparações, poderão ser propostas possíveis melhorias nas políticas
adotadas pela OM em prol da segurança da informação no software Integrador.
A pesquisa se valeu da metodologia qualitativa, utilizando-se das normas ABNT
NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013 no processo de
desenvolvimento, com o objetivo de trabalhar os dados pesquisados para difundir o problema
em questão, que é a segurança da informação no software Integrador. O estudo segue
procedimentos técnicos de uma pesquisa bibliográfica a fim de entender o mecanismo usual.
4.1.3 Procedimentos de coleta e de análise de dados
Como a pesquisa tem por objetivo esclarecer os benefícios e apresentar os desafios
de manter a continuidade e segurança do software Integrador na plataforma Intelletotum15, o
estudo se pautou nos seguintes estágios:
i. Pesquisa bibliográfica: buscou-se nesta fase do trabalho utilizar o estudo
sistematizado de dados teóricos aplicados no processo rotineiro, como normas
especializadas, livros, artigos científicos e revistas especializadas, essenciais
para fundamentar o problema proposto. Foram pesquisadas 116 fontes, incluindo
artigos, normas, sites, revistas e livros especializados no assunto. Dentre as
fontes pesquisadas foram escolhidas 37 para referenciar o presente trabalho. As
principais fontes pesquisadas foram as normas ISO 27001 e 27002, a Cartilha de
Segurança para Internet/CERT.br (2012) e artigos publicados em revistas
especializadas.
ii. Em seguida foi realizada uma pesquisa de campo por meio de um questionário
– Conforme afirma Gil (2002) “um questionário é uma técnica de investigação
composta por questões apresentadas às pessoas, com o objetivo de conhecer
opiniões, interesses, situações vivenciadas, e outros”. Portanto para esta
pesquisa, foi realizada a coleta de dados por meio da aplicação de um
questionário a 12 (doze) usuários do software Integrador e também a 3
15 Nome comercial da plataforma sob a qual foi desenvolvido o software Integrador, pertencente à empresa
Dígitro Tecnologia S/A.
41
profissionais técnicos, desenvolvedores de sistemas do Centro de
Desenvolvimento de Sistemas (CDS), Organização Militar (OM) parceira no
desenvolvimento e customização do referido software.
O questionário com 30 perguntas foi formulado com base nos requisitos norteados
pelas normas ISO 27001:2013 e ISSO 27002:2013, com questões fechadas e de múltipla
escolha. A coleta dos dados ocorreu por meio de formulário impresso, o qual foi entregue
pessoalmente a cada entrevistado. As perguntas dirigidas aos usuários estão descritas no
APÊNDICE A, enquanto as respostas estão no APÊNDICE B. O instrumento para coleta de
dados adotado neste trabalho é apresentado no QUADRO 6.
Durante a pesquisa foram encontrados alguns óbices que não permitiram aprofundar
o assunto devido ao fato de que alguns requisitos de segurança utilizados no Integrador são
de conhecimento restrito, a fim de resguardar a segurança do software.
Por questões comerciais que envolvem direito de propriedade, restringiu-se a
divulgação de informações da empresa desenvolvedora do referido software, cabendo
destacar que a referida empresa é credenciada como “Empresa Estratégica de Defesa”
(EED), que pode ser resumidamente definida como: "toda pessoa jurídica credenciada pelo
Ministério da Defesa (MD) mediante o atendimento cumulativo de certos requisitos,
conforme o inc. III do art. 2º da Lei nº 12.598 de 21/03/2012".
Os requisitos para o credenciamento como EED, os quais devem ser atendidos
cumulativamente, são apresentados nas linhas abaixo:
i. Ter como finalidade, em seu objeto social, atividades específicas relacionadas
ao desenvolvimento e produção de Produto Estratégico de Defesa, bem como
serviços correlatos;
ii. Ter no país a sede, a administração e o estabelecimento industrial, equiparado
a industrial ou prestador de serviços;
iii. Assegurar a continuidade produtiva no país;
iv. Dispor, no país, de comprovado conhecimento científico ou tecnológico
próprio ou que este seja complementado por acordos de parceria com
Instituição Científica e Tecnológica para realização de atividades conjuntas de
pesquisa científica e tecnológica e desenvolvimento de tecnologia, produto ou
processo, relacionado à atividade desenvolvida; e
v. Assegurar, em seu ato constitutivo ou no ato de seu controlador direto ou
indireto, que o conjunto de sócios ou acionistas e grupos de sócios ou acionistas
estrangeiros não possam exercer em cada assembléia geral, número de votos
42
superior a 2/3 (dois terços) do total de votos que puderem ser exercidos pelos
acionistas brasileiros presentes.
Para a realização da presente pesquisa, o apoio do chefe da Seção de Planejamento e
Gestão, da Chefia do Emprego da Força Terrestre, bem como dos colegas de trabalho da
seção e do fiscal técnico do projeto Integrador na pessoa do Maj Jeronymo, do CDS, foram
fundamentais.
O QUADRO 6 apresenta o instrumento utilizado para a coleta dos dados.
Quadro 6 - Instrumento de coleta de dados Instrumento de
coleta de dados Universo entrevistado Finalidade do instrumento
Entrevista
fechada com
perguntas de
múltipla escolha
na forma de
questionário
O universo entrevistado compreendeu
usuários e desenvolvedores do software
Integrador e foi preenchido de forma
anônima, identificando apenas a OM onde
serve o respondente
A finalidade da entrevista fechada em
forma de questionário foi para a obtenção
dos dados necessários à elaboração deste
trabalho com o apoio de bibliografia
especializada no tema da segurança da
informação.
Fonte: elaboração própria
Durante a pesquisa foram utilizadas e bem exploradas as normas ABNT NBR
ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013, que apresentam os principais
requisitos para a segurança da informação.
4.1.4 Definição do questionário
Para a elaboração do questionário deste trabalho, foram utilizadas as normas ABNT
NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013 em conjunto com a
bibliografia que condensa as referidas normas, a fim de facilitar a compreensão e a
aplicabilidade da pesquisa.
O questionário foi apresentado a 15 (quinze) pessoas que utilizam o software
Integrador, dentre os quais 12 (doze) são usuários e 3 (três) são técnicos desenvolvedores de
sistemas do CDS. Foram apresentadas 30 questões objetivas, sendo permitida uma resposta
única.
As perguntas foram apresentadas a cada respondente de forma de individual, os quais
o preencheram de forma anônima, identificando apenas a OM onde serve, buscando
confrontar opiniões e experiências vividas pelos usuários e desenvolvedores. O intuito das
43
referidas perguntas foi buscar identificar se esses respondentes, que são usuários do software
e técnicos de TI, possuem conhecimento das práticas de segurança da informação aplicadas
na OM em que servem e no Integrador; o quanto consideram importante tais práticas,
considerando que são essenciais para garantir a segurança da informação; e como essas OM
lidam com as práticas de segurança da informação. O meio utilizado para a apresentação do
questionário ocorreu via formulário eletrônico, utilizando a mesma plataforma de software
do e-mail institucional e foi enviado para as contas de e-mail institucionais dos entrevistados.
Vale salientar que os questionários foram apresentados após o contato com os
entrevistados e tendo sido esclarecidos os propósitos da pesquisa e com a aquiescência dos
participantes.
4.1.5 Aplicação do questionário
O questionário com 30 perguntas foi enviado para 15 participantes onde em cada uma
delas, o respondente foi indagado sobre questões relacionadas à segurança da informação no
software Integrador.
Responderam a pesquisa 12 (doze) participantes. Convém destacar que não se busca
avaliar a opinião individual dos usuários e desenvolvedores do software Integrador, mas o
conjunto das opiniões e suas relações internas e externas com o Integrador.
Dos 15 (quinze) formulários entregues, 12 (doze) foram devolvidos respondidos,
cujo resultado e análise serão apresentados no capítulo seguinte.
44
5 RESULTADOS E ANÁLISE DOS DADOS
Este trabalho teve como objetivo principal averiguar o nível da segurança da
informação no software Integrador e verificar se os comportamentos e as atitudes dos
usuários do sistema constituem um risco ou uma proteção para a segurança do SI.
A pesquisa se iniciou com uma exploração da literatura sobre segurança da
informação no desenvolvimento e no uso de softwares que integram vários sistemas, a qual
mostrou a importância da implementação de medidas de segurança que restrinjam o acesso
aos sistemas de informação somente a usuários autorizados e devidamente cadastrados, a
fim de garantir que os dados ali trafegados estejam em total segurança.
Em seguida foi apresentado aos usuários e desenvolvedores do Integrador um
questionário com perguntas acerca da segurança da informação no referido software, cujas
respostas têm seus resultados apurados a partir de agora.
Nesta seção também são exploradas questões respondidas pelos usuários -
apresentadas em percentuais, de modo a facilitar a compreensão.
O QUADRO 5 apresenta um comparativo de requisitos previstos nas Normas ISO
IEC 27001/2013 com os requisitos existentes no Integrador.
Quadro 5 - Requisitos previstos nas Normas ISO IEC 27001/2013
(continua)
Requisitos da ISO 27001/2013 Existe no
Integrador
Sim Não
Acordos de confidencialidade x
Inventário de ativos x
Regras para uso aceitável de ativos x
Classificação da informação x
Rotulagem de informações e manipulação x
Controle de uso por terceiros x
Termo de responsabilidade16 x
Termo de confidencialidade de informações17 x
16 Documento que visa resguardar a empresa de sérios riscos de danos, responsabilizando o usuário, no
exercício de sua função, em casos de pirataria, acesso a dados privativos da OM, má utilização do hardware e
software licenciados, entre outros. 17 Documento que visa manter a confidencialidade das informações obtidas por usuários e colaboradores no
exercício de suas funções.
45
(Continuação)
Treinamento de conscientização apropriado para usuários x
Sanção disciplinar formal para os usuários que cometeram uma violação de segurança x
Controles de acesso físico nas instalações da organização x
Proteção física contra dano de fogo, inundação, terremoto, explosão, distúrbios civis ou outras
formas naturais ou artificiais x
Controle de pontos de acesso, como áreas de entrega e carregamento x
Proteção contra falhas de energia e outros interrupções causadas por falhas no suporte a
utilitários x
Equipamento e cabos de energia e telecomunicações de suporte aos serviços de informação
protegidos contra interceptação ou dano x
Manutenção correta e frequente aos equipamentos para garantir sua disponibilidade e
integridade x
Remoção de todos os dados sensíveis e softwares dos dispositivos de armazenamento que
serão descartados x
Proibição contra saída de equipamentos, informação ou software sem autorização prévia x
Registro de todos os procedimentos operacionais e disponibilização aos usuários que deles
necessitam x
Controle de mudanças nos sistemas e sistemas de processamento de informações x
Banco de dados segregado para reduzir oportunidades para modificação não autorizada ou uso
indevido dos ativos da organização x
Separação da área de desenvolvimento das áreas de teste e área operacional x
Controle de segurança, das definições de serviço e níveis de entrega incluídos no contrato de
prestação de serviços de terceiros x
Realização de auditorias regulares nos serviços, relatórios e registros fornecidos por terceiros x
Manutenção e monitoramento da capacidade de uso dos recursos e requisitos, garantindo o
desempenho necessário x
Estabelecimento de critérios de testes para aceitação de atualizações e de novas versões de
sistemas de informação x
Controles de detecção, prevenção e recuperação para proteção contra códigos maliciosos e
procedimentos adequados de conscientização do usuário x
Controle de uso de aparelhos móveis x
Cópias de segurança (Backup) de informações e software testados regularmente de acordo
com a política de backup x
Gerenciamento e controle das redes, protegendo contra ameaças e mantendo a segurança dos
sistemas e aplicativos conectados, incluindo informações em trânsito x
Identificação de todos os recursos de segurança, níveis de serviço e requisitos de
gerenciamento de rede x
Proibição da divulgação não autorizada, modificação, remoção ou destruição de ativos e
interrupção de atividades de negócio x
Descarte seguro de mídias removíveis, utilizando procedimentos formais x
Estabelecimento de procedimentos para o manuseio e armazenamento de informações para
proteção contra divulgação não autorizada ou uso indevido x
Manutenção da segurança das informações e softwares trocados dentro da organização com
qualquer entidade externa x
Proteção de mídias contendo informações contra acesso não autorizado, uso indevido ou
corrupção durante o transporte além dos limites físicos da organização x
Proteção das informações envolvidas nas mensagens eletrônicas x
Proteção da rede contra atividades fraudulentas, litígios contratuais, e divulgação e
modificação não autorizadas nos serviços de comércio eletrônico x
46
(Continuação)
Proteção das informações envolvidas em transações on-line, impedindo a transmissão
incompleta, desvio de rota, divulgação não autorizada, mensagem não autorizada, duplicação
ou repetição
x
Detecção de atividades de processamento de informações não autorizadas x
Produção e manutenção de registros de auditoria que controlam atividades, exceções e
informações do usuário para ajudar em futuras investigações e monitoramento de controle de
acesso
x
Monitoramento do uso das instalações de processamento de informações x
Proteção das instalações de registro e das informações contra adulteração e acesso não
autorizado x
Registro, análise, controle das falhas e adoção de medidas de correção x
Registro das atividades do administrador e do operador do sistema x
Estabelecimento de uma política de controle de acesso, documentada e revisada com base nos
requisitos de negócios e segurança para acesso x
Garantia do acesso de usuários autorizados e impedimento do acesso não autorizado aos
sistemas de informação x
Registro e controle formal de usuários com cancelamento de registro e revogação do acesso a
todos os sistemas e serviços de informação a usuários não autorizados x
Atribuição e utilização de privilégios limitada e controlada x
A atribuição de senhas controlada por meio de um processo de gestão x
Revisão dos direitos de acesso dos usuários em intervalos regulares usando um processo
formal. x
Proibição do acesso de usuários não autorizados x
Exigência do uso de senhas pelos usuários x
Política de mesa limpa para papéis e mídia de armazenamento removível x
Proibição do acesso não autorizado a serviços em rede x
Acesso remoto controlado por métodos de autenticação adequados x
Controle de acesso físico e lógico às portas de diagnóstico e configuração x
Separação em redes dos grupos de serviços de informação, de usuários e de sistemas de
informação x
Restrição de acesso aos sistemas operacionais x
Uso de log-on seguro no acesso aos sistemas operacionais x
Uso de identificador único (ID) para cada usuário x
Uso de gerenciamento de senhas interativo x
Encerramento de sessões inativas após período definido x
Restrição aos tempos de conexão x
Prevenção de erros, perda, modificação não autorizada ou uso indevido de informações em
aplicativos x
Validação da entrada e da saída de dados x
Proteção da confidencialidade, da autenticidade e da integridade das informações por meios
criptográficos x
Controle da instalação de softwares em sistemas operacionais x
Proteção e controle dos dados de teste x
Restrição do acesso ao código-fonte x
Fonte: elaboração própria
47
A TABELA 1 apresenta os resultados do questionário.
Tabela 1: Resultados do questionário (Continua)
ITEM PERGUNTA APRESENTADA RESPOSTAS POSSÍVEIS %
1 A OM em que você serve possui um profissional
responsável pela segurança da informação?
Não 0
Sim. Um profissional
responsável 100
Sim. Todos são responsáveis 0
2 São aplicados cursos, palestras ou treinamentos sobre
Segurança da Informação na OM?
Não 5
Sim. Eventualmente 80
Sim. Regularmente 15
3 A OM tem conhecimento pleno das vulnerabilidades e
ameaças à Segurança da Informação?
Não 0
Sim. Parcialmente 0
Sim. Plenamente 100
4
A OM já teve interrupção dos serviços de Tecnologia
da Informação causados por acidentes naturais
(tempestades, incêndios, etc.)?
Não 0
Sim 100
5
A OM já teve interrupção dos serviços de Tecnologia
da Informação causados por falhas no fornecimento de
energia elétrica?
Não 0
Sim 100
6 A OM já teve interrupção dos serviços de Tecnologia
da Informação causados por falhas de software?
Não 5
Sim 95
7
Em sua opinião os usuários do Integrador têm
conhecimento dos riscos de Segurança da Informação
que podem estar sujeitos no cotidiano?
Não 0
Sim 100
8
São aplicadas técnicas de segurança de acesso físico
aos equipamentos de Tecnologia da Informação (Ex:
cadeados, alarmes, biometria, uso de crachás)?
Não 0
Sim 100
9
O acesso físico ao Integrador e aos equipamentos de
Tecnologia da Informação da OM ocorre mediante
autorização ou algum processo de autenticação?
Não 0
Sim 100
10 A OM mantém um registro das ameaças ou ataques ao
Integrador e aos sistemas de Tecnologia da Informação?
Não 0
Sim 100
11
O acesso físico ao Integrador e aos equipamentos de
Tecnologia da Informação ocorre exclusivamente por
usuários da Instituição?
Não 0
Sim 100
12 Existe algum tipo de classificação ou definição para
a geração de senhas de acesso?
Não 0
Sim 100
13
As senhas de acesso ao Integrador e aos sistemas de
Tecnologia da Informação são atualizadas
regularmente?
Não 0
Sim 100
48
(Continuação)
14
As senhas de acesso ao Integrador e aos sistemas de
Tecnologia da Informação são passíveis de
memorização pelos usuários de Tecnologia da
Informação?
Não 0
Sim 100
15 As senhas de acesso são de conhecimento de todos os
usuários do Integrador e de Tecnologia da Informação?
Não 0
Sim 100
16 Existe conscientização para o sigilo de senhas de acesso
aos usuários de Tecnologia da Informação?
Não 0
Sim 100
17
As senhas de acesso ao Integrador e aos sistemas de
Tecnologia da Informação são divulgadas
verbalmente?
Não 100
Sim. Eventualmente 0
Sim. Regularmente 0
18
Existe algum tipo de mapeamento ou documentação
sobre os pontos críticos relacionados à Segurança da
Informação no software Integrador (acesso físico,
sistemas online, usuários autorizados, etc.)?
Não 0
Sim 100
19 Existe na OM algum controle efetivo na identificação
de usuários e/ou visitantes?
Não 0
Sim 100
20
O ambiente onde se localizam os equipamentos de
processamento de dados (Centro de Processamento de
Dados, Sala de Equipamentos, Data Center, etc.)
possui organização e limpeza periódicas?
Não 0
Sim 100
21 Existe política formal para realização de backups de
dados importantes do Integrador?
Não 0
Sim 100
22 A OM utiliza software antivírus nos equipamentos de
Tecnologia da Informação?
Não 0
Sim 100
23
Os usuários do Integrador e dos sistemas de
Tecnologia da Informação são devidamente
identificados para o acesso aos recursos?
Não 0
Sim. Parcialmente 0
Sim. Totalmente 100
24
São revisados regularmente os acessos atribuídos aos
usuários do Integrador e dos serviços de Tecnologia
da Informação?
Não 0
Sim 100
25 A OM dispõe de mecanismos de proteção contra
incêndios?
Não 0
Sim 100
26 A OM possui controle formal e atualizado dos ativos
de Tecnologia da Informação da Instituição?
Não 0
Sim 100
27 A OM realiza o monitoramento das operações e
comunicações de acordo com a legislação vigente?
Não 0
Sim. Parcialmente 0
Sim. Totalmente 100
28 A OM dispõe de sistema de proteção contra quedas de
energia elétrica?
Não 0
Sim 100
49
(Continuação)
29
Em sua opinião, os usuários do Integrador e dos
recursos de Tecnologia da Informação têm
conhecimento sobre suas responsabilidades no uso dos
serviços e equipamentos da Instituição?
Não 0
Sim. Parcialmente 0
Sim. Totalmente 100
30
A OM realiza auditoria com a finalidade de avaliar o
sistema de Segurança da Informação utilizado no
software Integrador e nos demais sistemas de
Tecnologia da Informação existentes?
Não 0
Sim 100
Fonte: elaboração própria
Algumas respostas apresentadas se fazem importantes discutir nesta pesquisa, uma
vez que, mesmo estando de acordo com uma política adequada de Segurança da Informação,
é fundamental reforçar a importância de que as atribuições e responsabilidades de todos os
usuários e colaboradores devem estar alinhadas com as diretrizes básicas para a Segurança
da Informação institucional.
Na questão 1, “A OM em que você serve possui um profissional responsável pela
segurança da informação?”, é desejável que haja um profissional dedicado ao assunto, mas
é imprescindível que todos os usuários e colaboradores possam se responsabilizar em
coordenar essas questões. Quando todos os profissionais da organização se preocupam com
a Segurança da Informação não será difícil implementar políticas e elaborar processos que
facilitem o cumprimento de regras de segurança em favor da preservação dos ativos de
informação.
Na questão 2, “São aplicados cursos, palestras ou treinamentos sobre Segurança da
Informação na OM? ”, fica evidente que um esclarecimento sobre as questões relativas à
Segurança da Informação se torna necessário. É importante que todos os envolvidos com a
TI da OM estejam qualificados e cientes dos riscos com as informações, com os bens de
comunicação e os ativos de informação. O treinamento proporciona benefícios aos usuários
da TI da OM e espera-se que outros colaboradores também sejam conscientizados por meio
das relações sociais. Os profissionais de TI devem ser capacitados adequadamente, com isso os
outros usuários também serão afetados pelos serviços e orientações gerais sobre o uso e as
responsabilidades com a Segurança da Informação.
Nas questões 4 e 5, “A OM já teve interrupção dos serviços de Tecnologia da
Informação causados por acidentes naturais (tempestades, incêndios, etc.)? ” e “A OM já
teve interrupção dos serviços de Tecnologia da Informação causados por falhas no
fornecimento de energia elétrica? ”, nota-se uma certa vulnerabilidade quanto à proteção
50
contra os fenômenos naturais que interferem no pleno funcionamento dos serviços da OM.
É recomendável que sejam realizadas vistorias técnicas com profissionais capacitados a fim
de reduzir ao mínimo os riscos e os impactos com as possíveis interrupções dos serviços.
Na questão 6, “A OM já teve interrupção dos serviços de Tecnologia da Informação
causados por falhas de software?”, observa-se que grande parte dos entrevistados
responderam “Sim”, afirmando que houve problemas com interrupção. Como a questão não
objetiva discriminar os motivos principais que determinam o evento, podemos entender que
se torna necessário o acompanhamento dos equipamentos participantes das comunicações
de dados do software Integrador. Para isso, torna-se necessária a realização de manutenções
preventivas, a fim de reduzir as chances de um incidente prejudicar os serviços ativos. Ao
mesmo tempo, é recomendável que os incidentes sejam devidamente registrados e analisados
para prevenir possíveis erros no futuro.
Na questão 7, “Em sua opinião os usuários do Integrador têm conhecimento dos
riscos de Segurança da Informação que podem estar sujeitos no cotidiano? ”, observa-se
que existe um alto grau de conscientização dos usuários quanto aos riscos de ataques ou
invasões a que estão sujeitos os sistemas ligados ao Integrador.
Na questão 8, “São aplicadas técnicas de segurança de acesso físico aos equipa-
mentos de Tecnologia da Informação? (Ex: Cadeados, alarmes, biometria, uso de
crachás) ”, foi observado nas respostas que são aplicadas técnicas que protegem o acesso
físico de pessoas sem autorização aos equipamentos do Integrador. Essa preocupação deve
ser constante para as equipes de TI, pois um intruso pode comprometer a infraestrutura de
dados por diversas intenções e a recuperação do desastre, na maioria das vezes pode não ser
tão rápida como se deseja.
Na questão 9, “O acesso físico ao Integrador e aos equipamentos de Tecnologia da
Informação da OM ocorre mediante autorização ou algum processo de autenticação?”, há
relação também com a questão 8. Se não existir um processo formal de registro de
autenticação ou para acesso aos equipamentos de TI, não há como identificar a origem de
incidente para saber se ocorreu por um usuário indevido ou por erros de software. Manter os
registros de acesso permite avaliar os responsáveis, manter a segurança dos equipamentos e
monitorar os acessos.
Na questão 10, “A OM mantém um registro das ameaças ou ataques ao Integrador
e aos sistemas de Tecnologia da Informação?”, observa-se que as ameaças e ataques que
ocorrem no Integrador e nos sistemas de TI da OM são registrados, a fim de manter um
51
registro dos incidentes e monitorá-los, buscando verificar o que causou o incidente, analisar
os eventos causadores e, consequentemente proceder à sua correção.
Na questão 11, “O acesso físico ao Integrador e aos equipamentos de Tecnologia da
Informação ocorre exclusivamente por usuários da Instituição? ”, Nota-se que existe um
controle de acesso físico aos sistemas ligados ao Integrador, que é exclusivo aos usuários
efetivos da instituição e há relação com a questão 9. É importante compreender que o acesso
físico aos sistemas de TI deve ser rigorosamente controlado e monitorado, pois uma vez
acessado por pessoas não autorizadas o sistema fica gravemente comprometido.
Na questão 13, “As senhas de acesso ao Integrador e aos sistemas de Tecnologia da
Informação são atualizadas regularmente?”, verifica-se que a grande maioria dos usuários
afirmam que suas senhas são atualizadas com regularidade. Ainda com relação à questão 12,
o uso de software para o armazenamento seguro de senhas de acesso permite, na maioria dos
casos, a redefinição de senhas facilmente. A retenção de senhas de acesso é um grande risco
à Segurança da Informação pois usuários, ao deixarem a OM ainda terão conhecimento de
informações privilegiadas. É recomendável que se mantenha a política onde inclua a
renovação periódica de senhas e que estas sejam armazenadas de forma segura, a fim de que
não fiquem "gravadas" na memória dos usuários.
Na questão 14, “As senhas de acesso ao Integrador e aos sistemas de Tecnologia da
Informação são passíveis de memorização pelos usuários de Tecnologia da Informação?”,
esta pergunta tem relação com a questão 13. Observa-se que há uma rotina, com base nos
funcionários autorizados, ao uso de aplicações de armazenamento de senhas, de modo que as
senhas não sejam divulgadas verbalmente.
Na questão 19, “Existe na OM algum controle efetivo na identificação de usuários
e/ou visitantes? ”, Observa-se que o acesso de usuários e visitantes na OM se dá por meio
de crachás de identificação que deverão ser afixados na roupa, na altura do peito e devem
estar visíveis a todo o tempo. Para se obter o crachá, o usuário ou visitante deve se dirigir ao
guichê instalado na portaria portando documento com foto e informar o local onde irá se
dirigir ou visitar. No caso de visitantes, além do uso do crachá, estes deverão estar
acompanhados de um militar durante todo o tempo de permanência na OM.
Na questão 21, “Existe política formal para realização de backups de dados impor-
tantes do Integrador? ”, a maioria respondeu haver uma política para a cópia de dados
importantes do Integrador. Tendo como base as respostas anteriores sobre a estabilidade
elétrica, uma interrupção de energia pode corromper e até danificar os meios de
52
armazenamento de dados. Essas perdas devem ser consideradas e avaliadas e sem dúvida, a
melhor maneira para guardar as informações é realizando backups periódicos dos dados.
Na questão 23, “Os usuários do Integrador e dos sistemas de Tecnologia da
Informação são devidamente identificados para o acesso aos recursos? ”, todas as respostas
foram "Sim". Foi observado que o acesso aos sistemas do Integrador é realizado exclusivamente
por usuários cadastrados e com uso de senha específica. Essa medida é essencial para garantir
a segurança dos ativos de informação e pode ser vital para evitar um problema no futuro.
Na questão 25, “A OM dispõe de mecanismos de proteção contra incêndios?”, apesar
das respostas positivas é de fundamental importância que todos os integrantes da OM
manifestem preocupação com a segurança física dos usuários e com os equipamentos de TI.
Uma vez que todas as OM possuem uma padronização tecnológica adotada pelo EB, não é
seguro manter equipamentos de grande valor e com funcionamento ininterrupto sem uma
correta proteção, de modo a evitar possíveis danos causados por incêndio.
Na questão 29, “Em sua opinião, os usuários do Integrador e dos recursos de
Tecnologia da Informação têm conhecimento sobre suas responsabilidades no uso dos
serviços e equipamentos da Instituição? ”, compete à OM orientar e propor treinamento aos
usuários dos serviços de Tecnologia da Informação. Quando os usuários estão conscientes
das suas responsabilidades e devidamente capacitados, fica mais fácil propor melhorias aos
sistemas existentes. Da mesma forma, considerando os usuários finais como um elo fraco à
Segurança da Informação, quanto mais preocupados com os riscos e ameaças existentes e
mais capacitados, melhor será a segurança dos ativos de informação da OM.
É fundamental que a OM mantenha em dia seus processos e incentive aos usuários
de TI para trocarem experiências vividas no cotidiano a fim de que todos desenvolvam as
mesmas atividades. É importante manter estreito relacionamento entre toda a equipe de TI,
de modo a reduzir as diferenças nos procedimentos e visões dos processos, buscando maior
convergência de conhecimento.
É ideal que se mantenha uma rotina de reuniões periódicas para tratar do
desenvolvimento e aperfeiçoamento dos serviços e planos estratégicos de TI entre todos os
usuários.
6 CONSIDERAÇÕES FINAIS
53
Este trabalho buscou analisar as principais questões relativas à gestão da Segurança da
Informação no software Integrador. Nessa análise, foi possível constatar que o nível de
segurança dos dados trafegados nos sistemas integrados ao software Integrador é
considerado alto e encontra-se de acordo com as normas que regem o referido assunto.
A gestão da segurança da informação no projeto Integrador foi implementada de
maneira a estimular a inovação e a segurança digital, a fim de manter o fluxo apurado para
garantir a precisão das informações baseando-se nas normas ISO IEC 27001/2013 e ISO IEC
27002/2013 e pautadas nas propriedades básicas da segurança da informação:
confidencialidade, integridade, disponibilidade, autenticidade e legalidade.
Segundo Workman, Bommer e Straub (2008), a principal ameaça à segurança é a
falta de conscientização dos usuários para esta questão, uma vez que existem medidas de
segurança disponíveis que podem ser aplicadas, mas que às vezes são ignoradas, deixando
os sistemas vulneráveis a ataques e violações à segurança dos SI nas organizações.
A conclusão deste trabalho permitiu ainda concluir que, de uma forma geral, os
usuários do software Integrador assumem comportamentos e atitudes corretas na maioria dos
procedimentos de segurança recomendados por diversos autores e pelas normas
internacionais vigentes.
Foram observados os comportamentos e as atitudes apresentados pelos usuários do
software Integrador, destacados no QUADRO 8.
Quadro 8 - Comportamentos positivos dos usuários (Continua)
Comportamentos e atitudes dos usuários considerados positivos
Aplicam as atualizações de segurança recomendadas
Utilizam e atualizam com frequência os programas antivírus e antispyware
Realizam cópias de segurança com regularidade
Utilizam senhas diferentes em cada aplicação
Procuram enviar/transferir a sua informação de forma encriptada
Não partilham o seu computador com outros
Não partilham ou divulgam as suas senhas com os outros
(Continuação)
Informam no caso de incidentes com vírus, roubos ou perdas de informação
Estão cientes que todos os atos praticados têm consequências
54
Utilizam um firewall
Fonte: elaboração própria
Já no que se refere aos comportamentos e atitudes revelados pelos usuários que são
considerados negativos, são destacados no QUADRO 9.
Quadro 9 - Comportamentos negativos dos usuários Comportamentos e atitudes dos usuários considerados negativos
Optam por senhas fáceis de memorizar, em detrimento das de construção robusta
Utilizam a internet na organização para fins pessoais
Ligam dispositivos de armazenamento externo de outras pessoas aos computadores de trabalho
Não bloqueiam o computador quando se ausentam
Fonte: elaboração própria
Considerando alguns dos comportamentos e atitudes menos corretos por parte dos
usuários, o QUADRO 10 apresenta um conjunto de recomendações para que os mesmos
possam contribuir ainda mais para a segurança dos sistemas de informação.
Quadro 10 - Recomendações de uso (Continua)
Recomendações de uso
Ter cuidado com os vírus e spyware, pois constituem uma das grandes ameaças à segurança dos sistemas e
tecnologias de informação
Utilizarem senhas robustas, através da construção que conjugue letras, números e caracteres, proceder à sua
mudança regularmente e não compartilhá-las com terceiros
Embora o compartilhamento de arquivos seja necessário, os usuários devem ter todo o cuidado ao fazê-lo e rejeitar
todos os arquivos de origem desconhecida ou não fidedigna
Serem cuidadosos na utilização da internet e do correio eletrônico, navegar ou procurar informação em sites com
alguma fidedignidade/credibilidade, sob pena de poderem ser infectados por algum vírus ou outro tipo de software
malicioso
(Continuação)
Ter cuidado com a utilização de equipamentos de armazenamento externo. Ligar dispositivos externos no
computador de trabalho representa um perigo, não sendo possível determinar antecipadamente se o dispositivo
está infectado com vírus. Mesmo que possuam antivírus instalados e atualizados é sempre um risco
55
Efetuar sempre que possível cópia de segurança da informação do computador, para compartilhar na rede da
organização ou para um suporte externo, devendo estes serem guardados num local diferente da localização do
computador
Bloquear ou terminar a sessão no seu computador sempre que se ausentar do seu posto de trabalho; mesmo que
por pouco tempo, deve proceder-se ao bloqueio do mesmo, pois um usuário, com segundas intenções, pode
aproveitar para roubar algum tipo de informação ou provocar algum tipo de dano nos SI da organização
Aplicar as políticas de segurança definidas pela organização, que têm como objetivo a proteção dos SI das
organizações contra as diversas ameaças e ataques
Fonte: elaboração própria
Estas recomendações, dirigidas aos usuários dos SI, mais precisamente do software
Integrador, podem ser alavancadas se tiverem um reforço por parte da OM. Isto é, a OM
pode conseguir uma maior adesão dos usuários relativamente a estas recomendações, se elas
próprias tomarem as medidas apresentadas no QUADRO 11.
Quadro 11 - Medidas a serem implementadas Medidas a serem implementadas
Definição e divulgação de uma política de utilização da internet e do correio eletrônico
Aplicação de mecanismos de controle e bloqueio de acesso à internet e ao correio eletrônico
Bloqueio de acesso de dispositivos de armazenamento externos
Definição de rotinas de backup automático dos arquivos de trabalho para servidores específicos
Fonte: elaboração própria
REFERÊNCIAS
56
Albertin, A. L. e Pinochet, L. H. C. - Gestão de segurança da informação. Revista de
Administração de Empresas, v. 46, n. 1, 2006, p. 119-119.
Albrechtsen E. - A qualitative study of users view on information security. Computers &
Security, 2007, p. 276-289.
Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001 - Tecnologia da
Informação: Técnicas de Segurança – Sistema de gestão da segurança da informação. Rio de
Janeiro, 2013
Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002 - Tecnologia da
informação: Técnicas de Segurança. Rio de Janeiro, 2013.
Bastos, Alberto; Caubit, Rosângela. Gestão de Segurança da Informação. ISO 27001 e 27002
- Uma Visão Prática. Rio Grande do Sul. Zouk, 2009, p. 17.
Beal, Adriana. Segurança da informação: princípios e melhores práticas para a proteção dos
ativos de informação nas organizações. 1ª. ed. 2ª. reimpr. São Paulo: Atlas, 2008, p. 1.
Blue Phoenix. “Boas práticas de segurança”. Disponível em: www.bluephoenix.org.
Acessado em: 25/01/2019.
Brook, Jon-Michael C. CIA Triad. CIPP Guide, Estados Unidos da América. Disponível em
<http://www.cippguide.org/2010/08/03/cia-triad>. Acessado em: 17/05/2019.
Dhillon, G. Realizing benefits on an information security program. Business Process
Management Journal, 2005, p. 260-261.
Ferreira, F. N. F.; Araújo, M. T. D. Políticas de Segurança da Informação - Guia Prático para
elaboração e implementação. Rio de Janeiro: Ciência Moderna, 2008.
Fontes, Edison. Políticas e Normas para Segurança da Informação. São Paulo: Saraiva, 2012,
p.9.
Furnell, S. e Thomson, K.L. From Culture to Disobedience: Recognising the Varying User
Acceptance of IT Security. Computer Fraud & Security, 2009, p. 5-10.
Gamell, Denis e Prado, L. N - Revista de Contratos Públicos. RCP. Belo Horizonte: Fórum,
ano 3, n. 4, set. 2013/fev. 2014.
Guia do Conhecimento em Gerenciamento de Projetos (Guia PMBOK) / Project
Management Institute. PMBOK, Sexta edição. Newtown Square, PA: Project Management
Institute, 2017.
Guimarães, Rogerio.; Souza Neto, João e Lyra, Maurício, R., - Modelo de Governança de
Segurança da Informação para a Administração Pública Federal - Perspectivas em Gestão e
Conhecimento, João Pessoa, v. 8, n. 3, set./dez, 2018, p. 90-109.
Knapp, K. J., Morris, R. F., Marshall, T. E., & Byrd, T. A. Information Security Policy: An
Organizational-level Process Model. Computers & Security, 28 (7), 2009, p. 493-508.
57
Kruger, H. A., & Kearney, W. D. Consensus Ranking - An ICT Security Awareness Case
Study. Computers & Security, 27 (7), 2008, p. 493-508.
Lei nº 12.598, de 21/03/2012 - Estabelece normas especiais para as compras, as contratações
e o desenvolvimento de produtos e de sistemas de defesa.
Lento, Luiz, O. B. Segurança da Informação. 3. ed. Palhoça: Unisul Virtual, 2011.
Martins, A. B. e Santos, C. A. S. - Uma metodologia para implantação de um Sistema de
Gestão de Segurança da Informação. Journal of Information Systems and Technology
Management, v. 2, n. 2, 2005, p. 121-136.
Melo, Gabriel. R.; Silva, Marcos. A; Araújo Filho, Francisco, P. - SPED: Na Segurança da
Informação Organizacional - Simpósio de Trabalhos de Conclusão de Cursos - Seminário
de Iniciação Científica, 2017/1º, p. 390.
Menezes, Breno, P.; Menezes, Pablo, M.; Nascimento, Rogério, P. C. e Rocha, Fabio, G. -
Strategic Planning Methodology for Information Security – PESEG 1.0, 14th International
Conference on Information Systems & Technology Management - CONTECSI – 2017
Ministério da Defesa - https://www.defesa.gov.br/industria-de-defesa/base-industrial-de-
defesa. Acessado em 14/03/2019.
Mouratidis, Haralambos; Giorgini, Paolo & Manson. When Security Meets Software
Engineering: A Case of Modeling Secure Information Systems. Information Systems 30 -
Elsevier, 2005, p. 609.
Mua, Khan; M. Zulkernine - Ao selecionar os processos de desenvolvimento apropriados e
métodos de engenharia de requisitos para software seguro, In: Anais do 33º IEEE Anual
Software International Computer and Applications Conference, 2009, p. 353-358.
N.M. Mohammed et al., Padrões e interfaces de computador - Informações do Departamento
de Ciência da Computação, King Fahd University of Petroleum e minerais, Arábia Saudita.
Elsevier, 2017, p. 107-115.
Nobre, Anna Cláudia, S.; Ramos, Anatália, S. M. e Nascimento, Thiago, C. - Adoção de
Práticas de Gestão de Segurança da Informação: Um Estudo com Gestores Públicos -
REUNA, Belo Horizonte, v.16, n. 4, Out/Dez, 2011, p. 95-113.
Normas para Elaboração, Gerenciamento e Acompanhamento de Projetos no Exército
Brasileiro – NEGAPEB, 2ª Edição, 2013 - Portaria nº 176 – Estado-Maior do Exército, de
29/12/2013.
O’Brien, J. A. , Sistemas de informação e as decisões gerenciais na era da Internet. 2. ed.
São Paulo: Saraiva, 2004, p. 6.
Política Nacional de Defesa - Estratégia Nacional de Defesa, Ministério da Defesa, 2012.
Portalgsti - https://www.portalgsti.com.br/, acessado em 26/07/2019.
58
Portaria nº 011 - EME, de 14/01/2019 - Aprova a Diretriz de Iniciação do Projeto Centro de
Coordenação de Operações Móvel e define responsabilidades pela constituição da equipe
que confeccionará o Estudo de Viabilidade do Projeto - EB20-D-08.020 – 1ª Edição, 2018.
Portaria n° 133-EME, de 08/08/2018 - Aprova a Diretriz de Implantação do Programa
Estratégico do Exército Proteção da Sociedade - PROTEGER.
Portaria nº 803, de 30/07/2014. Aprova as Instruções Gerais de Segurança da Informação e
Comunicações para o Exército Brasileiro (EB10-IG-01.014).
P. Salini, S. Kanmani, Processo de engenharia de requisitos de segurança para aplicações
web, Procedia Eng. 38, 2012, p. 2799-2807.
P. Salini, S. Kanmani, Levantamento e análise de engenharia de requisitos de segurança,
Comput. Electr. Eng. 38 (6), 2012, p. 1785-1797.
Rhee, H.-S.; Cheongtag, K. e Ryu, Y. U. Self-Efficacy in Information Security: Its Influence
on End Users’ Information Security Practice Behavior. Computers & Security, 2009, p. 816-
826.
Rios, Orlivaldo. K. L.; Rios, Vania, P. S. e Teixeira Filho, José, G. A - Melhores práticas do
COBIT, ITlL e ISO/IEC 27002 para implantação de política de segurança da informação em
Instituições Federais do Ensino Superior - Revista Gestão & Tecnologia, Pedro Leopoldo,
v. 17, nº. 1, jan./abr., 2017, p. 130-153.
Roratto, R. e Dias, E. D. - Segurança da Informação de Produção e Operações: Um Estudo
Sobre Trilhas de Auditoria em Sistemas de Banco de Dados - JISTEM - Journal of
Information Systems and Technology Management - Revista de Gestão da Tecnologia e
Sistemas de Informação, v. 11, nº. 3, Sept/Dec., 2014, pp. 717-734.
Segurança da Informação em Redes Corporativas - A. Celso
Anderson//administradores.com-http://www.administradores.com.br/mobile/artigos/
carreira/seguranca-da-informacao-em-empresas/. Acessado em 29/07/2019.
Sêmola, M. - Gestão da Segurança da Informação - Uma Visão Executiva - 2 ed. São Paulo:
Elsevier, 2014.
Workman, M.; Bommer, W. H. e Straub, D. Security Lapses and the Omission of Information
Security Measures: A Threat Control Model and Empirical Test. Computers in Human
Behavior, 2008, p. 2799-2816.
Zucchi, W. L.; Amâncio, A. Construindo um Data Center. Revista USP, nº 97, 2013, p. 43-
58.
APÊNDICE A - Roteiro de perguntas aos entrevistados
59
Questionário (Continua)
ITEM PERGUNTA APRESENTADA RESPOSTAS POSSÍVEIS
1 A OM em que você serve possui um especialista
responsável pela segurança da informação?
Não
Sim. Um profissional
responsável
Sim. Todos são responsáveis.
2 São aplicados cursos, palestras ou treinamentos sobre
Segurança da Informação na OM?
Não
Sim. Eventualmente
Sim. Regularmente
3 A OM tem conhecimento pleno das vulnerabilidades e
ameaças à Segurança da Informação?
Não
Sim. Parcialmente
Sim. Plenamente
4 A OM já teve interrupção dos serviços de Tecnologia da
Informação causados por acidentes naturais
(tempestades, incêndios, etc.)?
Não
Sim
5 A OM já teve interrupção dos serviços de Tecnologia da
Informação causados por falhas no fornecimento de
energia elétrica?
Não
Sim
6 A OM já teve interrupção dos serviços de Tecnologia da
Informação causados por falhas de software?
Não
Sim
7 Em sua opinião os usuários do Integrador têm
conhecimento dos riscos de Segurança da Informação que
podem estar sujeitos no cotidiano?
Não
Sim
8
São aplicadas técnicas de segurança de acesso físico
aos equipamentos de Tecnologia da Informação (Ex:
Cadea-
dos, alarmes, biometria, uso de crachás)?
Não
Sim
9 O acesso físico ao Integrador e aos equipamentos de
Tecnologia da Informação ocorre mediante autorização
ou algum processo de autenticação?
Não
Sim
10 São registradas ameaças ou ataques ao Integrador e aos
sistemas de Tecnologia da Informação da Instituição?
Não
Sim
11 O acesso físico ao Integrador e aos equipamentos de
Tecnologia da Informação ocorre exclusivamente por
usuários da Instituição?
Não
Sim
12 Existe algum tipo de classificação ou definição para a
geração de senhas de acesso?
Não
Sim
13 As senhas de acesso ao Integrador e aos sistemas de
Tecnologia da Informação são atualizadas regularmente?
Não
Sim
(Continuação)
14 As senhas de acesso ao Integrador e aos sistemas de
Tecnologia da Informação são passíveis de memorização
pelos usuários de Tecnologia da Informação?
Não
Sim
60
15 As senhas de acesso são de conhecimento de todos os
usuários do Integrador e de Tecnologia da Informação?
Não
Sim
16 Existe conscientização para o sigilo de senhas de acesso
aos usuários de Tecnologia da Informação?
Não
Sim
17 As senhas de acesso ao Integrador e aos sistemas de
Tecnologia da Informação são divulgadas verbalmente?
Não
Sim. Eventualmente
Sim. Regularmente
18
Existe algum tipo de mapeamento ou documentação
sobre os pontos críticos relacionados à Segurança da
Informação no software Integrador (acesso físico,
sistemas online, usuários autorizados, etc.)?
Não
Sim
19 Existe na OM algum controle efetivo na identificação de
usuários e/ou visitantes?
Não
Sim
20
O ambiente onde se localizam os equipamentos de
processamento de dados (Centro de Processamento de
Dados, Sala de Equipamentos, Data Center, etc.) possui
organização e limpeza periódicos?
Não
Sim
21 Existe política formal para realização de backups de
dados importantes do Integrador?
Não
Sim
22 A OM utiliza software antivírus nos equipamentos de
Tecnologia da Informação?
Não
Sim
23 Os usuários do Integrador e dos sistemas de Tecnologia
da Informação são devidamente identificados para o
acesso aos recursos?
Não
Sim. Parcialmente
Sim. Totalmente
24 São revisados regularmente os acessos atribuídos aos
usuários do Integrador e dos serviços de Tecnologia da
Informação?
Não
Sim
25 A OM dispõe de mecanismos de proteção contra
incêndios?
Não
Sim
26 A OM possui controle formal e atualizado dos ativos de
Tecnologia da Informação da Instituição?
Não
Sim
27 A OM realiza o monitoramento das operações e
comunicações de acordo com a legislação vigente?
Não
Sim. Parcialmente
Sim. Totalmente
(Continuação)
28 A OM dispõe de sistema de proteção contra quedas de
energia elétrica?
Não
Sim
61
29
Em sua opinião, os usuários do Integrador e dos recursos
de Tecnologia da Informação têm conhecimento sobre
suas responsabilidades no uso dos serviços e
equipamentos da Instituição?
Não
Sim. Parcialmente
Sim. Totalmente
30 A OM realiza auditoria com a finalidade de avaliar o
sistema de Segurança da Informação utilizado no
software Integrador e nos demais sistemas de
Tecnologia da Informação existentes?
Não
Sim
Fonte: elaboração própria
APÊNDICE B - Respostas dos usuários do software Integrador
62
Respostas do questionário
(Continua)
Tabela de respostas dos usuários por pergunta
PERGUNTA RESPOSTAS POSSÍVEIS %
1
Não 0
Sim. Um profissional responsável 100
Sim. Todos são responsáveis 0
2
Não 5
Sim. Eventualmente 80
Sim. Regularmente 15
3
Não 0
Sim. Parcialmente 0
Sim. Plenamente 100
4
Não 0
Sim. Poucas vezes 95
Sim. Muitas vezes 5
5
Não 0
Sim. Poucas vezes 90
Sim. Muitas vezes 10
6 Não 5
Sim 95
7 Não 0
Sim 100
8 Não 0
Sim 100
9
Não 0
Sim 100
10
Não 0
Sim 100
11 Não 0
Sim 100
(Continuação)
12 Não 0
Sim 100
63
13 Não 0
Sim 100
14
Não 0
Sim 100
15 Não 0
Sim 100
16 Não 0
Sim 100
17
Não 100
Sim. Eventualmente 0
Sim. Regularmente 0
18
Não 0
Sim 100
19
Não 0
Sim 100
20
Não 0
Sim 100
21 Não 0
Sim 100
22 Não 0
Sim 100
23
Não 0
Sim. Parcialmente 0
Sim. Totalmente 100
24 Não 0
Sim 100
25 Não 0
Sim 100
26 Não 0
Sim 100
(Continuação)
27
Não 0
Sim. Parcialmente 0
Sim. Totalmente 100
64
28 Não 0
Sim 100
29
Não 0
Sim. Parcialmente 0
Sim. Totalmente 100
30 Não 0
Sim 100