• Nenhum resultado encontrado

Insiders: Análise e Possibilidades de Mitigação

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "Insiders: Análise e Possibilidades de Mitigação"

Copied!
6
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 6 páginas )

Texto

(1)

Insider

s: Análise e Possibilidades de Mitigação

Gliner Dias Alencar1, Anderson A. L. Queiroz1, Ruy J. G. B. de Queiroz1

1

Centro de Informática – Universidade Federal de Pernambuco (UFPE) Av. Jornalista Anibal Fernandes, s/n – 50.740-560 – Recife – PE – Brazil

{gda2,aalq,ruy}@cin.ufpe.br

Abstract. To achieve reliable levels of safety, the focus of many companies has

been to invest primarily in technology and processes, forgetting the human resources that necessarily work with these technologies and will be part of the processes. Thinking about this gap, particularly in people as internal threats (insiders), the present study analyzed through theoretical and field research, aspects of information security at 34 public and private companies in Greater Recife where, in general, it was established that information security has a low level of maturity and active participation of insiders, these points that the paper proposes improvements.

Resumo. Para atingir níveis confiáveis de segurança, o foco de muitas

empresas tem sido investir primariamente em tecnologia e processos, esquecendo-se dos recursos humanos que necessariamente trabalharão com estas tecnologias e farão parte dos processos. Pensando nesta lacuna existente, especificamente nas pessoas como ameaças internas (insiders), o presente trabalho analisou, por meio de estudos teóricos e pesquisa de campo, os aspectos de segurança da informação em 34 empresas públicas e privadas do Grande Recife onde, de uma forma geral, constatou-se que a segurança da informação tem um baixo nível de maturidade e existe uma participação ativa de insiders, pontos estes que o trabalho propõe melhorias.

1. Introdução

Ao analisar a variável humana na Tecnologia da Informação (TI), percebe-se que as pessoas podem se tornar uma ameaça à segurança da informação (SI) por diversos motivos e meios. Desde pessoas que facilitam a ação, sem nem mesmo saber que estão auxiliando, àquelas que agem propositadamente. Dentro das que agem de forma proposital, existem as que não têm ligação direta com o alvo do ataque e aquelas que têm algum conhecimento interno do seu alvo, os insiders (ameaça interna), definidos como: empregados que invadem sua própria organização, conforme Nakamura e De Geus (2007); ou mais amplamente, segundo Insider (2010), como atuais, ex-empregados ou contratados (diretos ou indiretos) que têm ou tiveram acesso autorizado ao sistema e às redes da organização, assim como, conhecimento das políticas internas, procedimentos e tecnologia utilizada, empregando tais conhecimentos e privilégios como facilitadores para realizar ataques ou auxiliar invasores externos.

A quantidade de pessoas envolvidas nos processos internos unido à falta de uma correta política de gerenciamento e manuseio das informações são aspectos que facilitam a ação dos insiders. Casos relacionados à perda de informações, roubos de dados, engenharia social e sabotagem de TI envolvendo os insiders estão cada vez mais frequentes no noticiário nacional e internacional.

(2)

Como exemplo tem-se o caso do funcionário do setor de TI do Bank of America que foi processado pela justiça americana por ter instalado um software malicioso nos caixas eletrônicos do banco, o qual permitia saques sem o débito em sua conta, como cita Rohr (2010). A Imperva (2009) ressaltou o caso do programador chinês que trabalhava na Ellery Systems nos EUA e transferia códigos proprietários a uma empresa concorrente chinesa. A concorrência estrangeira e a perda dos códigos ocasionaram a falência da Ellery Systems. Este incidente foi parcialmente responsável pela criação da Lei de Espionagem Econômica em 1996. Outro fato alarmante se refere a uma possível vingança por parte dos empregados. Segundo Skinner (2010), 70% dos funcionários roubariam informações de seu empregador se soubessem que seriam dispensados.

Considerando que os fatos mencionados não são exemplos raros, nota-se o quanto a variável pessoa pode ser danosa para a instituição, uma vez que a maioria dos incidentes, quer direta ou indiretamente, envolve a sua participação, gerando prejuízos muitas vezes incalculáveis, como ressalta Greitzer et al. (2008). Visto que a segurança deverá ser constituída em camadas, como cita Maccarthy (2010), acredita-se ser relevante o estudo desta variável para a área de SI, pois qualquer melhoria implantada contribuirá para se ter um ambiente mais seguro.

Buscando compreender e encontrar soluções para este problema, foi realizada uma pesquisa para analisar a visão técnica e estratégica da área de SI, especialmente os fatores relacionados às ameaças internas, em empresas da capital pernambucana ou cidades circunvizinhas, tratadas no trabalho como “Grande Recife”. Para tal, foi construído um questionário adequando, principalmente, o estudo de Gabbay (2003) realizado com empresas do Rio Grande do Norte, da Modulo (2006), com representação nacional, e do Ecrime (2010), com entidades norte-americanas.

2.

Procedimentos Metodológicos

Conforme Gil (2010) e Marconi e Lakatos (2010), quanto à forma de abordagem, esta pesquisa pode ser considerada quantitativa, pois os dados coletados foram traduzidos em números, classificados e analisados através de recursos e técnicas estatísticas, assim como do ponto de vista de seus objetivos classifica-se, predominantemente, como descritiva, visto que buscou descrever um fenômeno ou situação, mediante estudo realizado em determinado espaço-tempo e envolvendo o uso de técnicas padronizadas de coleta de dados aplicados no universo ou amostra dele.

Na coleta dos dados foi utilizada a pesquisa de campo em empresas com sede ou escritório no Grande Recife com, no mínimo, quinze funcionários e ser da área de TIC ou ter, ao menos, uma área específica de TIC. O questionário tinha 43 questões divididas em seis categorias: Dados da Empresa, Dados do Respondente, Importância Estratégica da Informação, Ferramentas de SI na Empresa, Recursos Humanos e Estrutura Organizacional e, finalizando, Segurança da Informação Corporativa.

Após a análise dos dados e levantamento dos pontos falhos ou de melhorias nas empresas, o estudo propôs ações para melhorar o nível de segurança das organizações validado através de um segundo questionário respondido pelas empresas.

3. Da Pesquisa Realizada

O questionário foi proposto em 62 empresas, onde 43 (69,4%) se propuseram a responder. Destas 43, nove questionários foram invalidados por não responder

(3)

completamente todas as questões não opcionais. Assim, a amostragem final é composta por 34 questionários de empresas distintas (54,8% das empresas propostas).

3.1 Dados da amostra

Todos os entrevistados eram funcionários da empresa, sendo que 31 deles (91,2%) eram responsáveis ou ligados à área que trata a SI e os demais 8,8% eram funcionários da TI. A amostra é representada por 76% de empresas do setor econômico terciário e 24% do secundário, sendo 65% privadas, 26% públicas e 9% de economia mista. Tendo de 15 a 26 mil empregados e de 13 computadores a 8 mil máquinas. Com relação à área de abrangência teve-se: 38% de abrangência nacional, 29% estadual, 18% regional, 9% multinacional e 6% local.

4. Síntese da Análise

Ao analisar os dados obtidos, foi possível perceber, na maioria dos casos, que se tem conhecimento dos problemas, dos métodos e tecnologias para melhorar o ambiente, bem como das possíveis formas de mitigar os problemas, contudo, não são realizadas as devidas ações e precauções necessárias, muitas vezes simples. O que corrobora com o estudo de Shay et al. (2010), onde é citado que os usuários normalmente se sentem mais seguros utilizando senhas fortes, mas costumam usar senhas fracas. Tal fato é percebido pelas respostas obtidas, onde, na maioria dos itens, não se teve assinalada a melhor alternativa na visão da SI. Esta situação foi gerada, principalmente, por conta dos órgãos públicos, que demonstraram índices que, quando se diferenciava da iniciativa privada, eram, em sua maioria, bem inferiores, fato corroborado pelo estudo da Modulo (2006).

A pesquisa relata que 44% das empresas têm o assunto de SI sendo tratado com a devida relevância e se somando a opção onde o tema SI vem sendo debatido de forma sistemática, porém sem a devida relevância, tem-se 82% das empresas. Contudo, não se vê sua aplicação prática, pois apenas 35% ressaltaram a existência da divulgação institucional da SI e em apenas 15% existem treinamentos periódicos ou processos de conscientização sobre SI para os funcionários. Outro indicador é que apenas 21% das empresas têm o investimento em SI alinhado com os objetivos de negócio.

Foi possível perceber, também, que 100% das empresas trabalham com antivírus, contra 88% relatado por Gabbay (2003), e 91% com firewalls, mas estes bons números vão diminuindo para as demais ferramentas de SI. Assim como o percentual de empresas que utilizam procedimentos mais abrangentes para prover segurança como: controles ou políticas diferenciadas para acessar informações mais críticas, termo de compromisso ou documento relativo à confidencialidade das senhas e informações internas, PSI, procedimentos para checagem de privilégios e bloqueios de usuários de rede, obrigatoriedade de utilização de senhas fortes, sem repetição e com trocas periódicas, também não conseguiram atingir valores tão satisfatórios.

Relacionado aos insiders, verificou-se a participação ativa de tais ameaças em um ambiente com características que facilitam tais fatos, visto que as empresas pesquisadas não atentaram, ainda, para tal ameaça com o grau de importância que a mesma deve ter, ocorrendo falhas ou falta de procedimentos para a possível detecção dos insiders desde a sua contratação. Assim como os procedimentos, metodologias e ferramentas internas, em sua maioria, não estão seguindo as melhores práticas, nem

(4)

utilizando tecnologias mais avançadas de proteção. Inclusive atividades simples de capacitação, requisitos de senhas, políticas de permissões em estações, entre outras.

5. Estratégia para Mitigação dos Insiders

Uma forma para o combate mais amplo e efetivo das ameaças, inclusive dos insiders, começa na identificação dos responsáveis por cada informação e verificar os direitos de acesso que cada pessoa ou perfil tem, tal trabalho se torna árduo pela quantidade crescente de dados armazenados e sistemas em produção. Após esse levantamento, é necessário, junto ao responsável da informação, verificar se os perfis concedidos ainda são necessários e estão de acordo com a política e regras atuais. Estabelecer ciclos de revisão de tais direitos manterá um ambiente mais seguro. Um processo de revisão dos direitos requer o estabelecimento de uma linha base para cada usuário ou perfil, de forma que os usuários, proprietários e administradores das informações e sistemas estejam cientes dos privilégios concedidos e retirá-los quando não forem mais necessários, monitorando em tempo real, como descreve Imperva (2010) de forma que os usuários possam trabalhar com o critério de privilégio mínimo, mas sem perder a usabilidade, com citam Motiee, Hawkey e Beznosov (2010).

Outro ponto possível para melhorar o combate às ameaças internas é a realização de exames com testes e análises que possibilitem a detecção de possíveis insiders na sua contratação e periodicamente em sua vida como funcionário, incentivos à detecção de ameaças de forma automatizada e, também, pelos funcionários, provendo meios e incentivando para que as pessoas possam reportar tais fatos. Gerenciamento de mídias removíveis e dos acessos à Internet e emails também devem ser considerado. Porém, essas atividades devem ser regidas por uma PSI e normatizações efetivas e corretamente divulgadas, de forma que todos tenham ciência das regras e punições vigentes.

Como citam Greitzer et al. (2008), os problemas relativos às ameaças internas estão cada vez mais em pauta, mas ainda tem muito que ser feito. No mínimo, o campo precisa de mais oficinas e cursos de formação para elevar a consciência dos gestores e dos profissionais da área de recursos humanos e TI sobre os indicadores comportamentais e como diminuir os riscos, onde a teoria dos jogos é um meio para auxilio no entendimento e na ajuda para definir estratégias organizacionais para mitigar tais ameaças, como ressalta, também, Moore, Clayton e Anderson (2009). Porém, é preciso reconhecer as potenciais consequências e questões éticas em torno de tais estratégias, pois podem gerar constrangimentos aos usuários, impactar negativamente a produtividade, afetar a moral dos funcionários e até ter consequências jurídicas.

Em suma, verifica-se a necessidade de uma estratégia formal para mitigação das ameaças internas, devendo englobar toda a trinca de segurança (tecnologia, processos e pessoas), ou seja, deve-se envolver a segurança física do ambiente e dispositivos, a utilização das ferramentas de segurança e monitoramento (antivírus, firewall, controle

web, controle de email, IPS/IDS), segmentação da rede, definição de perfis de usuários com privilégios mínimos necessários; gestão dos incidentes ocorridos, corrigindo as vulnerabilidades para que não sejam exploradas novamente; PSI com suas normas e procedimentos; planos de capacitação, conscientização e marketing sobre SI para que todas as pessoas envolvidas conheçam os riscos, política e normas, e tenham ciência de como se precaver e tomar ações mais seguras; e, principalmente, com a utilização de meios de seleção mais abrangentes que envolvam análise social, comportamental e

(5)

psíquica dos candidatos. Visto que uma análise mais apurada dos aspectos psíquicos e sociais podem detectar possíveis insiders, como retrata Baddeley (2010), Del-Ben (2005) e Flaxman (2010) em estudos específicos da área de saúde e humanas.

Para validar a proposta citada, dando uma visão mais holística da SI e questionando sobre dificuldades em sua aplicação, foi enviado outro questionário para 14 empresas da amostra inicial (aquelas que demonstraram interesse em ajudar a pesquisa), sendo respondido por 9 (3 públicas e 6 privadas). Para 89% das empresas a estratégia citada conseguirá mitigar as ameaças internas. Uma empresa respondeu que não, citando que mesmo atacando todos os pontos da estratégia ainda é extremamente difícil combater as ameaças humanas. Com relação às dificuldades na implantação de um plano de segurança mais abrangente que envolva os pontos da estratégia colocada, os principais pontos citados foram: a dificuldade de integração das diversas áreas da empresa com 44%, também 44% alegaram problemas financeiros para implantação de medidas mais abrangentes, 33% citaram a capacitação das equipes para gerenciar o modelo como um todo, 11% afirmaram problemas com o apoio de tal modelo por parte do alto escalão da empresa e apenas 11% relataram não existir problemas. Tais resultados extrapolam 100% por ser possível citar mais de um problema.

6. Considerações Finais

Apesar da visível evolução das tecnologias, ferramentas e pesquisas na área de SI, não se observa a mesma evolução no meio corporativo, principalmente no que tange a área humana, como se viu ao comparar a esta pesquisa com as anteriores, como Gabbay (2003) e Modulo (2006). Assim como não se conseguiu, ainda, chegar aos bons níveis de maturidade reportados nas pesquisas norte-americanas, como no Ecrime (2010).

Pesquisas como a presente mostram que, na maioria das empresas, a segurança da informação tem um papel simplório, focado no combate de malwares e ataques externos, não realizando atividades simples para prover senhas mais fortes, backups eficientes, implementação de ferramentas básicas de segurança, divulgação da SI, capacitação, etc. Neste situação não se consegue demonstrar o real valor e obter recursos ou patrocínio para outros projetos na área. O que é comprovado quando se tem a restrição orçamentária como a principal dificuldade para a implantação de ferramentas de SI e a falta de priorização como principal obstáculo para implantação da PSI.

Desta forma, fica evidente a necessidade de evolução nesta área e da transferência da tecnologia para o meio corporativo visando uma estratégia que contemple os processos, tecnologias e, principalmente as pessoas em todas as suas fases, que inclui os aspectos psíquicos e sociais já abordados. Tal estratégia servirá não apenas para mitigar as ameaças internas, mas também como uma forma de se prover um ambiente mais seguro implementando a segurança de forma mais holística.

Referências

Baddeley, M. (2010). Herding, social influence and economic decision-making: socio-psychological and neuroscientific analyses. In: Philosophical Transactions of The

Royal Society. Biological Sciences, 365, p. 281-290.

Del-Ben, C. M. (2005). Neurobiologia do transtorno de personalidade anti-social. In:

(6)

Ecrime. (2010) “CyberSecurity Watch Survey: Cybercrime increasing faster than some company defenses”, http://www.cert.org/archive/pdf/ecrimesummary10.pdf

Flaxman, E. (2010). The Cambridge Spies: Treason and Transformed Ego Ideals. In:

The Psychoanalytic Review, v. 97, p. 607-631.

Gabbay, M. S. (2003) “Fatores Influenciadores da Implementação de Ações de Gestão de Segurança da Informação: um Estudo com Executivos e Gerentes de Tecnologia da Informação em Empresas do Rio Grande do Norte”, Centro de Tecnologia, Universidade Federal do Rio Grande do Norte, Natal.

Gil, A. C. (2010), Como Elaborar Projetos de Pesquisa, Editora Atlas, 5ª Edição.

Greitzer, F. L.; Moore, A. P.; Cappelli, D. M.; Andrews, D. H.; Carroll, L. A.; Hull, T. D. (2008). Combating the Insider Cyber Threat. In: IEEE Security & Privacy, v. 6, n. 1, pages 61-64.

Imperva. (2009) “The Anatomy of an Insider: Bad Guys Don’t Always Wear Black”, http://www.imperva.com/docs/ WP_Anatomy_of_an_Insider.pdf.

Imperva. (2010) “Five Signs Your File Data is at Risk”, http://www.imperva.com/ docs/WP_Five_Signs_Your_File_Data_is_at_Risk.pdf.

Insider. (2010) “Insider Threat Research”, http://www.cert.org/insider_threat/ more.html.

Maccarthy, M. (2010). Information Security Policy in the U.S. Retail Payments Industry. In: Workshop on the Economics of Information Security, Harvard University, EUA.

Marconi, M. A.; Lakatos, E. M. (2010) Fundamentos da Metodologia Científica, Editora Atlas, 7ª Edição.

Modulo. (2006) “10ª Pesquisa Nacional de Segurança da Informação”, http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf.

Moore, T.; Clayton, R.; Anderson, R. (2009). The Economics of Online Crime. In

Journal of Economic Perspectives, v. 23, n. 3, p. 3-20.

Motiee, S.; Hawkey, K.; Beznosov, K. (2010). Do Windows Users Follow the Principle of Least Privilege? Investigating User Account Control Practices. In: Symposium on

Usable Privacy and Security, Redmond, EUA

Nakamura, E. T.; De Geus, P. L. (2007), Segurança de Redes em Ambientes Corporativos. Novatec, 1ª Edição.

Rohr, A. (2010) “Funcionário do Bank of America instala virus em caixas eletrônicos”, http://www.linhadefensiva.org/2010/04/funcionario-do-bank-of-america-instala-virus-em-caixas-eletronicos/.

Shay, R.; Komanduri, S.; Kelley, G. K.; Leon, P. G.; Mazurek, M. L.; Bauer, L.; Christin, N.; Cranor, L. F. (2010). Encountering Stronger Password Requirements: User Attitudes and Behaviors. In: Symposium on Usable Privacy and Security, Redmond, EUA.

Skinner, C. (2010) “72% of staff have stolen data from their employers”, http://www.pcadvisor.co.uk/news/index.cfm?NewsID= 3249936.

Referências

Descarregar agora ( PDF - 6 páginas - 68.36 KB )

Documentos relacionados

GOVERNO DO DISTRITO FEDERAL SECRETARIA DE ESTADO DE EDUCAÇÃO SUBSECRETARIA DE EDUCAÇÃO BÁSICA SUBSECRETARIA DE GESTÃO DE PESSOAS

Local de realização da avaliação: Centro de Aperfeiçoamento dos Profissionais da Educação - EAPE , endereço : SGAS 907 - Brasília/DF. Estamos à disposição

Documentos: Teste de Desequilíbrio de resistência DC Seguro fácil e accessível para seus sistemas PoE

Os testes de desequilíbrio de resistência DC dentro de um par e de desequilíbrio de resistência DC entre pares se tornarão uma preocupação ainda maior à medida que mais

micrômetros DIGITAIS SÉRIES 795 e 796 SÉRIES 733 e 3732 MODELOS COM E SEM SAÍDA DE DADOS! MICRÔMETROS

As pontas de contato retas e retificadas em paralelo ajustam o micrômetro mais rápida e precisamente do que as pontas de contato esféricas encontradas em micrômetros disponíveis

FORMAÇÃO EM GESTALT-TERAPIA COM CRIANÇAS E ADOLESCENTES Turma 7 Fortaleza, CE CADERNO DO ALUNO

A clínica gestáltica tem o intuito de desenvolver um trabalho baseado na relação dialógica, que facilita o processo de autorregulação e ajustamento criativo para as pessoas.. Tais

OBRIGAÇÕES TRABALHISTAS, PREVIDENCIÁRIAS E ASSISTENCIAIS A PAGAR A CURTO

Código Descrição Atributo Saldo Anterior D/C Débito Crédito Saldo Final D/C. Este demonstrativo apresenta os dados consolidados da(s)

Estudos do Trabalho Ano IX Número Revista da RET Rede de Estudos do Trabalho

A tabela de desligados refere-se ao total de beneficiários, que de acordo com a classificação B/31 e B/91 elegíveis para o programa de reabilitação profissional

Controle de marketing em agências de viagens: um estudo exploratório sobre o projeto Vai Brasil no município do Rio de Janeiro

a) política nacional de desenvolvimento do turismo; b) promoção e divulgação do turismo nacional, no país e no exterior; c) estímulo às iniciativas públicas e privadas de

Estratégia de ensino e aprendizagem ativa aplicada ao aprendizado de algoritmos e programação : identificação e análise da motivação dos estudantes

A pesquisa pode ser caracterizada como exploratória e experimental em uma primeira etapa (estudo piloto), na qual foram geradas hipóteses e um conjunto de observáveis, variáveis