11

SEGURANÇA SEGURANÇA DADA

INFORMAÇÃOINFORMAÇÃOProfessor: RichyanProfessor: Richyan

22

CASO DA PETROBRÁSCASO DA PETROBRÁSRecentemente acredito que todos Recentemente acredito que todos acompanharam o incidente do roubo de acompanharam o incidente do roubo de equipamentos da Petrobrás contendo equipamentos da Petrobrás contendo informações altamente sigilosas e estratégicas. informações altamente sigilosas e estratégicas. Muito embora as investigações iniciais por Muito embora as investigações iniciais por parte da Polícia Federal apontavam para um parte da Polícia Federal apontavam para um caso de espionagem industrial, segundo caso de espionagem industrial, segundo entrevistas do próprio superintendente da PF, entrevistas do próprio superintendente da PF, Jacinto Caetano em artigo publicado no site Jacinto Caetano em artigo publicado no site Folhaonline. Entretanto, o desfecho deste Folhaonline. Entretanto, o desfecho deste incidente mostrou que foi apenas um caso incidente mostrou que foi apenas um caso roubo de equipamentos. roubo de equipamentos.

33

Com base neste casoCom base neste casofalaremos a respeito falaremos a respeito

da segurança da da segurança da informaçãoinformação

44

Segurança da informação: um termo cada Segurança da informação: um termo cada vez mais citado como diferencial de vez mais citado como diferencial de mercado ou até mesmo sobrevivência das mercado ou até mesmo sobrevivência das grandes e médias empresas no mundo grandes e médias empresas no mundo inteiro. inteiro.

55

O conjunto de medidas para a garantia da O conjunto de medidas para a garantia da segurança dos sistemas em uma empresa segurança dos sistemas em uma empresa varia muito de acordo com seus sistemas varia muito de acordo com seus sistemas e processos de negócio..e processos de negócio..

Medidas distintas devem ser empregadas Medidas distintas devem ser empregadas na proteção dos equipamentos utilizadosna proteção dos equipamentos utilizados..

66

Para cada aplicação crítica da empresa, Para cada aplicação crítica da empresa, diferentes controles devem ser diferentes controles devem ser empregados para endereçar a prevenção, empregados para endereçar a prevenção, identificação e resposta às ameaças que identificação e resposta às ameaças que podem ser classificadas em três níveis de podem ser classificadas em três níveis de impacto às informações da empresa:impacto às informações da empresa:

77

Integridade: perdas ou danos às informações Integridade: perdas ou danos às informações armazenadas nos sistemas; armazenadas nos sistemas;

Disponibilidade: parada dos sistemas e/ ou das Disponibilidade: parada dos sistemas e/ ou das redes de comunicação entre sistemas ou redes redes de comunicação entre sistemas ou redes para acesso aos sistemas; para acesso aos sistemas;

Confidencialidade: roubo de dinheiro, Confidencialidade: roubo de dinheiro, propriedade intelectual, informações propriedade intelectual, informações confidenciais e estratégicas à organização por confidenciais e estratégicas à organização por meio da invasão de sistemas vulneráveis. meio da invasão de sistemas vulneráveis.

88

Para análise de segurança de sistemas deve Para análise de segurança de sistemas deve considerar algumas etapas essenciais, a considerar algumas etapas essenciais, a seguir:seguir:

1)1)Avaliar junto à alta administração da empresa Avaliar junto à alta administração da empresa os objetivos corporativos de segurança da os objetivos corporativos de segurança da informação versus processos de negócio com informação versus processos de negócio com base nos ativos e perda financeira envolvidabase nos ativos e perda financeira envolvida..

2) Mapear os processos gerenciais e aplicações de 2) Mapear os processos gerenciais e aplicações de negócio, redes, interfaces envolvidas, junto a negócio, redes, interfaces envolvidas, junto a gerência técnica (operacional e TI) a serem gerência técnica (operacional e TI) a serem objeto da análise; objeto da análise;

99

3) 3) Definir quais os controles que melhor atendam Definir quais os controles que melhor atendam aos requisitos do negócio, considerando o aos requisitos do negócio, considerando o ambiente de TI da empresa .ambiente de TI da empresa .

4) 4) Avaliar o grau de exposição das aplicações Avaliar o grau de exposição das aplicações aos riscos, por meio de teste e comparação dos aos riscos, por meio de teste e comparação dos controles implementados com base nas boas controles implementados com base nas boas práticas de mercado, junto ao corpo gerencial e práticas de mercado, junto ao corpo gerencial e de TI da empresa (como: operadores, de TI da empresa (como: operadores, analistas,etc.) analistas,etc.)

1010

5) Enumerar recomendações com o objetivo de 5) Enumerar recomendações com o objetivo de minimizar “a materialização” dos riscos minimizar “a materialização” dos riscos identificados;identificados;

6) Discutir as recomendações com os gestores 6) Discutir as recomendações com os gestores

envolvidos e elaborar um plano de ação, com envolvidos e elaborar um plano de ação, com datas definidas para determinar tarefas de alta, datas definidas para determinar tarefas de alta, média e baixa prioridade, conforme a urgência média e baixa prioridade, conforme a urgência necessária, na implementação destas necessária, na implementação destas recomendações e manutenção de níveis recomendações e manutenção de níveis aceitáveis de segurança nas aplicações de aceitáveis de segurança nas aplicações de missão crítica da empresa. missão crítica da empresa.

1111

Quais são os tipos de ataqueQuais são os tipos de ataque

No local de trabalho: Acesso a informação No local de trabalho: Acesso a informação restrita (lista de ramais, organogramas e etc.) restrita (lista de ramais, organogramas e etc.) por pessoal não autorizado.por pessoal não autorizado.

Por telefone: Contato efetuado por um sujeito Por telefone: Contato efetuado por um sujeito que diz ser da área de Help-Desk informando que diz ser da área de Help-Desk informando que a estação de trabalho do usuário alvo que a estação de trabalho do usuário alvo necessita de uma atualização de software, de necessita de uma atualização de software, de forma que ela fique em conformidade com as forma que ela fique em conformidade com as demais da organização e mais segura (patch de demais da organização e mais segura (patch de emergência). emergência).

1212

Lixo: Vasculhar o lixo de uma Lixo: Vasculhar o lixo de uma organização para encontrar informações organização para encontrar informações descartadas que possuem valor ou que descartadas que possuem valor ou que forneçam dicas de ferramentas que forneçam dicas de ferramentas que podem ser utilizadas em um ataque de podem ser utilizadas em um ataque de engenharia social.engenharia social.

On-line: Envio de e-mail publicitário, On-line: Envio de e-mail publicitário, oferecendo brindes para que o usuário oferecendo brindes para que o usuário participe de sorteios, solicitando os dados participe de sorteios, solicitando os dados pessoais e profissionais. pessoais e profissionais.

1313

Veja as principais formas de prevenção:Veja as principais formas de prevenção:

Implementar formalmente uma Política Implementar formalmente uma Política Corporativa de Segurança da Informação. Corporativa de Segurança da Informação. Quando possível, efetuar palestras junto aos Quando possível, efetuar palestras junto aos colaboradores para demonstrar a todos que colaboradores para demonstrar a todos que você está comprometido a seguir o documento;você está comprometido a seguir o documento;

Classificar as informações de forma a Classificar as informações de forma a esclarecer para cada colaborador sobre que esclarecer para cada colaborador sobre que pode ser divulgado e o que não pode; pode ser divulgado e o que não pode;

1414

Desconfiar de grandes promoções, preços Desconfiar de grandes promoções, preços baixos e das ofertas veiculadas na Internet; baixos e das ofertas veiculadas na Internet;

Desconfiar sempre que for surpreendido por Desconfiar sempre que for surpreendido por um telefonema de alguém que não conheça. um telefonema de alguém que não conheça. Nunca divulgar nada e pedir um número de Nunca divulgar nada e pedir um número de retorno para verificar se a ligação é verdadeira; retorno para verificar se a ligação é verdadeira;

Conscientizar os colaboradores a respeito do Conscientizar os colaboradores a respeito do tema, realizando palestras e treinamentos onde tema, realizando palestras e treinamentos onde o assunto seja abordado, estando na maioria das o assunto seja abordado, estando na maioria das vezes, presente. vezes, presente.

1515

Contudo, as conseqüências deste episódio Contudo, as conseqüências deste episódio poderiam ter sido muito mais danosas poderiam ter sido muito mais danosas para aquela empresa considerando o tipo para aquela empresa considerando o tipo de informação guardada nos referidos de informação guardada nos referidos equipamentos. Dessa forma, cabe fazer equipamentos. Dessa forma, cabe fazer aqui algumas reflexões sobre este aqui algumas reflexões sobre este incidente, ou seja, aprender com o erro incidente, ou seja, aprender com o erro dos outrosdos outros

1616

1°) Por que informações tão importantes foram 1°) Por que informações tão importantes foram despachadas em um contêiner?despachadas em um contêiner?

2º) Por que pelo menos 45 pessoas possuíam 2º) Por que pelo menos 45 pessoas possuíam condições de abrir o referido contêiner, pois condições de abrir o referido contêiner, pois eram detentoras de cópias da chave? Isto não é eram detentoras de cópias da chave? Isto não é um número elevado, considerando a um número elevado, considerando a importância do conteúdo transportado? Será importância do conteúdo transportado? Será que a empresa Halliburton responsável pelo que a empresa Halliburton responsável pelo transporte foi devidamente avisada sobre a transporte foi devidamente avisada sobre a importância deste conteúdo? importância deste conteúdo?

1717

3º) Por que tais informações não estavam criptografadas 3º) Por que tais informações não estavam criptografadas (cifradas) de forma a garantir o seu sigilo?(cifradas) de forma a garantir o seu sigilo?

4º) Será que todos os envolvidos no transporte deste 4º) Será que todos os envolvidos no transporte deste conteúdo possuíam noções dos riscos envolvidos quanto à conteúdo possuíam noções dos riscos envolvidos quanto à segurança destas informações? Foram treinadas para tal? segurança destas informações? Foram treinadas para tal?

5º) Será se existem procedimentos escritos para o tratamento 5º) Será se existem procedimentos escritos para o tratamento destes casos? E se existem, porque não foram observados?destes casos? E se existem, porque não foram observados?

Estas são perguntas que somente a Petrobrás poderá Estas são perguntas que somente a Petrobrás poderá responder.  responder. 

1818

Que lições podemos aprender com este Que lições podemos aprender com este tipo de incidente?tipo de incidente?

1º) Não podemos ficar alheios este problema, 1º) Não podemos ficar alheios este problema, pois ele também pode acontecer conosco. pois ele também pode acontecer conosco.

2º) Informações estratégicas e confidenciais da 2º) Informações estratégicas e confidenciais da empresa devem ser protegidas adequadamente, empresa devem ser protegidas adequadamente, já existem mecanismos que permitem isto.já existem mecanismos que permitem isto.

3º) O uso de notebooks é uma realidade assim como é 3º) O uso de notebooks é uma realidade assim como é também uma realidade o que número de furtos destes também uma realidade o que número de furtos destes equipamentos vem crescendo vertiginosamente e isto equipamentos vem crescendo vertiginosamente e isto não pode ser simplesmente ignorado e deixado para não pode ser simplesmente ignorado e deixado para amanhã. amanhã.

1919

4º) Nunca ignorar o elemento humano no processo da 4º) Nunca ignorar o elemento humano no processo da segurança. O treinamento deve ser constante bem segurança. O treinamento deve ser constante bem como deve envolver todos aqueles que se utilizam como deve envolver todos aqueles que se utilizam deste tipo e equipamento.    deste tipo e equipamento.   

5º) A terceirização de informações sensíveis deve, na 5º) A terceirização de informações sensíveis deve, na medida do possível, ser evitada. Entretanto quando medida do possível, ser evitada. Entretanto quando isto não for possível, controles adicionais devem ser isto não for possível, controles adicionais devem ser adotados para mitigar o risco. adotados para mitigar o risco.

Fica, portanto a seguinte mensagem final: Fica, portanto a seguinte mensagem final: ““Quanto o assunto é Segurança da Informação é Quanto o assunto é Segurança da Informação é preferível aprender com o erro dos outros”. preferível aprender com o erro dos outros”.

2020

Corroborando esta afirmação, vejamos o resultado de Corroborando esta afirmação, vejamos o resultado de uma enquete realizada pelo site IT Web intitulado: uma enquete realizada pelo site IT Web intitulado: “Como a sua empresa protege informações em “Como a sua empresa protege informações em notebooks?”. Os resultados parciais apresentados em notebooks?”. Os resultados parciais apresentados em 20.02.2008 são: 20.02.2008 são:

Criptografia 15,79%Criptografia 15,79%

Uso de tokens 7,89%Uso de tokens 7,89%

Uso de senhas 15,79%Uso de senhas 15,79%

Programas de conscientização 7,89%Programas de conscientização 7,89%

Biometria 5,26%Biometria 5,26%

Não há proteção para dados em notebooks 47,37% Não há proteção para dados em notebooks 47,37%

2121

ConclusãoConclusão O resultado dessa enquete destaca que 47,37% O resultado dessa enquete destaca que 47,37%

das empresas ainda não adotaram nenhuma das empresas ainda não adotaram nenhuma medida para proteger o conteúdo neste tipo de medida para proteger o conteúdo neste tipo de dispositivo, portanto, concluímos que a dispositivo, portanto, concluímos que a maioria das empresas ainda não tomou maioria das empresas ainda não tomou nenhuma medida para mitigar este tipo de nenhuma medida para mitigar este tipo de risco, ou seja, a percepção de que isto somente risco, ou seja, a percepção de que isto somente acorre com o vizinho ainda persiste.     acorre com o vizinho ainda persiste.    

2222

Alunas:Alunas: DayseDayse DéboraDébora FláviaFlávia JoséliaJosélia RosemeireRosemeire

Turma: AD6ATurma: AD6A