segurança do tratamento de dados e cibersegurança...‒ sempre conectados 2) fronteira entre vida...
TRANSCRIPT
Segurança do tratamento de dados e cibersegurança
TCOR Ana Jorge
IPQ, 23 de maio de 2019
As pessoas são o “elo mais fraco” da
cadeia da segurança da informação!
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
As pessoas são o “elo mais fraco” na
segurança do tratamento dos dados!
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Porque é que as pessoas são o “elo mais fraco”?
‒ Natureza humana
• Confiar
• Acreditar
• Ganância
• …
• Acidentais (erros e omissões)
• Uso inadequado das TI
• Volume de trabalho
• Pressão
• Funções desajustadas
• …
• Intencionais - Colaboradores descontentes e maldosos (“insiders”)
‒ Comportamentos
– Desconhecimento
• Tecnologias
• Políticas e procedimentos de segurança
• …
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Existem outros fatores que potenciam
os comportamentos de insegurança
das pessoas?
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
1) Transformação do local de trabalho (maior flexibilidade e mobilidade):
‒ Desvanecimento das fronteiras físicas (estar fora das instalações a trabalhar)
‒ Equipas de trabalho dispersas
‒ Tecnologias que permitem trabalhar remotamente
‒ Espaços de trabalho abertos e versáteis (”open spaces”)
‒ Secretárias partilhadas
‒ Secretárias arrumadas (“clean desk”)
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
‒ Trabalhar em casa
‒ Trabalhar a partir de qualquer dispositivo
‒ Toda informação pessoal e profissional num só dispositivo:
• Uso dos dispositivos da organização para fins pessoais
• Uso de dispositivos pessoais no local de trabalho (Bring Your Own Device – BOYD)
‒ Sempre contactáveis
‒ Sempre conectados
2) Fronteira entre vida profissional e privada cada vez mais ténue:
“Trabalhar em qualquer lugar, a qualquer hora!”
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
3) Diferenças intergeracionais:
Coexistência de 5 diferentes gerações no local de trabalho em 2020!
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Geração Y ou Millennials (85-97)
• Domínio das tecnologias
• Criativos (tecnologias e tarefas)
• Menor distinção vida pessoal / profissional
• “Viver a experiência”
• Sempre conectado
• Nova força de trabalho (cerca de 50% em 2020)
Geração Z (98+) - Utilizam os seus próprios dispositivos no local de trabalho
Baby Boomer (47-64)
• Conhecimento organizacional
• Cumpridores das regras
• Dificuldades de adaptação às TI
• Fase da reforma
Geração “baby boomer” versus “nativos digitais”
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
4) Efeito de grupo na segurança da informação:
Quanto maior o grupo menos a pessoa se sente
responsável pela segurança (semelhante ao “Efeito
Espetador”)
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
- Rápido desenvolvimento tecnológico
- Aparecimento constante de novas ameaças
- Fim da distância física
- Interação instantânea com os outros
- Inexistência de fronteiras
- Caos
5) Características do ciberespaço:
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
- Formação e sensibilização inexistente ou desajustada (custos)
- Falta de ética e responsabilidade social
- Desconsideração pela privacidade (nossa e dos outros)
6) Fraca Cultura de Segurança:
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Quais as principais motivações dos atacantes?
‒ Roubos de dados pessoais
‒ Roubos de identidade
‒ Uso abusivo dos dados pessoais
‒ Divulgação indesejada / não autorizada de informação
‒ Lucro financeiro
‒ Chantagem
‒ Destruir reputação
‒ ….
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Roubo de dados pessoais
• Em 2016, a Uber foi vítima de um ataque de hackers que roubou dados de 57 milhões de clientes e motoristas (dados incluíam nomes, endereços de e-mail, números de telefone, números da carta de condução).
• Participação estes dois elementos da própria Uber.
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Uso abusivo dos dados pessoais
Cambridge Analytica acedeu a informação pessoal de mais de 50 milhões de utilizadores do Facebook, sem a permissão destes, criado perfis psicológicos baseados em informações pessoais de milhões de norte-americanos para categorizar os votantes
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Divulgação indesejada
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
A Era do Cibercrime
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
A Era do Cibercrime
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
- Engenharia Social
- Phishing
- Software malicioso (vírus)
- Redes Sociais (uso indevido da informação publicada)
- Backdoor
- Internet das coisas (Internet of Things – IoT)
- Computação em nuvem (Cloud)
- Pegada Digital
Cibercrime
Quais os veículos para obtenção de dados pessoais?
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Phishing
Envio de um email fraudulento para obter dados pessoais (ou de negócio). Embora
possa parecer um email enviado por uma empresa credível, trata-se na realidade
de um email falso que só pretende recolher dados e/ou afetar sistemas.
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Software malicioso (vírus)
Os vírus são programas nocivos que quando inseridos num computador podem
espalhar-se a outros computadores da rede. O objetivo dos vírus é permitir acessos
e/ou danificar dados e serviços.
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
As bases de dados das redes sociais contêm todo o tipo de informação dos utilizadores: • Nomes • Moradas • Gostos pessoais • Profissão/emprego • Hábitos • Locais visitados • …
…. e esse é o valor acrescentado desta plataforma.
Não há apps gratuitas!!
Uso indevido das Redes Sociais
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Backdoor
• Não podem ser removidos por meios convencionais (antivírus e formatação)
• Conseguem ultrapassar outros tipos de segurança (passwords e sistemas de encriptação)
• De difícil detecção (podem ser inseridos em fábrica no momento da montagem)
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Internet das Coisas - Internet of Things (IoT)
Fecham-se as portas no mundo físico… abrem-se portas no mundo virtual!
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Wearables
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Se antes as nuvens tinham água agora…
Cloud
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Pegada Digital
Construída todos os dias com tudo o que nós e outros publicam na internet a nosso respeito!
RGPD protege direitos dos titulares dos dados:
• Direito de informação
• Direito de acesso aos respetivos dados pessoais
• Direito de retificação de dados inexatos
• Direito ao apagamento (“direito a ser esquecido")
• Direito à limitação do tratamento
• Direito de portabilidade de dados
• Direito de oposição
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Quais as principais consequências?
‒ Danos para a entidade responsável pelo tratamento
• Continuidade do atividade
• Reputação
• Segurança
• …
– Danos para as pessoas
• Reputação
• Segurança física
• Prolemas legais
• Emprego
• …
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Todos nós somos responsáveis pela
segurança no tratamento dos dados!
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Todos nós temos a responsabilidade de proteger
os nossos dados pessoais e os que nos são
confiados!
Comportamentos Individuais de Segurança
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Proteção Informação Classificada
Proteção Informação
Sensível
Proteção Dados
Pessoais
…
Comportamentos Individuais de Segurança
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Comportamentos
Individuais de
Segurança
Trabalho
Casa
Público
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Comportamentos
Individuais de
Segurança
Trabalho
Casa
Público
- Dentro das instalações
- Fora das instalações
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
‒ Secretária arrumada (“clean desk”)
‒ Guardar documentos em armários trancados
‒ Guardar documentos electrónicos nas pastas da rede interna da organização
‒ Verificar que ninguém está a visualizar os caracteres digitados (log-on)
‒ Bloquear do ecrã nas ausências (Crtl+Alt+Delete)
‒ Desligar o computador no final do dia
‒ Não instalar software (ex.: jogos) ou hardware não autorizados
‒ Não ligar o computador à rede da organização e a redes públicas em simultâneo
Estações de trabalho
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
- Alterar a password sempre que solicitado
- Passwords complexas e robustas:
• Mínimo 9 caracteres (minúsculas, maiúsculas, números e caracteres
especiais)
• Frases longas sem “espaço”
‒ Memorizar as passwords
‒ Não escrever password em papeis
‒ Não partilhar passwords
‒ Não gravar as passwords no sistema
‒ Não utilizar a mesma password para sistemas diferentes
‒ Não reutilizar passwords anteriores
Passwords
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
‒ Password de acesso
‒ Utilizar os suportes de dados (ex.: pens, discos externos) dedicados
‒ Não introduzir no computador pens esquecidas/perdidas
‒ Evitar utilizar os dispositivos pessoais para trabalhar
‒ Não utilizar os dispositivos da organização para fins pessoais
‒ Cifrar bases de dados (BD) e ficheiros com dados pessoais
Dispositivos móveis (telemóveis, portáteis, pens, …)
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
‒ Usar email institucional apenas para assuntos profissionais
‒ Não usar email pessoal para transmitir informação da organização
‒ Cifrar ficheiros com dados pessoais antes de enviar por email
‒ Verificar o endereço de origem dos emails recebidos antes de os abrir
‒ Apagar sem abrir emails de origem desconhecida
‒ Não seguir os links recebidos através emails suspeitos
Correio eletrónico (email)
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
‒ Limitar cópias de documentos com dados pessoais ao estritamente necessário
‒ Utilizar as impressoras/fotocopiadoras da organização
‒ Utilizar o próprio código de acesso às impressoras de rede
Reprodução de documentos
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
‒ Documentos em papel: colocar dentro de envelopes
‒ Documentos em formato digital: utilizar dispositivos electrónicos com código
Os documentos com dados pessoais (formato digital ou papel) devem estar
permanentemente sob o controlo da pessoa que os transporta!
Transporte de documentos
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
‒ Eliminados de modo a não permitir a recuperação dos dados pessoais por
terceiros
‒ Utilizar máquinas trituradoras próprias (papel / CD)
Eliminação dos suportes de dados (papel ou eletrónicos)
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Comportamentos
Individuais de
Segurança
Trabalho
Casa
Público
- Vida privada
- Própria casa
- Casa de amigos
- Casa de familiares
- …
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
‒ Não utilizar dispositivos pessoais partilhados para aceder ao email institucional
‒ Não instalar app públicas (ex: Facebook, Whatsapp,…) nos dispositivos usados para
trabalhar
‒ Cada elemento da família deve ter uma conta própria de acesso ao computador (log-in
distintos)
‒ Alterar passwords regularmente
‒ Ativar o bloqueio automático
‒ Desbloqueio com password
‒ Apagar os dados pessoais armazenados ou remover discos rígidos antes de enviar para
reparação / oferecer / colocar no lixo
Uso de dispositivos pessoais (ex.: tablet, portátil, smartphone)
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
‒ Não utilizar dispositivos da organização para aceder a informação pessoal
‒ Não partilhar dispositivos da organização com familiares e amigos
‒ Não partilhar as passwords de acesso dos dispositivos da organização
Uso de dispositivos da organização (ex.: tablet, portátil, smartphone)
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
‒ Acesso à rede doméstica com password
‒ Alterar a password de acesso fornecida pelo prestador de serviço
‒ Browser e antivírus atualizados
‒ Não colocar BD/ficheiros com dados pessoais em Clouds públicas (ex.: Dropbox,
Google Drive)
‒ Optar por sites seguros (“htpps://” ou cadeado)
‒ Comprar apenas em sites seguros e de confiança
Acesso à Internet
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Comportamentos
Individuais de
Segurança
Trabalho
Casa Público
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
‒ Proteger contra “ouvintes” e “mirones”:
• Ter cuidado com as conversas (presenciais ou por telefone) em espaços públicos
• Garantir que os dados que aprecem no ecrã não são visíveis por terceiros
‒ Manter os dispositivos móveis (ex.: telemóveis e portáteis) sob vigilância (roubos)
Locais e transportes públicos
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
‒ Não utilizar redes wi-fi dos locais públicos para fornecer/consultar dados pessoais
‒ Não registar o email institucional em redes sociais
‒ Não divulgar informação da organização nas redes sociais sem autorização
‒ Não partilhar informação sobre viagens em tempo real
‒ Não partilhar informação sobre colegas (incluindo fotografias) sem consentimento
Pensar nas consequências (para o próprio, para os outros e para a organização)
antes de publicar qualquer informação!
Redes de Internet públicas e redes sociais
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Contributos do GNS/CNCS
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
RCM 41/2018 “Arquitectura de Segurança das Redes e Sistemas de Informação”
Resolução do Conselho de Ministro
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
₋ Definir padrão mínimo de segurança (organizações podem implementar medidas adicionais
mais restritivas)
₋ Obrigatória para toda a AP (orientação para privados)
₋ Direcionada para a protecção dos dados pessoais
₋ Contempla 3 camadas: front-end, camada aplicacional e base de dados
₋ Agnóstica quanto à tecnologia (tecnologias mencionadas apenas a titulo de exemplo)
₋ Atual (validade / aplicabilidade independente da tecnologia existente)
- Em complemento à RCM 41/2018
- Tendo por base o know-how sobre o tratamento de Informação Classificada
- Levantamento das boas práticas NATO, UE e nacionais
Manual de Boas Práticas - RGPD e a Segurança das Redes e Sistemas de informação:
• Parte I - Deveres e responsabilidades das organizações
• Parte II – Contributos para políticas e procedimentos de segurança
• Parte III - Segurança física
*Disponíveis para download em www.gns.pt
Manual de Boas Práticas*
SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA
Segurança do tratamento de dados e cibersegurança
TCOR Ana Jorge [email protected]
IPQ, 23 de maio de 2019