Este artigo tem como objetivo avaliar o perfil da comunidade do CEFET-MG a respeito do tema Segurança da Informação em dispositivos móveis que contou com a realização de palestras e workshops com o intuito de avaliar o conhecimento dos alunos da instituição sobre técnicas de segurança e teste de invasão em sites na web. Para isso foi realizada uma avaliação de questionário on-line a respeito dos temas abordados gerando um resultado expressivo de capacitação, corroborada pela opinião dos alunos. As atividades promovidas contribuíram de forma efetiva para incentivar o interesse na área de segurança, assim como, esclarecer dúvidas, propor medidas preventivas e oferecer direcionamento a quem deseja iniciar estudos sobre o tema.
Segurança da Informação em Dispositivos Móveis Resumo: Este artigo tem como objetivo avaliar o perfil da comunidade do CEFET-MG a respeito do tema Segurança da Informação em dispositivos móveis que contou com a realização de palestras e workshops com o intuito de avaliar o conhecimento dos alunos da instituição sobre técnicas de segurança e teste de invasão em sites na web. Para isso foi realizada uma avaliação de questionário on-line a respeito dos temas abordados gerando um resultado expressivo de capacitação, corroborada pela opinião dos alunos. As atividades promovidas contribuíram de forma efetiva para incentivar o interesse na área de segurança, assim como, esclarecer dúvidas, propor medidas preventivas e oferecer direcionamento a quem deseja iniciar estudos sobre o tema. Palavras-Chave: Segurança. Informação. Criptografia. Informação. Invasão. 1. INTRODUÇÃO: Com o aumento do número de usuários conectados à internet, é necessário ter um panorama geral de como esses usuários se comportam com relação à segurança da informação. Assim, os membros do Grupo PET de Engenharia de Computação do CEFET-MG, COMPET, propuseram atividades e palestras para os alunos da Engenharia de Computação a fim de avaliar o conhecimento destes a respeito do tema. Um exemplo foi a apresentação da palestra "Oportunidades e Mercado em Segurança da Informação" e também um workshop com o tema "Workshop Hacker: Teste de vulnerabilidades em sites na web". As atividades organizadas pelo COMPET tiveram como objetivo informar e capacitar os alunos, apresentando um panorama geral sobre segurança, além de avaliar o perfil da comunidade acerca da segurança da informação em dispositivos móveis. Segurança da informação, conforme Beal (2005), é o processo de proteção da informação das ameaças a sua integridade, disponibilidade e confidencialidade. Sêmola (2003) define segurança da informação como "uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade." A ISO/IEC 17799:2005, em sua seção introdutória, define segurança da informação como "a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio". Assim, podemos definir segurança da informação como a área do conhecimento que visa à proteção da informação das ameaças a sua integridade, disponibilidade e confidencialidade a fim de garantir a continuidade do negócio e minimizar os riscos. Para exemplificar a importância da segurança de informação, de acordo com o relatório da ESET para os maiores incidentes com a segurança da informação em 2014, houve um grande número de casos envolvendo roubo e vazamento de dados em serviços online como no eBay e Paypal. No mês de agosto, por exemplo, foi registrado o maior número de casos de roubo de informações confidenciais começando com a falha nos filtros de 76 mil contas da Fundação Mozilla. Pouco tempo depois, um misterioso grupo de criminosos russos roubou cerca de 1,2 milhões de senhas de usuários de mais de 500 milhões de endereços de e-mail. Além disso, a UPS, a maior empresa de logística e transporte no mundo, anunciou que havia sofrido um ataque, no qual foram roubadas informações bancárias de seus clientes em 51 escritórios nos Estados Unidos - em uma operação que durou sete meses (ESET, 2014). Assim, no contexto do Mês da Segurança, há uma grande necessidade de se fomentar a cultura de segurança da informação e divulgar amplamente as ações promovidas pelas instituições que aderirem. Como público alvo são alunos do CEFET-MG a organização de palestras e workshops são as mais adequadas para ter um panorama geral sobre a comunidade a respeito desse assunto. Este artigo é estruturado da seguinte forma: a seção 2 apresenta o referencial teórico como motivação e embasamento teórico para abordar o assunto. A seção 3 apresenta a forma de avaliação. A seção 4 apresenta os resultados e uma discussão acerca dos mesmos. Na seção 5 são apresentadas as considerações finais deste trabalho. 2. REFERENCIAL TEÓRICO: A informação é uma entidade de grande valor, pois a partir dela ideias, negócios e tecnologias úteis surgem. O acesso à informação foi facilitado com o advento de tecnologias que permitem tráfego instantâneo de dados, podendo-se citar o aprimoramento do hardware, internet e dispositivos móveis. A proteção de dados presentes em e-mails, conversas em aplicações de bate-papo e base de dados são essenciais para manter a privacidade individual e de empresas. Pode-se definir a segurança da informação como um conjunto de ações que visam a proteção de um grupo de dados, protegendo o valor que ele possui, seja para um indivíduo particular ou para uma organização (FONTES, Edison Luiz Gonçalves. Segurança da informação. Saraiva Educação SA, 2017). De acordo com Sêmola (2014), a informação pode ser vista como um conjunto de dados utilizados para transferir uma mensagem entre indivíduos e/ou máquinas. De acordo com Ferreira e Araújo (2014), a área da segurança da informação possui como maior desafio a conscientização do setor humano sobre sua importância. Eles ressaltam que a senha dos colaboradores deve ser algo de extrema confidencialidade. Ademais, não pode ser permitido compartilhá-la, nem acessar sistemas de outros colaboradores sem uma devida autorização. Um ataque pode ser visto como qualquer tentativa de acesso à informação de forma não autorizada. O indivíduo que realiza tal ataque é denominado por hacker que, segundo Mitnick e Simon (2003), possui uma mente orientada para encontrar maneiras de burlar as proteções da tecnologia da segurança. Resumindo, um ataque é o meio que o hacker utiliza para conseguir acesso não autorizado ao sistema. Após ter o acesso, o indivíduo poderá copiar, deletar, alterar qualquer informação e no final cobrir seus rastros para dificultar o trabalho do profissional da segurança da informação, que tem a função de descobrir o que foi realizado indevidamente pelo atacante. 3. METODOLOGIA: Os alunos público alvo do Mês da Segurança fizeram a inscrição nas oferecidas através de um formulário online. A primeira palestra, Oportunidades e Mercado em Segurança da Informação, apresentou a situação no mercado de trabalho atual. A segunda, "Breve história da criptografia: do papel às máquinas", abrangeu aspectos históricos da técnica. E, por último, o "Workshop Hacker: Teste de vulnerabilidades em sites na web", com o intuito de conhecer o funcionamento de mecanismos de segurança diversos, utilizados em sites. As palestras ocorreram no Prédio 17 do Campus II do CEFET-MG, onde fica o Departamento de Computação com os respectivos convidados, o COMPET. Ao final de cada ação, os ministrantes das atividades requisitaram a opinião dos participantes, de forma anônima, através de formulários online referentes à cada assunto abordado. As perguntas nos formulários se referem ao sistema operacional do celular, se a pessoa configura uma senha pessoal para desbloquear o mesmo, se possui backups em nuvem, e também se acessa sites bancários usando o wifi público. Quanto ao uso de computadores, foi questionado se acessam sites em locais públicos, se leem os temos de privacidade antes de criarem contas em redes sociais e se já tiveram problemas com vazamento de dados sigilosos. 4. ANÁLISE E INTERPRETAÇÃO: Um total de 53 participantes do evento responderam o questionário demonstrando o conhecimento adquirido e opiniões sobre as palestras. Como primeiro resultado, observa-se na Figura 1 que 7,1% dos entrevistados não possuem senha para desbloquear o celular ficando, assim, mais expostos a invasão de terceiros a todo conteúdo do celular de forma física. No entanto, 92,9% dos entrevistados possuem senha, caracterizando uma preocupação a segurança da informação. Figura 1: Proteção de senha para o celular. Fonte: fornecido pelo próprio autor Figura 2: Sobre a possibilidade de acessar redes públicas. Fonte: fornecido pelo próprio autor A Figura 2 indica que 57,1% dos alunos não acessam redes wifi públicas para usar aplicativos ou sites de bancos mesmo sendo do CEFET-MG, logo, não há confiança em pontos de acessos público de redes wifi, pois sabem que seus dados podem estar visíveis para terceiros. Figura 3 Plano de ação em caso de roubo/perda Fonte: Fornecido pelo próprio autor O gráfico da Figura 2 ilustra que, 42,9% têm partes de um plano de ação para proceder em caso de perda/roubo dos celulares, ou seja, eles tomam cuidados básicos caso haja um sequestro. No entanto talvez não seja tão efetivo como ocorre com os outros 32% dos entrevistados que de fato tem uma estratégia. Figura 4 - Realização de backup em nuvem. Fonte: fornecido pelo próprio autor A Figura 4 mostra que 46,4% dos alunos realizam backup dos dados dos dispositivos em nuvem, contribuindo assim, para a recuperação em caso de perda/roubo. Por outro lado, 42,9%mantém, os dados sem uma cópia de segurança para eventual recuperação. Os outros, 10,7% não sabem do que se tratava essa questão. Portanto, é pertinente uma atenção maior para tratar esse assunto levando em consideração o relatório da ESET no que se trata de vazamento da dados. Figura 5 - Acesso a páginas pessoais em computadores públicos. Fonte: fornecido pelo próprio autor A Figura 5 indica que 51,7% dos entrevistados não acessam com frequência páginas pessoais em computadores públicos. Pois estes necessitam de senhas e consequentemente esses poderiam ser recuperados para um possível vazamento. Os outros 48,3% não se importam de fazer esse tipo de acesso. Aqui cabe uma discussão acerca do funcionamento do caminho de dados que ocorre em computadores conectados a redes públicas e as consequências de se deixar metadados acessíveis para terceiros. Figura 6 - Leitura dos termos de privacidade ao fazer cadastro em sites/ redes sociais Fonte: fornecido pelo próprio autor A Figura 6 indica que 93,1% dos entrevistados não leem os termos de privacidade. Consequentemente, os entrevistados desconhecem como as empresas/sites lidam com seus dados. Este fato pode ser problemático, devido a possibilidade de venda de dados para empresas terceiras. Um exemplo disto é o caso Cambridge Analytica e Facebook, Em março de 2018 uma reportagem do The Guardian denunciou que a Cambridge Analytica usou um questionário para conseguir acesso a dados de mais de 87 milhões de usuários do Facebook sem consentimento (CANALTECH, 2019). De um modo geral, o resultado apresentado pela pesquisa foi satisfatório para o COMPET. O evento permitiu a capacitação dos participantes e a conscientização dos mesmos em relação a proteção e sigilo de dados contribuíram para incentivar o interesse na área de segurança. Também foi possível esclarecer dúvidas, propor medidas preventivas e oferecer direcionamento a quem deseja iniciar estudos sobre o tema. 5. CONSIDERAÇÕES FINAIS : Este artigo apresentou a organização e execução do mês da segurança no CEFET-MG para fins didáticos no que diz respeito a segurança da informação para a comunidade. Foram apresentados palestras e workshops relacionados ao tema para que o público entendesse a importância do tema e impacto que ele tem sobre cada um. Uma pesquisa foi realizada após cada evento para que se realizasse o estudo acerca do perfil da comunidade acadêmica a respeito do tema por meio de formulários on-line. De acordo com os formulários respondidos, a comunidade do CEFET-MG, no geral mostrou ter conhecimentos acerca da segurança da informação em dispositivos móveis. A maioria implementa medidas de segurança como por exemplo, ativar backup em nuvem, quais locais acessam à internet, entre outros citados nas figuras. Assim, ainda há uma grande questão a ser discutida no que tange a segurança da informação, a respeito dos termos de privacidade de sites/redes sociais, dado que a maioria não os lêem. Agradecimentos: Agradecemos ao CEFET-MG pelo apoio e fomento do grupo PET, através da Diretoria de Graduação, para a realização da atividade aqui descrita, bem como o auxílio financeiro para a participação e apresentação deste trabalho no COBENGE 2020. REFERÊNCIAS MEC/SESu. Programa de Educação Tutorial-PET: manual de orientações básicas, 2006 Albrechtsen, E. (2007). A qualitative study of users' view on information security. Computers & Security, 26 (4), 276-289. Dhillon, G. (2001). Violation of Safeguards by Trusted Personnel and Understanding Related Information Security Concerns. Computers & Security, 20 (2), 165-172. Relatório da ESET aponta os 12 principais incidentes com segurança da informação de 2014. www.tiinside.com.br, 2015. Disponivel em: . Acesso em: 19/01/2015. FONTES, Edison Luiz Gonçalves. Segurança da informação. Saraiva Educação SA, 2017. JISTEM - Journal of Information Systems and Technology Management Revista de Gestão da Tecnologia e Sistemas de Informação Vol. 13, No. 3, Set/Dez., 2016 pp. 533-552 BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações - São Paulo: Atlas, 2005. SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva - Rio de Janeiro: Campus, 2003. SÊMOLA, M. Gestão da Segurança da Informação - Uma Visão Executiva - 2 ed. São Paulo: Elsevier, 2014. FERREIRA, F. N. F.; ARAÚJO, M. T. D. Políticas de Segurança da Informação - Guia Prático para elaboração e implementação. Rio de Janeiro: Ciência Moderna, 2008. MITNICK, K. D.; SIMON, W. L. A Arte de Enganar. São Paulo: Pearson Education, 2003. Facebook é condenado a pagar US$5 bilhões por caso Cambridge Analytica. www.canaltech.com.br, 2019. Disponível em: . Acesso em: 24/07/2019. SECURITY MONTH Abstract: This article aims to evaluate the profile of the CEFET-MG community on the topic of Information Security on mobile devices promoted by the National Education and Research Network (RNP), which included lectures and workshops in order to evaluate the knowledge of the institution's students about security techniques and intrusion testing on web sites. For this, an online questionnaire evaluation was carried out regarding the topics covered, generating an expressive training result, corroborated by the students' opinion. The activities promoted contributed effectively to encourage interest in the security area, as well as to clarify doubts, propose preventive measures and offer guidance to those who want to start studies on the subject. Keywords: Safety. Information. Cryptography. Information. Invasion
