A POLITICA DE SEGURANÇA DA INFORMAÇÃO: UMA ANALISE DA RCA 025/2009 SICOOB CREDIP 1

Transcrição

1 A POLITICA DE SEGURANÇA DA INFORMAÇÃO: UMA ANALISE DA RCA 025/2009 SICOOB CREDIP 1 Max Mauro da Costa 2 Jair de Oliveira Júnior 3 Paulo Varela Júnior 4 Alberto Ayres Benício 5 RESUMO O armazenamento da informação é uma das maiores vitórias que o homem conquistou até os dias atuais. A partir de quando o homem aprendeu a armazenar dados e utiliza-los em beneficio próprio, a humanidade passou a se desenvolver. Com a criação dos computadores este processo se acelerou. O problema com isso é que ao mesmo tempo em que o homem utiliza a informação em seu beneficio, ele também a usa em desfavor de outros. Com este intuito, foram criadas várias ameaças virtuais, os chamados vírus. As entidades, no caso especial das instituições financeiras que mantêm dados sigilosos, devem se proteger contra este tipo de ameaça. Uma forma bastante coerente de se precaver é criando uma política de informação que realmente traga resultados. A partir da analise da RCA 025/2009 do Sicoob Credip é possível distinguir acertos e erros dentro da política de segurança da Informação do Sicoob Credip. Palavras-chave: Informação. Segurança. Internet. Vírus. ABSTRACT O armazenamento da informação é uma das maiores vitórias que o homem conquistou até os dias atuais. A partir de quando o homem aprendeu a armazenar dados e utiliza-los em beneficio próprio, a humanidade passou a se desenvolver. Com a criação dos computadores este processo se acelerou. O problema com isso é que ao mesmo tempo em que o homem utiliza a informação em seu beneficio, ele também a usa em desfavor de outros. Com este intuito, foram criadas várias ameaças virtuais, os chamados vírus. As entidades, no caso especial das instituições financeiras que mantêm dados sigilosos, devem se proteger contra este tipo de ameaça. Uma forma bastante coerente de se precaver é criando uma política de informação que realmente traga resultados. A partir da analise da RCA 025/2009 do Sicoob Credip é possível distinguir acertos e erros dentro da política de segurança da Informação do Sicoob Credip, bem como corrigir as falhas que existirem. Palavras-chave: Informação. Segurança. Internet. Vírus. 1 Artigo científico de revisão produzido na União das Escolas Superiores de Cacoal UNESC entregue à coordenação de Pós-Graduação Graduado em Sistemas de Informação pela União das Escolas Superiores de Cacoal - UNESC 3 Professor do Curso de Sistemas de Informação da UNESC 4 Professor do Curso de Sistemas de Informação da UNESC 5 Professor Curso de Sistemas de Informação da UNESC

2 Introdução A tecnologia da informação é hoje instrumento fundamental para o funcionamento de qualquer instituição, seja ela, publica ou privada, grande ou pequena. O acesso a estes recursos tecnológicos é algo cada vez mais aberto. Cada ano que passa, mais pessoas utilizam-se destes recursos no seu dia a dia. Com a tamanha utilização, surgem também pessoas com a intenção de prejudicar, espalhando seus malwares 6.Para se proteger destas pessoas é necessário que toda entidade tenha um conjunto de regras de proteção, a chamada política da segurança da informação. Em uma instituição financeira esta segurança é ainda mais importante e ainda mais posta a porva. O Sicoob Credip adotou em meados de 2009 uma política no intuito de proteger-se contra este tipo de ataque. A política deve levar em consideração toda e qualquer situação hipotética que possa ocorrer na entidade, a fim de minimizar suas brechas e falhas, bem como fortalecer o sistema de segurança da informação. A política da informação é direcionada a todos os usuários da informação, sendo de vital importância para a continuidade da entidade. A política de informação do Sicoob Credip será analisada neste artigo por meio de verificação de conceitos e principalmente através da análise minuciosa de cada artigo, cada ponto relevante. Assim procura-se corrigir possíveis falhas, melhorar o que já existe e sugerir mudanças. A política revisada será a constante da resolução interna 025/2009, a qual institui a Política de Segurança de Informação para o Sicoob Credip. Por ser uma instituição financeira, o Sicoob Credip deve se proteger muito bem para que não seja vitima de ataques e perda de informações sigilosas. Pode o Sicoob Credip, como qualquer entidade, sofrer sanções penais se deixar escapar informações sigilosas a respeito de seus clientes, mesmo que tais informações tenham sido roubadas. Para tanto a política de informação deve ser constantemente revisada. 6 O termo malware é proveniente do inglês malicious software; é um software destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações (confidenciais ou não).

3 1 SEGURANÇA DA INFORMAÇÃO Em face a importância da informação no mundo globalizado em que se vive, é de extrema importância que haja segurança nas informações que circulam na empresa, seja para evitar conflitos com fornecedores e clientes, seja para evitar perdas de cunho financeiro. Conforme exposto por JAN (2006) a segurança da informação precisa ser adequada à importância da informação. Ainda com relação ao tipo da política adotada pela instituição, CHESWEICK et al.(2005) afirma que as políticas adotadas para uma empresa são diferentes das de outra empresa. Naturalmente, conforme o ramo que a empresa a importância da informação é maior ou menor. Por exemplo, a segurança da informação no Pentágono 7 deverá ser absolutamente maior do que à de um comercio. Ainda segundo CHESWEICK et al.(2005), a política de segurança da informação definem os limites de um comportamento aceitável dentro da organização no que tange à informação. As instituições financeiras tendem a se preocupar mais com este tema, pois lidam com dados sigilosos, podendo inclusive ser punidas, conforme 1 VIRUS, SPYWARE, TROJAN HORSE e MALWARES, Informação é todo tipo de conteúdo com valores ou dados de qualquer natureza, seja de empresas ou pessoas. Segundo a cartilha de segurança da informação do Sicoob Brasil, órgão superior ao sistema no qual a Credip encontra-se inserida, segurança da informação é toda proteção existente com vistas a proteger os dados acima mencionados. Na maioria dos casos de roubo de informação, os ataques são feitos através de vírus e malwares. Vírus normalmente são pequenos programas instalados no computador do usuário com a intenção de fazer algum mal, seja furtando dados pessoais, senhas ou mesmo prejudicando o computador no qual esta instalado. 7 O Pentágono é a sede do Departamento de Defesa dos Estados Unidos.

4 Spyware, Spy em inglês, significa espião, e foi com essa característica que os spywares surgiram. Porém, com o tempo, os spywares começaram a ser utilizados para roubo de informações pessoais (como logins e senhas) e também para a modificação de configurações do computador (como página home do seu navegador). Hoje, os spywares tem atenção especial das empresas que desenvolveram programas específicos para acabar com este tipo de malware. Já o Trojan Horse (cavalo de tróia) é um código malicioso que se faz passar por um outro programa qualquer e que acaba crianado uma vulnerabilidade no computador infectado, possibilitando na maioria dos casos, a infecção deste por outros malwares. Os Malwares que vem do ingles malicious software, são os famosos software maliciosos que se destinam a infiltrar nos sistemas (computadores) alheios totalmente ilícita e com a prerrogativa de causar algum dano ou roubar algum tipo de informação. Virus, alguns Spywre, trojan horse são alguns tipos de Malwres. Na maior parte das vezes, o usuário nem percebe que o vírus esta instalado no computador, ou quando percebe já é tarde demais. Os vírus estão espalhados por toda a internet. As formas mais comuns de se ter o computador infectado por vírus são: acessando sites de conteúdo suspeitos (pornográficos, blogs, etc), conectando mídias infectadas no computador (cd, dvd, disquete, pen-drive, cartão de memoria, etc), arquivos baixados da internet, clicando em links recebidos por e- mail ou sites de relacionamentos, entre outras tantas formas. Os vírus podem ter acesso a todo tipo de conteúdo existente no computador, podendo roubar senhas e ate mesmo apagar arquivos importantes do seu computador. 2 DICAS PARA MANTER O COMPUTADOR LONGE DE VIRUS Sempre que o usuário comum perceber a presença de vírus em seu computador, deve desligar o computador imediatamente e solicitar a presença de um técnico. O usuário deve sempre ter bons programas anti-virus instalados, de preferência originais, pois recebem atualizações constantes. Deve manter sempre atualizado.

5 As varreduras devem ser feitas periodicamente no computador. Existem antivirus on-line bem conceituados que fazem uma verificação completa. O usuário deve sempre que possível fazer este tipo de verificação com vários anti-virus, pois o que um não detectou, outro pode descobrir. Arquivos so devem ser abertos após terem passados pelo anti-virus. Os antivirus podem ser configurados para que sempre que o usuário solicitar abertura de algum programa ou arquivo, o anti-virus será executado. As copias originais do sistema operacional Windows são as mais recomendadas. As chamadas copias piratas não possuem atualizações diretas da Microsoft e costuma conter falhas. Além do Windows e anti-virus, os demais programas do computador devem ser originais, propiciando maior segurança ao usuário. Podemos sugerir também como forma de proteção a ativação do Firewall do seu computador, isso poderá ajudar a evitar que uma grande quantidade de mawares invadam seu computador. Os programas de compartilhamento de arquivos como e-mule, ares e outros não são recomendados, pois são grandes instrumentos de disseminação de vírus e malwares, uma vez que o usuário não sabe de onde esta baixando um arquivo. SPC,Serasa e Bancos nunca enviam solicitando CPF, senhas e outros dados pessois. Quanto a senhas, nenhum site idôneo solicita senhas através de e- mail nem de telefone. Portanto, sempre que o usuário receber este tipo de solicitação deve ignora-la de primeira momento. Outra fonte de disseminação de vírus são as promoções. Link s que afirmam conter prêmios, na maioria dos casos, quase que 100%, são direcionadores de vírus ou spam. do tipo olhe a foto da sua namorada também são excelentes formas de os vírus se espalharem. O usuário somente deve executar programas se souber a procedência, não sabendo do que se trata, deve deletar imediatamente. Existem vírus que se infiltram no do usuário e passa a enviar para toda a lista de contatos. Portanto, ao receber o usuário deve sempre ficar atento a conteúdos estranhos, assuntos muito chamativos e outros detalhes. Ao desconfiar, exclua sumariamente o . Nos acessos a internet, o usuário deve verificar se na no navegador esta aparecendo o endereço do site que ele quer acessar. Antes de clicar em link s

6 contidos em sites, o usuário poderá passar o mouse por cima do link e observar na barra de tarefas o direcionamento do link. Ao efetuar compras, procure ter certeza de que pode confiar no site. Sites seguros contem a expressão https no inicio e também mostram o símbolo de um cadeado na barra de tarefas ou na parte superior, dependendo do navegador. O usuário deve verificar se o cadeado é realmente um símbolo de segurança, ou se é apenas uma imagem colocada ali para enganar o usuário. Sites de bancos devem ser acessados somente de computadores de seu uso, nunca de lan-houses e também não devem ser acessados através de links contidos em outros sites.

7 3 POLITICA DE SEGURANÇA DA INFORMAÇÃO SICOOB CREDIP O Sicoob Credip institui a política de segurança da informação através da RCA 025/2009. O objetivo desta política é proteger a informação de qualquer ameaça conforme disposto em seu art. 1º. Segundo a RCA, os colaboradores devem seguir as normas de sigilo bancário constantes de lei própria do Banco Central do Brasil, bem como utilizar o sistema de uso da cooperativa, apenas em beneficio da própria da cooperativa, nunca em beneficio de si mesmo. A Política de Segurança do Sicoob Credip foi dividida em partes para assim facilitar a sua disseminação e o seu entendimento entre os colaboradores. A divisão foi feita a saber: rede de computadores, internet, comunicação instantânea, , hardware e software e política de senhas. 3.1 REDES DE COMPUTADORES Todos os computadores da Credip são interligados entre si, seja através de rede local, seja através de intranet. Assim, ao se contrair um vírus no computador em uma cidade, este pode espalhar-se pelas 16 cidades que a Credip atua. O Artigo 3º diz não ser permitido nenhuma tentativa de burlar o sistema de segurança da informação da cooperativa. Nenhuma configuração pode ser feita por terceiros ou funcionários que não sejam os da área de Tecnologia da informação (TI) da cooperativa, salvo nos casos em que funcionários ou terceiros estejam sob orientação da área de TI. Isto se faz necessário para que o colaborador não prejudique o andamento de seu próprio serviço, uma vez que uma alteração em configurações do computador, pode inutilizar o computador por um determinado tempo. Ainda conforme este artigo, o colaborador devera sair de todos as telas que estiver utilizando ao se ausentar da mesa, bem como efetuar o bloqueio de sua área de trabalho por senha. Cada colaborador tem um diretório pessoal pelo qual é responsável. Este deverá ser mantido sempre organizado, evitando arquivos inúteis. So é permitida a permanência de arquivos relacionados com o trabalho.

8 O colaborador não pode conectar qualquer mídia no computador, salvo quando instruído pela equipe de TI da cooperativa. Também não é permitida a realização de download ou a conexão de computadores ou notebooks pessoais na rede da cooperativa sem a expressa autorização da equipe de TI. Os arquivos armazenados não poderão conter em hipótese alguma material de pornografia, racismo ou pedofilia, alem de outros conteúdos não condizentes com o negocio da cooperativa. È realizado backup diário de todos os arquivos contidos no ftp e dos arquivos da pasta compartilhada em Pimenta Bueno. Portanto, todos os arquivos que necessitem ser guardados, devem estar salvo nestes locais. Também o usuário deverá colocar nestes ambientes somentes arquivos importantes, a fim de agilizar o backup. 3.2 INTERNET O acesso a internet na cooperativa é feito através de um proxy com autenticação por senha. A senha será criada pela equipe de TI. A internet deverá ser utilizada como ferramenta de trabalho e não para fins pessoais. Qualquer dano causado por colaboradores através da ma utilização da internet será passível de punição conforme regulamento de pessoal. O proxy solicita a autenticação por senha, que alem de servir como bloqueio de sites indevidos, serve de monitoramento de usuário por usuário nos acessos a internet. Os sites considerados impróprios pela cooperativa serão bloqueados. Caso exista algum site bloqueado que seja considerado necessário aos interesses da cooperativa, será analisado pela equipe de TI, procedendo ou não o desbloqueio. No que trata de internet, a política da Credip proíbe algumas situações a seus colaboradores com a finalidade de minimizar os riscos de contaminação, conforme constante do inciso I a XI do artigo 4º: I. acessar sites da internet que contenham material obsceno e/ou pornográfico;

9 II. acessar qualquer rede relacionamento ou bate papos on line...; III. sites de festas e eventos...; IV. manter conversas por meio de ferramentas de comunicação instantâneas que não sejam as adotadas e instaladas pela equipe de TI da cooperativa; V. efetuar troca de mensagens pessoais por meio de pessoal ou da cooperativa...; VI. fazer downloads de arquivos...; VII. assistir vídeos em sites que não estejam relacionados ao trabalho...; VIII. utilização de qualquer ferramenta para download...; IX. acessar qualquer tipo de material ligado a pedofilia, pornografia e racismo; X. introduzir de qualquer forma vírus de computador dentro da rede corporativa; XI. sob nenhuma circunstancia é permitido compartilhar dados do Sicoob Credip ou publicá-los na internet sem a devida autorização. Apesar de tantas proibições, a Credip permite o uso da internet para uso pessoal, desde que atendo ao disposto no 5º, art. 4. As condições impostas são que não afete o desempenho do colaborador, seja devidamente autorizado pelo gerente e cumpra todas as exigências contidas no 4º. Ainda no que tange ao uso pessoal, a Política traz de forma clara que: o uso da internet diminui a velocidade da mesma, inclusive do sistema que funciona pela internet; na representam a Credip; suas opiniões não são as da cooperativa e; qualquer dano causado será de inteira responsabilidade do colaborador. 3.3 COMUNICAÇÃO INSTANTANEA A Credip adotou para comunicação entre seus funcionários, os sistemas de mensagem instantânea Pandion e Spark. Estas ferramentas devem ser usadas somente internamente e com fins profissionais. Os arquivos contendo os dados destas informações ficarão armazenados por um período de 5 anos para posterior consulta DA COOPERATIVA

10 O da cooperativa é criado de acordo e com o nome do departamento e não do funcionário. O somente deverá ser utilizado como ferramenta de auxilio ao trabalho desenvolvido na cooperativa. O colaborador não esta autorizado a utilizar o pessoal. O tamanho máximo do arquivo de anexo aceito pelo servidor de é de 5Mb. Os conteúdos são monitorados da mesma forma que os acessos a internet. 3.5 HARDWARE E SOFTWARE Toda aquisição de equipamentos de informática deve ser previamente analisada pela equipe de TI para verificação de necessidade e compatibilidade. Somente é permitida a equipe de TI da cooperativa montar, desmontar ou prestar qualquer tipo de manutenção nos equipamentos. Também não é permitida a mudança de qualquer componente de software ou hardware sem autorização da equipe de TI. Uma questão importante foi a instalação de proteção para as portas USB uma vez que é contatante a contaminação do sistema por este dispositivo j a que o uso et e este momente era indiscriminado. 3.6 POLITICA DE SENHAS Os sistemas utilizados pelo Sicoob Credip necessitam de senhas. Estas senhas serão criadas pela equipe de TI. Quando a senha for de incumbência tanto da Central, quanto do Bancoob, a senha deverá ser solicitada a equipe de TI, esta por sua vez encaminhará a solicitação a seu destino. Todo registro encontrado com a senha do colaborador, será considerado sumariamente como tendo sido feito pelo colaborador, cabendo a este tomar o cuidado de não deixar que ninguém saiba suas senhas. O usuário não pode gravar suas senhas em navegadores de internet. A solicitação de qualquer senha deverá ser feita por escrito.

11 3.7 CONSIDERAÇÕES GERAIS Conforme disposto no art. 9, o não cumprimento de qualquer parte da resolução, pode resultar desde advertência ate a demissão. Os casos não englobados na resolução serão de responsabilidade do Conselho de Administração da Cooperativa.

12 Considerações finais A política de informação deverá conter procedimentos que procure trazer segurança a instituição em termos de tecnologia da informação. A política da informação do Sicoob credip contempla de forma muito bem explicita este tópico. Abrange os principais pontos de infecção do sistema da cooperativa. Alem de procurar minimizar os riscos oriundos da ma utilização dos recursos tecnológicos, a política apresentada pela RCA 025/2009 contempla também uma tentativa de maximização do serviço do colaborador. Ao contrário do que muito se comenta, não permitir que o colaborador acesse a internet do seu ambiente de trabalho, apenas causará um mal estar entre patrão e empregado. A política permite que o colaborador utilize a internet para fins pessoais, mesmo porque, como a maior parte trabalha com atendimento ao publico, estes colaboradores precisam estar atualizadas do se passa em sua cidade, seu estado e seu pais. O que é necessário que aconteça é que o colaborador esteja consciente de sua responsabilidade, de que seu acesso desnecessário em uma hora de muito movimento pode prejudicar outros usuários. Neste ponto a política da Credip define muito claramente as regras e conseqüências da utilização. Ainda assim, algumas alterações podem ser feitas, principalmente no que tange a termos que tornam determinados artigos de difícil compreensão ou ainda de compreensão dupla, como exposto agora. O inciso VII do art. 4º diz ser proibido assistir vídeos em sites que não estejam relacionados ao trabalho, quando deveria dizer que o que é proibido é assistir vídeos não relacionados ao trabalho. A expressão site da a entender que é proibido assistir qualquer vídeo no site. Também neste artigo, inciso XI, começa dizendo que sob nenhuma circunstancia é permitido e no final diz sem a devida autorização. Uma expressão desmente a outra, portanto faz-se necessário alteração. O inciso II do artigo 6 deveria conter uma brecha para que alguém pudesse autorizar a utilização do pessoal em uma situação excepcional, como por exemplo a falha do corporativo. Quando a política trata dos sites que estão bloqueados, ela não diz qual o procedimento que deve ser adotado quando um site alinhado aos interesses da cooperativa esta bloqueado.

13 A cooperativa poderia realizar ainda uma pesquisa de aceitação e entendimento desta política entre os cooperados, podendo isto ser fruto inclusive de uma pesquisa futura.

14 Referencias CREDIP, Sicoob. RCA 025/2009. CARTILHA DA INFORMAÇÃO JAN, van Bon. Fundamentos do gerenciamento de serviços em TI: baseado no ITIL. Editora Van Haren Publishing, VASCONCELOS, Maria Celeste Reis Lobo De. Gestao Estrategica da Informaçao, do conhecimento: e das competencias no ambiente educacional. Editora Jurua. ZAMITH, José Luís Cardoso. Gestão de Riscos & Prevenção de Perdas. Editora FGV. CHESWICK ett All, William R. Firewalls e segurança na internet: Repelindo o hacker ardiloso. Edição 2. Editora Bookman. BEAL, Adriana. Segurança da informação. Edição: 1. Editora: Atlas Editora VINICIUS, Marcos. O que é Segurança da Informação Disponível em < Acesso em: 20 de Outubro de SIQUEIRA, Marcelo Costa. Gestão Estratégica de Informação. Edição: 1. Editora: BRASPORT, (Disponível em : %A7a+da+informa%C3%A7%C3%A3o&as_brr=3&cd=9#v=onepage&q=seguran%C 3%A7a%20da%20informa%C3%A7%C3%A3o&f=false). Acesso em: 20 de março de 2010.