Instituto de Educação Tecnológica
Paolo Bordoni Caldeira
GESTÃO DE RISCO:
Uma pesquisa exploratória em projetos de segurança da informação com abordagem em PMEs.
Belo Horizonte
2013
Paolo Bordoni Caldeira
GESTÃO DE RISCO:
Uma pesquisa exploratória em projetos de segurança da informação com abordagem em PMEs.
Trabalho de conclusão de especialização apresentado ao Curso de Projetos do Instituto de Educação Tecnológica, turma Nº 12 parcial à obtenção do título de especialista em Gestão de Projetos.
Orientação do Prof. João Carlos
Belo Horizonte
2013
EPÍGRAFE
“Não corrigir nossas faltas é o mesmo que cometer novos erros.” (Confúcio)
RESUMO
O objetivo central deste trabalho é analisar quais os riscos que projetos de segurança da informação estariam expostos quando não consideram o ambiente tecnológico e informacional de pequenas e médias
empresas, podendo impactar no sucesso de projetos relacionados de segurança da informação. Os profissionais da área de TI e os empresários estariam preparados garantir a segurança da informação, sua e de seus pares e consequentemente executar ações para garanti-la, estes foram procurados para que então pudessem dar sua contribuição e compartilhar suas experiências profissionais. O trabalho que foi desenvolvido não tem como enfoque principal a parte técnica específicas de segurança, mas sim na parte gerencial e estratégica com foco em Gestão
de Risco, portanto este trabalho é voltado para estudantes e profissionais que planejam reestruturar a organização de forma mais segura.
As entrevistas, realizadas através de uma pesquisa exploratória, permitiram responder aos questionamentos e abordar de forma mais abrangente o tema proposto; com isto os objetivos da investigação científica puderam ser alcançados graças aos dados coletados com as entrevistados, empresas e profissionais da área de tecnologia. Foi possível concluir, portanto que tem muito a se fazer para que empresas de pequeno e médio porte possam chegar a um nível aceitável de segurança.
Palavras chaves: Gestão de Risco, Segurança da Informação, Vulnerabilidades Digitais, PMEs.
ABSTRACT
The aim of this work is to analyze what risks to information security projects would be exposed when they do not consider the technological and informational environment of small and medium enterprises, which can impact the success of projects related to information security. The IT professionals and business owners would be prepared to ensure security of information, and their peers and consequently take actions to guarantee it, they were so popular that they could make a contribution and share their professional experiences. The work was developed has as its primary focus the technical specific security, but at the managerial and strategic focusing on Risk Management, so this work is aimed at students and professionals who plan to restructure the organization more secure. The interviews, conducted through an exploratory allowed to answer questions and address more comprehensively the proposed theme, with the goals of this research could be achieved thanks to the data collected from the respondents, companies and professionals in the field of technology. It can be concluded therefore that has much to do for small and midsize can reach an acceptable level of safety.
Keywords: Risk Management, Information Security, Vulnerabilities, SMB
.
SUMÁRIO
1Introdução 9
1.1Tema e Problema 9
1.2Objetivos 10
1.2.1Geral 10
1.2.2Específicos 10
1.3Justificativa 11
1.4Estrutura do Trabalho 12
2REFERENCIAL TEÓRICO 13
2.1Teoria da complexidade 16
2.1.1Cynefin 17
2.1.2Contexto Simples – Domínio das Melhores Práticas 18
2.1.3Contextos Complicados – Domínio dos Especialistas 18
2.1.4Contexto Complexo – Domínio da Emergência 19
2.1.5Contexto Caótico – Resposta Rápida 19
2.2Análise de impacto no negócio 20
2.3Identificações dos riscos 20
2.4Análise qualitativa 22
2.5Análise quantitativa 22
2.6Planejamento de resposta a riscos 26
2.7Monitoramento e controle de riscos 29
3Tabela de Temas 32
4gestão de risco em projetos de segurança da informação 33
4.1Sistemas de Informação 33
4.2Sistemas de Informação e as Organizações 35
4.3Ativo Universal – A Informação 38
4.4Segurança da Informação 39
4.5Comitê de Segurança 40
4.6Ameaças 42
4.6.1Engenharia Social 43
4.6.2Malware 43
4.6.3Ataques à Rede 44
4.7Contra medidas 46
5PESQUISA 48
5.1Contexto da Pesquisa 48
5.2Apresentação, Discussão e Análise de Dados 48
6CONSIDERAÇÕES FINAIS 57
REFERÊNCIAS 63
ANEXO 1 – Engenharia social 66
Lista de figuras
Lista de TABELAS
Introdução
1.1Tema e Problema
Em dias cada vez mais competitivos, obtenção de informações importantes e em tempo hábil, tornaram fatores cruciais para a sobrevivência das organizações. É necessário que empresas inseridas neste novo contexto, além de possuírem sistemas ágeis para obtenção de informação, tenham um ambiente seguro.
De acordo com Laudon (1999) houve três mudanças globais que tornaram o espaço empresarial altamente competitivo. A primeira foi o surgimento e o fortalecimento da economia global, onde trouxe as ameaças da globalização e da tecnologia da informação; a segunda foi a transformação da economia e da sociedade industrial, onde começou uma revolução da informação
e do conhecimento; e a terceira a transformação das empresas, onde a tecnologia torna as empresas mais dependentes do conhecimento. Estas transformações são os efeitos da Terceira Onda, que segundo Polloni (2000), de acordo com Alvin Toffler, se trata da onda dos sistemas de informação.
Nos últimos anos nunca ouvimos falar tanto sobre segurança da informação e tivemos notícias sobre exposição de dados sigilosos. Um exemplo que poderíamos citar seria o site WikiLeaks e os ataques realizados pelo grupo de hackers intitulados Anonymous contra os serviços online do governo brasileiro e contra as instituições bancárias
brasileiras, mas este trabalho não tem a pretensão de abortar a segurança destas grandes corporações e sim das empresas pequenas e médias corporações como escritórios de advocacia, contabilidade e transportadores, fornecedores em geral que detém de alguma formar informações relevantes de grande corporações de maior porte.
Logo o problema da pesquisa será responder: As empresas de pequeno e médio porte estão conscientes do seu papel sobre manutenção segura das informações?
Como a falta de consciências destas empresas, quais os riscos que estas podem trazer aos projetos de segurança da informação, quando seus ambientes não são levantados corretamente?