quinta-feira, 22 de março de 2007

Treinamento de Segurança para Usuários de Informática Utilizando Ferramenta de EaD

Treinamento de Segurança para Usuários de Informática Utilizando Ferramenta de EaD

Clélia CAMARGO CARDOSO*
*Centro de Informática de Ribeirão Preto, USP. Ribeirão Preto (SP), (16) 3602-3583, clelia@cirp.usp.br

Resumo

Desde 2004 o CIRP (Centro de Informática de Ribeirão Preto, USP) vem oferecendo treinamento à distância de Segurança da Informação para usuários finais de Informática. A idéia surgiu em vista da necessidade de sensibilizar o usuário para a adoção de práticas corretas no uso do computador e da Internet, que o protejam da ação de códigos maliciosos e outros agentes fraudulentos, reforçando a segurança da rede local e da instituição.

Palavras-Chave: Segurança da Informação, Treinamento a Distância de Usuários

1. Introdução

O oferecimento de serviços na Internet tem se expandido muito rapidamente, bancos, órgãos do governo e empresas de atividades diversas implementam a cada dia novas facilidades de acesso pela rede aos seus clientes. Ao mesmo tempo, cresce o número de delitos cometidos utilizando a WEB. Em 2006 foram 69.509 incidentes reportados ao CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) (1).
Recursos e procedimentos que impeçam ações fraudulentas de qualquer natureza ocupam grande parte do tempo e da energia dos profissionais de TI (Tecnologia da Informação).
Apesar de todos os esforços, existe um gap entre a prática do usuário final e os resultados que se buscam alcançar com a implantação de políticas de segurança.
O Treinamento de Segurança para Usuários de Informática Utilizando Ferramenta EaD (Educação a Distância) desenvolvido pelo CIRP desde 2004, teve sua origem na necessidade de informar usuários que utilizam a Informática como ferramenta de trabalho, sobre os riscos e as práticas recomendáveis na utilização do computador no dia-a-dia. O público alvo inicial era de alunos, docentes e funcionários do campus da USP de Ribeirão Preto. Posteriormente o treinamento foi estendido aos usuários de todos os campi e na última turma, foi aberto à participação da comunidade externa.
A dificuldade em se montar turmas presenciais, a facilidade para disseminar um conteúdo que muda muito rapidamente e a acessibilidade fortaleceram a idéia de um treinamento a distância que tratasse de assuntos presentes no cotidiano. Vírus, trojan, worm, spyware, spam entre outros, são tratados no treinamento com uma linguagem inteligível ao usuário final.Utilizou-se a plataforma WebCT durante o ano de 2004, substituída pelo TelEduc, adotada pelo CIRP em janeiro de 2005.
Foram utilizadas ferramentas síncronas e assíncronas de modo que o usuário tivesse acesso ao conteúdo e a oportunidade de discutir suas dúvidas, inclusive em uma sessão de chat com especialistas em TI. Foram propostas avaliações que permitissem ao aluno refletir sobre a sua rotina e ao instrutor aferir a aprendizagem.
O resultado se mostrou surpreendente, em vista dos altos índices de evasão de cursos à distância. Dos 463 usuários inscritos em 11 turmas ao longo de dois anos, 201 usuários concluíram o treinamento com êxito. Oriundos de quase todos os campi da USP, com as ocupações mais variadas (alunos, docentes, técnicos e auxiliares). O treinamento contou também com participantes da comunidade.

2. Materiais e Métodos

2.1 Formato do treinamento
O treinamento foi dividido em 12 aulas abordando vários temas relacionados à Segurança da Informação. A cada dia foi apresentado ao aluno um texto em arquivo html ou pdf com o conteúdo do tema abordado, que deveria ser lido e posteriormente debatido no respectivo fórum de discussão. A cada turma foi agendado um chat com a presença de especialistas em TI que responderam dúvidas dos alunos.
A interação entre os participantes se deu através do Perfil, ferramenta do TelEduc que permite editar informações pessoais e anexar foto. Os alunos também puderam postar mensagens de acesso comum a todos além de enviar emails internos. As instruções sobre o funcionamento do treinamento e avaliações foram colocadas na ferramenta Dinâmica do Curso. Uma agenda exibe toda a programação prevista para o treinamento. As participações no fórum, no chat e um trabalho em grupo, enviado ao término do treinamento compõem a avaliação que permitirá a emissão do certificado de participação.

2.2 A plataforma
A plataforma utilizada inicialmente foi o WebCT, atualmente denominado Blackboard Learning System. No início de 2005, o CIRP adotou o TelEduc, ambiente para EaD desenvolvido pela Unicamp.

2.3 Ferramentas do ambiente TelEduc utilizadas no treinamento
Dinâmica de Grupo: texto que contem orientações relacionadas ao desenvolvimento do treinamento e também sobre as avaliações.
Agenda: texto que contém a programação do treinamento com as datas das aulas e do chat dos alunos com convidados especialistas em TI.
Avaliações: contém dados sobre todas as avaliações do treinamento e um link para as notas dos participantes em cada avaliação.
Atividades: contém uma relação das atividades programadas com a descrição do trabalho, prazo de entrega e valor da avaliação
Material de Apoio: pode conter textos e/ou links, foi utilizado para apresentar um texto com a bibliografia utilizada no treinamento e organizar links de interesse dos alunos. Muitos desses links foram sugeridos pelos próprios alunos ao longo do treinamento.
Leitura: contém 12 links para arquivos html ou pdf com o conteúdo das aulas do treinamento.
Fórum de discussão: a cada aula foi elaborada uma questão para ser discutida pelos alunos no respectivo fórum. Pelo menos uma contribuição deveria ser remetida.
Bate-papo: em cada turma foi realizada uma sessão de chat com os alunos e convidados especialistas na área de TI para responder dúvidas.
Grupos: foi utilizada para a organização de grupos entre os alunos para a realização de uma apresentação sobre um dos temas abordados no treinamento a fim de complementar a avaliação. Os participantes deveriam ao final do treinamento postar um arquivo na pasta do grupo, compartilhando-o com os alunos e o instrutor.
Correio: foi utilizada para comunicação entre instrutor e alunos para sanar dúvidas específicas e entre os próprios alunos para comunicações que não caberiam no fórum.
Perfil: local onde ficam disponíveis as informações editadas pelo aluno, bem como a foto da pessoa, permitindo uma interação maior entre os participantes oriundos de lugares distintos.
Portfólio: ferramenta utilizada para os alunos postarem os trabalhos em grupo e arquivos individuais.
Acessos: ferramenta que permite elaborar vários tipos de relatórios da participação dos alunos no treinamento.

2.4 O conteúdo das aulas
Aula 1: aborda alguns conceitos utilizados no jargão da Segurança da Informação como incidentes de segurança, vulnerabilidades além de listar algumas medidas de proteção. No fórum dessa aula é solicitado ao aluno identificar possíveis falhas de segurança (física, hardware, software ou comunicação) em seu ambiente de trabalho.
Aula 2: explana o conceito de vírus, trojan e worm, formas de contaminação e sintomas. No fórum correspondente é solicitado ao aluno comentar alguma experiência com vírus em casa ou no trabalho.
Aula 3: expõe vários métodos sobre como os códigos maliciosos podem ser evitados desde a segurança física do equipamento, passando por senhas até medidas de prevenção. No fórum dessa aula é solicitado ao aluno escrever sobre as dificuldades na escolha, compra e atualização de software antivírus em casa ou no trabalho.
Aula 4: explica o funcionamento dos softwares antivírus, técnicas de assinatura e heurística. No fórum correspondente é solicitado ao aluno comentar alguma notícia recente sobre vírus.
Aula 5: apresenta o termo spam e formas de combatê-lo. No fórum o aluno é indagado sobre os prejuízos causados pelo spam.
Aula 6: mostra os hoaxes e suas implicações. Ao aluno é solicitado discutir no fórum a relação entre spam e hoax.
Aula 7: exibe o conceito de firewall e aponta alguns softwares disponíveis no mercado. No fórum o aluno deve comentar algum caso de invasão que tenha conhecimento pela mídia ou alguma experiência pessoal.
Aula 8: aborda os conceitos de spyware e adware e seus prejuízos para os usuários. O aluno deve comentar no fórum sobre a diferença entre vírus e spyware.
Aula 9: explana a importância das atualizações de software para a segurança do usuário. No fórum correspondente o aluno deverá discutir porque a instalação das atualizações de software torna o computador menos vulnerável a atividades mal-intencionadas.
Aula 10: explica como funciona a criptografia. No fórum o aluno deve discutir se as chaves de criptografia são totalmente seguras.
Aula 11: discute a importância do backup para a prevenção de perdas de dados e relaciona alguns softwares e mídias que podem ser utilizados. No fórum, o aluno deverá comentar sua prática no dia-a-dia.
Aula 12: aborda fundamentos sobre certificação digital e seu emprego tanto por empresas quanto por órgãos do governo. Ao aluno é solicitado no fórum comentar sobre a aplicação prática dos certificados digitais.

2.5 A avaliação
O certificado de 20 horas foi emitido para os alunos que participaram de no mínimo 75% das atividades previstas. Foram utilizados os seguintes critérios de avaliação:
fórum de discussão: a cada aula o aluno deveria enviar pelo menos uma contribuição pertinente ao assunto ao fórum apropriado
participação no chat: o aluno deveria comparecer e fazer pelo menos uma intervenção
trabalho em grupo: o grupo deveria postar uma apresentação sobre qualquer um dos temas abordados no treinamento

3. Resultados e Discussão

A Tabela 1 mostra as unidades com maior número de inscritos no treinamento.


Entidade - N° Inscritos
PCARP - 50
FFCLRP - 49
CCE - 26
EERP - 22
IAG - 21
FMRP - 21
Não identificada - 18
IFSC - 17
FO - 15
IP - 15
FE - 14
IME - 14
FZEA - 12
FORP - 12
FAU - 11
USP Leste - 11
INCOR - 10
Tabela 1 – Entidades com maior número de inscrições

A Tabela 2 mostra a distribuição dos inscritos por entidades (unidades da USP ou outras organizações da comunidade) em ordem alfabética. Houve interesse de usuários de todos os campi da USP e de algumas entidades externas.


Entidade - N° Inscritos
CCE - 26
CCS - 4
CEBIMar - 2
CECAE - 1
CEPEUSP - 1
CIAGRI - 1
CIRP - 8
CISC - 3
COSEAS - 1
CTI - 1
EA - 3
ECA - 3
EE - 3
EERP - 22
EESC - 2
EP - 5
FAMB - 1
FAU - 11
FCF - 4
FCFRP - 5
FE - 14
FEA - 7
FEARP - 8
FFCLRP - 49
FFLCH - 1
FM - 1
FMRP - 21
FO - 15
FOB - 6
FORP - 12
FSP - 2
FUNDACE - 1
FZEA - 12
HRAC - 1
IAG - 21
IB - 3
ICB - 2
ICMC - 5
IEE - 1
IF - 7
IFSC - 17
IGC - 7
IME - 14
INCOR - 10
IP - 15
IQ - 9
IQSC - 1
MAC - 2
Não identificada - 18
PCAB - 1
PCARP - 50
PEA - 1
RUSP - 3
SIBI - 4
SISUSP - 1
STI - 1
UFU - 1
Usina Albertina - 1
USP Leste - 11
Total de Inscritos - 463
Tabela 2 – Usuários inscritos

A Tabela 3 exibe as entidades com maior número de aprovados no treinamento e o percentual relativo ao número de inscritos.

Entidade Aprovados Inscritos % Aprovados
PCARP 26 50 52,0
FFCLRP 19 49 38,8
CCE 12 26 46,2
IAG 10 21 47,6
IFSC 10 17 58,8
Tabela 3 – Entidades com maior número de aprovados
Em seguida, a Tabela 4 exibe a quantidade de aprovados por entidade. Alunos de 40 entidades da USP e três da comunidade concluíram o treinamento com êxito


Entidade Aprovados
CCE 12
CEBIMAR 1
CIRP 4
CISC 1
ECA 1
EERP 8
EESC 2
EP 1
FAU 1
FCFRP 3
FE 7
FEA 1
FEARP 5
FFCLRP 19
FMRP 6
FO 6
FOB 6
FORP 8
FUNDAP 1
FZEA 8
IAG 10
IB 2
ICB 1
ICMC 3
IEE 1
IF 6
IFSC 10
IGC 5
IME 5
INCOR 2
IP 9
IQ 4
IQSC 1
MAC 1
Não identificada 4
Observatório de Valinhos 1
PCARP 26
PEA 1
RUSP 1
SISUSP 1
UFU (Universidade Federal de Uberlândia) 1
Usina Albertina (Região de Ribeirão Preto) 1
USP Leste 4
Total de Aprovados 201
Tabela 4 – Usuários aprovados

Ao longo de dois anos foram disponibilizadas 550 vagas em 11 turmas. Inscreveram-se 463 usuários através de um formulário na página do CIRP. Considerando-se as altas taxas de evasão em treinamentos à distância, a conclusão satisfatória por 43,4% desses alunos, indica que o treinamento foi bem recebido pelo público atingido. Não pudemos avaliar se após o treinamento, diminuiu o número de ocorrências de suporte aos usuários que participaram do treinamento, relacionadas à segurança.

Referências

(1) Estatísticas dos Incidentes Reportados ao CERT.br, disponível em http://www.cert.br/stats/incidentes/, acesso em 28/10/2006.

Agradecimentos

À Cláudia Helena Bianchi Lencioni, diretora e companheira de trabalho, pelo incentivo às nossas iniciativas. Aos colegas que participaram do treinamento como convidados no chat e aos alunos pela grande contribuição e reconhecimento do nosso esforço.

Nenhum comentário: