http://repositorio.febab.org.br/files/original/19/1305/Trab14400194320150330_000000.pdf 830465815da52808745482b5a498896d PDF Text Text ACESSO NÃO AUTORIZADO: O CORREIO ELETRÔNICO DO BIBLIOTECÁRIO COMO ENTRADA PARA AS AMEAÇAS VIRTUAIS Cris Anderson Correa de Souza (UFRJ) – crisanderson@cfch.ufrj.br Simone da Cruz Correa de Souza (CECIERJ) – moneabencoada@yahoo.com.br 1 Introdução Foi-se o tempo em que o bibliotecário só tinha que se preocupar com os agentes físicos (luz, temperatura e umidade relativa), químicos (poluição ambiental e poeira) e biológicos (microorganismos, insetos e roedores) que atacavam as coleções, que poderia levar a perdas irreparáveis à memória documental. Os agentes que ameaçavam os documentos da biblioteca eram conhecidos e se podia combate-los, agora no meio virtual eles são outros. Não tem uma identidade ou forma são os códigos maliciosos (malwares), programas criados e projetados unicamente para causar danos e executar atividades maliciosas em um computador quando encontram vulnerabilidades que facilite sua entrada. Essas ameaças virtuais não apenas põe em risco a segurança das informações da Instituição, como foca seu objetivo, principalmente, no indivíduo que por desconhecimento ou ingenuidade, permite que o sistema seja infectado por esses agentes ameaçadores aos ambientes computacionais, permitindo que se instalem e venham comprometer a segurança de pessoas, transações e os insumos informacionais das instituições. O objetivo do estudo é apresentar medidas preventivas que oriente o bibliotecário, mesmo não sendo um especialista em Segurança da Informação, na prevenção do acesso não autorizado aos computadores no seu ambiente de trabalho, seja ele presencial ou remotamente. A abordagem, principal, é o correio eletrônico (e-mail) seja o institucional ou o particular, visto que é usado com maior frequência no dia a dia, o que o torna o canal mais comumente utilizado para ataques cibernéticos, que podem acarretar em prejuízos tanto para o bibliotecário, quanto para os usuários da biblioteca e o Órgão onde trabalha. É de suma importância que o bibliotecário conheça todos os tipos de ameaças, tentativas de invasão e danos, quando do acesso não autorizado dirigido ao sistema, assim, como procedimentos para protegê-lo ou agir quando infectado. Pretende-se que esse estudo seja uma discussão inicial, que leve a um debate abrangente e sério sobre os incidentes de segurança que as informações produzidas no ambiente da biblioteca e armazenadas online possam sofrer. 2 Metodologia da Pesquisa A metodologia utilizada foi o levantamento bibliográfico. Buscou-se na literatura sobre Segurança da Informação; na Pesquisa Nacional de Segurança da Informação 2014 (DARYUS Group Brazil, 2014) e informações coletadas no site SegTIC/UFRJ (UNIVERSIDADE FEDERAL DO RIO DE JANEIRO) arrolar alguns pontos críticos que o uso do correio eletrônico institucional ou particular acessado dentro do ambiente de trabalho, através de terminais conectados a rede da 1 �Instituição podem acarretar quanto canal de entrada de diversas ameaças virtuais. Apoiado nos dados levantados foi possível verificar os principais tipos de ameaças virtuais que utilizam o correio eletrônico como fonte disseminadora dos mais diversos códigos maliciosos criados e projetados intencionalmente para causar danos e executar atividades maliciosas em um computador. O trabalho destaca as medidas preventivas de segurança que o bibliotecário pode tomar para, se proteger e, por conseguinte a Instituição no uso consciente do correio eletrônico. 3 Resultados e Discussões A Pesquisa Nacional de Segurança da Informação (DARYUS Group Brazil, 2014), sobre o panorama da Segurança da Informação no Brasil levantou o seguintes incidentes em relação à segurança da informação: Fonte: Pesquisa Nacional de Segurança da Informação (DARYUS Group Brazil. p. 18, 2014). Como se podem inferir as pessoas são o elo mais frágil à proteção dos dados no ambiente institucional. As invasões não estão associadas a falhas nos equipamentos de proteção, mas sim em torno de pessoas e a maneira na qual os dados, informações e sistemas são utilizados nas organizações, que acabam gerando vazamentos, mal uso ou perda de informação. No site SegTIC/UFRJ (Diretoria de Segurança da Informação e Governança) são informados alguns tentativas de golpe enviadas por email com o intuito de roubar dados e senhas dos servidores e usuários da UFRJ. Segundo a SegTIC/UFRJ, o mais praticado é o e-mail falso para validação de caixa de correio. Fonte: Falso e-mail recebido (UNIVERSIDADE FEDERAL DO RIO DE JANEIRO). 2 �Eles alertam que o usuário deve atentar para não fornecer qualquer informação em hipótese alguma para esta solicitação. O bibliotecário para se proteger desses golpes pode tomar as seguintes medidas preventivas ao abrir o e-mail: não baixar e nem executar arquivos desconhecidos; não clicar no link de uma promoção oferecida sem verificar se o link é real, pois pode esta direcionando para a instalação de malwares; nunca abrir email de remetentes desconhecidos; não preencher Formulários recebidos por emails que solicitam informações confidenciais sem checar a fonte de origem; alguns e-mails pede para a pessoa atualizar determinados dados, direcionando-o para páginas falsificadas de empresas de comércio eletrônico, sites de leilões, instituições financeiras e órgãos do governo; nunca acesse sites de bancos, lojas de comércio eletrônico, venda de passagens e outros que tenha que usar senha e/ou cartão de crédito nos computadores do trabalho, pois podem ser interceptados e clonados; caso perceba qualquer anormalidade no funcionamento do computador, como, demora em iniciar, lentidão em abrir aplicativos ou o browser, o mouse mover-se aparentemente sozinho sem usar, deve-se contatar imediatamente o suporte técnico da Instituição, algum código malicioso pode esta em execução. 4 Considerações Finais O estudo é um alerta dos perigos que um link, aparentemente, inocente enviado por um conhecido ou desconhecido através do e-mail pode acarretar para todos que compõem a instituição quando esse é executado inadvertidamente. É importante o bibliotecário não descuidar das normas de segurança da informação, incorporando-a sua rotina, assim como se manter atualizado e informado em relação as novas ameaças virtuais que surgem rotineiramente. É recomendado que o profissional capacite-se por meio de cursos, manuais, leituras, palestras sobre o tema e, também, mantenha contato com o setor Segurança da Informação da Instituição. Assim, estará preparado para evitar e/ou agir diante situações de acesso indevido. Palavras-chave: Ameaças Virtuais. Segurança da Informação. Correio eletrônico. Referências Brasil. Tribunal de Contas da União. Boas práticas em segurança da informação. 4. ed. Brasília: TCU, Secretaria de Fiscalização de Tecnologia da Informação, 2012. 103 p. Disponível em: <http://portal2.tcu.gov.br/portal/pls/portal/docs/2511466.PDF>. Acesso em: 15 mar. 2015. DARYUS Group Brazil. Pesquisa Nacional de Segurança da Informação 2014. 2014. 36 p. Disponível em: <http://datasus.saude.gov.br/images/Pesquisa_Nacional_de_Seguran%C3%A7a_da _Informa%C3%A7%C3%A3o_2014_-_DARYUS.pdf>. Acesso em: 17 mar. 2015. UNIVERSIDADE FEDERAL DO RIO DE JANEIRO. Diretoria de Segurança da Informação e Governança (SegTIC). E-mail falso de Atualização de Dados. Disponível em <http://www.tic.ufrj.br/index.php/noticias-segtic/41-aviso-e-mail-falsode-atualizacao-de-dados>. Acesso em: 17 mar. 2015. 3 � Dublin Core The Dublin Core metadata element set is common to all Omeka records, including items, files, and collections. For more information see, http://dublincore.org/documents/dces/. Title A name given to the resource CBBD - Edição: 26 - Ano: 2015 (São Paulo/SP) Subject The topic of the resource Biblioteconomia Documentação Ciência da Informação Publisher An entity responsible for making the resource available FEBAB Date A point or period of time associated with an event in the lifecycle of the resource 2015 Language A language of the resource Português Type The nature or genre of the resource Evento Coverage The spatial or temporal topic of the resource, the spatial applicability of the resource, or the jurisdiction under which the resource is relevant São Paulo/SP Event A non-persistent, time-based occurrence. Metadata for an event provides descriptive information that is the basis for discovery of the purpose, location, duration, and responsible agents associated with an event. Examples include an exhibition, webcast, conference, workshop, open day, performance, battle, trial, wedding, tea party, conflagration. Dublin Core The Dublin Core metadata element set is common to all Omeka records, including items, files, and collections. For more information see, http://dublincore.org/documents/dces/. Title A name given to the resource Acesso não autorizado: o correio eletrônico do bibliotecário como entrada para as ameaças virtuais Creator An entity primarily responsible for making the resource Souza, Cris Anderson Correa de Souza, Simone da Cruz Correa de Coverage The spatial or temporal topic of the resource, the spatial applicability of the resource, or the jurisdiction under which the resource is relevant São Paulo (São Paulo) Publisher An entity responsible for making the resource available FEBAB Date A point or period of time associated with an event in the lifecycle of the resource 2015 Type The nature or genre of the resource Evento Subject The topic of the resource Ameça Correio eletrônico Informação (Segurança) Description An account of the resource Foi se o tempo em que o bibliotecário só tinha que se preocupar com os agentes físicos (luz, temperatura e umidade relativa), químicos (poluição ambiental e poeira) e biológicos (microrganismos, insetos e roedores) que atacavam as coleções, que poderia levar a perdas irreparáveis à memória documental. Os agentes que ameaçavam os documentos da biblioteca eram conhecidos e se podia combatê-los, agora no meio virtual eles são outros Não tem uma identidade ou forma são os códigos maliciosos malwares programas criados e projetados unicamente para causar danos e executar atividades maliciosas em um computador quando encontram vulnerabilidades que facilite sua entrada. Language A language of the resource pt cbbd2015