Segurança da Informação Conscientização de empregados e contratados
Introdução ao Pensamento Gerencial
Fatos…
"...O Brasil tem sido a base mais
atuante dos malfeitores da internet,
segundo a M2G Intelligence, consultoria
de risco digital de Londres…”
Fonte: THE NEW YORK TIMES,
Outubro 2003
“(…) A agência de espionagem Kroll foi
contratada pela presidente da Brasil
Telecom, Carla Cico, para investigar a
Telecom Italia, sócia da empresa, e com
quem o banqueiro Daniel Dantas, dono do
Banco Opportunity e principal controlador
da concessionária de telefonia fixa,
mantém uma briga pelo controle das
ações. (…) Kroll violou e-mails de
Gushiken. O presidente do Banco do
Brasil, Cássio Casseb, também foi
espionado pela empresa multinacional.”
Fonte: Jornal do Brasil / JB On Line
Julho de 2004
Fatos…
Fatos…
Lâmina pode ter cortado pneu do
Concorde da Air France
“(…) Uma lâmina metálica de 40
centímetros de comprimento, achada na
pista na qual utilizou o Concorde que caiu
em Gonesse, em 25 de julho, foi
provavelmente a causa do corte no pneu
que se rompeu na decolagem, anunciou
hoje a BEA _agência de investigação de
acidentes francesa. O acidente causou a
morte de 113 pessoas.”
Fonte: Folha Online 10/08/2000
Fatos…
Plataforma Petrobras 36 afunda
NOTA A IMPRENSA
“ A Petrobras informa que às 10h45 de hoje
(ontem) teve início o processo irreversível de
afundamento da plataforma P-36. Por razões
de segurança, todas as pessoas e
embarcações já haviam sido afastadas da
área, desde às 2h30, quando houve um
movimento brusco da plataforma. O Plano de
Contingência Ambiental da Petrobras,
acionado desde os primeiros momentos do
acidente, dispõe de nove embarcações com
técnicos e equipamentos para combater
qualquer afloramento de óleo.”
Fonte: Terra Notícias - Março 2001
Bacia de Campos, 19 de março de 2001
O presidente da Petrobras, Henri Philippe Reichstul, enfrenta mais uma tragédia em sua administração
Este servidor está seguro???
Nuclear Bunker
Concreto
500 metros
•Servidor “desligado”
•Cercado de concreto
•Bunker Nuclear
•500 metros abaixo do solo
Infelizmente nada é 100 % seguro …
RISCORISCO
CONCEITO CHAVE
INCERTEZA !INCERTEZA !
O cerne da questão é …RISCO !
O que pode acontecer?
Qual o impacto?
Com qual frequência?
O quão certo estou das respostas acima?
Ativos
Vulnerabilidades
Ameaças
Qual é a ameaça?
?
Qual é a ameaça?
Não Qual
mas Quem?
Quem é a ameaça - Hackers
Quem é a ameaça- Administradores
Quem é a ameaça - Usuários
Todos nós somos uma ameaça !
Euuuu ???
O que fazer?
Ou Não fazer?
Confidencialidade
Integridade
Disponibilidade
+
+
SEGURANÇA DA INFORMAÇÃO
O que é Segurança?
Organização
Negócios
Sistemas de Informação
Ativos
Possui
Mantidos por
Que dependem de
que podem ter ...
O que é Segurança?
VULNERABILIDADES
QUE PÕEM EM RISCO OS NOSSOS NEGÓCIOS !!!NEGÓCIOS !!!
O que é Segurança?
Um pouco de filosofia …
“"Nós somos aquilo que fazemos repetidas vezes. A excelência, então, não é um ato, mas um hábito".
Aristóteles (348-322 A.C.)
O que é Segurança?
Conscientize-se !
“ De que adianta ter o melhor alarme em seu carro se você esquece de ligá-lo?”
O que é Segurança?
Compromisso !Compromisso !
O que é Segurança?
AtitudeAtitude ! !
ResponsabilidadeResponsabilidade ! !
Segurança também é…
Estar consciente é saber:
Quais são as suas responsabilidades
Quais sistemas de informação você interage e porquê
O que você precisa fazer para protegê-los
Estar ciente e comprometido com as políticas e diretrizes de segurança
O que é Segurança?
Concluindo …“ Segurança da informação é
Confidencialidade
Integridade
Disponibilidade
e acima de tudo,
uma questão de hábito “
O que fazer?
Consultar o Security Office em caso de dúvidas;
Deixar claro para os colaboradores a importância do assunto para companhia;
Conhecer as políticas de diretrizes de segurança vigentes que tenham influência em seu trabalho;
Compreender suas responsabilidades quanto a proteção dos ativos de TI da companhia (Pcs, Laptops, softwares, etc)
Responsabilidades Gerenciais
O que fazer?
Conhecer os softwares utilizados em seu setor e assegurar que todos foram obtidos de acordo com as políticas de licenciamento vigentes
Assegurar que os novos empregados e contratados sejam informados sobre a existência da política de segurança bem como onde buscar maiores informações
Riscos relativos aos sistemas de informação sob sua gestão.
Responsabilidades Gerenciais
O que NÃO fazer?
Ser complacente com a segurança das informações ou pensar: “não vai acontecer com você”
Esperar para procurar por ajuda ou demorar a agir se você achar que “algo está errado”. Procure ajuda o mais cedo possível.
Considerar segurança como uma necessidade que se aplica a somente a sistemas complexos e especializados
Tentar resolver você mesmo todos os problemas – Não hesite em em pedir ajuda
Responsabilidades Gerenciais
O que NÃO fazer?
Esquecer que o FAX, telefone e celulares também tem seus próprios requerimentos de segurança
Esquecer de recuperar ativos de informação (Ex. Notebooks) de empregados que estejam deixando a companhia. Você pode ser responsabilizado caso eles não sejam recuperados!
Responsabilidades Gerenciais
O que fazer?
Informe qualquer coisa suspeita. Você pode contactar seu gerente, o Security Office ou mesmo seu suporte local de acordo com a natureza do problema.
Proteja a informação da companhia mantendo-a segura;
Informe-se sobre que tipo de informação precisa ser protegida e siga os procedimentos existentes a respeito de Classificação da Informação
Informação é poder! Procure saber quais políticas e diretrizes afetam seu trabalho e então as siga.
Responsabilidades dos Empregados
O que NÃO fazer?
Permitir que visitantes tenham acesso as dependências da companhia desacompanhados.
Divulgar informações consideradas confidenciais pela companhia sem a devida autorização.
Conceder a visitantes ou consultores externos acessos a computadores ou aos sistemas de informação da companhia sem a devida autorização da gerência
Tentar utilizar algum computador ou qualquer sistema sem que tenha a devida autorização para tal. Lembre-se você pode estar sendo monitorado!
Responsabilidades dos Empregados
O que NÃO fazer?
Permitir a qualquer visitante conectar computadores pessoais ou notebooks a rede. Em caso de necessidade consultar o suporte local.
Utilizar equipamento para outro fim que não sejam atividades relacionadas ao seu negócio.
Responsabilidades dos Empregados
O que fazer?
Informar IMEDIATAMENTE ao seu Gerente ou ao Security Office sobre o ocorrido
Identifique o computador ou sistema que você acha que está comprometido e desconecte-o da rede local. Evite utilizá-lo até que o problema esteja completamente resolvido.
Avalie e documente os impactos do ocorrido para o negócio.
Mantenha um registro escrito dos eventos para ajudar a investigação.
Incidentes e Falhas de Segurança
O que NÃO fazer?
Ignorar ou “encobrir” incidentes
Demorar para comunicar um incidente
Assumir que um incidente “foi resolvido” antes de confirmar a informação com o suporte local
Permitir a reutilização de equipamentos sob suspeita antes de ação corrretiva
Incidentes e Falhas de Segurança
O que fazer?
Elabore suas senhas de forma a dificultar sua quebra:
• Mínimo de 8 caracteres
• Números e símbolos
• Incluindo o uso de UPPERCASE e LOWERCASE alternadamente
• Não repita seu USERNAME !
• Evite caracteres repetidos
• Evite temas comuns (seu time, placa carro, filho, sogra..)
Senhas
O que fazer?
Mantê-la em segredo é sua responsabilidade
Use “Password Protect” Screen Savers
Mude sua senha regularmente
Senhas
O que NÃO fazer?
Deixar seu PC ou Laptop sozinho quando quando estiver logado
Repetir a mesma senha quando o sistema solicitar que você mude.
Anotar sua senha para não esquecer e deixá-la próxima ao seu micro (Post it ..)
Revelar (mesmo ao funcionário de suporte local)
Senhas
O que fazer?
Use seu computador somente para fins autorizados
Proteja seu PC da observação alheia (visitantes, clientes)
Faça backup dos arquivos que você considera crítico - Faça isso regularmente
Armazene seus “backups” em um lugar seguro
Computadores Pessoais
O que NÃO fazer?
Mudar as configurações do antivírus
Trazer equipamento particular para empresa e conectá-lo a rede da companhia.
Usar equipamento para fins não autorizados
Transferir PC´s ou qualquer outro equipamento de sua locação sem autorização por escrito da gerência responsável
Computadores Pessoais
O que fazer?
IMPORTANTE!
• SUSPEITE de QUALQUER arquivo atachado recebido por E-Mail, MESMO DE CONHECIDOS !!!
Se você receber um CD ou disquete de uma fonte desconhecida, utilize seu software antivírus para proceder com uma verificação preliminar
Cheque regularmente se seu antivírus está atualizado. Caso não esteja, entre em contato com o suporte local
Proteção Antivírus
O que fazer?
Se houver suspeita de vírus:
Desconecte o cabo de rede do equipamento
Entre em contato com o suporte local e aguarde o atendimento
Informe ao seu Gerente ou ao Security Office sobre o ocorrido.
Tente determinar de onde veio a contaminação e informe ao seus colegas de trabalho sobre sua suspeita pedindo que eles verifiquem seus equipamentos.
Proteção Antivírus
O que NÃO fazer?
Alterar as configurações ou “desligar” software antivírus
Criar compartilhamentos “abertos” (Everyone Full control) em sua máquina
Repassar avisos sobre vírus aos seus colegas de trabalho a menos que ele seja proveniente de avisos internos ou do Security Office. Eles podem ser um HOAX
Proteção Antivírus
O que fazer?
Lista atualizada de pessoas autorizadas a entrarem em ambientes de acesso restrito com as respectivas razões
Trocar os códigos de acesso periodicamente
Controles ambientais (Umidade, Temperatura, Fumaça, detecção e supressão de incêndios)
Notebooks trancados em armários
Segurança Física
O que NÃO fazer?
Manter as mídias de backup no mesmo lugar que os equipamentos
Servidores em áreas abertas
PC´s próximos a locais de fácil observação externa
Transferir equipamentos sem a anuência do suporte local / pessoal de inventário
Segurança Física
Uso inapropriado da Internet Uso dos serviços Internet para negócios particulares ou pessoais.
Que vise o acesso não autorizado a quaisquer recursos dentro ou fora da empresa.
Prejudique o uso da Internet.
Desperdice recursos (pessoal, capacidade, computador).
Destrua a integridade ou faça uso indevido de quaisquer informações dos servidores.
Comprometa a privacidade de quaisquer usuários.
Não obedeça a legislação local e nacional aplicáveis.
Comprometa informações proprietárias ou confidenciais da empresa.
Não respeite outras políticas ou procedimentos da empresa.
Uso de E-mail e Internet
O que fazer?
Movimentação das informações devem estar autorizadas
Assegure que as informações enviadas estão completas e acuradas
Mecanismos adequados para transferência de grandes arquivos (FTP)
Registro de dados trocados com pessoas ou organizações externas
Trocando Informações
O que NÃO fazer?
Aceitar ou usar dados/programas de fontes externas quando em dúvida sobre a autenticidade ou integridade
Transferir arquivos grandes para outros usuários através de emails.
“Carregar” qualquer programa que não se saiba a origem – Evite surpresas …
Trocando Informações
O que fazer?
Autorizado pela gerência
Personal Firewall instalado
Mudar regularmente sua Senha e ID
Acesso Remoto
O que NÃO fazer?
Permitir outras pessoas usarem seu equipamento ou facilidades de acesso remoto disponibilizadas pela companhia
Deixar sua conexão aberta sem utilização
Conectar o LAPTOP à rede de terceiros
Acesso Remoto
O que fazer?
As informações armazenadas em seu PC é propriedade da empresa contratante e com tal é considerada um ativo da companhia !
Backup SEMPRE e REGULARMENTE !
Cuidado ao compartilhar informações
Manipulando Informações
O que NÃO fazer?
Acessar, copiar ou transferir dados a menos que esteja autorizado
Acessar dados confidenciais, mesmo que disponíveis, fora do seu nível de autoridade
Manipulando Informações
Fato …Fato …
“ (…) Em 31/12/2003, data histórica que marca a primeira condenação penal no país por crimes de estelionato (artigo 171, caput, combinado com parágrafo 3º do Código Penal), formação de quadrilha (artigo 288 do Código Penal) e violação de sigilo bancário (Lei Complementar 105/2001) cometidos via internet.
Estamos falando da sentença proferida pela juíza Janete Lima Miguel Cabral, da 2ª Vara da Justiça Federal de Campo Grande, localizada em Mato Grosso do Sul, que condenou Guilherme Amorim de Oliveira Alves, de 19 anos, a seis anos, cinco meses e seis dias de prisão. Além de Guilherme, a juíza condenou também um de seus comparsas, Evânancy Soares de Alcântara, a quatro anos, oito meses e vinte dias de prisão.”
PL84/99 – Aprovação prevista para este anoFONTE: Módulo
Computer Crime
O que fazer?
Reportar circunstâncias suspeitas a gerência
Monitorar log´s dos sistemas críticos
Gravar e guardar evidências para posterior avaliação
Computer Crime
O que NÃO fazer?
Destruir evidências
Demorar a reportar incidentes
Divulgar suspeitas de incidentes
Computer Crime
Concluindo …
“ Consideramos Computer Crime os danos causados de forma deliberada à equipamentos, dados ou softwares.Incluindo-se também:
Propagar vírus
Acessar dados não autorizados
Quebrar privacidade alheia
Espionagem
O que fazer?
Trate programas e software com ativos da companhia
Esteja ciente que todo os programas e sistemas escritos por empregados da empresa no curso de suas atividades pertencem a empresa contratante
Saiba que a violação ou desrespeito às normas de licenciamento de software constitui CRIME, bem como violação do código de ÉTICA das empresas
Licença de Softwares a Copyright
O que NÃO fazer?
Copiar software
Usar software não autorizado/licenciado
Fazer “download” de FREEWARE ou SHAREWARE sem a devida autorização da gerência
Licença de Softwares a Copyright
Políticas de Segurança
CONCEITO CONCEITO
“ Uma declaração formal de regras que devem ser obedecidas pelas pessoas as quais são concedidos acessos a tecnologias e ativos de informação de uma organização “
RFC 2196 (Site Security Handbook) ...