Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
FIAP - FACULDADE DE INFORMÁTICA E ADMINISTRAÇÃO PAULISTA
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
ANDERSON GONÇALVES DE FREITAS
SEGURANÇA CIBERNÉTICA: MITIGAÇÃO DO RISCO DE AMEAÇAS INTERNAS
SÃO PAULO
2017
ANDERSON GONÇALVES DE FREITAS
SEGURANÇA CIBERNÉTICA: MITIGAÇÃO DO RISCO DE AMEAÇAS INTERNAS
Trabalho apresentado à Faculdade de Informática e Administração de São Paulo – FIAP, como requisito para a obtenção do título de MBA em Gestão da Segurança da Informação, sob a orientação do Prof. Msc. Marcelo Lau.
SÃO PAULO
2017
AGRADECIMENTOS
A Deus, meu grande mestre e provedor, fonte de todo o bem, a quem seja
toda honra e glória.
À minha amada esposa pela contribuição, apoio e compreensão.
Ao estimado Prof. Msc. Marcelo Lau, pela generosidade, incentivo e
direcionamento desde o início até a conclusão deste desafio.
RESUMO
Este trabalho visa destacar a importância da segurança cibernética para os
governos e as organizações, frente aos perigos iminentes no mundo cibernético, que
incluem ameaças, códigos maliciosos, hackers e outros riscos de segurança
cibernética em constante evolução. Depois de apresentarmos o cenário no qual as
organizações procuram se proteger contra possíveis ataques, abordaremos a
ameaça mais perigosa: a ameaça interna. Este tipo de ameaça pode criar
vulnerabilidades capazes de pôr em risco a totalidade dos negócios de uma
organização e, para tratá-la, apresentaremos o NIST Cybersecurity Framework
utilizando o COBIT 5 como metodologia para mitigar o risco cibernético, juntamente
com um plano de ação para sua implementação.
Palavras-chave: segurança cibernética, ameaça interna, NIST
ABSTRACT
This paper aims to highlight the importance of cyber security for governments
and organizations facing imminent dangers in the cyber world, which include threats,
malicious codes, hackers and other cyber security risks in constant evolution. After
presenting the scenario in which organizations seek shelter from possible attacks, we
will address the most hazardous threat: the internal threat. This type of threat can
create vulnerabilities that could jeopardize the entire business of an organization and,
in order to address this risk, we will present the NIST Cybersecurity Framework using
COBIT 5, as a methodology to mitigate cybernetic risk, along with an action plan for
its implementation.
Keywords: cybersecurity, internal threat, NIST
LISTA DE ILUSTRAÇÕES
Figura 1 - Ataques ocasionados por ameaças internas por indústria 13
Figura 2 - Mapa interativo de ameaças online em tempo real 15
Figura 3 - Impacto dos incidentes de segurança cibernética 17
Figura 4 - Resumo comparativo entre os códigos maliciosos 30
Figura 5 - Relatório Global de Segurança da Informação da PWC 32
Figura 6 - Relatório sobre ameaças internas 2016 – Vormetric 33
Figura 7 - Ameaças e vulnerabilidades que mais aumentaram a sua
exposição 35
Figura 8 - Orçamento de Segurança da Informação 42
Figura 9 - Média de perdas financeiras devido a incidentes de segurança 43
Figura 10 - Adoção de frameworks de segurança da informação
baseados em riscos 47
Figura 11 - Estrutura do Framework Profile 60
LISTA DE TABELAS
Tabela 1 - Estrutura do Core Framework 51
Tabela 2 - Estrutura detalhada do Core Framework 52-56
Tabela 3 - Folha de Dicas do NIST Cybersecurity Framework. 57
[ 7 ]
SUMÁRIO
1. INTRODUÇÃO ............................................................................................. 9
2. SEGURANÇA CIBERNÉTICA .......................... ......................................... 11
2.1. Definições de segurança cibernética .................................................... 11
2.2. Importância da segurança cibernética .................................................. 12
2.3. Impacto para os negócios .................................................................... 16
2.4. Linha do tempo da história de segurança cibernética .......................... 18
3. AMEAÇAS EXTERNAS ............................... .............................................. 23
3.1. Classificação das ameaças externas ................................................... 23
3.2. Identificação dos tipos de hackers ....................................................... 25
3.3. Classes comuns de códigos maliciosos ............................................... 27
4. AMEAÇAS INTERNAS ............................... ............................................... 31
4.1. O que são ameaças internas ............................................................... 31
4.2. Cenário das ameaças internas ............................................................. 32
4.3. Incidentes mais comuns causados por ameaças internas (SEI, 2013) 34
4.4. Categorias de ameaças internas .......................................................... 35
4.5. Casos de violações internas ................................................................ 37
4.6. Perfis das ameaças internas ................................................................ 39
4.7. Motivadores das ameaças internas ...................................................... 41
5. MITIGAÇÃO DOS RISCOS ........................... ............................................. 42
5.1. Ferramentas para mitigação do risco ................................................... 44
5.2. Visão geral do Cibersecurity Framework (CSF) ................................... 47
5.3. Core Framework ................................................................................... 50
5.4. Framework Implementation Tiers ......................................................... 57
5.5. Framework Profile ................................................................................ 60
[ 8 ]
6. IMPLEMENTAÇÃO DO NIST CYBERSECURITY FRAMEWORK
UTILIZANDO COBIT 5 ................................ ............................................................. 61
6.1. Implementação do COBIT 5 ................................................................. 61
6.2. Afinal, por que o COBIT 5.0? ............................................................... 61
6.3. Governança e Gerenciamento Corporativo de TI ................................. 62
6.4. Gestão de riscos .................................................................................. 62
6.5. Etapas para implementação ................................................................. 64
6.6. Frameworks de implementação (modelo de maturidade) .................... 72
7. CONCLUSÃO ...................................... ....................................................... 74
REFERÊNCIAS .............................................................................................. 75
[ 9 ]
1. INTRODUÇÃO
Desde meados do século XX, com o advento da III Revolução Industrial, ou a
Revolução Técnico Científica, as inovações no campo da informática permitiram que
a sociedade chegasse a tal nível de informatização que hoje vivemos a era do
conhecimento, na qual atribui-se à informação valor cada vez maior para todos –
indivíduos, governos e organizações.
No mundo dos negócios, organizações de todos os segmentos utilizam de
forma intensiva o espaço cibernético para seus processos de negócios. Infelizmente,
não só a tecnologia a serviço dos negócios evoluiu, mas, como tudo que envolve a
dualidade de caráter do ser humano, também surgiram ameaças que se sofisticaram
ao longo do tempo, podendo fazer das empresas e governos alvo ou meio para
fraudes, espionagem industrial, sabotagem e fonte de acesso a informações
sensíveis próprias ou de terceiros (clientes, fornecedores etc.).
Assim, o papel da segurança da informação ganhou importância e passou a
ser vital para proteger a integridade, disponibilidade, confidencialidade, autenticidade
e irretratabilidade dos dados (ABNT NBR ISO/IEC 27002:2013) dentro das
organizações.
Mesmo com o aumento da preocupação contra ameaças cibernéticas, uma
grande dificuldade das empresas é enxergar os riscos cibernéticos de maneira
prática e criar maneiras para se precaver. Assim, atualmente, 63% das empresas
brasileiras não têm planos contra ameaças cibernéticas, enquanto a onda de crimes
praticados por hackers cresceu 197% em um ano, no Brasil, segundo dados do
relatório Global Information Security Survey – GISS (EY, 2015).
Apesar destas limitações, há algumas décadas as organizações vêm
adotando medidas protetivas ao reforçar suas barreiras de segurança física (como,
por exemplo, controles de acesso, controles de intrusão, CFTV, entre outras
medidas) e lógica (como criptografia de dados, por exemplo) contra ameaças e
ataques cibernéticos.
[ 10 ]
Entretanto, há uma ameaça muito próxima e que provavelmente jamais será
eliminada: a ameaça interna. Por mais coesas e robustas que sejam as ferramentas
e políticas protetivas, sempre haverá a imprevisibilidade do fator humano. No caso, o
risco de dano às organizações é aumentado por se tratar de insiders, ou seja,
pessoas de dentro das organizações, que gozam de muitos privilégios referentes a
informações e acessos.
Por isso, torna-se necessário às organizações desenvolver e aplicar padrões
e boas práticas de segurança cibernética. Depois de priorizar riscos e definir
políticas que envolvam todos os ambientes, as empresas podem aplicá-las por meio
de processos automatizados e fluxos de trabalho que protejam as informações,
identifiquem ameaças e corrijam incidentes ou se antecipem a eles.
Assim, o objetivo geral deste trabalho é elucidar a importância da adoção de
boas práticas de segurança cibernética, face ao desenvolvimento das ameaças à
segurança das informações nas organizações. Dentro desta proposta, estudaremos
o conceito, a evolução, o desafio e as implicações que envolvem a segurança
cibernética. Em seguida, abordaremos os tipos de ameaças cibernéticas, com foco
naquela que pouco chama a atenção das organizações, mas tem se mostrado nas
pesquisas de segurança da informação como a que maior risco representa para as
empresas: a ameaça interna. Por fim, apresentaremos considerações sobre a
mitigação deste risco e um plano de ação para implementar a metodologia NIST
Cybersecurity Framework utilizando o COBIT 5.
Para tal, utilizaremos a metodologia de pesquisa bibliográfica, desenvolvida a
partir de materiais publicados em livros, artigos, dissertações e teses, com
abordagem qualitativa.
[ 11 ]
2. SEGURANÇA CIBERNÉTICA
2.1. Definições de segurança cibernética
A segurança cibernética, também conhecida como segurança do ciberespaço,
tem se tornado cada vez mais importante no mundo digital, pois se refere à coleção
de ferramentas, políticas, conceitos de segurança, orientações, abordagens de
gestão de risco, ações, formação, melhores práticas de garantia e tecnologias que
podem ser usadas para proteger de ameaças cibernéticas (ARCON, 2016).
Pode também ser conceituada como a soma dos esforços destinados a
proteger redes, dispositivos, sistemas e dados contra ataques, danos, espionagem
ou acesso não autorizado (PALO ALTO, 2016).
Ainda, de acordo com a União Europeia1, a segurança cibernética se refere às
garantias e ações que podem ser usados para proteger o domínio cibernético, tanto
no campo civil como militar, contra ameaças que possam prejudicar suas redes
interdependentes e infraestrutura de informações (COMMISION, 2013).
Já o governo brasileiro, através do DSIC/GSIPR2, define a segurança
cibernética como a arte de assegurar a existência e a continuidade da Sociedade da
Informação de uma Nação, garantindo e protegendo, no Espaço Cibernético, seus
ativos de informação e suas infraestruturas críticas3 (PLANALTO, 2016).
Uma informação interessante registrada no Dicionário Inglês Oxford4 é que a
expressão “segurança cibernética” foi usada pela primeira vez em 1989. No
dicionário, é definida como a condição de estar protegido contra a utilização
1 União Europeia é uma união econômica e política de 28 estados-membros independentes situados principalmente na Europa. 2 DSIC - Departamento de Segurança da Informação e Comunicação. GSIPR - Gabinete de Segurança Institucional da Presidência da República 3 Infraestrutura crítica são instalações, serviços e bens que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança nacional. 4 Oxford – O Dicionário Inglês Oxford concentra-se na linguagem atual e uso prático. O site em inglês fornece acesso gratuito aos maiores dicionários e encicloédias atuais, bem como dicas úteis sobre gramática, uso, ortografia e muito mais.
[ 12 ]
criminosa ou não autorizado de dados eletrônicos, ou as medidas tomadas para
alcançar este objetivo (BROWN, 2015).
Cabe ressaltar que, qualquer que seja o conceito utilizado, ele deve
incorporar os seguintes aspectos imprescindíveis à segurança cibernética (ABNT
NBR ISO/IEC 27002:2013):
• Integridade: Garantia de que a informação manipulada ou transferida
esteja correta, incluindo controle de manutenção e destruição da
informação.
• Disponibilidade: Garantia de que a informação esteja sempre disponível
quando necessário, para o uso por aquele que precisar no exercício de
suas funções.
• Confidencialidade: Garantia do acesso a informação somente para
aqueles que estejam autorizados.
• Autenticidade: Garantia de que a informação é procedente da fonte
emitida e que não sofreu alterações ao longo de um processo.
• Irretratabilidade (não-repúdio): Garantia da comprovação de quem
cometeu o ato.
2.2. Importância da segurança cibernética
A rápida digitalização ao redor do mundo fez com que a cibersegurança fosse
idenificada como uma prioridade para os formuladores de políticas (NYST, 2016).
Assim, os governos mundiais passaram a considerar a segurança cibernética como
uma necessidade vital para a proteção das infraestruturas críticas, tais como saúde,
energia, defesa, transporte, telecomunicações, da própria informação, entre outras.
Sua importância atingiu tal magnitude que os 28 líderes da OTAN5, no acordo da
NATO 2016, reconheceram o ciberespaço como o quinto domínio para a guerra,
depois de terra, mar, ar e espaço (NATO, 2016).
5 OTAN (em inglês, NATO) é a sigla para Organização do Tratado do Atlântico Norte, uma aliança político-militar criada no dia 4 de abril de 1949, durante a Guerra Fria, que reunia países ocidentais e capitalistas, liderados pelos Estados Unidos.
[ 13 ]
No setor privado, o crescimento da importância da segurança cibernética não
é diferente: a grande maioria das organizações, independente do segmento em que
atuam, utilizam de forma intensiva o espaço cibernético para seus processos de
negócios: Cloud6, BYOD7, Shadow IT8, IoT9, e-commerce10, Smart Cities11, etc.
De acordo com CAPPELLI, MOORE e TRZECIAK (2012), as ameaças
internas podem atingir qualquer setor:
Figura 1 – Ataques ocasionados por ameaças internas por indústria
Fonte: CAPPELLI, MOORE e TRZECIAK (2012)
Lidar com as ameaças cibernéticas constitui um dos mais sérios desafios de
segurança econômica, financeira, política e militar da atualidade. Atualmente, 63%
das empresas brasileiras não têm planos contra ameaças cibernéticas
6 Cloud computing ou computação em nuvem é a entrega da computação como um serviço ao invés de um produto, onde recursos compartilhados, são fornecidos, permitindo o acesso através de qualquer dispositivo conectado à Internet. 7 O BYOD (Bring Your Own Device) significa “traga o seu próprio dispositivo” e dá aos funcionários da empresa a oportunidade de utilizar os seus próprios aparelhos para acessar dados e informações da companhia. 8 Shadow IT é um termo frequentemente usado para descrever sistemas de TI e soluções de TI construídas e usadas dentro das organizações sem aprovação organizacional explícita. 9 IoT (Internet of Thing) é o conceito da Internet das Coisas, que se refere a uma revolução tecnológica que tem como objetivo conectar os itens usados do dia a dia como eletrodomésticos e meios de transporte, à rede mundial de computadores. 10 e-Commerce é a abreviação de electronic commerce, cuja tradução é comércio eletrônico. No sentido amplo do termo é todo o comércio realizado através de meios eletrônicos. 11 Smart City, ou Cidades Inteligentes, é um conceito da mais recente inovação tecnológica discutida nos mais diversos fóruns mundiais que abordam o tema da sustentabilidade para cidades do futuro
[ 14 ]
(COMPUTERWORLD, 2016) e a onda de crimes praticados por hackers cresceu
197% no Brasil em um ano (MATSUURA, 2016).
Um dos maiores desafios da segurança cibernética é a constante evolução
dos riscos de segurança. Basta acompanharmos os relatórios de tendências e
ameaças cibernéticas para observamos estas se tornando mais avançadas e difíceis
de identificar (VERISIGN, 2016).
Para se ter uma visão da intensidade e abrangência dos ataques cibernéticos
em tempo real, podemos consultar um mapa interativo, como o Kaspersky
Cybermap, solução de segurança desenvolvida pela Kaspersky Labs que exibe as
ameaças online ao redor do mundo em tempo real (KASPERSKY, 2016). Cabe
destacar que o Brasil ocupa a 5° posição como país mais infectado do mapa, logo
atrás de Estados Unidos, Rússia, Vietnã, Alemanha e Brasil, em pesquisa realizada
em 22 de novembro de 2016.
Figura 2: Mapa interativo de ameaças online em tempo real
Figura traduzida da Fonte: (Kaspersky Cybermap, 2016)
[ 15 ]
Segundo a Kaspersky, as ameaças apontadas no mapa12 são:
• OAS (On Access Scan): apresenta o fluxo de detecção de malware
durante a verificação de acesso, ou seja, quando os objetos são
acessados ao abrir, copiar, executar ou salvar operações.
• ODS (On Demand Scanner): apresenta o fluxo de detecção de malware
durante a análise por demanda, quando o usuário selecionar manualmente
o Verificar vírus.
• WAV (Web Antivirus): apresenta o fluxo de detecção de malware no
processo de verificação do antivírus quando a página html de um site abre
ou um download é iniciado. Ele verifica as portas especificadas nas
configurações do programa.
• MAV (Mail Antivirus): rastreia o fluxo de detecção de malware durante a
análise do antivírus quando novos objetos aparecem em um aplicativo de
e-mail (Outlook, The Bat, Thunderbird): O MAV verifica mensagens e
chamadas recebidas OES ao salvar anexos para um disco.
• IDS (Intrusion Detection System): mostra ataques de rede de fluxo de
detecção.
• VLNS (Verificação de Vulnerabilidade): apresenta o fluxo de detecção de
vulnerabilidades.
• BAD (Detecção de Atividade de Botnet): mostra estatísticas sobre
endereços IP identificados de DDoS-ataques vítimas e botnet servidores C
& C. Estas estatísticas têm como fonte o sistema de DDoS Intelligence
(parte da solução Kaspersky DDoS Protection) e é limitada aos dados
sobre botnets que foram detectados e analisados pela Kaspersky Lab”.
• KAS (Kaspersky Anti-Spam) “mostra o tráfego de e-mails suspeitos e
indesejados rastreados pelo Kaspersky Lab Reputation Filtering
Technology”.
12 Informação Disponível em: <https://cybermap.kaspersky.com/subsystems/>
[ 16 ]
2.3. Impacto para os negócios
Além de cada vez mais numerosos, os incidentes de segurança cibernética
podem ter impacto muito grande no negócio, desde vazamento de informações para
concorrentes até afetar a integridade dos dados.
Cada vez mais, as organizações relatam que os dados internos, de
funcionários e de clientes são os principais alvos de ataques cibernéticos.
Enquanto o comprometimento de registros de clientes aumentou 35%, o
roubo de propriedade intelectual, como planos de negócios estratégicos e
documentos financeiros, aumentou mais do que qualquer outra perda de dados.
Figura 3 – Impacto dos incidentes de segurança cibernética
Fonte: (PwC, 2016)
Paradas não programadas das equipes e riscos à continuidade de operações
críticas à manutenção dos negócios podem fazer uma empresa passar por situações
terríveis. Isso em função de problemas de segurança que podem envolver perda de
dados, roubo ou fraude, situações que comprometem a integridade da informação,
ataques de hackers e crimes cibernéticos e outras violações.
• Interrupção de todas as atividades e processos: Quando o ambiente
corporativo de uma organização é infectado por uma ameaça cibernética, que
não foi detectada devido à falta de um plano contra ciberataques, todas as
atividades e processos realizados diariamente acabam sendo paralisados.
Alguns tipos de ameaça, como o ransomware, bloqueiam o acesso aos
arquivos ou sistemas operacionais dos computadores ou dispositivos móveis
[ 17 ]
da empresa, e sem o acesso aos dados e sistemas, os colaboradores não
têm como realizar o seu trabalho adequadamente, o que os torna
improdutivos.
• Despesas decorrentes de multas e indenizações: Empresas que não
possuem um plano de segurança contra ameaças cibernéticas acabam
ficando sujeitas a ciberataques e, consequentemente, ao roubo de dados de
seus clientes. E quando isso acontece, elas precisam pagar indenizações aos
seus clientes e multas decorrentes de leis governamentais relacionadas à
falta de proteção de informações sigilosas – dependendo do país em que a
organização estiver sediada.
• Danos à reputação da marca : Outro prejuízo que a empresa tem por não
elaborar um plano contra ameaças está ligado à reputação da marca no
mercado, que acaba sendo desgastada após o ciberataque. Depois do
incidente, ela não só mostrará o seu despreparo com relação à segurança
corporativa, como também sua falta de preocupação com a proteção dos
dados de seus clientes. Isto fará ela perder tanto seus clientes atuais como
futuros.
• Perda dos ativos da infraestrutura de TI : As ameaças cibernéticas, após
infectarem um dispositivo, agem silenciosamente até assumirem o controle
total da infraestrutura de TI da empresa (computadores, dispositivos de rede,
data centers, bancos de dados, etc.). Depois de tomarem posse de toda a
infraestrutura, eles bloqueiam o acesso a elas. Na maioria das vezes, as
empresas precisam comprar uma nova infraestrutura, já que não podem mais
acessar a antiga.
• Gastos para voltar a operar no mercado: Além de pagar multas e
indenizações, uma empresa que sofre um ciberataque também precisa
adquirir novos ativos de TI, incluindo hardwares e softwares. Isto, sem dúvida,
demandará uma grande quantidade de recursos financeiros. Se a
organização não tiver uma apólice de seguro que cubra as perdas, ou não
[ 18 ]
possuir recursos suficientes em caixa, então ela correrá o risco de ser posta
para fora do mercado.
2.4. Linha do tempo da história de segurança cibern ética
A tecnologia digital revolucionou o mundo e hoje não é mais possível para
indivíduos, organizações ou governos atuarem sem este recurso. Entretanto, ele
está repleto de ameaças, que foram se tornando mais sofisticadas e poderosas ao
longo do tempo. A lista de eventos desta linha de tempo é exemplificativa e
menciona alguns casos de destaque relacionados à segurança cibernética, com o
propósito de demonstrar a evolução dessas ameaças, seus níveis de sofisticação e
os prejuízos que podem causar.
1903: Um século atrás, um dos primeiros hackers do mundo, o mágico e
inventor Nevil Maskelyne, interrompe o físico John Ambrose Fleming em uma
demonstração pública do pioneiro de rádio italiano Guglielmo Marconi de um
telégrafo sem fio supostamente seguro enviando mensagens de insultos por sinais
de código (MARKS, 2011).
Neste caso não houve a vazamento de dados ou fraude, mas a imagem e
reputação de Marconi e sua tecnologia sem fio foram manchados. O caso foi
impresso no jornal The Times de Londres e afetou as empresas de telegrafia, que
possuíam redes de cabos terrestres e marítimos caros e operavam flotilhas de
navios com tripulações especializadas para estabelecer e servir seus cabos
submarinos.
1939: Alan Turing, o matemático, lógico, criptoanalista e cientista da
computação britânico; Gordon Welchman, o autor, matemático, professor
universitário, decoficador na Segunda Guerra Mundial em Bletchley Park; e Harold
Keen, um engenheiro da British Tabulating Machine Company, trabalharam em
conjunto para desenvolver a Bomba, um dispositivo eletromecânico projetado para
[ 19 ]
ajudar a quebrar o código alemão Enigma13 durante a Segunda Guerra Mundial,
permitindo que até 5.000 mensagens por dia fossem decodificadas. Isto foi
fundamental para a vitória das Forças Aliadas na guerra (OFFICE, 2014).
Por meio deste exemplo, podemos observar que desde a Segunda Guerra
Mundial já ocorriam violações de dados protegidos através de criptografia. Na
época, a criptografia era utilizada apenas por governos ou grandes empresas.
Desde então, o uso da matemática em criptografia tem avançado e sua utilização se
tornou eficaz também para aplicações usuais, visto que hoje a utilização de
computadores e da internet como meio de comunicação é ampla também para
indivíduos e organizações.
1943: René Carmille, o então controlador geral do Exército francês, era um
expert na tecnologia de cartões perfurados da IBM-Dahomag14, empresa
fornecedora de informações automatizadas aos nazistas. Durante o curso de dois
anos, ele não apenas atrasou a tabulação de dados sobre judeus franceses, como
também hackeou as próprias máquinas de seu departamento, reprogramando o
sistema para nunca incluir nos relatórios a informação sobre religião, além de ter
produzido, assim, 20.000 cartões de identidade falsos para judeus e outras minorias
étnicas que procuravam escapar da perseguição. Ele ainda identificou 800.000 ex-
soldados, ajudando a mobilizar a Resistência Francesa na Algéria. Foi descoberto
pelos nazistas e morreu em Dachau, em janeiro de 1945 (BRYEN, 2012).
René Carmille pode ser considerado o primeiro hacker ético da história. Neste
caso, sua atuação voltou-se a um fim nobre, porém do ponto de vista de seus
contratantes, os nazistas, ele constituiu uma ameaça interna, com a prática de
sabotagem.
13 Enigma é o nome pelo qual era conhecida uma máquina eletromecânica de criptografia com rotores, utilizada tanto para criptografar como para descriptografar códigos de guerra pela forças militares alemãs durante a Segunda Guerra Mundial. 14 A Dahomag era uma empresa alemã, subsidiária da estadunidense IBM, e foi a principal fornecedora da tecnologia estatística (principalmente processos classificatórios, máquinas de contagem e cartões perfurados) utilizadas pelo III Reich para a contagem e extermínio de milhões de pessoas durante o Holocausto.
[ 20 ]
1960: John Draper (também conhecido como Capitão Crunch ou Crunchman)
foi um hacker americano que criou o conceito de phreaker ao utilizar o equipamento
Blue Box, de sua criação, que gerava tons nas frequências necessárias, para
comunicar-se com a central telefônica e controlar o destino das ligações sem
depositar moedas (STORM, 2011).
John Draper explorou as vulnerabilidades das centrais telefônicas para
praticar fraudes a fim de obter ganhos próprios.
1980: Um funcionário do First National Bank of Chicago foi pego em uma
tentativa infeliz de desviar US$ 70 milhões transferindo os fundos para bancos na
Áustria (POSSLEY, 2016).
Este tipo de ameaça interna constitui outro caso de fraude, na qual um
funcionário mal-intencionado utiliza seus conhecimentos internos para a
manipulação dos recursos a fim de obter ganhos próprios, causando danos à
empresa.
2000: O Departamento de Defesa dos EUA coloca 1.500 computadores do
Pentágono em modo offline, devido a um ataque cibernético e vazamentos de dados
de defesa dos EUA ocasionados por spear phishing (PRESS, 2016).
Trata-se de uma ameaça não intencional (causado por uma ação), o tipo de
ameaça que explora a engenharia social, neste caso através do spear phishing, que
é um golpe de e-mail direcionado por um fraudador que se faz passar por uma fonte
legítima com o intuito de obter acesso não autorizado a dados sigilosos.
2005: A companhia que processava pagamentos com cartões da MasterCard
e da Visa, entre outros, nos Estados Unidos, teve o vazamento dos números de
cartões de crédito de aproximadamente 40 milhões de clientes. A companhia, no
entanto, acabou indo à falência, já que ainda foi descoberto que as informações que
eram armazenadas na empresa ficavam totalmente desprotegidas (ESTADO, 2016).
[ 21 ]
Esta companhia entra nas estatísticas das muitas organizações que
desconhecem a magnitude do potencial prejuízo em um incidente de segurança
cibernética, e deixam de seguir os padrões e práticas recomendadas.
2010: O sistema da prefeitura do município de Pratânia (SP), localizado a 271
km da capital paulista, foi infectado pelo ransomware, código malicioso que torna
inacessíveis os dados armazenados por meio de uso de criptografia, e que exige
pagamento de resgate para restabelecer o acesso ao usuário. O pagamento do
resgate geralmente é feito via bitcoins. Os servidores públicos que chegaram para
trabalhar na segunda-feira, encontraram seus computadores e todos os programas
da prefeitura criptografados, com acesso negado. Quem tentou abrir algum arquivo
ou realizar alguma ação no computador se deparou com uma mensagem em inglês
que pedia um resgate de US$ 3 mil para restabelecer o serviço (PRADO, 2016).
Aqui observamos outro caso de ataque de engenharia social, onde um
funcionário é manipulado para violar uma política interna da empresa. Uma
mensagem de e-mail vem acompanhada de um argumento que tenta convencer o
funcionário a clicar em um link ou anexo que leva ao ransomware. Contramedidas
eficazes podem ser tomadas contra este risco, como a conscientização e o
treinamento, que ajudam a melhorar a cultura de segurança dos funcionários.
2013: Os dados fornecidos por Snowden dão conta de que a NSA (Agência
de Segurança Nacional dos EUA) opera há anos um vasto esquema de espionagem
de e-mails e ligações telefônicas operado em conjunto com empresas de
telecomunicações. O cerne das denúncias é o PRISM, um programa de
monitoramento em tempo real da circulação de informações na internet. Snowden
trabalhou para a Agência Central de Inteligência dos EUA (CIA, na sigla em inglês) e
para a NSA em cargos ligados ao manejo e monitoramento de dados em sistemas
complexos. Seu último emprego foi, segundo ele mesmo definiu, o de “analista de
infraestrutura” na Booz Allen Hamilton, uma empresa de informática contratada pela
NSA (ESTADÃO, 2013).
Snowden representa dentro das empresas os colaboradores que têm acesso
a informações privilegiadas, que por estarem nesta posição, passam a representar
[ 22 ]
um risco para empresa, pois, como Snowden, têm acessos privilegiados a
informações restritas, e podem a qualquer instante quebrar o sigilo.
2016: A agência de polícia da União Europeia, a Europol, afirmou que um erro
humano foi o responsável por uma falha de segurança nos dados da agência que
levou ao vazamento de dossiês contendo informações sobre investigações de
terrorismo, que foram parar na internet. Um membro da equipe da Europol -
contrariando as normas de segurança da agência - levou os dossiês para casa e os
copiou para um disco rígido que estava ligado à internet.
Esse é o tipo de ameaça interna que ignora os procedimentos ou políticas da
empresa, preferinfo agir à sua própria maneira e considerando-se “dono” dos dados
da empresa.
[ 23 ]
3. AMEAÇAS EXTERNAS
Em muitos casos, a ameaça interna ou insider não age só, mas em
colaboração voluntária ou inconsciente com agentes externos. Por isso, faz-se
necessário contextualizar a origem e tipos mais comuns das ameaças externas.
3.1. Classificação das ameaças externas
As ameaças cibernéticas costumam apoiar-se na concepção de possíveis
cenários, mediante as vulnerabilidades conhecidas e exploradas. Em suas formas
mais destrutivas, as ameaças cibernéticas visam ativos secretos, políticos, militares
ou infraestruturas críticas de uma nação.
Dependendo da motivação associada aos ataques deliberados, podemos
agrupar as ameaças em:
• Crime cibernético: Refere-se a qualquer atividade ou prática ilícita na
rede que possa envolver fraude bancária, invasões de sistema, roubo de
dados, disseminação de vírus, golpes virtuais, bullying cibernético,
pornografia e pedofilia infantil, roubo de identidade ou violação de
propriedade intelectual (WENDT, 2013).
• Espionagem cibernética: O ato de espionagem é bem mais antigo do
que pensamos. A Bíblia narra que, na luta para conquistar a terra
prometida durante o cerco de Jericó, o exército hebreu usou homens
infiltrados entre os inimigos: Josué, filho de Num, secretamente despachou
de Setim dois espiões: “Ide, disse-lhes ele, e examinai a terra e a cidade
de Jericó15“. Esta batalha possivelmente ocorreu em 1315 a.C. ou 1210
a.C.16
15 13 Informação Disponível em: Bíblia Sagrada - Velho Testamento - Livro de Josué - Capítulo 2 - Versículo 1 16 14 Informação Disponível em: <https://pt.wikipedia.org/wiki/Batalha_de_Jeric%C3%B3>
[ 24 ]
A espionagem cibernética é a prática de usar a tecnologia da informação
para obter informações secretas sem autorização, para se adquirir
vantagens estratégicas, econômicas, políticas ou militares (CLARKE,
2015).
• Guerra cibernética: A guerra cibernética envolve estados-nações que
usam da tecnologia para penetrar de forma não autorizada redes de outra
nação, com o intuito de causar danos ou destruição em suas
infraestruturas críticas, instalações, serviços e bens que, se interrompidos
ou destruídos, provocarão sério impacto social, econômico, político,
internacional ou à segurança nacional (CLARKE, 2015). Inclusive,
conforme referido anteriormente, a OTAN já considera o ciberespaço
como o quinto domínio para a guerra depois de terra, mar, ar e espaço17.
• Terrorismo Cibernético: Trata-se do uso destrutivo da tecnologia da
informação por grupos terroristas para promover sua agenda ideológica ou
política, através de técnicas de destruição ou incapacitação de redes
computacionais de informação. Um exemplo ocorreu contra o governo da
Estônia, que sofreu um ataque cibernético russo contra seus sites,
derrubando quase todas as redes de ministério e bancos, em resposta da
polêmica retirada de um monumento de guerra soviético do centro da
capital do país (SHEETER, 2007).
• Hacktivismo: Junção das palavras hacker e ativismo, é uma forma de
protesto contra governos e empresas, promovendo ideias com relação a
direitos humanos, transparência política, liberdade de expressão, ética,
entre outras. O hacktivismo vai além de invadir e derrubar sites, pois o
objetivo é contestar uma causa e gerar impacto (CIBERCULT, 2016).
17 Informação Disponível em: <http://www.nato.int/cps/en/natohq/news_133280.htm?selectedLocale=en>
[ 25 ]
3.2. Identificação dos tipos de hackers
Mediante as vulnerabilidades conhecidas e exploradas nos cenários
apresentados, destacaram-se os hackers, termo designado a um indivíduo expert18
em informática que explora vulnerabilidades. Surgiram várias ações hackers ilícitas
que mancharam a reputação de toda a cultura hacker: ainda que um hacker
seguisse a ética e agisse estritamente dentro da lei, ainda seria considerado um
criminoso cibernético, e até hoje ainda é assim (RAYMOND).
Assim, estabeleceram-se divisões entre os hackers para identifica-los por
suas ações, classificando-os em categorias como19:
• Hacker: É um indivíduo com amplo conhecimento em informática, que faz uso
desse conhecimento para encontrar falhas e medidas de correção para as
mesmas. Normalmente, um hacker atua na área de Segurança da
Informação, sendo um consultor de segurança, ou prestando serviços para
auxiliar aqueles que não possuem seu conhecimento (OLHAR DIGITAL,
2013).
• White Hat (em português, Chapéu Branco): Conhecido como “hacker do
bem”, invade sistemas à procura de falhas na sua segurança, mas
respeitando princípios éticos hacker20, ou seja, comunicando a
vulnerabilidade identificada aos responsáveis pelo sistema, a fim de que
possam tomar as medidas necessárias (ITSECURITY, 2016).
• Black Hat (em português, Chapéu Preto): conhecido como “hacker do mal”,
não respeita os princípios éticos hacker e usa seu conhecimento para fins
criminosos ou maliciosos (ITSECURITY, 2016).
• Grey Hat (em português, Chapéu Cinza): é um hacker intermediário entre
White Hat e Black Hat, por invadir sistemas à procura de falhas na sua
18 Expertise é o conhecimento adquirido com base no estudo de um assunto e a capacidade de aplicar tal conhecimento, resultando em experiência, prática e distinção naquele campo de atuação.
19 Hacking é o que criminosos de computadores (ou hackers) fazem quando tentam penetrar um sistema de computador ao enganar suas características de segurança. 20 Ética hacker é uma expressão que descreve os valores morais e filosóficos dentro da comunidade hacker. O principio da cultura hacker e sua filosofia originaram-se no Instituto de Tecnologia de Massachusetts (Massachusetts Institute of Technology, MIT) entre os anos 1950 e 1960.
[ 26 ]
segurança sem cometer crimes, mas divulga a vulnerabilidade existente sem
repassar aos responsáveis pelo sistema (ISACA, 2015).
• Blue Hat (em português, Chapéu Azul): é um hacker contratado por
empresas para encontrar vulnerabilidades em seus sistemas antes dos
lançamentos (MAGAZINE).
• Elite Hacker (Hacker de Elite): É uma reverência dada apenas aos hackers
mais hábeis, o que se constitui como um elevado status dentro da
comunidade hacker (WIKIPEDIA).
• Cracker: Utiliza seu alto grau de conhecimento para se empenhar em estudar
como os softwares são desenvolvidos para a criação de cracks21, ferramentas
utilizadas para piratear softwares, além de operar em fraudes bancárias e
eletrônicas, furto de dados, golpes, entre ouros crimes cibernéticos (OLHAR
DIGITAL, 2013).
• Script Kiddie (também conhecido por Lammer): possui pouco
conhecimento sobre hacking, utiliza ferramentas prontas e que ainda não
domina. Procura alvos fáceis e, ao conseguir invadi-los, provoca alvoroço
para ganhar fama com seus ataques (PCTOOLS, 2016).
• Phreaker: É um hacker especializado em telefonia (móvel ou fixa). Faz o uso
indevido dos serviços de telefonia por meio de dispositivos para utilizá-los de
forma gratuita (ROHR, 2010).
• Defacer: Conhecido por pichar sites, explora vulnerabilidades de um site para
causar a sua desfiguração. Normalmente a página alterada serve como um
meio ilícito de protesto ativista ou político (CANALTECH).
• Carder: Utiliza informações bancárias como números de cartões de crédito,
contas bancárias, poupança e outros dados pessoais, para benefício próprio,
como comprar produtos, fazer transferência para contas de laranjas, entre
outros atos de fraudes22 (WIKIPÉDIA, 2013).
• State Sponsored Hackers (em português, Hackers Patrocinados pelo
Estado): são hackers contratados por governos ou agências de inteligência
estatais, com um grande poderio computacional ao seu dispor, para executar
21 Crack são programas que quebram softwares proprietários permitindo que use um software pirata como se fosse original. O crack quebra a segurança anti-pirataria do sotware. 22 Fraude é um esquema ilícito ou de má fé criado para obter ganhos pessoais.
[ 27 ]
ataques contra outras nações, como também defender a sua própria nação
(KAN, 2016).
3.3. Classes comuns de códigos maliciosos
Além dos hackers, existem outros tipos de ameaças que assombram a
segurança cibernética. O malware, proveniente do inglês malicious software23, nasce
da própria definição código malicioso, que gera violações de segurança para causar
danos em um sistema de computador alheio.
Os malwares são popularmente conhecidos por se espalhar rapidamente
através de outros computadores pelo compartilhamento de recursos, na execução
de arquivos infectados em anexos de mensagens eletrônicas, por mídias removíveis
infectadas, pelo acesso a sites maliciosos, demos de games, arquivos de músicas,
ou qualquer outra coisa que baixe da internet (CERT.BR, 2016).
Os principais motivos que levam um criminoso cibernético a desenvolver e
propagar códigos maliciosos são bastante diversos, variando da simples diversão e
demonstração de poder até a realização de ações criminosas, por motivações
financeiras, prática de golpes, obtenção de informações confidenciais, motivações
ideológicas e motivações comerciais (CERT.BR, 2016).
Entre os principais códigos maliciosos existentes podemos citar (CERT.BR,
2016):
• Vírus: É um programa desenvolvido com a finalidade de causar danos
com os mais diversos tipos de ações maliciosas, o vírus recebe esse
nome por suas características de propagação que lembra o vírus
biológico, quando um vírus contamina um computador, além de executar
as atividades maliciosas, tenta também se espalhar para outros
computadores. Antigamente, os vírus tinham um raio de ação muito
limitado, pois se propagavam através de disquetes contaminados.
23 Informação disponível em: <http://cartilha.cert.br/malware/>
[ 28 ]
Atualmente isso acontece pela internet, se espalhando de maneira muito
mais rápida e expressiva dentre os computadores.
• Worm: É um programa capaz de se propagar automaticamente por
meio de redes, enviando cópias de si mesmo para outros computadores.
Sua propagação se dá pela execução direta de suas cópias ou pela
exploração automática de vulnerabilidades existentes em programas
instalados, porém não se anexa a programas existentes e nem altera os
arquivos, como muitos vírus. Os worms são criados para contaminar o
máximo de computadores possíveis, até que a replicação venha atingir
uma escala que consuma recursos significativos, a ponto de afetar o
desempenho de redes e a utilização de computadores.
• Bot e Botnet: O bot é um dos tipos mais sofisticados de crimes
cibernéticos, pois permite que hackers tomem o controle remotamente de
uma só vez de muitos computadores, sem o conhecimento de seu
proprietário, transformando-os em computadores zumbis, que operam
como parte de uma poderosa botnet. A botnet é uma rede formada por
centenas ou milhares de computadores zumbis à disposição e sob o
controle de uma única parte invasora, permitindo potencializar quaisquer
ações danosas executadas pelos bots. Depois que um computador é
infectado por um bot, ele pode ser usado para realizar uma variedade de
ações maliciosas executadas por intermédio dos botnets, como propagar
malwares, gerar spam, roubar informações de um grande número de
computadores, iniciar ataques de negação de serviço, e cometer outros
tipos de crimes cibernéticos.
• Spyware: É um programa espião, que tem como objetivo principal
monitorar as atividades de um sistema, enviando os dados e as
informações coletadas para terceiros. O spyware pode ser considerado
legítimo quando instalado com o consentimento do proprietário do
computador e utilizado de forma legal para coletar informações a fim de
gerar conteúdo personalizado, como, por exemplo, selecionar tipos de
anúncios a exibir. É considerado malicioso quando executa ações que
podem comprometer a privacidade do usuário e a segurança do
computador, como coletar informações pessoais, desde hábitos de
[ 29 ]
navegação do usuário até senhas, números de cartão de crédito e outros,
com o intuito de praticar atividades ilegais a partir destas informações.
• Backdoor: Trata-se de um recurso utilizado por diversos malwares
para garantir o retorno do acesso remoto de um invasor ao computador
infectado, por meio da disponibilização de um novo serviço ou na
substituição de um determinado serviço que permitam o acesso remoto.
Pode ser instalado em um computador por meio de códigos maliciosos ou
por algum tipo de vulnerabilidade existente explorada por um invasor.
• Trojan (ou Cavalo de Tróia) 24: é um malware disfarçado no que parece
ser um software útil e legítimo, porém, além de executar as funções para
as quais foi programado, executa outras funções maliciosas, e sem o
conhecimento do usuário. A infecção pode se dar através de presentes
recebidos, como um cartão virtual, álbuns de fotos, protetores de telas,
entre outros. Esse tipo de malware deve ser explicitamente executado
para ser instalado e não é desenvolvido para se replicar automaticamente.
• Rootkit 25: É um conjunto de programas e técnicas que permite que um
invasor se esconda e tenha acesso contínuo ao computador infectado. A
capacidade de se esconder permite que este tipo de malware permaneça
no sistema da vítima por tempo indeterminado, permitindo que um
criminoso cibernético utilize o computador para o que bem entender. De
acordo com a CERT.BR26, “há casos de rootkits instalados
propositalmente por empresas distribuidoras de CDs de música, sob a
alegação de necessidade de proteção aos direitos autorais de suas obras.
A instalação nestes casos costumava ocorrer de forma automática, no
momento em que um dos CDs distribuídos contendo o código malicioso
era inserido e executado”.
24 O Cavalo de Tróia, segundo a mitologia grega, foi uma grande estátua utilizada como instrumento de guerra pelos gregos a fim de obter acesso à cidade de Tróia. A estátua de um cavalo foi enviada como presente de paz à cidade de Tróia, porém estava recheada com soldados que, durante a noite, abriram os portões da cidade, possibilando a entrada dos gregos e a dominação de Tróia. 25 O termo rootkit origina-se da junção das palavras root, que corresponde à conta de superusuário ou administrador do computador em sistemas Unix, e kit, que corresponde ao conjunto de programas usados para manter os privilégios de acesso desta conta. 26 Informação disponível em: <http://cartilha.cert.br/malware/>
[ 30 ]
Resumo comparativo entre os códigos maliciosos
Figura 4 - Resumo comparativo entre os códigos maliciosos
Fonte: (CERT.BR, 2016)
[ 31 ]
4. AMEAÇAS INTERNAS
4.1. O que são ameaças internas
Se não fosse suficiente a preocupação com as ameaças externas já
apresentadas, impostas por criminosos cibernéticos, a maior ameaça para as
organizações está mais perto do que se imagina: são as ameaças internas, também
conhecidas como “malicious insiders”27. A seguir, apresentaremos algumas
características distintas de ameaças internas, que podem ser usadas na elaboração
de estratégias para mitigação do risco.
De acordo com CAPPELLI,
Uma ameaça interna vem de pessoas de dentro da organização, tais como funcionários, ex-funcionários, fornecedores ou parceiros de negócios, e representam uma ameaça substancial devido ao seu conhecimento e acesso aos sistemas e informações proprietárias da empresa, o que lhes permite ignorar as medidas de segurança física e eletrônica através de meios legítimos. Não há um perfil demográfico28 de uma ameaça interna, são homens e mulheres, casados e solteiros, jovens e velhos, e cobrem uma série de etnias. Uma ameaça interna pode envolver a fraude29, o roubo de informações ou até mesmo sabotagem30 (CAPPELLI, 2012, p. 3).
Conforme GOMES, do escritório de advocacia Opice Blum, pioneiro nas áreas
de Direito Eletrônico, Digital, Tecnológico, Privacidade e Proteção de Dados, as
ocorrências das ameaças internas, na maior parte, são por motivações pessoais ou
problemas financeiros que levam os insiders agirem de forma ilícita, apropriando-se
de dados internos sem autorização da organização, com a finalidade de obter
ganhos pessoais ou prejudicar os negócios da empresa. Consequentemente,
constatou-se que as maiores perdas financeiras de uma empresa se davam por
27 Insider significa interno, gente de dentro da própria empresa, profissional do ramo, membro do grupo, do círculo mais íntimo, detentor de informações privilegiadas ou de contatos valiosos. 28 Perfil demografico é um estudo referente à quantidade de um grupo de pessoas em uma determinada população e suas características. 29 Fraude é um esquema ilícito ou de má fé criado para obter ganhos pessoais. 30 Sabotagem refere-se a toda ação que visa prejudicar o trabalho de alguém.
[ 32 ]
meio da quebra de informações confidenciais e do vazamento de dados ocorridos
pelos insiders (GOMES, 2015).
4.2. Cenário das ameaças internas
Desde a divulgação de dados internos e ultrassecretos da National Security
Agency (NSA), pelo seu ex-funcionário Edward Snowden em 2013, o mundo
resolveu dar atenção ao problema do acesso indevido e da má utilização de
informações restritas por funcionários de empresas. Snowden demonstrou que uma
única pessoa dentro de uma organização pode devastá-la (SZOLDRA, 2016).
De acordo com pesquisa da PWC, de fato, as maiores perdas financeiras
advindas de problemas de segurança de informação em uma empresa privada não
se davam através de invasões e ataques de hackers, mas sim, na quebra de sigilo
de informações e vazamento de dados feitos pelos próprios funcionários, conforme o
gráfico apresentado (PWC, 2016).
Figura 5 - Relatório Global de Segurança da Informação da PWC
Fonte: (PWC, 2016)
Também conforme recente pesquisa da VORMETRIC, dentre todas as
possíveis ameaças internas, os funcionários com maiores privilégios são a categoria
em posição de risco mais elevada para as empresas (VORMETRIC, 2016):
[ 33 ]
Figura 6 – Relatório sobre ameaças internas 2016 - Vormetric Fonte: (VORMETRIC, 2016)
Isto ocorre porque os funcionários com alto nível de privilégios são totalmente
confiáveis pela alta direção das organizações, sem restrições sobre suas ações e
nenhuma ação de monitoramento, o que lhes concede a liberdade de realizar muitos
tipos diferentes de ações maliciosas sem qualquer chance de serem detectados.
O maior perigo das ameaças internas é o fato dos funcionários saberem
exatamente onde estão os dados corporativos mais sensíveis e valiosos. A Pesquisa
Global de Segurança da Informação da EY exibe as ameaças e vulnerabilidades que
mais aumentaram a sua exposição:
[ 34 ]
Figura 7 - Ameaças e vulnerabilidades que mais aumentaram a sua exposição Fonte: (EY, 2016)
4.3. Incidentes mais comuns causados por ameaças in ternas (SEI, 2013)
São eles:
• Exposição não intencional de dados privados ou sensíveis – 34%;
• Furto de propriedade intelectual – 34%;
[ 35 ]
• Acesso não autorizado a informações, sistemas e redes – 30%;
• Furto de informações de clientes ou financeiras – 31%.
4.4. Categorias de ameaças internas
As ameaças internas podem ser definidas nas seguintes categorias
(SILOWASH, 2012):
• Sabotagem : É um tipo de ameaça que causa danos aos negócios da
organização. Os perfis envolvidos são de administradores de redes, sistemas
e dados. Suas motivações geralmente têm origem no descontentamento, falta
de reconhecimento ou por sentirem-se injustiçados. Costumam ocorrer logo
após a demissão, mas podem ter sido preparados há muito tempo. Os danos
podem ser causados através de implantação de bombas lógicas (logic
bombs), inclusão de backdoors e outros malwares, mudança de senhas,
exploração de vulnerabilidades, desativação de logs e antivírus, instalação de
ferramentas maliciosas de acesso remoto e extorsão31.
• Fraude : É um tipo de ameaça que ocorre através da manipulação de dados
para ganhos próprios, quebra de sigilo e vazamento de dados. Seus perfis
são de funcionários ativos, durante o horário de trabalho, em conluio32 com
atacantes externos ser um ato de espionagem entre empresas. Pode ficar
muito tempo até ser detectada e quanto mais alto o cargo, maiores podem ser
os danos.
• Furto de propriedade intelectual 33: É um tipo de ameaça que pode ser
considerado como espionagem industrial, caracterizada por informações
furtadas para conseguir novo emprego, abrir negócio próprio ou vender para
outras empresas. Esta ação pode ocorrer por meio de envio de informações
31 Extorsão é o ato de obter vantagem indevida de outrem mediante coação, chantagem e qualquer outros meios que venham se caracterizar como uma grave ameaça 32 Conluio trata-se de acordo realizado com o propósito de prejudicar outrem; trama ou conspiração. 33 Propriedade Intelectual é a área do Direito que, por meio de leis, garante a inventores ou responsáveis os direitos cabíveis por qualquer produção do intelecto.
[ 36 ]
através de e-mail, pen-drive, CDs, acessos indevidos, notebooks, dispositivos
móveis, SSH34, FTP35, Telnet36.
• Não intencional (causado por uma ação) : Trata-se de um tipo de ameaça
explorado através de engenharia social, que é um método de ataque, onde
alguém faz uso da persuasão, ou seja, manipular as pessoas, muitas vezes
se aproveitando da ingenuidade ou confiança do usuário, para contornar os
meios de segurança e obter informações que podem ser utilizadas para ter
acesso não autorizado a computadores ou informações confidenciais. Outros
meios que podem permitir a ocorrência deste tipo de ameaça vêm através da
instalação de códigos maliciosos (APT37, malware38, phishing39), descarte de
discos, pen-drives, papéis ou perda de equipamentos.
• Não intencional (causado por falta de ação): Refere-se ao tipo de ameaça
causado por negligência interna devido à omissão, desleixo e falta de
comprometimento, que acarretam em graves consequências na segurança da
informação da organização. São causados por não instalar correções de
segurança, não fazer os backups, não utilizar criptografia, não utilizar técnicas
de programação segura, não configurar os sistemas corretamente, não usar
senhas fortes e não bloquear estação de trabalho.
• Ameaças internas com incentivo corporativo (expansã o do abuso
corporativo de PII 40): Segundo a FORCEPOINT uma nova ameaça interna
trata-se de uso indevido de PII a fim de alavancar resultados artificialmente,
com incentivo das corporações. Pode afetar dados de clientes, rentabilidade e
34 SSH (Secure SHell) é um protocolo seguro que permite acessar virtualmente o servidor como se estivesse em um terminal. 35 FTP (File Transfer Protocol) é uma forma bastante rápida e versátil de transferir arquivos. 36 Telnet é um protocolo de rede utilizado na Internet ou redes locais que permite acessar outros computadores. 37 APT significa Advanced Persistent Trheats (em português, Ameaças Persistentes Avançadas). 38 Malware vem termo do inglês "Malicious Software" (em português, Software Malicioso), é destinado a infiltrar-se em um sistema de computador alheio de forma ilícita, com o intuito de causar danos, alterações ou roubo de informações. 39 Phishing é uma técnica de fraude online, utilizada por criminosos no mundo da informática para roubar senhas de banco e demais informações pessoais, usando-as de maneira fraudulenta. 40 PII (Personally Identifiable Information): Informação de Identificação Pessoal ou, simplesmente, dado pessoal, é qualquer informação que sozinha ou agregada possa ser usada para identificar, contatar ou localizar uma pessoa.
[ 37 ]
outras metas de desempenho, forçando as companhias a reavaliar seus
ambientes corporativos e estratégias de crescimento (FORCEPOINT, 2017).
4.5. Casos de violações internas
Muitas violações de segurança cometidas por usuários internos nunca são
tornadas públicas. As organizações preferem manter a confidencialidade dessas
violações para evitar os danos à sua reputação e as preocupações dos clientes
sobre a sua segurança. No entanto, muitas violações de usuários internos altamente
danosas foram divulgadas. Citamos algumas das mais conhecidas:
• Morgan Stanley Smith Barney LLC: Aproximadamente 5.300 funcionários
usaram informações de identificação pessoal de clientes para abrir mais de
dois milhões de contas falsas, gerando milhões de dólares em receitas
ilegítimas para cumprir metas de vendas. Isso é resultado da convergência da
necessidade econômica das corporações de maximizar lucros e da
oportunidade dos funcionários para cumprir metas de vendas e manter seus
empregos com o acesso fácil a dados dos clientes e o disfarce de suas
atividades (DOLMETSCH, 2016).
• Detran-AM descobre programa espião em sistema e afa sta estagiários:
“Software espião foi instalado em computadores do órgão”, diz Detran. Três
estagiários são suspeitos de receberem R$ 500 por ação realizada. Segundo
informações do Detran, após o software ser detectado, a Secretaria de
Inteligência do Governo foi acionada. O sistema foi monitorado por cerca de
15 dias. O programa permitia que dados restritos fossem repassados para e-
mails de três estagiários suspeitos. (DANTAS, 2014).
• Snowden dá outra lição sobre ameaças internas: “O contratante fugitivo da
NSA usou credenciais de login de mais de 20 funcionários para acessar
dados confidenciais, segundo relatórios da Reuters. A Reuters citou fontes
governamentais anônimas dizendo que Snowden conseguiu fazer com que
entre 20 e 25 de seus colegas de trabalho lhe dessem seus dados de login
[ 38 ]
com o pretexto de que precisava da informação para fazer o seu trabalho
como um administrador de sistemas” (VIJAYAN, 2013).
• HSBC: “ Hervé Falciani, engenheiro de sistemas de informática do banco
HSBC de Genebra, resolveu correr o risco de se tornar um criminoso à luz do
direito suíço. Violou o segredo bancário, entregando aos serviços de
informação franceses e à Justiça francesa, em 2009, uma lista de 106 mil
contas secretas de cidadãos de diversos países, que representavam um total
de 180 bilhões de Euros.” (PLON, 2015).
• Espião que violou sistema da Abin é novato na agênc ia: “ Planalto se cala
sobre espião preso. Agente que roubava informações dos próprios colegas da
Abin tem 35 anos e entrou na agência por concurso público. Com as 238
senhas hackeadas, o espião teria conseguido entrar nos e-mails dos oficiais
de inteligência que trabalham com investigações estratégicas para o governo.
O especialista em segurança pública Antônio Carlos Testa avaliou que o
‘araponga’, provavelmente, ‘teria a intenção de vender as informações
roubadas. De maneira geral, são informações que desequilibram estruturas
de poder’, ressaltou Testa”. (VALADARES, 2012).
• Motorola: “ Hanjuan Jin, que trabalhou como engenheiro de software da
Motorola durante nove anos, foi pego pelos agentes da alfândega dos EUA
entrando em um avião para Pequim com 30.000 dólares em dinheiro,
juntamente com mais de 1.000 documentos marcados como ‘informações
confidenciais e proprietárias’, representando 10 a 15 milhões de dólares em
segredos comerciais. Jin foi considerado culpado de roubo de segredos
comerciais em uma corte federal dos EUA e foi condenado a quatro anos de
prisão” (MATTHEWS, 2011).
• AOL: “ A primeira quebra de segurança a aparecer na lista do Information is
Beautiful é também uma das piores. O vazamento atingiu a gigante AOL em
2004, e o culpado foi um ex-funcionário. O engenheiro de software Jason
Smathers foi responsável por roubar os e-mails e nomes de usuário de cerca
de 92 milhões de clientes da empresa. A mercadoria foi vendida a spammers,
[ 39 ]
que enviaram cerca de 7 bilhões de e-mails não solicitados, de acordo com a
NBCNews. Pelo roubo, Smathers foi condenado a um ano e três meses de
prisão. Ano: 2004 Total de prejudicados: 92 milhões.” (GUSMÃO, 2014).
4.6. Perfis das ameaças internas
Na segurança cibernética três preocupações se destacam no relato de
ameaças, com 54% o malware, 53% o ransomware e 48% o phishing, que resultam
em incidentes para as organizações devido à falta de percepção e cuidado do
usuário, sendo inclusive um dos motivos apontados como desafio para segurança
cibernética, com 69% o usuário com conhecimento limitado sobre os riscos e
ameaças e 57% o usuário que se opõe ao assunto. (RODRIGUES, 2016).
As ameaças internas podem roubar, excluir ou evidenciar dados sigilosos de
forma ilícita ou involuntária por vários motivos. Por isso é indispensável conhecer o
perfil das possíveis ameaças internas para manter um nível de controle e reduzir
este risco:
• Os Traidores são funcionários mal-intencionados, às vezes, desde o
momento da contratação. Perdem-se moralmente quando endividados ou por
sofrerem a desilusão de não serem promovidos ou reconhecidos com um
aumento salarial, consequentemente internalizam um sentimento destrutivo
devido a diferenças com colegas, chefes ou a própria organização.
• Os Rebeldes acham que seguir as regras é a maneira de se fazer as coisas
de modo mais demorado e complicado, preferem seus próprios métodos ao
invés da opção exigida pela empresa e utilizam e-mail pessoal com
frequência para burlarem limitações de desempenho ou tamanho de anexos.
• Os Funcionários Fantasmas não deveriam estar dentro da organização,
mas ali estão, tendo executado com sucesso a primeira etapa de um ataque
externo, ganhando acesso à rede (a segurança da organização requer
medidas atualizadas capazes de “detectarem” esse ataque) e ao contrário
[ 40 ]
dos demais perfis apresentados, os Funcionários Fantasmas são hackers
profissionais, motivados e bem informados.
• Os Negligentes ou Vítimas Acidentais cometem erros, talvez por falta de
conhecimento ou treinamento, apertam o botão incorreto, mandam um
documento para o colaborador errado ou cometem qualquer outro erro não
intencional, estão particularmente vulneráveis pois apresentam o perfil de
cansados, estressados ou distraídos quando cometem erros. Um funcionário
esqueceu de fazer logoff de seu computador e alguém acessou a máquina e
apagou todos os arquivos da empresa. Compartilham documentos
confidenciais importantes com as pessoas erradas por e-mail. Visitam sites
ilícitos e introduzem malware na rede corporativa de uma organização.
• Os Sabe-Tudo sempre querem “contribuir”, “demonstrar valor” e mostrar
serviço, divulgam mais informação que o necessário ao responder um e-mail,
atendem um pedido quando outro funcionário seria mais qualificado, postam
nas mídias sociais sobre dados sensíveis antes de pensarem e alguns de
forma intencional roubam ou manipulam informações confidenciais por
diversão, curiosidade ou até para provar que podem.
• Os Intocáveis acreditam que nada de errado pode acontecer a eles, ocupam
postos de acesso privilegiado, mas não dão a devida importância às suas
responsabilidades. Por exemplo, funcionários de TI que tiraram vantagem de
suas credenciais de “superusuário” por questões de conveniência espalham
uma infecção de malware para um servidor crítico ao abrirem um e-mail de
phishing altamente direcionado ou, então, auditores, executivos financeiros,
desenvolvedores e outros com privilégios podem reter muitas informações
locais, perdem seu laptop ou o deixam sem o menor cuidado em local público
pronto para ser roubado.
• Os Preferenciais são convencidos de que têm todo direito a certos tipos de
dados, ou de fazer as coisas à sua maneira, ignorando procedimentos ou
políticas, chegando até a conclusão que são “donos” dos dados, incluindo
listas de clientes, códigos fonte, pesquisas científicas e
[ 41 ]
documentação/modelos de processos. Essa é uma atitude normalmente
atribuída à equipe de alta administração, mas qualquer pessoa em qualquer
nível da empresa pode desenvolver esta atitude.
4.7. Motivadores das ameaças internas
O que motiva um insider a agir deliberadamente como uma ameaça interna?
A resposta para esta pergunta não é simples, pois há uma variedade de fatores que
podem contribuir para um funcionário mudar sua reputação, como por exemplo
(KHIMJI, 2015):
• Pressão da concorrência: Um concorrente poderia fornecer uma
recompensa por informações privilegiadas da empresa ou até mesmo um
emprego com maior salário que o atual
• Problemas financeiros: Um funcionário com dívidas que fugiram de seu
controle pode se tornar mais suscetível a se envolver em fraude, roubo de
informações confidenciais ou comercialmente valiosas.
• Insatisfação com a demissão: Um funcionário demitido ou prestes a sê-
lo pode querer sabotar o sistema da empresa, se apropriar de propriedade
intelectual da empresa, informações dos clientes, segredos comerciais e
qualquer outra informação estratégica e de impacto para os negócios da
empresa para deliberadamente causar danos a esta.
• Estagnação: Um funcionário que foi recentemente advertido ou preterido
de uma promoção ou aumento de salário pode procurar agir de forma mal-
intencionada.
[ 42 ]
5. MITIGAÇÃO DOS RISCOS
Após contextualizar as ameaças internas, passamos às formas de diminuir a
intensidade deste risco, ou seja, mitigar o comportamento e ação desta ameaça.
Iniciamos pelo significado da expressão “mitigação dos riscos”. Segundo
STONEBURNER (2002)41,
Risco é o impacto negativo de uma ação sobre uma vulnerabilidade, considerando tanto a probabilidade como o impacto da ocorrência, e a mitigação do risco é o processo de identificar o risco, avaliar o risco e tomar medidas para reduzir o risco a um nível aceitável.
Ou seja, mitigar um risco não significa eliminá-lo.
Na minha experiência de trabalho na área de T.I., o maior desafio das
organizações para iniciar um plano de mitigação de riscos é justificar o orçamento de
segurança da informação42 para sua elaboração e convencer a alta direção da vital
importância desse processo. Ainda assim, segundo a PwC43, com as ocorrências de
aumento dos riscos, as organizações têm aumentado significativamente seus
investimentos em segurança da informação.
Figura 8: Orçamento de Segurança da Informação
41 Fonte da Informação: <http://csrc.nist.gov/publications/PubsSPs.html#800-30 - NIST Special Publication 800-30: Risk Management Guide for Information Technology Systems> 42 Orçamento de segurança da informação refere-se a recursos especificamente e explicitamente dedicados à segurança da informação, incluindo dinheiro para hardware, software, serviços, educação e equipe de segurança da informação. 43 O termo PwC refere-se à rede (network) de firmas membro da PriceWaterHouseCoopers International Limited (PwCIL)
[ 43 ]
Fonte: (PwC, 2016)
Apesar do aumento significativo em segurança apresentado na figura anterior,
muitas organizações desconhecem a magnitude do potencial prejuízo em um
incidente de segurança cibernética, pois as consequências são incalculáveis, tanto
do ponto de vista financeiro quanto em termos de reputação (PwC, 2016).
Figura 9: Média de perdas financeiras devido a incidentes de segurança Fonte: (PwC, 2016)
A impressão que temos é de que não se passa uma semana na qual não haja
notícias sobre violação de dados em organizações. O aumento de tais violações e o
volume de informações roubadas cresce exponencialmente.
Somente através de estratégias eficazes de segurança cibernética é possível
mitigar tais riscos como, atos ilícitos, sabotagens, fraudes, ameaças internas (roubo
e vazamento de informação), ataques de organizações terroristas, espionagem
empresarial, entre outras ameaças.
Uma das estratégias aplicáveis para mitigar os riscos e garantir uma base de
segurança cibernética para as organizações é a implementação de frameworks44 de
segurança da informação baseados em riscos com as principais normas e legislação
44 Framework é uma tática bem definida para manipular com destreza ambientes organizacionais complexos. Um framework deve prover sugestões de solução para uma família de problemas semelhantes.
[ 44 ]
de segurança da informação e cibernética, tais como, NIST45, ISO 2700046, SAN
Critical Controls47, ISF Standar of Good Practice48, PCI-DSS49, COBIT50, entre
outros.
5.1. Ferramentas para mitigação do risco
A mensagem é realmente simples: insiders são uma grande ameaça e
comportamentos questionáveis não podem ser ignorados. Algumas ferramentas de
baixo custo podem colaborar para iniciar um programa contra ameaças internas.
Em muitos casos, as ameaças internas caracterizadas neste trabalho
poderiam ser detectadas ou mitigadas ainda durante o processo de contratação de
novos membros da organização. Apesar disso, muitas organizações fazem
verificações mínimas e inconsistentes sobre o pessoal contratado, trabalhadores
temporários e empresas em sua cadeia de abastecimento.
Cabe ressaltar que o candidato propenso a se tornar ameaça interna pode
demonstrar comportamentos de riscos em seus traços de personalidade. Algumas
características, como ambiguidade moral e capacidade de burlar proibições, podem
ser detectadas por meio de entrevistas estruturadas ou testes padronizados de
personalidade. Outros fatores que também potencialmente indicam comportamento
de ameaça interna podem ser descobertos pela verificação do histórico da pessoa,
45 NIST é o Instituto Nacional de Padrões e Tecnologia, uma unidade do Departamento de Comércio dos Estados Unidos da América. 46 ISO 27000 é um conjunto de padrões desenvolvido ou sub-desenvolvimento ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que fornecem uma estrutura para gerenciamento de segurança informação. 47 SANS é um grande e confiável instituto, fonte de formação de segurança da informação, que também desenvolve, mantém e disponibiliza gratuitamente uma coleção de documentos de pesquisa sobre segurança da informação e whitepapers. 48 ISF Standard of Good Practices refere-se à Norma de Boas Práticas de Segurança da Informação, publicado pelo Information Security Forum, um guia com foco em negócios, prático e abrangente para identificação e gestão de segurança da informação dos riscos em organizações e suas cadeias de suprimentos. 49 PCI-DSS Payment Card Industry-Data Secutity Standard especifica recomendações mínimas de segurança obrigatórias para todas as empresas que participam da rede de captura de pagamentos com cartões, o comércio, e prestadores de serviços que processam, armazenam ou transmitem eletronicamente dados do portador do cartão de crédito. 50 COBIT é um conjunto de diretrizes baseadas em auditoria para processos, práticas e controles de TI, voltado à redução de risco. Enfoca a integridade, confiabilidade e segurança dos dados.
[ 45 ]
como problemas disciplinares anteriores no trabalho, dívidas financeiras,
dificuldades interpessoais e antecedentes criminais (GRANNEMAN, 2014).
Além de fortalecer a abordagem ao fator comportamental, o fortalecimento
das barreiras lógicas também se faz fundamental. Por isso, listamos algumas das
ferramentas atualmente recomendadas para mitigação deste risco:
• Monitoramento de Atividade do Usuário (UAM): É a capacidade técnica
para observar e registrar as ações e atividades do usuário a qualquer
momento, a fim de detectar as ameaças internas e apoiar investigações
autorizadas.
o Open Source HIDS SECurity51 (OSSEC);
o Security Onion52, para monitoramento de tráfego de rede em camadas
e registro;
o Squid Proxy Server53 e Dansguardian54, que atuam na filtrar o
conteúdo da web e registrar visitas ao site;
o Tcpdump55, NetworkMiner56 e Wireshark57, que se tratam de
ferramentas de pacotes de captura.
• Prevenção contra vazamento de dados: As ferramentas DLP controlam
como os usuários interagem com os dados e o que eles podem fazer com ele.
As ferramentas DLP identificam, monitoram e protegem os dados, proibindo
que dados sejam impressos ou copiados para mídia removível.
o OpenDLP58
o MyDLP59
• Sistemas de Informação e Gestão de Eventos de Segur ança (SIEM): O
sistema SIEM fornece um método adicional para a coleta, agregação e
51 Fonte da Informação: <http://ossec.github.io/> 52 Fonte da Informação: <https://securityonion.net/> 53 Fonte da Informação: <http://www.squid-cache.org > 54 Fonte da Informação: <http://dansguardian.org > 55 Fonte da Informação: <http://www.tcpdump.org/> 56 Fonte da Informação: <http://www.netresec.com/?page=NetworkMiner> 57 Fonte da Informação: <https://www.wireshark.org/> 58 Fonte da Informação: <https://github.com/ezarko/opendlp> 59 Fonte da Informação: <http://www.mydlp.com>
[ 46 ]
consolidação dos Logs de vários tipos de dispositivos. O SIEM aproveita
baselining e regras configuráveis para correlacionar os logs e fornecer em
tempo real alertas baseados em incidentes.
o OSSIM60
o LOGalyze61
o Enterprise Log Search and Archive (ELSA)62
o Elastic Stack63
• Ferramentas de análise: Estendem a funcionalidade de consulta e alerta do
SIEM, podendo alavancar capacidades avançadas de análise e estatísticas
para alertar sobre atividades suspeitas.
o Weka64
o RapidMiner65
• Ferramentas Forenses Digitais: Ajudam a organização a realizar uma
investigação através da preservação, coleta e análise de artefatos digitais em
um sistema ou dispositivo.
o FTK Imager
o Autópsia
o Volatilidade
o SANS Investigative Forensic Toolkit
o CERT Forensics Tools: ADIA
o PALADIN
Como sugestão para reduzir o risco cibernético às infraestruturas críticas das
organizações, neste trabalho optamos pela adoção do NIST Cybersecurity
Framework66 utilizando COBIT 5 que ajuda a entender o panorama completo da sua
preparação para a segurança com uma abordagem em níveis de confiabilidade.
60 Fonte da Informação: <https://www.alienvault.com/products/ossim> 61 Fonte da Informação: <http://www.logalyze.com/> 62 Fonte da Informação: <https://github.com/mcholste/elsa> 63 Fonte da Informação: <https://www.elastic.co/> 64 Fonte da Informação: <http://www.cs.waikato.ac.nz/ml/weka/> 65 Fonte da Informação: <https://rapidminer.com/>
66 Cybersecurity Framework é um conjunto de padrões e práticas recomendadas para ajudar as organizações a gerenciar os riscos de segurança cibernética.
[ 47 ]
Segundo a PwC, 52% das empresas respondentes no Brasil, adotaram o
Cibersecurity Framework como estratégia para mitigação dos riscos de segurança
cibernética.
Figura 10: Adoção de frameworks de segurança da informação baseados em riscos Fonte: (PwC, 2016)
5.2. Visão geral do Cibersecurity Framework (CSF)
Neste trabalho, sugerimos a adoção do Cibersecurity Framework (CSF) como
metodologia para mitigação de risco de ameaças internas.
Em 12 de fevereiro de 2013, o Presidente dos EUA Barack Obama emitiu a
Ordem Executiva 1363667, documento intitulado como Improving Critical
Infrastructure Cybersecurity (em português, Melhorando a Segurança Cibernética
das Infraestruturas Críticas). O documento estabeleceu como política dos Estados
Unidos o aumento da segurança e resiliência das infraestruturas críticas, para
manter um ambiente cibernético que incentive a eficiência, inovação e prosperidade
econômica, promovendo ao mesmo tempo, a confidencialidade comercial a
segurança pública.
Nestas condições, da colaboração entre o governo e o setor privado foi criado
o Cybersecurity Framework, um conjunto de padrões e práticas recomendadas para
ajudar as organizações gerenciar riscos de segurança cibernética. Ele define as
funções de segurança de alto nível e as atividades de controle de segurança e
67 Fonte da Informação: <https://www.nist.gov/news-events/news/2014/02/nist-releases-cybersecurity-framework-version-10>
[ 48 ]
respectivas categorias e subcategorias, para proteger os serviços das infraestruturas
críticas dos riscos identificados e detectar incidentes de segurança cibernética.
O termo “infraestrutura crítica”68 citado na política promulgada, para o DHS69 é
definido como o conjunto de ativos, sistemas e redes, físicos ou virtuais, tão vitais
que sua paralisação teria impacto debilitante sobre a economia, segurança e saúde.
Há 16 setores de infraestrutura crítica definidos pelo Departamento de
Segurança Interna do USA70:
• Setor Químico
• Setor de Instalações Comerciais
• Setor de Comunicações
• Setor Crítico de Manufatura
• Setor de Barragens
• Setor de Base Industrial de Defesa
• Setor de Serviços de Emergência
• Setor de Energia
• Setor de Serviços Financeiros
• Setor Alimentar e Agrícola
• Setor de Instalações Governamentais
• Setor de Saúde e Saúde Pública
• Setor de Tecnologia da Informação
• Setor de Reatores Nucleares, Materiais e Resíduos
• Setor de Sistemas de Transporte
• Setor de Sistemas de Água e Esgoto
Um dos principais objetivos do NIST Cybersecurity Framework (ou CSF) é
fazer com que as organizações enfrentem o risco de segurança cibernética como
uma prioridade semelhante ao risco financeiro e operacional.
68 Fonte de Informação: <https://www.dhs.gov/what-critical-infrastructure> 69 DHS - Department of Homeland Security (Departamento de Segurança Interna dos EUA) 70 Fonte de Informação: < https://www.dhs.gov/critical-infrastructure-sectors>
[ 49 ]
Este framework lista as principais funções de segurança, categorias e
subcategorias de controles e referências a padrões, normas, orientações e melhores
práticas existentes, a fim de alcançar resultados para lidar com riscos cibernéticos.
Por se tratar de um framework, devemos levar em consideração que ele
complementa e não substitui um processo de gestão de risco, podendo até ser
utilizado como alternativa para uma organização sem um programa de segurança
cibernética. Assim, a adoção do CSF implica que a organização aplicará os
princípios e melhores práticas de gestão de riscos, com vistas a melhorar a
segurança e a resiliência de suas infraestruturas críticas.
A estrutura de segurança cibernética do NIST engloba as estruturas de
gerenciamento de risco, como a ISO 31000: 2009, ISO/IEC 27005:2011 e NIST SP
800-39 e a diretriz do Processo de Gerenciamento de Risco de Segurança
Cibernética do Setor Elétrico (RMP71).
O CSF é composto de três partes e oferece uma abordagem baseada em
riscos, com uma estrutura clara em termos de planejamento e implementação:
• O Framework Core é um conjunto de atividades divididas em cinco
funções: identificar, proteger, detectar, responder e recuperar, e
subdivididos em 22 categorias relacionadas, 98 subcategorias e, para
cada subcategoria, diversas referências informativas são feitas para outros
frameworks, tais como ISO 27001, COBIT, NIST SP 800-53, ISA 6244372 e
CCS CSC73, facilitando a visualização dos requisitos para a
cibersegurança, onde encontrá-los e como implementá-los.
• O Framework Implementation Tiers fornece o contexto sobre como uma
organização considera o risco de segurança cibernética e os processos
implementados para gerenciar esse risco. Existem quatro níveis que
71 RMP - Risk Management Process (em português, processo de gerenciamento de risco) 72 ANSI/ISA norma que trata especificamente da segurança dos sistemas de automação industrial e de controle. 73 CCS CSC: Council on Cyber Security – Critical Security Controls (em português, Conselho de Ciber Seguranaç – Controles Críticos de Segurança).
[ 50 ]
podem ser usados para descrever a maturidade da organização nas
atividades de segurança cibernética: tier 1 (parcial), tier 2 (informado sobre
o risco), tier 3 (repetível), tier 4 (adaptativo).
• O Framework Profile permite visualizar de uma forma clara o estado atual
em que a organização se encontra em relação às categorias e
subcategorias do Framework Core, e aonde a organização quer chegar,
bem como elaborar planos de ação para reduzir o risco, alinhado com os
objetivos da organizacão.
5.3. Core Framework
Os elementos do Core Framework funcionam em conjunto, da seguinte
maneira:
• Identificar: entender o contexto dos negócios para administrar o risco de
segurança para sistemas, aplicativos e dados
• Proteger: implementar salvaguarda para limitar os impactos de um evento
de segurança para garantir a entrega segura dos recursos identificados
• Detectar: implementar atividades adequadas para garantir que eventos de
segurança sejam detectados.
• Responder: respostas apropriadas aos eventos de segurança, para
conter os impactos.
• Recuperar: manter resiliência e restaurar todos os recursos afetados por
um evento de segurança.
Cada função está atrelada ao
• Funções: Organizam as
seu mais alto nível.
• Categorias: S
de segurança
atividades específicas.
• Subcategorias
específicos da
• Referências informativas
práticas comuns
método para alcançar
Na tabela a seguir
subcategorias e referências
segurança cibernética que
crítica.
Tabela 1: Estrutura do Core Framework Fonte: (NIST, 2016)
está atrelada ao desenvolvimento daqueles que
Organizam as atividades básicas de segurança
nível.
São as subdivisões de uma função em grupos
cibernética ligados às necessidades programáticas
específicas.
Subcategorias : Dividem ainda mais uma categoria
das atividades técnicas ou de gestão.
informativas : São seções específicas de
comuns entre setores de infraestrutura crítica
alcançar os resultados associados a cada
seguir, apresentamos uma listagem de f
eferências informativas que descrevem atividades
que são comuns em todos os setores
[ 51 ]
que a precedem:
segurança cibernética em
grupos de resultados
programáticas e às
categoria em resultados
de padrões, normas e
crítica que ilustram um
cada Subcategoria.
funções, categorias,
atividades específicas de
setores de infra-estrutura
[ 52 ]
[ 53 ]
[ 54 ]
[ 55 ]
[ 56 ]
Tabela 2 – Estrutura detalhada do Core Framework
Fonte: NIST Cybersecurity Framework
A seguir, apresentamos uma lista das palavras-chave para identificar as
soluções cibernéticas apropriadas para cada uma das principais funções do NIST
Cybersecurity Framework:
[ 57 ]
Tabela 3: Folha de Dicas do NIST Cybersecurity Framework. Figura traduzida da Fonte: (SwishData, 2015)
5.4. Framework Implementation Tiers
Os níveis (“Tiers”) de implementação do Framework descrevem como uma
organização gerencia seu risco de segurança cibernética. As definições de níveis
são as seguintes:
Tier 01 – Parcial:
• Processo de Gerenciamento de Risco: As práticas organizacionais de
gerenciamento de riscos de segurança cibernética não são formalizadas e
o risco é gerenciado de forma ad hoc e às vezes reativa. A priorização de
atividades de segurança cibernética pode não ser diretamente informada
por objetivos de risco organizacional, ambiente de ameaça ou requisitos
de negócios ou missão.
[ 58 ]
• Programa de Gestão Integrada de Risco: Existe uma consciência
limitada do risco de segurança cibernética a nível organizacional e não foi
estabelecida uma abordagem de gestão do risco de cibersegurança em
toda a organização. A organização implementa o gerenciamento de riscos
de segurança cibernética de forma irregular, caso a caso, devido à
experiência variada ou informações obtidas de fontes externas. A
organização pode não ter processos que permitam que as informações de
segurança cibernética sejam compartilhadas dentro da organização.
• Participação Externa: Uma organização pode não ter os processos em
vigor para participar na coordenação ou colaboração com outras
entidades.
Tier 02 – Risco informado:
• Processo de Gerenciamento de Risco: As práticas de gerenciamento de
risco são aprovadas pela administração, mas podem não ser
estabelecidas como políticas de toda a organização.
• Programa de Gestão Integrada de Risco: Há uma consciência do risco
de segurança cibernética a nível organizacional, mas não foi estabelecida
uma abordagem de toda a organização para o gerenciamento do risco de
cibersegurança. São definidos e implementados processos e
procedimentos aprovados pelo gestor e informados pelo risco e o pessoal
dispõe de recursos adequados para desempenhar as suas funções de
segurança cibernética. As informações de segurança cibernética são
compartilhadas dentro da organização de forma informal.
• Participação Externa: A organização conhece seu papel no ecossistema
maior, mas não formalizou suas capacidades para interagir e compartilhar
informações externamente.
Tier 03 – Risco informado e repetível:
• Processo de Gerenciamento de Risco: As práticas de gerenciamento de
risco da organização são formalmente aprovadas e expressas como
política. As práticas organizacionais de segurança cibernética são
[ 59 ]
regularmente atualizadas com base na aplicação de processos de
gerenciamento de riscos a uma ameaça mutável e tecnologia paisagem.
• Programa de Gestão Integrada de Risco: Há uma abordagem de toda a
organização para gerenciar o risco de segurança cibernética. As políticas,
processos e procedimentos com base em riscos são definidos,
implementados conforme pretendido e validados. Os métodos
consistentes estão ativos para responder eficazmente às mudanças no
risco. O pessoal possui o conhecimento e as habilidades para
desempenhar suas funções e responsabilidades.
• Participação Externa: A organização compreende suas dependências e
parceiros e recebe informações dos próprios parceiros, possibilitando a
colaboração e decisões de gerenciamento baseadas em risco dentro da
organização em resposta a eventos.
Tier 04 – Adaptativo:
• Processo de Gerenciamento de Risco: A organização adapta suas
práticas de segurança cibernética com base em lições aprendidas e
indicadores preditivos derivados de atividades de cibersegurança
anteriores. Através de um processo de melhoria contínua, a organização
se adapta ativamente a uma paisagem de cibersegurança em constante
mudança e responde às ameaças emergentes e em evolução de forma
oportuna.
• Programa de Gestão Integrada de Risco: Existe uma abordagem de
toda a organização para gerenciar o risco de cibersegurança que usa
políticas, processos e procedimentos com base no risco para abordar
eventos potenciais de segurança cibernética. O gerenciamento de riscos
de segurança cibernética faz parte da cultura organizacional e evolui a
partir de uma conscientização de atividades anteriores, informações
compartilhadas por outras fontes e uma consciência contínua de
atividades em seus sistemas e redes.
• Participação Externa: A organização gerencia o risco e compartilha
ativamente informações com parceiros para assegurar que informações
[ 60 ]
precisas e atuais sejam distribuídas e consumidas para melhorar a
segurança cibernética antes que um evento ocorra.
5.5. Framework Profile
As informações no Framework Profile permitem identificar oportunidades para
reduzir o risco da segurança cibernética passando de “estado atual” para “estado
alvo”. Também pode ser usado para apoiar a comunicação dentro da organização, e
juntamente com o Framework Core, determinar, analisar, priorizar lacunas e
desenvolver um plano de ação.
Figura 11: Estrutura do Framework Profile Fonte: (NIST, 2016)
[ 61 ]
6. IMPLEMENTAÇÃO DO NIST CYBERSECURITY FRAMEWORK UTILIZANDO
COBIT 5
6.1. Implementação do COBIT 5
Primeiramente, analisamos o Cybersecurity Framework, que lista as principais
funções de segurança, categorias e subcategorias de controles e referências a
padrões, normas, orientações e melhores práticas existentes para proteger os
serviços críticos dos riscos identificados e detectar a ocorrência de incidentes de
segurança.
A seguir, discutiremos como o NIST Cybersecurity Framework pode ser
implementado utilizando COBIT 5 Framework baseado na governança e
gerenciamento corporativo de TI e o estabelecimento das responsabilidades em
termos de valor para organização, fatores de risco e recursos.
6.2. Afinal, por que o COBIT 5.0?
Conforme já apresentado, o COBIT 5.0 é um dos frameworks para
implementação das funções de segurança cibernética e atividades específicas de
segurança cibernética que são comuns em todos os setores de infraestrutura crítica.
O COBIT 5 ajuda as organizações a criar valor para TI, mantendo o equilíbrio entre a
realização de benefícios e a otimização dos níveis de risco e o uso de recursos.
O COBIT 5 é um framework de governança e gerenciamento corporativo de TI
desenvolvido e difundido pelo ISACA. Sua estrutura faz a integração do conteúdo
dos principais frameworks publicados pelo ISACA, como o Val IT; Risk IT; Business
Model for Information Security (BMIS); IT Assurance Framework (ITAF); Taking
Governance Forward (TGF); e Board Briefing on IT Governance 2nd Edition. Além
disso, alinha-se a outros padrões de mercado como Information Technology
Infrastructure Library (ITIL), International Organization for Standardization (ISO),
Body Project Management of Knowledge (PMBOK), PRINCE2, The Open Group
Architecture Framework (TOGAF) e NIST SP 800-30 e 800-53ª, os quais tratam de
[ 62 ]
avaliações de risco e controles de TI para mitigação de riscos, fazendo do COBIT 5,
um framework ideal para implementação do NIST CSF.
6.3. Governança e Gerenciamento Corporativo de TI
Com o objetivo de apoiar a governança e o gerenciamento de TI de forma
eficaz na otimização do valor da TI e gerenciamento de risco, o COBIT 5 adota uma
abordagem que engloba a organização como um todo e considera um conjunto de
sete viabilizadores74:
1. Princípios, Políticas e Frameworks: Traduzem o comportamento desejado
em um guia prático para a gestão cotidiana.
2. Processos: São o conjunto organizado de práticas e atividades para atingir
certos objetivos e produzir um conjunto de saídas que auxiliem no
cumprimento das metas relacionadas a TI.
3. Estruturas Organizacionais: Responsáveis pela tomada de decisão em uma
organização.
4. Cultura, Ética e Comportamento: Dos indivíduos e da organização.
5. Informações: Todas as informações produzidas e utilizadas pela
organização.
6. Serviços, Infraestrutura e Aplicativos: Inclui a infraestrutura, tecnologia e
aplicações que fornecem os serviços à organização.
7. Pessoas, Habilidades e Competências: Referem-se às pessoas e são
requeridas para que as atividades sejam executadas com sucesso e para que
decisões e ações corretivas sejam realizadas de forma correta.
6.4. Gestão de riscos
A gestão de riscos é um componente-chave do NIST Cybersecurity
Framework, descrita no COBIT por meio dos processos listados abaixo:
74 Viabilizadores são fatores que, individual e coletivamente, influenciam o funcionamento da governança e gestão corporativa de TI
[ 63 ]
Nível Executivo:
• EDM - Evaluate, Direct and Monitor (Avaliar, Dirigir e Monitorar): São
responsabilidades da alta direção a avaliação, direcionamento e
monitoração do uso dos ativos de TI para a criação de valor.
o EDM03- Assegurar a Otimização de Risco
Gestão Empresarial – Nível de Processo
• APO - Align, Plan and Organize (Alinhar, Planejar e Organizar): diz
respeito à identificação de como a TI pode contribuir com os objetivos de
negócio.
o APO-012 Gerir Risco o APO 013 Gerir Segurança
• MEA - Monitor, Evaluate and Assess (Monitorar, Avaliar e Medir):
monitorar o desempenho dos processos de TI, avaliando a conformidade
com os objetivos e com os requisitos externos.
o MEA 02- Monitorar, Avaliar e Medir o Sistema de Controles Internos
o MEA 03 - Conformidade com os Regulamentos Externos
Nível de Gestão Operacional:
• BAI - Build, Acquire and Implement (Construir, Adquirir e Implementar):
torna a estratégia de TI concreta, identificando os requisitos para a TI e
gerenciando o programa de investimentos em TI e projetos associados.
o BAI-09 Gestão de Ativos
o BAI-10 Gerir Configuração
• DSS - Deliver, Service and Support (Entregar, Servir e Dar suportar):
refere-se à entrega dos serviços de TI necessários para atender aos
planos táticos e estratégicos.
o DSS 04 - Gerenciar Continuidade
o DSS 05 - Gerenciar Serviços de Segurança
o DSS-06 - Gerenciar Controles de Processo de Negócios
[ 64 ]
6.5. Etapas para implementação
A metodologia prevê sete etapas para a implementação do CSF (NIST, 2014,
P. 14), resumidamente descritas a seguir:
1. Priorizar e definir o escopo, com base nos objetivos e prioridades da
missão organizacional e no âmbito do programa de segurança cibernética.
2. Orientar o processo , no sentido identificar sistemas relacionados, ativos,
requisitos regulatórios e abordagem de risco geral. Identificar também
ameaças e vulnerabilidades desses sistemas e ativos.
3. Criar um perfil atual , com base nos resultados de categoria e
subcategoria do Framework Core que estão sendo alcançados
atualmente.
4. Realizar uma avaliação de risco, analisando o ambiente operacional,
discernindo a probabilidade de eventos de segurança e provável impacto,
incorporando riscos emergentes e dados de ameaça e vulnerabilidade.
5. Criar um perfil alvo, enfocando as categorias de estrutura e
subcategorias relevantes para os resultados de segurança cibernética da
organização. Podem ser adicionadas categorias e subcategorias
adicionais, dependendo dos riscos organizacionais identificados.
6. Determinar, analisar e priorizar lacunas, comparando perfil atual com o
perfil alvo. Com base nas lacunas identificadas, criar um plano de ação
priorizado para corrigir as lacunas. Identificar os recursos necessários.
7. Implementar o Plano de Ação. Para estas referências informativas
podem ser utilizadas. As organizações podem determinar quais padrões,
diretrizes e práticas funcionam melhor para suas necessidades.
Considerado a partir da perspectiva COBIT, o processo de implementação de
sete etapas, conforme especificado pelo NIST CSF, pode ser descrito como segue:
1. Priorizar e definir o escopo da missão organizacional inclui mapear e
listar seus viabilizadores e as necessidades das partes interessadas. A
governança da segurança da informação deve ser considerada como
[ 65 ]
responsabilidade do Conselho de Administração e Executivos Sênior. Os
processos e diretrizes relevantes do COBIT são:
• EDM 01.01: Assegurar o estabelecimento e manutenção do framework
de Governança
• APO 01 - Abordagem de gestão consistente, funções e
responsabilidades organizacionais, habilidades e competências
• APO 02.01 - Direção, estratégia e objetivos da empresa. Os produtos
gerados pelo processo de trabalho são gerenciados apropriadamente.
• APO 03.01 - Arquitetura corporativa. Um padrão é mantido para apoiar
a implementação do processo.
2. Orientar: Identificar os sistemas relacionados, ativos, requisitos
regulatórios e abordagem de risco geral. Identificar ameaças e
vulnerabilidades dos sistemas críticos, ativos, aplicativos e dados
identificados. Os processos COBIT que contêm diretrizes detalhadas são:
• APO (Alinhar, Planejar e Organizar): Identificar de que maneiras a TI
pode contribuir com os objetivos organizacionais.
o APO 01 - Gerenciar o framework de Gestão de TI. Esclarecer e
manter a missão da governança de TI da organização.
� Definir a estrutura organizacional
� Estabelecer papéis e responsabilidades
� Manter os facilitadores do sistema de gestão
� Comunicar objetivos e direcionamento da gestão
� Otimizar a colocação da função de TI
� Definir a propriedade de informação (dados) e sistemas
� Gerenciar a melhoria contínua de processos
� Manter conformidade com políticas e procedimentos
o APO 03 - Gerenciar Arquitetura Corporativa. Estabelecer uma
arquitetura comum com camadas de processos de negócios,
informações, dados, aplicação e tecnologia para realizar de
forma eficaz e eficiente as estratégias de negócios e de TI.
[ 66 ]
� Desenvolver a visão da arquitetura corporativa
� Definir a arquitetura de referência
� Selecionar oportunidades e soluções
� Definir a implementação da arquitetura
� Prover serviços da arquitetura corporativa
o APO 07 - Gerenciar Recursos Humanos. Fornecer uma
abordagem estruturada para garantir a melhor estruturação,
colocação e habilidades dos recursos humanos.
� Manter equipe adequada e apropriada
� Identificar pessoal chave de TI
� Manter as habilidades e competências do pessoal
� Avaliar o desempenho dos funcionários
� Planejar e rastrear o uso de recursos humanos de TI e
negócio
� Gerenciar equipes terceirizadas
o APO 09 - Gerenciar os Contratos de Serviço. Alinhar serviços de
TI e níveis de serviço com as necessidades e expectativas da
organização.
� Identificar serviços de TI
� Catalogar serviços habilitados por TI
� Definir e preparar acordos de serviço
� Monitorar e reportar níveis de serviço
� Revisar acordos de serviço e contratos
o APO -012 Gerenciar os Riscos. Identificar continuamente,
avaliar e reduzir os riscos relacionados a TI dentro dos níveis de
tolerância estabelecidos pela diretoria executiva.
� Coletar dados
� Analisar riscos
� Manter um perfil de riscos
� Articular os riscos
� Definir um portfólio de ações de gerenciamento de riscos
� Responder aos riscos
o APO 013 Gerenciar a Segurança. Definir, operar e monitorar um
sistema para gestão de segurança da informação.
[ 67 ]
� Estabelecer e manter um sistema de gestão de
segurança da informação (SGSI)
� Definir e gerenciar um plano de tratamento de riscos de
segurança da informação
� Monitorar e revisar o SGSI
• BAI-Build (Construir, Adquirir e Implementar): Materializar a estratégia
de TI, identificando requisitos e gerenciando a realização de
investimentos em TI.
o BAI-03 Gerenciar a Identificação e Construção de Soluções.
Estabelece e mantém soluções identificadas em conformidade
com os requisitos da organização abrangendo design,
desenvolvimento, aquisição/terceirização e parcerias com
fornecedores.
� Desenhar soluções de alto nível
� Desenhar detalhes dos componentes da solução
� Desenvolver componentes da solução
� Adquirir componentes da solução
� Construir soluções
� Realizar garantia de qualidade
� Preparar para teste da solução
� Executar teste da solução
� Gerenciar mudanças nos requisitos
� Manter soluções
� Definir serviços de TI e manter o portfólio de serviços
o BAI 06 - Gerenciar as mudanças. Gerenciar todas as mudanças
de uma maneira controlada, incluindo mudanças de padrão e de
manutenção de emergência relacionadas com os processos de
negócio, aplicações e infraestrutura.
� Avaliar, priorizar e autorizar solicitações de mudança
� Gerenciar mudanças emergenciais
� Rastrear e reportar status da mudança
� Encerrar e documentar mudanças
[ 68 ]
o BAI-09 - Gerenciar os ativos. Gerenciar os ativos de TI através
de seu ciclo de vida para assegurar que seu uso agrega valor a
um custo ideal.
� Identificar e registrar ativos correntes
� Gerenciar ativos críticos
� Gerenciar o ciclo de vida de ativos
� Otimizar custos de ativos
� Gerenciar licenças
o BAI-10 - Gerenciar a configuração. Definir e manter as
descrições e as relações entre os principais recursos e as
capacidades necessárias para prestar serviços de TI incluindo a
coleta de informações de configuração, o estabelecimento de
linhas de base, verificação e auditoria de informações de
configuração e atualizar o repositório de configuração.
� Estabelecer e manter um modelo de configuração
� Estabelecer e manter um repositório e linha de base de
configuração
� Manter e controlar itens de configuração
� Produzir relatórios de status sobre a configuração
� Verificar e revisar a integridade do repositório de
configuração
• DSS (Entregar, Servir e Suportar): Entregar os serviços de TI
necessários para atender aos planos táticos e estratégicos.
o DSS 01 - Gerenciamento de Operações. Coordenar e executar
as atividades e procedimentos operacionais necessários para
entregar serviços de TI internos e terceirizados, incluindo a
execução de procedimentos operacionais, padrões pré-definidos
e as atividades exigidas.
o DSS 02 - Gerenciamento de Solicitações de Serviço e
Incidentes. Fornecer uma resposta rápida e eficaz às
solicitações dos usuários e resolução de todos os tipos de
incidentes
[ 69 ]
� Definir esquemas de classificação de requisições de
serviço e incidentes
� Registrar, classificar e priorizar incidentes e requisições
� Verificar, aprovar e atender a requisições de serviço
� Investigar, diagnosticar e alocar incidentes
� Resolver e se recuperar de incidentes
� Encerrar requisições de serviços e incidentes
� Rastrear status e produzir relatórios
o DSS 03 - Gerenciamento de Problemas. Identificar e classificar
os problemas e suas causas-raízes, bem como oferecer solução
para prevenir incidentes recorrentes.
� Identificar e classificar problemas
� Investigar e diagnosticar problemas
� Registrar erros conhecidos
� Resolver encerrar problemas
� Realizar gerenciamento proativo de problemas
o DSS 04 - Gerenciamento de Continuidade. Estabelecer e manter
um plano para permitir os negócios e TI responder a incidentes
e interrupções, a fim de continuar a operação de processos
críticos de negócios e serviços de TI necessários e manter a
disponibilidade de informações em um nível aceitável para a
organização.
� Definir política, objetivos e escopo da continuidade de
negócios
� Manter uma estratégia de continuidade
� Desenvolver e implementar uma resposta de
continuidade de negócios
� Exercitar, testar e revisar o PCN
� Revisar, manter e aprimorar o plano de continuidade
� Conduzir treinamento do plano de continuidade
� Gerenciar preparativos de backup
� Conduzir revisão pós-recuperação
o DSS 05 - Gerenciamento de Serviços de Segurança. Proteger
informações da organização para manter o nível de risco
[ 70 ]
aceitável para a segurança da informação da organização, de
acordo com a política de segurança
� Proteger contra malware
� Gerenciar segurança da rede e conectividade
� Gerenciar segurança de endpoints
� Gerenciar identidade e a acesso físico a ativos de TI
� Gerenciar documentos e dispositivos de saída sensíveis
� Monitorar a infraestrutura quanto a eventos relacionados
a segurança
o DSS- 06 - Gerenciar Controles de Processos de Negócios.
Definir e manter controles de processos de negócio apropriados
para assegurar que as informações relacionadas e processadas
satisfazem todos os requisitos de controle de informações
relevantes.
� Alinhar atividades de controle embutidas nos processos
de negócio com os objetivos corporativos
� Controlar o processamento da informação
� Gerenciar papéis, responsabilidades, privilégios de
acesso e níveis de autoridade
� Gerenciar erros e exceções
� Assegurar rastreabilidade de eventos e responsabilidade
sobre as informações
� Manter seguro os ativos de informação
• MEA (Monitorar, Avaliar e Medir): Monitorar o desempenho dos
processos de TI, avaliando a conformidade com os objetivos e com os
requisitos externos.
o MEA 02- Monitorar Avaliar e Avaliar o Sistema de Controles
Internos. Monitorar e avaliar continuamente o ambiente de
controle, incluindo auto avaliações e analises de avaliações
independentes.
� Monitorar controles internos
� Revisar efetividade de controles de processos de negócio
� Realizar auto avaliações de controles
[ 71 ]
� Identificar e reportar deficiências de controles
� Assegurar que provedores de auditoria sejam
independentes e qualificados
� Planejar iniciativas de auditoria
� Definir escopo de iniciativas de auditoria
� Executar iniciativas de auditoria
o MEA 03- Monitorar Avaliar e Avaliar o Cumprimento de
Regulamentos Externos. Avalia se processos de TI e processos
de negócios suportados pela TI estão em conformidade com as
leis, regulamentos e exigências contratuais.
� Identificar requisitos de conformidade externos
� Otimizar resposta a requisitos externos
� Confirmar conformidade externa
� Obter garantia de conformidade externa
3. Criar um perfil atual: Perfil do CSF é criado para uma organização ou
empresa, selecionando as categorias principais do CSF (ID, PR, DE, RS,
RC) e subcategorias de atividades de função de segurança com base nas
necessidades de negócios da empresa, drivers de negócios e avaliação de
riscos. O perfil atual mostra o estado “como está”.
O Guia de Implementação do NIST CSF mapeia as categorias e
subcategorias para o framework COBIT5 e também para outros frameworks
de implementação.
4. Realizar avaliação de riscos (em uma base contín ua): A avaliação de
risco é um passo importante no processo de gerenciamento de segurança
cibernética. As avaliações de risco envolvem a identificação de ativos
críticos e a identificação de vulnerabilidades de sistemas, redes e
aplicações que poderiam ser exploradas para comprometer dados e
recursos de TI. As avaliações de risco devem considerar as frequências de
eventos de ameaça ou perda, bem como sua probabilidade e provável
impacto para o negócio ou o empreendimento, descritas em termos de
custo (orçamento) ou em uma escala de classificação alta / média / baixa.
[ 72 ]
O risco de TI é uma combinação da probabilidade do evento de
ameaça (frequência de evento de ameaça) e seu impacto (magnitude de
perda provável). Se o risco for maior que o limiar de risco (quantidade de
risco que uma organização ou indivíduo está disposto a aceitar), então as
contramedidas, incluindo controles, terão que ser implementadas para
reduzir o risco e trazê-lo para um nível aceitável conforme definido pela
empresa.
5. Criar perfil alvo: O perfil alvo é o “estado desejado”, baseado nas
categorias e subcategorias de Perfil CSF selecionadas. Isso também
considerará o resultado das avaliações de risco e as lacunas de controle
identificadas.
6. Determinar, analisar e priorizar lacunas e plano de ação: As lacunas
de controle identificadas devem ser analisadas e priorizadas com
referência ao perfil alvo criado. Isso levará a um plano de ação. Uma vez
que a COBIT tem um foco de negócios, as categorias de controle devem
ser definidas dentro da perspectiva de negócios de função de risco,
conforme definido pelos sete facilitadores de negócios mencionados
anteriormente.
7. Implementar um plano de ação: para contramedidas e controles para
reduzir o risco. O plano de ação, os cronogramas e os planos de projeto
associados devem ser criados para implementar o plano de ação. Isso
também pode envolver a identificação de ferramentas GRC necessárias
para implementação. Hardware, software, ferramentas e recursos
qualificados para implementação, podem ter que ser identificados e
documentados para a aprovação da gerência e implementação
implantação.
6.6. Frameworks de implementação (modelo de maturidade)
[ 73 ]
Os níveis de implementação do QCA estão associados à maturidade do
processo de gestão de risco, ao programa integrado de gestão de riscos e à
participação externa, conforme especificado no framework. Por exemplo, em um
processo repetível de nível 3, as práticas de gerenciamento de risco são
formalmente aprovadas e formuladas como diretrizes de políticas, em relação às
práticas ad-hoc na camada 1 e ausência de políticas na camada 2. Na camada 3,
Abordagem de gestão de risco de segurança cibernética. Métodos consistentes
estão no lugar para responder eficazmente às mudanças no risco. As decisões de
gestão baseadas no risco são tomadas particularmente na partilha de informação
com entidades externas. No Nível 4, essas práticas são otimizadas.
O COBIT também tem uma abordagem em camadas para a gestão de risco,
conforme descrito no EDM 03 - processo de governança de otimização de risco.
Existem níveis de capacidade de processo (PCLs) definidos no COBIT. Estes são
semelhantes aos níveis de implementação do CSF. Podem ser mapeados conforme
listado abaixo:
• CSF Tier 1 (Parcial) -> PCL 0 (Incompleto) e PCL 1 (Executado)
• CSF Tier 2 (Risco Informado) -> PCL 2 (Administrador)
• CSF Tier 3 (Reapropriado) -> PCL 3 (Estabelecido)
• CSF Tier 4 (Adaptativo) -> PCL 4 (Previsível) e PCL 5 (Otimização)
As Avaliações de Capacidade de Processo podem ser realizadas usando o
padrão ISO 15504 usando uma escala de classificação listada abaixo, e estas são
adotadas pelo COBIT para cada processo:
• N - Não atingido (0 a 15%)
• P- Parcialmente alcançado (15 a 50%)
• L - Muito atingido (50 a 85%)
• F- Totalmente alcançado (85 a 100%)
[ 74 ]
7. CONCLUSÃO
Neste trabalho, analisamos as ameaças maliciosas em geral e exibimos o
resultado de pesquisas que evidenciam o quanto as ameaças internas são
subestimadas e vem provocando efeitos nas organizações há muito tempo. Além
disso, permite compreender que, enquanto houver o fator humano necessário como
parte da segurança da informação, consequentemente, a ameaça interna estará
presente, seja por meio de uma ação mal-intencionada ou por falha humana.
Esclarecemos que, independentemente do tamanho, da área de atuação ou
natureza, qualquer organização pode ser alvo de ações maliciosas. Analisamos os
riscos e ameaças, a fim de conscientizar os responsáveis pela gestão de risco nas
organizações sobre os riscos e a importância da segurança cibernética, por meio de
uma linha de tempo com uma lista de eventos relacionados à evolução das
atividades cibercriminosas. Alertamos que medidas efetivas de cibersegurança
sempre devem ser tomadas contra os hackers, que, mediante as vulnerabilidades
conhecidas e exploradas, desafiam a segurança cibernética, e contra os códigos
maliciosos, que estão ligados diretamente aos hackers, por serem programas
desenvolvidos para executar ações danosas e atividades maliciosas. Assim,
compreendemos que o cenário das ameaças internas é significativamente maior do
que previamente suposto dentro das organizações, sendo fundamental desenvolver
um conjunto robusto de ações para lidar com cada risco.
Como recurso para mitigar os riscos contra as ameaças cibernéticas,
propusemos a adoção do NIST Cibersecurity Framework, um conjunto de padrões e
práticas recomendadas para ajudar as organizações no gerenciamento do risco de
segurança cibernética, e, para sua implementação, selecionamos o COBIT 5
Framework, por suas referências informativas serem comuns em todos os setores de
infraestrutura crítica e por ajudar as organizações a criar valor para TI.
Apesar de todos recursos e tecnologias apresentados, deve-se ter em mente
que uma segurança eficiente é composta por um conjunto de pessoas, processos e
tecnologias, e que, o equilíbrio e sintonia entre esses três componentes é fator
imprescindível para reduzir a vulnerabilidade da organização a ataques e ameaças.
[ 75 ]
REFERÊNCIAS
ABNT NBR ISSO/IEC 27002:2013. Tecnologia da Informação - Técnicas de
Segurança - Código de prática para controles de seg urança da informação .
Brasil: Associação Brasileira de Normas Técnicas, 2013
ARCON, Arcon Serviços de Gerenciamento de Segurança. Ransomware: a
ameaça que não para de evoluir . Disponível em:
<https://www.arcon.com.br/blog/ransomware-a-ameaca-que-nao-para-de-evoluir>.
Acesso em: 30 Set. 2016.
BROWN, Mike. RSA World Headquarters . Disponível em:
<https://blogs.rsa.com/rsacybersecuritypovertyindex/?linkId=14836335>. Acesso em:
15 Set. 2016.
BRYEN, Shoshana. Google autocomplete: Shades of IBM? . Disponível em:
<https://www.jewishpolicycenter.org/2012/05/02/google-autocomplete-shades-of-
ibm/>. Acesso em: 23 Dez. 2016.
CANALTECH, por Redação. O que é defacement ou deface? . Disponível em:
<https://canaltech.com.br/o-que-e/o-que-e/O-que-e-defacement-ou-deface/>. Acesso
em: 30 Set. 2016.
CAPPELLI, Dawn; Andrew Moore; Randall Trzeciak. The CERT Guide to Insider
Threats: How to Detect, Prevent, and Respond to Inf ormation Technology
Crimes (Theft, Sabotage, Fraud) . United States: Addison-Wesley, 2012.
CERT.BR. Centro de Estudos, Resposta e Tratamento de Inciden tes de
Segurança no Brasil: Códigos maliciosos (Malware) . Disponível em:
<http://cartilha.cert.br/malware/>. Acesso em: 30 Set. 2016.
CIBERCULT, Blog da disciplina Cibercultural. Jornalisto UFV . Disponível em:
<http://www.com.ufv.br/cibercultura/hacktivismo/>. Acesso em: 30 Set. 2016.
[ 76 ]
CLARKE, Richard A.; KNAKE, Robert K. Guerra Cibernética: A próxima ameaça à
segurança e o que fazer a respeito . Rio de Janeiro: Brasport, 2015.
COMISSION, European. Cybersecurity Strategy of the European Union: An
Open, Safe and Secure Cyberspace . Disponível em:
<http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=1667>. Acesso em: 22
Jan. 2016.
COMPUTERWORLD, Da Redação. 63% das empresas brasileiras não têm
planos contra ameaças cibernéticas. Disponível em:
<http://computerworld.com.br/63-das-empresas-brasileiras-nao-tem-planos-contra-
ameacas-ciberneticas>. Acesso em: 30 Set. 2016.
DANTAS, Marcos; Leandro Tapajós. Detran-AM descobre programa espião em
sistema e afasta estagiários . Disponível em:
<http://g1.globo.com/am/amazonas/transito/noticia/2014/02/detran-am-descobre-
programa-espiao-em-sistema-e-afasta-estagiarios.html>. Acesso em: 29 Out. 2016.
DOLMETSCH, Chris; Dakin Campbell. Morgan Stanley Unit Accused of High-
Pressure Sales Tactics . Disponível em: <https://www.bloomberg.com
/news/articles/2016-10-03/morgan-stanley-unit-accused-of-high-pressure-sales-
tactics>. Acesso em: 21 Dez. 2016.
ESTADÃO, por Redação. Quem é Edward Snowden . Disponível
em:<http://infograficos.estadao.com.br/especiais/snowden/quem-e-snowden.html>.
Acesso em: 23 Dez. 2016.
ESTADO, Agência. Europol culpa erro humano por vazamento de dados .
Disponível
em:<http://www.em.com.br/app/noticia/internacional/2016/11/30/interna_internaciona
l,828682/europol-culpa-erro-humano-por-vazamento-de-dados.shtml>. Acesso em:
23 Dez. 2016.
EY. Quais ameaças e vulnerabilidades mais aumentaram a sua ex posição .
Disponível em: <http://www.ey.com/Publication/vwLUAssets/Cybercrime
[ 77 ]
_Giss_2015_Portugues/$FILE/CyberCrimeGISS_PT_LR_2015.pdf>, Acesso em: 29
Out. 2016.
GOMES, Maria Cecília Oliveira. Insiders e a Segurança Cibernética de Empresas .
Disponível em: <http://www.opiceblum.com.br/insiders-e-a-seguranca-cibernetica-de-
empresas/>. Acesso em: 29 Out. 2016.
GRANNEMAN, Joe. Applying insider threat detection during the hiring process .
Disponível em: <http://searchsecurity.techtarget.com/answer/Applying-insider-threat-
detection-during-the-hiring-process>. Acesso em: 21 Dez. 2016.
GUSMÃO, Gustavo. AOL: A primeira quebra de segurança a aparecer na l ista do
Information is Beautiful é também uma das piores . Disponível em:
<http://exame.abril.com.br/tecnologia/os-15-maiores-vazamentos-de-dados-da-ultima
-decada/>. Acesso em: 20 Out. 2016.
ISACA. Book Reviews. Gray Hat Hacking . Disponível em:
<http://www.isaca.org/Journal/archives/2015/Volume-3/Pages/gray-hat-
hacking.aspx>. Acesso em: 30 Set. 2016.
ISACA. Comparing COBIT 4.1 and COBIT 5 . Disponível em:
<http://www.isaca.org/COBIT /Documents/Compare-with-4.1.pdf>. Acesso em: 20
Nov. 2016.
IT FORUM 365, Redação. Previsões para o mercado de cibersegurança em
2017. Disponível em: <http://itforum365.com.br/noticias/detalhe/121970/previsoes-
para-o-mercado-de-ciberseguran%C3%A7a-em-2017>. Acesso em: 21 Dez. 2016.
IT FORUM 365, Redação. Previsões para o mercado de cibersegurança em
2017. Disponível em: <http://itforum365.com.br/noticias/detalhe/121970/previsoes-
para-o-mercado-de-ciberseguran%C3%A7a-em-2017>. Acesso em: 21 Dez. 2016.
ITSECURITY. Top 10 Most Famous Hackers of All Time . Disponível em:
<http://www.itsecurity.com/features/top-10-famous-hackers-042407/>. Acesso em: 30
Set. 2016.
[ 78 ]
JOSUÉ. Bíblia Sagrada. Velho Testamento. Livro de Josué . Capítulo 2. Versículo1.
KAN, Michael. U.S. Correspondent, IDG News Service: Yahoo's claim of 'state-
sponsored' hackers meets with skepticism . Disponível em:
<http://www.pcworld.com/article/3124789/security/yahoos-claim-of-state-sponsored-
hackers-meets-with-skepticism.html>. Acesso em: 30 Set. 2016.
KASPERSKY, Kaspersky Lab. Mapa interativo que mostra ameaças online em
tempo real . Disponível em: <https://cybermap.kaspersky.com/#>. Acesso em: 22
Nov. 2016.
KHIMJI, Irfahn. The malicious Insider . Disponível em:
<https://www.tripwire.com/state-of-security/security-awareness/the-malicious-
insider/>. Acesso em: 29 Out. 2016.
MAGAZINE, PC. Encyclopedia . Disponível em:
<http://www.pcmag.com/encyclopedia/term/56321/blue-hat-hacker>. Acesso em: 30
Set. 2016.
MARKS, Paul. Dot-dash-diss: The gentleman hacker’s 1903 lulz . Disponível em:
<https://www.newscientist.com/article/mg21228440-700-dot-dash-diss-the-
gentleman-hackers-1903-lulz/?full=true>. Acesso em: 23 Dez. 2016.
MATSUURA, Sérgio; Thiago Jansem. Onda de crimes praticados por hackers
cresceu 197% no Brasil em um ano . Disponível em:
<http://oglobo.globo.com/sociedade/tecnologia/onda-de-crimes-praticados-por-
hackerscresceu-197-no-brasil-em-um-ano-17197361>. Acesso em: 30 Set. 2016.
MATTHEWS, Laura. Ex-engenheiro de software da Motorola Hanjuan Jin e m
julgamento por roubar segredos comerciais . Disponível em:
<http://www.ibtimes.com/ex-motorola-software-engineer-hanjuan-jin-trial-stealing-
trade-secrets-367102>. Acesso em: 20 Out. 2016.
NATO, North Atlantic Treaty Organization. NATO leaders bolster collective
deterrence and defence . Disponível em:
[ 79 ]
<http://www.nato.int/cps/en/natohq/news_133280.htm?selectedLocale=en>. Acesso
em: 16 Set. 2016.
NIST. Cybersecurity Framework . Disponível em:
<https://www.nist.gov/cyberframework>. Acesso em: 20 Nov. 2016.
NIST. Framework for Improving Critical Infrastructure Cyb ersecurity . Disponível
em:
<https://www.nist.gov/sites/default/files/documents/cyberframework/cybersecurity -
framework-021214.pdf>. Acesso em: 20 Nov. 2016.
NYST, Carly. Travel Guide to the Digital World: Cybersecurity Po licy for Human
Rights Defenders . London: Global Partners Digital, 2016.
OFFICE, Press. Alan Turing’s codebreaking machine voted engineers’ favo urite
artefact, 2014 . Disponível em: <http://www.imeche.org/news/news-
article/Alan_Turings_Codebreaking_machine_voted_engineers_favourite_artefact>.
Acesso em: 23 Dez. 2016.
OLHAR DIGITAL, por Redação. Qual a diferença entre hacker e cracker? .
Disponível em: <http://olhardigital.uol.com.br/fique_seguro/noticia/qual-a-diferenca-
entre-hacker-e-cracker/38024>. Acesso em: 30 Set. 2016.
OXFORD. Oxford Living Dictionaries . Disponível em:
<https://en.oxforddictionaries.com/definition/cybersecurity>. Acesso em: 16 Set.
2016.
PALO ALTO. Palo Alto Networks. O que é a Segurança Cibernética . Disponível
em: <https://www.paloaltonetworks.com.br/resources/learning-center/what-is-cyber-
security.html>. Acesso em: 15 Set. 2016.
PCTOOLS, by Symantec. What is a Script Kiddie? . Disponível em:
<http://www.pctools.com/security-news/script-kiddie/>. Acesso em: 30 Set. 2016.
[ 80 ]
PLANALTO. Departamento de Segurança da Informação e Comunicaç ão.
Disponível em: <http://dsic.planalto.gov.br/>. Acesso em 16 Set. 2016.
PLON, Leneide Duarte. Denunciante do HSBC quer colaborar com o Brasil .
Disponível em: <http://www.cartacapital.com.br/revista/860/falciani-de-prontidao-
3792.html>. Acesso em: 29 Out. 2016.
POSSLEY, Maurice; COHEN, Laurie. $70 Million Bank Theft Foiled . Disponível
em: <http://articles.chicagotribune.com/1988-05-19/news/8803180387_1_chase-
manhattan-bank-wire-transfers-sources>. Acesso em: 23 Dez. 2016.
PRADO, Jean. O curioso caso da prefeitura que teve seu sistema b loqueado
por hackers . Disponível em: <https://tecnoblog.net/184550/prefeitura-sistema-
bloqueado-pratania/>. Acesso em: 23 Dez. 2016.
PRESS, Associated. Hacker forces 1.500 Pentagon computers offline . Disponível
em: <http://www.nbncnews.com/id/19358920/ns/technology_and_science-
security/t/hacker-forces-pentagon-computers-offline>. Acesso em: 23 Dez. 2016.
PWC. Pesquisa Global de Segurança da Informação 2016 . Disponível em:
<http://www.pwc.com.br/pt/estudos/servicos/consultoria-negocios/giss-pesquisa-
global-seguranca-informacao-2016.html>. Acesso em: 29 Out. 2016.
RAYMOND, Gerson. Hackers são vilões ou mocinhos? . Disponível em:
<http://www.ethicalhackers.com.br/site/2016/06/hackers-sao-viloes-ou-mocinhos/>.
Acesso em: 30 Set. 2016.
RODRIGUES, Carlos. Ameaças internas serão a maior preocupação da TI em
2016. Disponível em: <http://convergecom.com.br/tiinside/seguranca/artigos-
seguranca/03/03/2016/ameacas-internas-serao-a-maior-preocupacao-da-ti-em-
2016/>. Acesso em: 20 Nov. 2016.
ROHR, Altiere. G1: Conheça os especialistas em ‘brincar’ com a tel efonia, os
Phreakers . Disponível em: <http://g1.globo.com/tecnologia/noticia/2010/05/conheca-
[ 81 ]
os-especialistas-em-brincar-com-telefonia-os-phreakers.html>. Acesso em: 30 Set.
2016.
ROMAN, Jeffrey. Administrador de Sistemas Navais Hackeava Informaçõ es.
Disponível em: <http://www.govinfosecurity.com/navy-systems-admin-faces-hacking-
charge-a-6816>. Acesso em: 29 Out. 2016.
SEI. Software Engineering Institute . Disponível em:
<http://resources.sei.cmu.edu/asset_files/Presentation/2013_017_101_58739.pdf>.
Acesso em: 29 Out. 2016.
SHEETER, Laura. Estônia acusa Rússia de 'ataque cibernético' ao paí s.
Disponível
em:<http://www.bbc.com/portuguese/reporterbbc/story/2007/05/070517_estoniaataq
uesinternetrw.shtml>. Acesso em: 30 Set. 2016.
SILOWASH, George; Dawn Cappelli; Andrew Moore; Randall Trzeciak; Timothy J.
Shimeall; Lori Flynn. Common Sense Guide to Mitigating Insider Threats . 4°
Edition. Disponível em: <http://resources.sei.cmu.edu/asset_files/TechnicalReport/
2012_005_001_34033.pdf>. Acesso em: 29 Out. 2016.
STORM, Darlene. Interview with iconic hacker Captain Crunch . Disponível em:
<http://www.computerworld.com/article/2470109/endpoint-security/interview-with-
iconic-hacker-captain-crunch.html>. Acesso em: 23 Dez. 2016.
SZOLDRA, Paul. This is everything Edward Snowden revealed in one y ear of
unprecedented top-secret leaks . Disponível em:
<http://www.businessinsider.com/snowden-leaks-timeline-2016-9>. Acesso em: 29
Out. 2016.
VALADARES, João - Espião que violou sistema da Abin é novato na agênc ia.
Disponível em: <http://www.defesanet.com.br/defesa/noticia/7842/Espiao-que-violou-
sistema-da-Abin-e-novato-na-agencia/>. Acesso em: 29 Out. 2016.
[ 82 ]
VERISIGN. Verisign iDefense Security Intelligence Services. Relatório Tendências
e Ameaças Cibernéticas 2016 . Disponível em:
<https://www.verisign.com/assets/report-cyber-threats-2016_pt_BR.pdf>. Acesso em:
16 Set. 2016.
VIJAYAN, Jaikumar. Snowden da outra lição sobre ameaças internas . Disponível
em: <http://www.computerworld.com/article/2485759/cyberwarfare/snowden-serves-
up-another-lesson-on-insider-threats.html>. Acesso em: 29 Out. 2016.
VORMETRIC. Relatório sobre ameaças internas 2016 . Disponível em:
<http://enterprise-encryption.vormetric.com/rs/480-LWA-970/images/Vormetric_2016
_Data_Threat_Report_Global_WEB.pdf>. Acesso em: 29 Out. 2016.
WENDT, Emerson; JORGE, Higor Vinicius Nogueira. Crimes Cibernéticos:
Ameaças e Procedimentos de Investigação . 2° Edição. Rio de Janeiro: Brasport,
2013.
WIKIPEDIA. Enciclopédia Livre: Carder . Disponível em:
<https://pt.wikipedia.org/wiki/Carder>. Acesso em: 30 Set. 2016.
WIKIPEDIA. Enciclopédia Livre: Hacker . Disponível em:
<https://pt.wikipedia.org/wiki/Hacker>. Acesso em: 30 Set. 2016.