Segurança da informação (2)

Risco e Segurança da Informação

Israel José dos Santos FelipeMárcio Carvalho de Brito

UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTECENTRO DE CIÊNCIAS SOCIAIS APLICADAS

PROGRAMA DE PÓS-GRADUAÇÃO EM ADMINISTRAÇÃOPPGA-UFRN

CONHECIMENTOCONHECIMENTO ORGANIZAÇÕESORGANIZAÇÕES AMEAÇASAMEAÇAS

Inteligência Competitiva segundo Elisabeth Braz, PhD em inteligência competitiva pela UFRJ.É um processo sistemático e ético usado para identificar, coletar, analisar e disseminar informações analisadas, ou seja, com valor agregado, de forma a minimizar o risco do tomador de decisão em suas ações.

Ex.://www.cimentoitambe.com.br/itambe-empresarial/nao-basta-ter-inteligencia-e-preciso-inteligencia-competitiva/

Fonte: Módulo Risk Manager News.

INTRODUÇÃO

Segurança da Informação e Inteligência Competitiva

DIFUSÃO DO CONHECIMENTO

Três Mecanismos de Difusão

1º. Aprender através da inspeção física dos produtos patenteados dos concorrentes e através de informações sobre a logística do produto obtidas de várias fontes (fornecedores e distribuidores).

2º. A informação patenteada é também difundida quando se incorpora aos bens de capital produzidos por fornecedores externos. A menos que as empresas na indústria produzam seus próprios bens de capital ou protejam a informação que eles dão aos fornecedores, suas tecnologias podem ser adquiríveis pelos concorrentes.


3º. A rotatividade da mão-de-obra aumenta o número de pessoas que passa a conhecer o domínio tecnológico, abrindo uma brecha de vulnerabilidade para que essas informações cheguem a outras empresas.

Três Mecanismos de Difusão

Gestão do Risco

A História do Risco e Fontes de Risco

Ainda Keynes (apud BERNSTEIN 1997, p. 12) teve de admitir que “se a natureza humana não caísse na tentação de enfrentar riscos...talvez pouco se inventasse como resultado da fria avaliação”.

A síntese utilizada por Longenecker, Moore e Petty (2004, p. 634), diz-se que “nada é certo, exceto a morte e os impostos”. Os empresários provavelmente ampliaram esse adágio da seguinte maneira: “ Nada é certo, exceto a morte, os impostos e os riscos em pequenas empresas”.

Entretanto as fontes de risco associado as empresas Gitman e Joehnk (2005) e Delloite apresentam exaustivas literatura a respeito com pontos parecendo comuns.

Definição de Risco

“Risco é a incerteza inerente aos ganhos e perdas que podem ocorrer como resultado das decisões exigidas por toda a organização.”

Risco está relacionado à escolha, não ao acaso

Gestão de Riscos é o enfoque estruturado que alinha estratégia, processos, pessoal, tecnologia e conhecimento, com o objetivo de avaliar e gerenciar essas incertezas como forma de criação de valor.

O processo de gerenciamento de riscos

Gerenciar o risco é a melhor estratégia para as organizações no contexto atual, Brealey e Myers (2005, p. 309)

Segundo Bodie e Merton (2002, p.262) discorre que o processo de gerenciamento de risco é uma tentativa sistemática de analisar e de gerir o risco. Portanto as organizações precisam de gestores capazes de assumir e conhecer os riscos inerentes para que possam gerenciá-las de forma sistemática através de ferramentas descritas.

Grupos de Riscos

Risco Estratégico: Falta de capacidade da empresa em proteger-se, adaptar-se ou antecipar-se a mudanças (econômicas, tecnológicas, mercadológicas e etc) que possam impedir o alcance dos objetivos e metas estabelecidas;

Risco Operacional: Fraudes, erros de sistemas de informações, extrapolação de autoridade dos empregados, desempenho insatisfatório, falhas na adoção dos critérios de subscrição;

Grupos de Risco

Risco Atuarial: Metodologias e/ou cálculos incorretos da tarifação do seguro, pela insuficiência da manutenção de tabelas de preços, bem como de reajustes periódicos a serem aplicados nas apólices, e pela inadequada constituição das reservas técnicas;

Risco Legal: Documentação incorreta das transações, descumprimento da legislação vigente, novas leis, decisões judiciais.

Grupos de Riscos

Risco de Crédito: Não recebimento de créditos concedidos.

Risco de Liquidez: Deficiência de fundos, decorrentes de dificuldade de se obter recursos, impossibilitando fazer face aos compromissos assumidos em decorrência de gestão insatisfatória.

Risco de Mercado: Decorre da variabilidade dos preços e produtos e das variáveis externas que afetam estes dois itens.

Por que a Gestão de Riscos?

Tarefa fundamental da direção da empresa.

Reduz a volatilidade dos ganhos.

Maximiza valor aos acionistas.

Promove a melhoria contínua dos processos.

Assumir riscos é fundamental no propósito do mercado .

RISCOS MAIS RELEVANTES

Fonte: Brasiliano & Associados, 2003.

52.60%

48.70%

48.0%

46.10%

40.80%

39.5%

38.2%

26.3%

25.0%

19.7%

15.8%

15.8%

11.8%

6.6%

Sequestro de executivos

Fuga de informações

Responsabilidade Civil

Incêndio

Risco Ambiental

Risco de internet

Fraude

Roubo de carga

Sabotagem

Furto interno

Álcool de Drogas

Vandalismo

Chantagem

Roubo às Instalações

PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO//2003

EMPRESA MÓDULO SECURITY SOLUTIONS S.A. RESULTADO: FUNCIONÁRIOS INSATISFEITOS E

VAZAMENTO DE INFORMAÇÃO


66%

53%

51%

49%

47%

41%

39%

37%

31%

29%

Vírus

Funcionário insatisfeito

Divulgação de senha

Acesso indevido

Vazamento de informação

Fraudes, erros e acidentes

Hackers

Falhas na segurança física

Uso de notebooks

Fraudes em e-mail

PRINCIPAIS AMEAÇAS À SEGURANÇA DA INFORMAÇÃO

Fonte: Módulo Security, 2003

MINIMIZAÇÃO DE PERDAS E MAXIMIZAÇÃO DOS LUCROS SEM

GERAÇÃO DE RECEITAS

PREVENÇÃO DE PERDAS SEGURANÇA EMPRESARIAL

(patrimonial, pessoal e da informação) SEGURANÇA DE SAÚDE

OCUPACIONAL; MEIO AMBIENTE; SEGURANÇA DO TRABALHO.

*1º Incêndio – 1ª REVOLUÇÃO INDUSTRIAL

FLORESCIMENTO DAS SEGURADORES

AUMENTO DE SINISTROS X ATOS CRIMINOSOS

*GERAÇÃO DE PADRÕES DIFERENCIADOS DOS ATIVOS – de acordo com o cuidado da empresa na PREVENÇÃO.

INDÚSTRIA DO SEGURO – Ator coadjuvante para prevenção de

PERDAS POTENCIAIS.

E O QUE SIGNIFICA PREVENÇÃO e menores custos para segurar o ativo?

Projeto consistente;Treinamento;Proximidade com equipes de bombeiros ou

próprios.

OUTRAS AMEAÇAS foram surgindo para PERDA DE PRODUÇÃO:

ROUBOS PELOS FUNCIONÁRIOS;ATOS DE VANDALISMO;PERDAS DE MATERIAIS E

EQUIPAMENTOS POR FALTA DE CONTROLE.

AS SEGURADORAS IMPÕE OUTROS PADRÕES DE PREVENÇÃO:

Prêmios para indústrias com procedimentos preventivos para controle de perdas devido as sabotagens industriais e sindicatos com diminuição dos ativos representados pela terra e bens de produção.

ATUALMENTE É A SOCIEDADE DO CONHECIMENTO – ATIVO MAIS VALORIZADO QUE NÃO DEPRECIA COM O TEMPO, AO CONTRÁRIO, AUMENTA A VALORIZAÇÃO.

Segundo Peck: Aumenta a tendência da aplicação de ativos inatingíveis com RISCOS diretamente relacionados a valor e custo de proteção ao bem.

“A medida que o conhecimento se torna mais essencial para a criação de riqueza, a empresa começa a ser considerada uma intensificadora do conhecimento, necessitando, portanto, promover mecanismos de proteção das suas informações e ao mesmo tempo desenvolver meios de obtenção de informações sobre os planos, os produtos e os lucros de seus adversários.”

A GUERRA TOTAL PELA INFORMAÇÃO

ESPIONAGEMESPIONAGEM INTELIGÊNCIA COMPETITIVAINTELIGÊNCIA COMPETITIVA

MILITARESMILITARES AMBIENTES DE NEGÓCIOSAMBIENTES DE NEGÓCIOS

Espionagem Empresarial XX Inteligência Competitiva

A GUERRA TOTAL PELA INFORMAÇÃO

• Associação Brasileira dos analistas de inteligência competitiva ABRAIC.

• Lei da Espionagem econômica e Industrial Brasileira;

• Contra – Inteligência Competitiva;

• SEBRAE em parceria com a ABRAIC;

• PLATT, Washington (1974) e SANTOS, Néri dos (2000).

INTELIGÊNCIA COMPETITIVA NO BRASIL

Fonte: PLATT, Washington (1974) e SANTOS, Néri dos (2000).

INFORMAÇÕES ESTRATÉGICAS – IEINFORMAÇÕES ESTRATÉGICAS – IE INTELIGÊNCIA COMPETITIVA – ICINTELIGÊNCIA COMPETITIVA – IC

A produção de uma informação sobre determinado assunto compreende a seleção e reunião dos fatos relativos ao problema, sua avaliação, seleção e interpretação, e a expressiva, como informação acabada, oral ou escrita.

É um processo sistemático de agregação de valor, que converte dados em informação e, na seqüência, informação em conhecimento estratégico para apoiar a tomada de decisão organizacional.

SEMELHANÇAS NAS ABORDAGENS ENTRE IE E IC.

www.gomesebraga.com.br

www.informal.com.br

www.abraic.org.br

SUGESTÕES PARA APROFUNDAMENTO EM IC.

CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO

Conforme o autor Kovacich (1998) ..Embora não exista uma forma padronizada de se classificar a informação existente nas organizações, do ponto de vista de seu conteúdo ela costuma ser divida em três (03) categorias, a saber:



• Informação Pessoais

• Informação de Segurança Nacional

• Informação de Negócio

Podem incluir dados individuais de empregados, clientes e outras pessoas, incluindo

- Informação Pessoais

Idade Endereço Números de telefone Peso Salário, etc


É toda aquela que precisa ser protegida para

GARANTIR A SEGURANÇA

da sociedade

e do Estado.

- Informação de Segurança Nacional



- Informação de Negócios

Correspondem ás informações utilizadas pelas organizações para desempenhar sua

MISSÃO.

Segundo a NBR ISO/IEC 17799 a segurança de um ambiente é caracterizada pela manutenção de três fatores primordiais


Confidencialidade

Integridade

Disponibilidade das Informações Críticas

Para a NBR a Informação é

"um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para organização e conseqüentemente necessita ser adequadamente protegido“.


É definida pela NORMA como sendo:

a garantia de que a informação só pode ser acessada e manipulada por pessoas autorizadas, ou seja, ela é restrita a um conjunto de entidades, que podem ser seres humanos ou podem ser um sistema eletrônico.


A Confiabilidade

Implica que toda vez que uma informação é manipulada ela está consistente, ou seja, que não foi alterada ou adulterada por um acesso legal ou ilegal.


A Integridade

É a garantia de que uma informação sempre poderá ser acessada, pelas pessoas e processos autorizados, independentemente do momento em que ela é requisitada e do local no qual está armazenada


A Disponibilidade

Afirmar que um ambiente é aderente à Norma de Segurança da Informação significa dizer que o mesmo utiliza os recursos adequados para garantir a

Disponibilidade Confidencialidade e a Integridade de suas informações.



Mas para isto devem ser aplicados ao ambiente alguns ou todos os controles existentes na norma de segurança.


Contudo, a lista dos controles que devem ser aplicados depende de características do próprio ambiente, como por exemplo:

forma e local de armazenamento das informações, valor das informações armazenadas, quem pode acessá-las, quais servidores estão instalados, que tipo de serviços são disponibilizados aos usuários da

rede interna e da rede externa e etc.

De acordo com o nível de segurança necessário um conjunto de "Controles de Segurança" deve ser implementado


Política de segurança da informação: este é um documento que descreve quais

atividades os usuários estão autorizados a realizar, como e quando podem ser realizadas.

É de vital importância que a alta administração apóie o uso da Política e demonstre o seu comprometimento com a aplicação de suas penalidades cabíveis;



Definição das responsabilidades de segurança: este controle visa esclarecer a quem "pertence" cada ativo da organização, bem como quem deve ser contactado em caso de problemas de segurança relacionados a ativo em questão;


A melhor forma de evitar mal uso das informações é educar seus usuários,

Assim é de vital importância que todo e qualquer usuário passe por um treinamento antes de ter acesso as informações contidas no ambiente.

Processo de treinamento


O ser humano sempre se preocupou com a sua segurança e de seus bens, isto faz parte de nossos instintos.


Como nos dia atuais, o maior bem que a humanidade possui são as informações e conhecimentos gerados por ela, houve a necessidade do desenvolvimento de métodos e técnicas que permitissem a sua proteção.

SEGURANÇAFÍSICA

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO

INTRODUÇÃO

Segurança física e lógica Base para proteção de qualquer

investimento Sistemas vulneráveis = perda de

todos os recursos

INTRODUÇÃO

Estatísticas:

72% próprios funcionários 15% a 20% terceiros formalmente

autorizados 5% a 8% pessoas externas

Fonte: FBI

CONTROLE DE ACESSO LÓGICO

Alternativas:Manual;Automático;Híbrida.

O Security Office tem o papel de analisar e escolher a melhor solução.


Segundo Ferreira (2003,p. 124), “o controle de acesso físico (manual ou automatizado) deve ser capaz de distinguir entre a pessoa autorizada e a não autorizada, mediante sua identificação[...]”.


Deve-se respeitar pelo menos duas entre três premissas básicas:

Quem é o indivíduo? O que o indivíduo possui? O que o indivíduo sabe?


Sistemas de controle de acesso com apenas uma premissa:

Invasões ocasionadas por perda;

Uso indevido e falsificações.


Características:

Proteção contra ataques forçados; Atualização do produto/ferramenta; Registro dos acessos; Autenticação por senha; Bloqueio de múltiplos acessos; Flexibilidade; Monitoração; Backup de segurança; Proteção do computador.


Cada organização tem sua própria realidade e os níveis de segurança exigidos acabam sendo diferentes de empresa para empresa.

Segundo Ferreira (2003,p.127) “o controle de acesso físico é toda e

qualquer aplicação de procedimentos ou o uso de

equipamentos com o objetivo de proteger ambientes, equipamentos ou informações de acesso restrito”.

CONTROLE DE ACESSO FÍSICO

A política e o investimento... Ativos Custo/benefício

Uma política de controle de acesso físico eficaz depende muito mais da gestão dos modelos de segurança do que apenas o uso de tecnologias.


Quanto maior o investimento em prevenção menor será o prejuízo em caso de eventos.



Tipos de controle de acesso físico.

Grades, muros e portas; Guardas; Crachás; Controle de acesso

biométrico.

CONTROLES AMBIENTAIS

De acordo com Ferreira (2003) os equipamentos devem ser fisicamente protegidos contra ameaças à segurança e perigos ambientais.

Alguns itens à serem considerados: As instalações de processamento e

armazenamento de informação que tratam as informações sensíveis devem ser projetadas para reduzir riscos de espionagem de informação durante o seu uso;

Os itens que necessitam de proteção especial devem ser isolados para reduzir o nível geral de proteção exigida;

Adotar controles de forma a minimizar ameaças potenciais;

Aspectos ambientais devem ser monitorados para evitar condições que possam afetar a operação das instalações de processamento da informação;

Utilização de métodos de proteção especial (equipamentos);

Desastre nas proximidades da instalação.

CONTROLES AMBIENTAIS

SEGURANÇA FÍSICA DE COMPUTADORES PESSOAIS

Deve ser adotada uma política formal.

Devem ser tomadas precauções ao utilizar recursos de computação móvel em locais públicos.

Recursos de computação móvel nunca devem ser deixados sem observação.

INVESTIMENTOS EM SEGURANÇA FÍSICA E AMBIENTAL

1º Passo

Análise dos riscos e vulnerabilidades físicas que a organização possa estar exposta.

2º Passo

Levantamento das necessidades de componentes e processos de segurança física.

INVESTIMENTOS EM SEGURANÇA FÍSICA E AMBIENTAL - Cont.

3º Passo

Implementação do plano de segurança física.

CONSIDERAÇÕES FINAIS

Os controles de segurança devem atender às necessidades de segurança da organização.

Política de Segurança

Definição

A Política de Segurança é composta por um conjunto de regras e padrões sobre o que deve ser feito para assegurar as informações e serviços importantes para a empresa. Garantindo confidencialidade, integridade e disponibilidade.

Construção da Política

Aspectos importantes Estabelecimento do conceito que as informações são um ativo

importante da organização; Envolvimento da alta administração com relação à segurança

da informação; Responsabilidade formal dos colaboradores sobre os recursos

da informação; Estabelecimento de padrões para a manutenção da SI.

Considerações importantes para o desenvolvimento da Política

Deve ser criada antes da ocorrência de problemas com a segurança;

Criação de um Comitê de Segurança da Informação composta por diversos profissionais, cada um responsável pelo controle de acesso.

As Políticas devem ser:

Simples; Compreensíveis; Homologadas e assinadas pela Alta administração; Estruturadas de forma a permitir implantação por fases; linhadas com estratégias de negócios da empresa, padrões e

procedimentos já existentes; Flexíveis; Positivas.

Etapas da Construção da Política

O processo de desenvolvimento é dividido em 04 fases:

• Fase I – Levantamento das Informações;

• Fase II – Desenvolvimento do Conteúdo das Políticas e Normas de Segurança;

• Fase III - Elaboração dos Procedimentos de Segurança da Informação;

• Fase IV – Revisão, Aprovação e Implementação das Políticas, Normas e Procedimentos de Segurança da Informação.

Fatores comuns a todas as Políticas

As Políticas de Informações contemplam os seguintes aspectos:

• Especificação da Política;

• Declaração da Alta Administração;

• Autores/Patrocinadores da Política;

• Referências a outras Políticas, Normas e Procedimentos;

• Procedimentos para Requisição de Exceções à Política;

• Procedimentos para Mudanças da Política;

• Data de Publicação, Validade e Revisão.

Pontos críticos para o sucesso

Devido às necessidades de proteção das informações e dependência da TI (uma tendência nas empresas), a Segurança da Informação aborda como ter sucesso na Política de Segurança:

- Formalização dos processos e instruções de trabalho;- Utilização de tecnologias capazes de prover segurança;- Atribuição formal das responsabilidades e das penalidades;- Classificação das informações;- Treinamento e conscientização constantes.

Conceitos na Política Corporativa:

Confidencialidade; Integridade; Disponibilidade; Legalidade; Auditabililidade; Não-repúdio.

A segurança pode ser desmembrada em 4 grandes aspectos:

Segurança computacional; Segurança lógica; Segurança física; Continuidade de negócios.

Características

Ser verdadeira Ser complementada com a disponibilidade de

recursos Ser válida para todos Ser simples Comprometimento da alta administração da

organização

BenefíciosCurto prazo- Formalizar e documentar o procedimentos de segurança;- Implementar novos procedimentos e controles;- Prevenir de acessos não autorizados, danos ou interferências;- Maior segurança.Médio prazo - Padronização dos procedimentos de segurança;- Adaptação segura de novos processos;- Conformidade com padrões de segurança;- Qualificação e quantificação dos sistemas de respostas a eventualidades.Longo prazo- Retorno sobre o investimentos;- Consolidação da imagem associada à Segurança da Informação.

TreinamentoNa implantação de uma Política de Segurança

em uma empresa, é fundamental que os funcionários sejam conscientizados através de:

Avisos: comunicação interna, email, intranet; Reuniões; Elaboração de material promocional; Treinamento direcionado; Peça teatral; Palestras periódicas.

Publicação e Divulgação

Os aspectos que devem ser considerados na disseminação da Política de Segurança são:

Utilização de diversas mídias; Treinamento básico e avançado; Orientação para novos funcionários; Informativos sobre as atuais tendências.

Fases do Programa de Conscientização

Identificação de escopo, metas e objetivos; Identificação dos instrutores; Identificação do público-alvo; Motivação dos funcionários e da Alta

administração; Administração do Programa; Continuidade do Programa; Avaliação do Programa.

REFERÊNCIAS

FERREIRA, Fernando Nicolau Freitas. Segurança da informação. Rio de Janeiro: Ciência Moderna, 2003.

BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação das organizações. São Paulo: Editora Atlas, 2005.

DAWEL, George. A segurança da Informação nas Empresas. Rio de Janeiro: Editora Ciência Moderna, 2005.

FONTES, Edison Luiz Gonçalves. Vivendo a segurança da informação: orientações práticas para as organizações. São Paulo: Editora Sicurezza, 2000.

Vídeo 1 (A defesa)

Vídeo 2 (Os invasores)

Vídeo 3 (Navegar)

Vídeo 4 (Spam)

OBRIGADooo A TODOS PELA ATENÇÃO!

Technology

Segurança da informação (2)