Segurança da Informação Conscientização de empregados e contratados

Introdução ao Pensamento Gerencial

Fatos…

 "...O Brasil tem sido a base mais

atuante dos malfeitores da internet,

segundo a M2G Intelligence, consultoria

de risco digital de Londres…”

Fonte: THE NEW YORK TIMES,

Outubro 2003

“(…) A agência de espionagem Kroll foi

contratada pela presidente da Brasil

Telecom, Carla Cico, para investigar a

Telecom Italia, sócia da empresa, e com

quem o banqueiro Daniel Dantas, dono do

Banco Opportunity e principal controlador

da concessionária de telefonia fixa,

mantém uma briga pelo controle das

ações. (…) Kroll violou e-mails de

Gushiken. O presidente do Banco do

Brasil, Cássio Casseb, também foi

espionado pela empresa multinacional.”

Fonte: Jornal do Brasil / JB On Line

Julho de 2004

Fatos…

Fatos…

Lâmina pode ter cortado pneu do

Concorde da Air France

“(…) Uma lâmina metálica de 40

centímetros de comprimento, achada na

pista na qual utilizou o Concorde que caiu

em Gonesse, em 25 de julho, foi

provavelmente a causa do corte no pneu

que se rompeu na decolagem, anunciou

hoje a BEA _agência de investigação de

acidentes francesa. O acidente causou a

morte de 113 pessoas.”

Fonte: Folha Online 10/08/2000

Fatos…

Plataforma Petrobras 36 afunda

NOTA A IMPRENSA

“ A Petrobras informa que às 10h45 de hoje

(ontem) teve início o processo irreversível de

afundamento da plataforma P-36. Por razões

de segurança, todas as pessoas e

embarcações já haviam sido afastadas da

área, desde às 2h30, quando houve um

movimento brusco da plataforma. O Plano de

Contingência Ambiental da Petrobras,

acionado desde os primeiros momentos do

acidente, dispõe de nove embarcações com

técnicos e equipamentos para combater

qualquer afloramento de óleo.”

Fonte: Terra Notícias - Março 2001

Bacia de Campos, 19 de março de 2001

O presidente da Petrobras, Henri Philippe Reichstul, enfrenta mais uma tragédia em sua administração

Este servidor está seguro???

Nuclear Bunker

Concreto

500 metros

•Servidor “desligado”

•Cercado de concreto

•Bunker Nuclear

•500 metros abaixo do solo

Infelizmente nada é 100 % seguro …

RISCORISCO

CONCEITO CHAVE

INCERTEZA !INCERTEZA !

O cerne da questão é …RISCO !

O que pode acontecer?

Qual o impacto?

Com qual frequência?

O quão certo estou das respostas acima?

Ativos

Vulnerabilidades

Ameaças

Qual é a ameaça?

?

Qual é a ameaça?

Não Qual

mas Quem?

Quem é a ameaça - Hackers

Quem é a ameaça- Administradores

Quem é a ameaça - Usuários

Todos nós somos uma ameaça !

Euuuu ???

O que fazer?

Ou Não fazer?

Confidencialidade

Integridade

Disponibilidade

+

+

SEGURANÇA DA INFORMAÇÃO

O que é Segurança?

Organização

Negócios

Sistemas de Informação

Ativos

Possui

Mantidos por

Que dependem de

que podem ter ...

O que é Segurança?

VULNERABILIDADES

QUE PÕEM EM RISCO OS NOSSOS NEGÓCIOS !!!NEGÓCIOS !!!

O que é Segurança?

Um pouco de filosofia …

“"Nós somos aquilo que fazemos repetidas vezes. A excelência, então, não é um ato, mas um hábito".

 Aristóteles (348-322 A.C.)

O que é Segurança?

Conscientize-se !

“ De que adianta ter o melhor alarme em seu carro se você esquece de ligá-lo?”

O que é Segurança?

Compromisso !Compromisso !

O que é Segurança?

AtitudeAtitude ! !

ResponsabilidadeResponsabilidade ! !

Segurança também é…

Estar consciente é saber:

Quais são as suas responsabilidades

Quais sistemas de informação você interage e porquê

O que você precisa fazer para protegê-los

Estar ciente e comprometido com as políticas e diretrizes de segurança

O que é Segurança?

Concluindo …“ Segurança da informação é

Confidencialidade

Integridade

Disponibilidade

e acima de tudo,

uma questão de hábito “

O que fazer?

Consultar o Security Office em caso de dúvidas;

Deixar claro para os colaboradores a importância do assunto para companhia;

Conhecer as políticas de diretrizes de segurança vigentes que tenham influência em seu trabalho;

Compreender suas responsabilidades quanto a proteção dos ativos de TI da companhia (Pcs, Laptops, softwares, etc)

Responsabilidades Gerenciais

O que fazer?

Conhecer os softwares utilizados em seu setor e assegurar que todos foram obtidos de acordo com as políticas de licenciamento vigentes

Assegurar que os novos empregados e contratados sejam informados sobre a existência da política de segurança bem como onde buscar maiores informações

Riscos relativos aos sistemas de informação sob sua gestão.

Responsabilidades Gerenciais

O que NÃO fazer?

Ser complacente com a segurança das informações ou pensar: “não vai acontecer com você”

Esperar para procurar por ajuda ou demorar a agir se você achar que “algo está errado”. Procure ajuda o mais cedo possível.

Considerar segurança como uma necessidade que se aplica a somente a sistemas complexos e especializados

Tentar resolver você mesmo todos os problemas – Não hesite em em pedir ajuda

Responsabilidades Gerenciais

O que NÃO fazer?

Esquecer que o FAX, telefone e celulares também tem seus próprios requerimentos de segurança

Esquecer de recuperar ativos de informação (Ex. Notebooks) de empregados que estejam deixando a companhia. Você pode ser responsabilizado caso eles não sejam recuperados!

Responsabilidades Gerenciais

O que fazer?

Informe qualquer coisa suspeita. Você pode contactar seu gerente, o Security Office ou mesmo seu suporte local de acordo com a natureza do problema.

Proteja a informação da companhia mantendo-a segura;

Informe-se sobre que tipo de informação precisa ser protegida e siga os procedimentos existentes a respeito de Classificação da Informação

Informação é poder! Procure saber quais políticas e diretrizes afetam seu trabalho e então as siga.

Responsabilidades dos Empregados

O que NÃO fazer?

Permitir que visitantes tenham acesso as dependências da companhia desacompanhados.

Divulgar informações consideradas confidenciais pela companhia sem a devida autorização.

Conceder a visitantes ou consultores externos acessos a computadores ou aos sistemas de informação da companhia sem a devida autorização da gerência

Tentar utilizar algum computador ou qualquer sistema sem que tenha a devida autorização para tal. Lembre-se você pode estar sendo monitorado!

Responsabilidades dos Empregados

O que NÃO fazer?

Permitir a qualquer visitante conectar computadores pessoais ou notebooks a rede. Em caso de necessidade consultar o suporte local.

Utilizar equipamento para outro fim que não sejam atividades relacionadas ao seu negócio.

Responsabilidades dos Empregados

O que fazer?

Informar IMEDIATAMENTE ao seu Gerente ou ao Security Office sobre o ocorrido

Identifique o computador ou sistema que você acha que está comprometido e desconecte-o da rede local. Evite utilizá-lo até que o problema esteja completamente resolvido.

Avalie e documente os impactos do ocorrido para o negócio.

Mantenha um registro escrito dos eventos para ajudar a investigação.

Incidentes e Falhas de Segurança

O que NÃO fazer?

Ignorar ou “encobrir” incidentes

Demorar para comunicar um incidente

Assumir que um incidente “foi resolvido” antes de confirmar a informação com o suporte local

Permitir a reutilização de equipamentos sob suspeita antes de ação corrretiva

Incidentes e Falhas de Segurança

O que fazer?

Elabore suas senhas de forma a dificultar sua quebra:

• Mínimo de 8 caracteres

• Números e símbolos

• Incluindo o uso de UPPERCASE e LOWERCASE alternadamente

• Não repita seu USERNAME !

• Evite caracteres repetidos

• Evite temas comuns (seu time, placa carro, filho, sogra..)

Senhas

O que fazer?

Mantê-la em segredo é sua responsabilidade

Use “Password Protect” Screen Savers

Mude sua senha regularmente

Senhas

O que NÃO fazer?

Deixar seu PC ou Laptop sozinho quando quando estiver logado

Repetir a mesma senha quando o sistema solicitar que você mude.

Anotar sua senha para não esquecer e deixá-la próxima ao seu micro (Post it ..)

Revelar (mesmo ao funcionário de suporte local)

Senhas

O que fazer?

Use seu computador somente para fins autorizados

Proteja seu PC da observação alheia (visitantes, clientes)

Faça backup dos arquivos que você considera crítico - Faça isso regularmente

Armazene seus “backups” em um lugar seguro

Computadores Pessoais

O que NÃO fazer?

Mudar as configurações do antivírus

Trazer equipamento particular para empresa e conectá-lo a rede da companhia.

Usar equipamento para fins não autorizados

Transferir PC´s ou qualquer outro equipamento de sua locação sem autorização por escrito da gerência responsável

Computadores Pessoais

O que fazer?

IMPORTANTE!

• SUSPEITE de QUALQUER arquivo atachado recebido por E-Mail, MESMO DE CONHECIDOS !!!

Se você receber um CD ou disquete de uma fonte desconhecida, utilize seu software antivírus para proceder com uma verificação preliminar

Cheque regularmente se seu antivírus está atualizado. Caso não esteja, entre em contato com o suporte local

Proteção Antivírus

O que fazer?

Se houver suspeita de vírus:

Desconecte o cabo de rede do equipamento

Entre em contato com o suporte local e aguarde o atendimento

Informe ao seu Gerente ou ao Security Office sobre o ocorrido.

Tente determinar de onde veio a contaminação e informe ao seus colegas de trabalho sobre sua suspeita pedindo que eles verifiquem seus equipamentos.

Proteção Antivírus

O que NÃO fazer?

Alterar as configurações ou “desligar” software antivírus

Criar compartilhamentos “abertos” (Everyone Full control) em sua máquina

Repassar avisos sobre vírus aos seus colegas de trabalho a menos que ele seja proveniente de avisos internos ou do Security Office. Eles podem ser um HOAX

Proteção Antivírus

O que fazer?

Lista atualizada de pessoas autorizadas a entrarem em ambientes de acesso restrito com as respectivas razões

Trocar os códigos de acesso periodicamente

Controles ambientais (Umidade, Temperatura, Fumaça, detecção e supressão de incêndios)

Notebooks trancados em armários

Segurança Física

O que NÃO fazer?

Manter as mídias de backup no mesmo lugar que os equipamentos

Servidores em áreas abertas

PC´s próximos a locais de fácil observação externa

Transferir equipamentos sem a anuência do suporte local / pessoal de inventário

Segurança Física

Uso inapropriado da Internet Uso dos serviços Internet para negócios particulares ou pessoais.

Que vise o acesso não autorizado a quaisquer recursos dentro ou fora da empresa.

Prejudique o uso da Internet.

Desperdice recursos (pessoal, capacidade, computador).

Destrua a integridade ou faça uso indevido de quaisquer informações dos servidores.

Comprometa a privacidade de quaisquer usuários.

Não obedeça a legislação local e nacional aplicáveis.

Comprometa informações proprietárias ou confidenciais da empresa.

Não respeite outras políticas ou procedimentos da empresa.

Uso de E-mail e Internet

O que fazer?

Movimentação das informações devem estar autorizadas

Assegure que as informações enviadas estão completas e acuradas

Mecanismos adequados para transferência de grandes arquivos (FTP)

Registro de dados trocados com pessoas ou organizações externas

Trocando Informações

O que NÃO fazer?

Aceitar ou usar dados/programas de fontes externas quando em dúvida sobre a autenticidade ou integridade

Transferir arquivos grandes para outros usuários através de emails.

“Carregar” qualquer programa que não se saiba a origem – Evite surpresas …

Trocando Informações

O que fazer?

Autorizado pela gerência

Personal Firewall instalado

Mudar regularmente sua Senha e ID

Acesso Remoto

O que NÃO fazer?

Permitir outras pessoas usarem seu equipamento ou facilidades de acesso remoto disponibilizadas pela companhia

Deixar sua conexão aberta sem utilização

Conectar o LAPTOP à rede de terceiros

Acesso Remoto

O que fazer?

As informações armazenadas em seu PC é propriedade da empresa contratante e com tal é considerada um ativo da companhia !

Backup SEMPRE e REGULARMENTE !

Cuidado ao compartilhar informações

Manipulando Informações

O que NÃO fazer?

Acessar, copiar ou transferir dados a menos que esteja autorizado

Acessar dados confidenciais, mesmo que disponíveis, fora do seu nível de autoridade

Manipulando Informações

Fato …Fato …

“ (…) Em 31/12/2003, data histórica que marca a primeira condenação penal no país por crimes de estelionato (artigo 171, caput, combinado com parágrafo 3º do Código Penal), formação de quadrilha (artigo 288 do Código Penal) e violação de sigilo bancário (Lei Complementar 105/2001) cometidos via internet.

Estamos falando da sentença proferida pela juíza Janete Lima Miguel Cabral, da 2ª Vara da Justiça Federal de Campo Grande, localizada em Mato Grosso do Sul, que condenou Guilherme Amorim de Oliveira Alves, de 19 anos, a seis anos, cinco meses e seis dias de prisão. Além de Guilherme, a juíza condenou também um de seus comparsas, Evânancy Soares de Alcântara, a quatro anos, oito meses e vinte dias de prisão.”

PL84/99 – Aprovação prevista para este anoFONTE: Módulo

Computer Crime

O que fazer?

Reportar circunstâncias suspeitas a gerência

Monitorar log´s dos sistemas críticos

Gravar e guardar evidências para posterior avaliação

Computer Crime

O que NÃO fazer?

Destruir evidências

Demorar a reportar incidentes

Divulgar suspeitas de incidentes

Computer Crime

Concluindo …

“ Consideramos Computer Crime os danos causados de forma deliberada à equipamentos, dados ou softwares.Incluindo-se também:

Propagar vírus

Acessar dados não autorizados

Quebrar privacidade alheia

Espionagem

O que fazer?

Trate programas e software com ativos da companhia

Esteja ciente que todo os programas e sistemas escritos por empregados da empresa no curso de suas atividades pertencem a empresa contratante

Saiba que a violação ou desrespeito às normas de licenciamento de software constitui CRIME, bem como violação do código de ÉTICA das empresas

Licença de Softwares a Copyright

O que NÃO fazer?

Copiar software

Usar software não autorizado/licenciado

Fazer “download” de FREEWARE ou SHAREWARE sem a devida autorização da gerência

Licença de Softwares a Copyright

Políticas de Segurança

CONCEITO CONCEITO

“ Uma declaração formal de regras que devem ser obedecidas pelas pessoas as quais são concedidos acessos a tecnologias e ativos de informação de uma organização “

RFC 2196 (Site Security Handbook) ...