Segurança do tratamento de dados e cibersegurança...‒ Sempre conectados 2) Fronteira entre vida profissional e privada cada vez mais ténue: “Trabalhar em qualquer lugar, a qualquer

Segurança do tratamento de dados e cibersegurança

TCOR Ana Jorge

IPQ, 23 de maio de 2019

[email protected]

As pessoas são o “elo mais fraco” da

cadeia da segurança da informação!

SEGURANÇA DO TRATAMENTO DE DADOS E CIBERSEGURANÇA

As pessoas são o “elo mais fraco” na

segurança do tratamento dos dados!


Porque é que as pessoas são o “elo mais fraco”?

‒ Natureza humana

• Confiar

• Acreditar

• Ganância

• …

• Acidentais (erros e omissões)

• Uso inadequado das TI

• Volume de trabalho

• Pressão

• Funções desajustadas

• …

• Intencionais - Colaboradores descontentes e maldosos (“insiders”)

‒ Comportamentos

– Desconhecimento

• Tecnologias

• Políticas e procedimentos de segurança

• …


Existem outros fatores que potenciam

os comportamentos de insegurança

das pessoas?


1) Transformação do local de trabalho (maior flexibilidade e mobilidade):

‒ Desvanecimento das fronteiras físicas (estar fora das instalações a trabalhar)

‒ Equipas de trabalho dispersas

‒ Tecnologias que permitem trabalhar remotamente

‒ Espaços de trabalho abertos e versáteis (”open spaces”)

‒ Secretárias partilhadas

‒ Secretárias arrumadas (“clean desk”)


‒ Trabalhar em casa

‒ Trabalhar a partir de qualquer dispositivo

‒ Toda informação pessoal e profissional num só dispositivo:

• Uso dos dispositivos da organização para fins pessoais

• Uso de dispositivos pessoais no local de trabalho (Bring Your Own Device – BOYD)

‒ Sempre contactáveis

‒ Sempre conectados

2) Fronteira entre vida profissional e privada cada vez mais ténue:

“Trabalhar em qualquer lugar, a qualquer hora!”


3) Diferenças intergeracionais:

Coexistência de 5 diferentes gerações no local de trabalho em 2020!


Geração Y ou Millennials (85-97)

• Domínio das tecnologias

• Criativos (tecnologias e tarefas)

• Menor distinção vida pessoal / profissional

• “Viver a experiência”

• Sempre conectado

• Nova força de trabalho (cerca de 50% em 2020)

Geração Z (98+) - Utilizam os seus próprios dispositivos no local de trabalho

Baby Boomer (47-64)

• Conhecimento organizacional

• Cumpridores das regras

• Dificuldades de adaptação às TI

• Fase da reforma

Geração “baby boomer” versus “nativos digitais”


4) Efeito de grupo na segurança da informação:

Quanto maior o grupo menos a pessoa se sente

responsável pela segurança (semelhante ao “Efeito

Espetador”)


- Rápido desenvolvimento tecnológico

- Aparecimento constante de novas ameaças

- Fim da distância física

- Interação instantânea com os outros

- Inexistência de fronteiras

- Caos

5) Características do ciberespaço:


- Formação e sensibilização inexistente ou desajustada (custos)

- Falta de ética e responsabilidade social

- Desconsideração pela privacidade (nossa e dos outros)

6) Fraca Cultura de Segurança:


Quais as principais motivações dos atacantes?

‒ Roubos de dados pessoais

‒ Roubos de identidade

‒ Uso abusivo dos dados pessoais

‒ Divulgação indesejada / não autorizada de informação

‒ Lucro financeiro

‒ Chantagem

‒ Destruir reputação

‒ ….


Roubo de dados pessoais

• Em 2016, a Uber foi vítima de um ataque de hackers que roubou dados de 57 milhões de clientes e motoristas (dados incluíam nomes, endereços de e-mail, números de telefone, números da carta de condução).

• Participação estes dois elementos da própria Uber.


Uso abusivo dos dados pessoais

Cambridge Analytica acedeu a informação pessoal de mais de 50 milhões de utilizadores do Facebook, sem a permissão destes, criado perfis psicológicos baseados em informações pessoais de milhões de norte-americanos para categorizar os votantes


Divulgação indesejada


A Era do Cibercrime


A Era do Cibercrime


- Engenharia Social

- Phishing

- Software malicioso (vírus)

- Redes Sociais (uso indevido da informação publicada)

- Backdoor

- Internet das coisas (Internet of Things – IoT)

- Computação em nuvem (Cloud)

- Pegada Digital

Cibercrime

Quais os veículos para obtenção de dados pessoais?



Phishing

Envio de um email fraudulento para obter dados pessoais (ou de negócio). Embora

possa parecer um email enviado por uma empresa credível, trata-se na realidade

de um email falso que só pretende recolher dados e/ou afetar sistemas.


Software malicioso (vírus)

Os vírus são programas nocivos que quando inseridos num computador podem

espalhar-se a outros computadores da rede. O objetivo dos vírus é permitir acessos

e/ou danificar dados e serviços.


As bases de dados das redes sociais contêm todo o tipo de informação dos utilizadores: • Nomes • Moradas • Gostos pessoais • Profissão/emprego • Hábitos • Locais visitados • …

…. e esse é o valor acrescentado desta plataforma.

Não há apps gratuitas!!

Uso indevido das Redes Sociais


Backdoor

• Não podem ser removidos por meios convencionais (antivírus e formatação)

• Conseguem ultrapassar outros tipos de segurança (passwords e sistemas de encriptação)

• De difícil detecção (podem ser inseridos em fábrica no momento da montagem)


Internet das Coisas - Internet of Things (IoT)

Fecham-se as portas no mundo físico… abrem-se portas no mundo virtual!


Wearables


Se antes as nuvens tinham água agora…

Cloud


Pegada Digital

Construída todos os dias com tudo o que nós e outros publicam na internet a nosso respeito!

RGPD protege direitos dos titulares dos dados:

• Direito de informação

• Direito de acesso aos respetivos dados pessoais

• Direito de retificação de dados inexatos

• Direito ao apagamento (“direito a ser esquecido")

• Direito à limitação do tratamento

• Direito de portabilidade de dados

• Direito de oposição


Quais as principais consequências?

‒ Danos para a entidade responsável pelo tratamento

• Continuidade do atividade

• Reputação

• Segurança

• …

– Danos para as pessoas

• Reputação

• Segurança física

• Prolemas legais

• Emprego

• …


Todos nós somos responsáveis pela

segurança no tratamento dos dados!


Todos nós temos a responsabilidade de proteger

os nossos dados pessoais e os que nos são

confiados!

Comportamentos Individuais de Segurança


Proteção Informação Classificada

Proteção Informação

Sensível

Proteção Dados

Pessoais

…

Comportamentos Individuais de Segurança


Comportamentos

Individuais de

Segurança

Trabalho

Casa

Público


Comportamentos

Individuais de

Segurança

Trabalho

Casa

Público

- Dentro das instalações

- Fora das instalações


‒ Secretária arrumada (“clean desk”)

‒ Guardar documentos em armários trancados

‒ Guardar documentos electrónicos nas pastas da rede interna da organização

‒ Verificar que ninguém está a visualizar os caracteres digitados (log-on)

‒ Bloquear do ecrã nas ausências (Crtl+Alt+Delete)

‒ Desligar o computador no final do dia

‒ Não instalar software (ex.: jogos) ou hardware não autorizados

‒ Não ligar o computador à rede da organização e a redes públicas em simultâneo

Estações de trabalho


- Alterar a password sempre que solicitado

- Passwords complexas e robustas:

• Mínimo 9 caracteres (minúsculas, maiúsculas, números e caracteres

especiais)

• Frases longas sem “espaço”

‒ Memorizar as passwords

‒ Não escrever password em papeis

‒ Não partilhar passwords

‒ Não gravar as passwords no sistema

‒ Não utilizar a mesma password para sistemas diferentes

‒ Não reutilizar passwords anteriores

Passwords


‒ Password de acesso

‒ Utilizar os suportes de dados (ex.: pens, discos externos) dedicados

‒ Não introduzir no computador pens esquecidas/perdidas

‒ Evitar utilizar os dispositivos pessoais para trabalhar

‒ Não utilizar os dispositivos da organização para fins pessoais

‒ Cifrar bases de dados (BD) e ficheiros com dados pessoais

Dispositivos móveis (telemóveis, portáteis, pens, …)


‒ Usar email institucional apenas para assuntos profissionais

‒ Não usar email pessoal para transmitir informação da organização

‒ Cifrar ficheiros com dados pessoais antes de enviar por email

‒ Verificar o endereço de origem dos emails recebidos antes de os abrir

‒ Apagar sem abrir emails de origem desconhecida

‒ Não seguir os links recebidos através emails suspeitos

Correio eletrónico (email)


‒ Limitar cópias de documentos com dados pessoais ao estritamente necessário

‒ Utilizar as impressoras/fotocopiadoras da organização

‒ Utilizar o próprio código de acesso às impressoras de rede

Reprodução de documentos


‒ Documentos em papel: colocar dentro de envelopes

‒ Documentos em formato digital: utilizar dispositivos electrónicos com código

Os documentos com dados pessoais (formato digital ou papel) devem estar

permanentemente sob o controlo da pessoa que os transporta!

Transporte de documentos


‒ Eliminados de modo a não permitir a recuperação dos dados pessoais por

terceiros

‒ Utilizar máquinas trituradoras próprias (papel / CD)

Eliminação dos suportes de dados (papel ou eletrónicos)


Comportamentos

Individuais de

Segurança

Trabalho

Casa

Público

- Vida privada

- Própria casa

- Casa de amigos

- Casa de familiares

- …


‒ Não utilizar dispositivos pessoais partilhados para aceder ao email institucional

‒ Não instalar app públicas (ex: Facebook, Whatsapp,…) nos dispositivos usados para

trabalhar

‒ Cada elemento da família deve ter uma conta própria de acesso ao computador (log-in

distintos)

‒ Alterar passwords regularmente

‒ Ativar o bloqueio automático

‒ Desbloqueio com password

‒ Apagar os dados pessoais armazenados ou remover discos rígidos antes de enviar para

reparação / oferecer / colocar no lixo

Uso de dispositivos pessoais (ex.: tablet, portátil, smartphone)


‒ Não utilizar dispositivos da organização para aceder a informação pessoal

‒ Não partilhar dispositivos da organização com familiares e amigos

‒ Não partilhar as passwords de acesso dos dispositivos da organização

Uso de dispositivos da organização (ex.: tablet, portátil, smartphone)


‒ Acesso à rede doméstica com password

‒ Alterar a password de acesso fornecida pelo prestador de serviço

‒ Browser e antivírus atualizados

‒ Não colocar BD/ficheiros com dados pessoais em Clouds públicas (ex.: Dropbox,

Google Drive)

‒ Optar por sites seguros (“htpps://” ou cadeado)

‒ Comprar apenas em sites seguros e de confiança

Acesso à Internet


Comportamentos

Individuais de

Segurança

Trabalho

Casa Público


‒ Proteger contra “ouvintes” e “mirones”:

• Ter cuidado com as conversas (presenciais ou por telefone) em espaços públicos

• Garantir que os dados que aprecem no ecrã não são visíveis por terceiros

‒ Manter os dispositivos móveis (ex.: telemóveis e portáteis) sob vigilância (roubos)

Locais e transportes públicos


‒ Não utilizar redes wi-fi dos locais públicos para fornecer/consultar dados pessoais

‒ Não registar o email institucional em redes sociais

‒ Não divulgar informação da organização nas redes sociais sem autorização

‒ Não partilhar informação sobre viagens em tempo real

‒ Não partilhar informação sobre colegas (incluindo fotografias) sem consentimento

Pensar nas consequências (para o próprio, para os outros e para a organização)

antes de publicar qualquer informação!

Redes de Internet públicas e redes sociais



Contributos do GNS/CNCS


RCM 41/2018 “Arquitectura de Segurança das Redes e Sistemas de Informação”

Resolução do Conselho de Ministro


₋ Definir padrão mínimo de segurança (organizações podem implementar medidas adicionais

mais restritivas)

₋ Obrigatória para toda a AP (orientação para privados)

₋ Direcionada para a protecção dos dados pessoais

₋ Contempla 3 camadas: front-end, camada aplicacional e base de dados

₋ Agnóstica quanto à tecnologia (tecnologias mencionadas apenas a titulo de exemplo)

₋ Atual (validade / aplicabilidade independente da tecnologia existente)

- Em complemento à RCM 41/2018

- Tendo por base o know-how sobre o tratamento de Informação Classificada

- Levantamento das boas práticas NATO, UE e nacionais

Manual de Boas Práticas - RGPD e a Segurança das Redes e Sistemas de informação:

• Parte I - Deveres e responsabilidades das organizações

• Parte II – Contributos para políticas e procedimentos de segurança

• Parte III - Segurança física

*Disponíveis para download em www.gns.pt

Manual de Boas Práticas*


Segurança do tratamento de dados e cibersegurança

TCOR Ana Jorge [email protected]

IPQ, 23 de maio de 2019

Documents

Segurança do tratamento de dados e cibersegurança...‒ Sempre conectados 2) Fronteira entre vida profissional e privada cada vez mais ténue: “Trabalhar em qualquer lugar, a qualquer