Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prevenção de Perdas e Fraudes W B A 0 5 0 7_ v1 _ 0 2/236 Prevenção de Perdas e Fraudes Autoria: Milton Mendes de Brito Filho Como citar este documento: BRITO FILHO, Milton Mendes de. Prevenção de Perdas e Fraudes. Vali- nhos: 2017. Sumário Apresentação da Disciplina 04 Unidade 1: Fundamentos de Segurança da Informação 06 Assista a suas aulas 27 Unidade 2: Normas Brasileiras ABNT 53 Assista a suas aulas 53 Unidade 3: Gestão de Riscos 61 Assista a suas aulas 80 Unidade 4: Plano de Continuidade do Negócio 88 Assista a suas aulas 108 2/236 3/2363 Unidade 5: Certifi cados Digitais 116 Assista a suas aulas 138 Unidade 6: Gerenciamento de Incidentes de Segurança da Informação 146 Assista a suas aulas 167 Unidade 7: Política de Segurança da Informação 175 Assista a suas aulas 194 Unidade 8: Prevenção de Fraudes Bancárias em Meios Eletrônicos 202 Assista a suas aulas 227 Sumário Prevenção de Perdas e Fraudes Autoria: Milton Mendes de Brito Filho Como citar este documento: BRITO FILHO, Milton Mendes de. Prevenção de Perdas e Fraudes. Vali- nhos: 2017. 4/236 Apresentação da Disciplina A Internet está no cotidiano de grande par- te da população e seria quase impossível imaginar a ausência dela e dos sistemas que funcionam com ela em nossas vidas. Afinal, com ela é possível comunicar-se, acessar sites de notícias, participar de cur- sos a distância, executar serviços bancári- os, realizar compras em lojas de comércio eletrônico, dentre outras atividades. Há muitos exemplos que comprovam o quanto a Internet facilita a vida das pessoas, mas é preciso lembrar que alguns cuidados são fundamentais e, para isso, é importante que estejamos conscientes dos riscos aos quais estamos expostos para que possamos tomar as medidas preventivas necessárias. As pessoas estão sujeitas aos riscos não só nas empresas em que trabalham, mas a todo o momento que utilizam a Internet, sendo que os riscos mais comuns são o acesso aos conteúdos impróprios ou ofensivos, conta- to com pessoas mal-intencionadas, furto de identidade, perda de dados, invasão de privacidade, divulgação de boatos, dificul- dade de exclusão dos dados etc. Nesta disciplina, serão apresentados os princípios de Segurança da Informação, as Normas ISO (código de boas práticas), os inúmeros riscos aos quais os usuários e empresas estão expostos e estudos com a abordagem do plano de continuidade do negócio (caso a empresa sofra um ataque de cracker). Também iremos abordar como construir uma Política de Segurança da In- formação nas empresas, o ponto de partida para qualquer iniciativa de segurança, e os 5/236 principais ataques criminosos às empresas de cartões de crédito e bancos, e como es- tes estão protegendo-se através de tecno- logias, processos e pessoas. Assim, dá-se a importância do estudo dos certificados digitais para se utilizar o Internet Banking e para realizar compras no comércio eletrôni- co. 6/236 Unidade 1 Fundamentos de Segurança da Informação Objetivos 1. O objetivo desta unidade é despertar o senso crítico do aluno em relação à importância de proteger uma infor- mação e alertar os usuários diante dos riscos a que estão expostos. Para isso, utilizaremos os principais conceitos utilizados pelos profissionais da área de Segurança da Informação. Unidade 1 • Fundamentos de Segurança da Informação7/236 Introdução A informação é um ativo essencial para os negócios de uma empresa e, por isso, pre- cisa ser protegida, já que com o aumento da concorrência entre as organizações, a infor- mação tornou-se valiosa e exposta a amea- ças e vulnerabilidades. O estudo desta disciplina visa despertar a preocupação que devemos ter em relação à segurança da informação, motivada pelo escândalo mundial de espionagem, divul- gado pelo antigo funcionário ex-técnico da Central Intelligence Agency (CIA), o ameri- cano Edward Snowden ao prestar serviços terceirizados para a agência de seguran- ça Nacional dos EUA (NSA) em meados de maio/junho de 2013. Esse fato fez com que o presidente dos Estados Unidos, na épo- ca Barack Obama, sofresse pressão prin- cipalmente pela oposição americana para que alterasse a lei de espionagem em mas- sa em vigor desde a sua criação em 2001, com a aprovação e sanção em 06 de junho de 2015, ficando limitada à coleta em mas- sa de dados, e-mails e registros telefônicos dos americanos pela NSA. Essa função de armazenamento tornou-se responsabili- dade apenas das operadoras de telecomu- nicações, que poderão acessar e divulgar as informações (registros telefônicos) so- mente com mandato judicial. Tal decisão foi uma das mudanças mais representativas na lei de espionagem americana. Em vista de buscar ferramentas para atu- ação na Segurança da Informação, temos que ter o conhecimento dos cinco princípios básicos que norteiam a sua implementação, são estes: Unidade 1 • Fundamentos de Segurança da Informação8/236 • Confidencialidade: a informação deve ser protegida de acordo com o grau de sigilo de seu conteúdo, com o uso e o acesso somente às pessoas às quais são destinados. Ataques comuns: En- genharia Social e “Shouldersurfing”. • Integridade: a informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietá- rio, visando protegê-la contra altera- ções acidentais e indevidas. Ataques comuns ao serviço: erros de usuários, backdoors e vírus. • Disponibilidade: a informação gera- da ou adquirida por um indivíduo ou instituição estará disponível aos seus usuários no momento em que eles necessitem dela para qualquer finali- dade. Ataques comuns: falhas de sof- tware, hardware e DoS (Denial of Ser- vice). • Autenticidade: o receptor da infor- mação deve verificar corretamente a respectiva origem. Um intruso não pode passar-se pelo remetente des- sa mensagem, sem que o destinatário seja capaz de identificar essa ativida- de ilícita. Ataques comuns: contas de e-mail e redes sociais. • Não repúdio ou irrevogabilidade: Evi- ta que uma pessoa ou entidade possa negar a autoria daquela ação. Está as- sociada também a processos de assi- natura digital, pois ao assinar um do- cumento digitalmente garantimos a integridade e autenticidade com vali- dade jurídica. Ataques comuns: roubo de dados. Unidade 1 • Fundamentos de Segurança da Informação9/236 Para saber mais Podemos destacar outros princípios importantes e complementares à Segurança da Informação, tais como: Legalidade – Garante a legalidade (jurídica) da informação e aderência de um sistema à legislação; caracterís- tica das informações que possuem valor legal dentro de um processo de comunicação, no qual todos os ativos estão de acordo com as cláusulas contratuais e a legislação política institucional, nacional e internacional vigentes. Privacidade – Diferente do aspecto de confidencialidade, pois uma informação pode ser conside- rada confidencial, mas não privada. Uma informação privada deve ser vista, lida e alterada somente pelo seu dono. Garante ainda que a informação não será disponibilizada para outras pessoas (nesse caso é atribuído o caráter de confidencialidade a informação). A privacidade também pode ser definida como a capacidade de um usuário realizar ações em um sistema sem que seja identificado. Auditoria – Rastreabilidade dos diversos passos que um negócio ou processo realizou ou pelo qual uma informação foi submetida, identificando os participantes, os locais e horários de cada etapa. Consiste no exame do histórico dos eventos dentro de um sistema para determinar quando e onde ocorreu uma violação de segurança. Unidade 1 • Fundamentos de Segurança da Informação10/236 1. Aspectos em segurança da in- formação nas empresas 1.1 FINALIDADE Basicamente, a finalidade primordial é di- minuir o quanto necessário o nível de ex- posição da empresa aos riscos para que se possa estender a segurança aos serviços e produtos, e com isso resultar em uma maior satisfação dos clientes e na busca dasme- tas do negócio. Os objetivos imediatos são: • Redução da probabilidade de ocor- rência de incidentes de segurança. • Redução dos danos e perdas causados por incidentes de segurança ocorri- dos. • Recuperação dos danos, com menor prejuízo ao negócio em caso de de- sastres ou incidentes. 1.2 MOTIVOS PARA IMPLANTA- ÇÃO Quanto aos motivos fundamentais para as empresas na implantação, destacamos: au- mento na utilização das redes e sistemas computacionais, disponibilização crescen- te de serviços na nuvem, aumento dos cri- mes cibernéticos, crescimento do número de ameaças, aparecimento de novos ris- cos para as empresas (uso de redes sociais, acessos remotos e utilização massiva de dispositivos móveis), espionagem indus- trial, pirataria no uso de software, crescente Unidade 1 • Fundamentos de Segurança da Informação11/236 disponibilização de conteúdo hacker/cra- cker na Internet e necessidade de atender regulamentações específicas da área. As empresas protegem-se através de tec- nologia, processos e pessoas. Na tecnolo- gia utiliza-se o Firewall, VPN (Virtual Pri- vate Network), IPS (Intrusion Prevention System), IDS (Intrusion Detection System), proxy, antivírus, controle de e-mail e nave- gação, armazenamento e análise centrali- zada de logs, gerenciamento centralizado de identidades, segregação de redes, aces- sos e sistema de backup. Os processos são executados através de tratamento de inci- dentes, auditoria, gerenciamento e monito- ração constante, planos de contingência e recuperação de desastres, análise e geren- ciamento de riscos. E, por fim, as pessoas, o elo mais frágil da segurança da informa- ção, envolvidas através de políticas, proce- dimentos, normas, instruções de trabalho e treinamentos. Para saber mais Vivemos numa era da informação em que a in- formação tornou-se um dos ativos de valor ines- timável para as empresas, e, por isso, temos que nos preocupar com, por exemplo, falhas humanas, funcionários mal treinados ou mesmo mal-inten- cionados, espionagem, que poderão possibilitar a ocorrência de vazamento de informações impor- tantes das empresas. Unidade 1 • Fundamentos de Segurança da Informação12/236 1.3 IMPORTÂNCIA DA SEGU- RANÇA DA INFORMAÇÃO Segundo Fontes (2008), nas grandes empre- sas a informação é o bem maior e ela deve ser protegida. Quando se pensa em vaza- mento de informação, geralmente, a preo- cupação é direcionada ao envio de arquivos por correio eletrônico, gravação de DVDs e acesso lógico indevido, infelizmente, pode- mos esquecer-nos que a cópia indevida da informação pode acontecer pelo método mais simples: o papel. Muitas vezes o rou- bo ocorre de forma simples, como papéis importantes jogados no lixo e que não pas- saram por uma fragmentadora de papel ou esquecimento de documentos importantes impressos e deixados na impressora. Toda informação tem valor para a empresa, para a concorrência e para o mercado em que ela atua, portanto, um “vazamento” de dados, seja por erro ou por ações mal inten- cionadas, pode comprometer a empresa no mercado, tornando-a insegura diante de clientes e de fornecedores. Fontes (2008) destaca as ações mais efetivas para evitar esse tipo de problema: acesso restrito à in- formação, cópias de segurança, acesso res- trito às cópias de segurança, destruição da informação não mais utilizada, registro dos acessos à informação e comprometimento dos usuários com a proteção da informação. Destacamos que qualquer empresa está su- jeita a ter vazamentos de dados, porém, na maioria das vezes, o fato acontece com a participação de pessoas que atuam inter- namente na empresa. Unidade 1 • Fundamentos de Segurança da Informação13/236 Para Mitnick e Simon (2003, p.16), a segu- rança é um “processo e não um produto. Ela é comparada a um produto de teste, coloca- -se e se vê o poder que o sistema tem”. Infe- lizmente, muitos administradores de siste- ma esquecem-se de que não basta apenas comprar e instalar o sistema e “deixar ro- dando”, mas sim adequá-los às exigências requeridas. De acordo com a empresa de antivírus Eset (2013), os crackers aperfeiçoaram-se e es- tão utilizando técnicas, aplicações e en- genharia social criativas para obter infor- mações pessoais e profissionais sobre uma pessoa. Grande quantidade de vítimas pu- blicam nas redes sociais dados como CPF, RG, nomes dos familiares, fotos, locais que costumam frequentar etc., o que facilita a Para saber mais A Segurança da Informação não é uma ciência exata, mas está contemplada na área de gestão de riscos. A maioria das pessoas acredita que esse campo resume-se à compra de equipamentos e sistemas caros, como firewalls, sistemas de de- tecção de intrusos ou antivírus; outras acreditam que incluir a adoção de políticas de segurança é suficiente, mas nenhuma dessas abordagens é capaz de prevenir perdas se forem adotadas de forma isolada e inconsequente. Unidade 1 • Fundamentos de Segurança da Informação14/236 coleta de informações pelos crackers. Para a maioria das pessoas, publicar informa- ções como essas parecem inofensivas, mas, nas mãos de um engenheiro social, trans- formam-se em ferramentas de manipula- ção de fácil acesso. Convém destacar que um Engenheiro Social é definido como uma pessoa gentil, agradável, educada, simpáti- ca, carismática, criativa, flexível, dinâmica, persuasiva e dona de uma conversa envol- vente. É também possuidor de inteligência privilegiada, armazena várias informações pacientemente e consegue obter um con- junto de informações úteis e, assim, ter con- dições de realizar as fraudes que deseja. 1.4 DESAFIOS PARA A ÁREA DE SEGURANÇA DA INFORMAÇÃO Podemos destacar os principais desafios na área de Segurança da Informação: limitação de orçamento, quantidade de ameaças e a tecnologia empregada, falta de autonomia e imparcialidade da área de segurança, falta Link Mais detalhes acerca da Segurança da Informa- ção podem ser obtidos nas apostilas disponibili- zadas pelo CERT (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Bra- sil). Disponível em: <https://cartilha.cert.br/>. Acesso em: 27 nov. 2017. Unidade 1 • Fundamentos de Segurança da Informação15/236 de conhecimento dos executivos em rela- ção aos riscos, falta de pessoal capacitado, perda de profissionais-chave para o merca- do, clientes sem contrato fixo, crescimento da companhia, quantidade e complexidade das redes e integrações e estar em confor- midade com as normas e mercado. 1.5 PRINCIPAIS CONCEITOS DA SEGURANÇA DA INFORMAÇÃO A Segurança da Informação refere-se à proteção existente sobre as informações de uma determinada empresa ou pessoa; destacamos abaixo os principais conceitos e termos utilizados pelos profissionais da área: • Adware: software que faz propaganda dirigida para o computador da vítima com ou sem o consentimento. Ras- treia os hábitos do usuário na Internet e transmite essa informação para um servidor central de propagandas. • Ameaça: qualquer fato que possa le- var à exploração de uma vulnerabili- Link O Decreto Federal n° 7.845 de 14 de novembro de 2012 regulamenta os procedimentos para cre- denciamento de segurança e tratamento de in- formação. Disponível em: <http://www.planal- to.gov.br/ccivil_03/_Ato2011-2014/2012/ Decreto/D7845.htm#art60>. Acesso em: 17 nov. 2017. http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Decreto/D7845.htm#art60 http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Decreto/D7845.htm#art60 http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Decreto/D7845.htm#art60 Unidade 1 • Fundamentos de Segurança da Informação16/236 dade, por exemplo, um crack, um ví- rus, entre outros. Pode ser entendida como um perigo em potencial que ainda não foi efetivado. • Backdoor: é um programa escondido ou “camuflado” deixado por um intru- so com a intenção de um futuro aces- so à máquina-alvo para criar um ca- minho alternativo, como uma “porta dos fundos”. • Banker:é um código malicioso com o objetivo de capturar as informações bancárias de um usuário e enviar para o criminoso. • Binder ou Joiner: é um software que embute dois ou mais executáveis em um único programa, geralmente, com o propósito de esconder um deles, logo, intencionando “abrir portas” do computador da vítima e obter acesso. • Bot, Botnet: um bot é um código ma- licioso que, após infectar um compu- tador, pode ser controlado remota- mente pelo atacante. Uma botnet é a união de vários computadores infec- tados por um mesmo bot. • Cavalo de Troia: esse malware foi as- sim denominado devido a uma simila- ridade encontrada na mitologia grega, dado que o cavalo de troia imita a es- tratégia de se ocultar em programas aparentemente inofensivos, como um compactador de arquivos (Winzip), por exemplo. O cavalo de tróia não se replica como os vírus ao infectarem Unidade 1 • Fundamentos de Segurança da Informação17/236 os arquivos, eles mantêm-se ocultos e podem coletar informações ou abrir “brechas” no computador da vítima. • Crack: programa utilizado para que- brar licenças de outros programas. • Cracker: indivíduo com conhecimen- tos elevados em computação e segu- rança que os utiliza para fins crimino- sos, destruição de dados ou interrup- ção de sistemas, a fim de obter vanta- gens financeiras. • DoS e DDoS: DoS (Denial of Service - Negação de Serviço) é o ataque feito por um criminoso que envia vários pa- cotes na tentativa de tornar indispo- nível um servidor ou computador co- mum. Já o DDoS (Distributed Denial of Service - Negação de Serviço distribuí- do) consiste em vários computadores que realizam um ataque DoS ao mes- mo tempo, ou seja, além do computa- dor criminoso, vários outros, conheci- dos como zumbis, executam o ataque ao servidor-alvo. • Exploit: o exploit é utilizado para ex- plorar uma dada vulnerabilidade, a fim de conseguir algum nível de aces- so indevido. Os exploits são partes de software, de dados ou uma sequência de comandos que exploram a vulnera- bilidade. Unidade 1 • Fundamentos de Segurança da Informação18/236 • Firewall: sistema utilizado para inter- conectar duas ou mais redes, inspe- cionar e controlar as conexões que en- tram ou saem dessas redes. Ele pode filtrar os pacotes baseados em regras simples, conteúdo e na correlação de pacotes, bem como fornecer outras funcionalidades, tais como: NAT, pro- xy, VPN etc. • FootPrint: é a formação de ideias na tentativa de criar o perfil completo do alvo a ser atacado. O intuito é obser- var a máquina-alvo para descobrir fa- lhas que possam ser exploradas a par- tir de configurações e senhas padrões. A partir do resultado é traçada a es- tratégia de ataque e pode ser coloca- da em prática de várias formas. • Hacker: é um indivíduo com conhe- cimentos elevados de computação e segurança que os utiliza para fins de diversão, interesse e desafio. Em ge- ral, hackers não destroem dados, pos- suem um código de ética e não bus- cam ganhos financeiros. Link Confira a indicação de sites com banco de dados de exploits e vulnerabilidades sobre incidentes de segurança em: <https://www.rnp.br/servicos/ seguranca> e <http://www.exploit-db.com>. Acesso em: 17 nov. 2017. Unidade 1 • Fundamentos de Segurança da Informação19/236 • Hardening: é um processo de mape- amento de falhas de segurança e mi- tigação das mesmas através da exe- cução de atividades corretivas, da implementação dos conceitos de se- gurança que torna os sistemas mais seguros. • Hoax: pode ser interpretado como en- ganação, “pegadinha”, boato, enfim, qualquer fato inventado que tenha objetivo de prejudicar alguém ou uma empresa. • HoneyPots (Potes de mel): são siste- mas vulneráveis e expostos na Inter- net que quando atacados registram as formas de ataques, ferramentas utilizadas, origem e frequência. O principal intuito é conhecer as ame- aças reais. Podem ou não suportar os ataques, simular alvos indefesos ou simplesmente coletar as tentativas de ataques. • HoneyNets (Redes de mel): conjunto de HoneyPots formado por uma rede aparentemente vulnerável. Geral- mente, além de vários tipos de ser- vidores, conta também com siste- mas que emulam dispositivos de re- des como roteadores e servidores de acesso remoto. • IDS (Intrusion Detection System): sis- tema de detecção de intrusos. Uma solução de software responsável por monitorar uma rede ou sistema e aler- tar sobre eventos relacionados a in- trusões. Unidade 1 • Fundamentos de Segurança da Informação20/236 • IPS (Intrusion Prevention System): sis- tema de prevenção de intrusos, uma solução de software responsável por monitorar e proteger uma rede ou sis- tema, com a finalidade de alertar e fil- trar pacotes. • Invasão: Ataque bem-sucedido e que compromete algum sistema. É preciso que o invasor tenha controle parcial ou total do ambiente invadido. • Malware: software capaz de se infil- trar em um computador alheio de for- ma ilícita com o intuito de causar al- gum dano ou roubo de informações. • Phishing Scam: qualquer e-mail não solicitado e que tenha como conteúdo texto ou links para fraudes. Exemplos incluem sorteios, nomes no SPC, atu- alizações e correções. • Port Scanner: ferramenta utilizada por crackers e especialistas em segu- rança que objetiva “varrer” uma má- quina ou uma rede, enumera os siste- mas ativos, protocolos e “portas aber- tas”. O cracker usa essa ferramenta como ato inicial dos ataques. • Proxy: sistema que faz a intermedia- ção de determinadas conexões, geral- mente, traduz IP interno em externo. Ao receber a requisição interna, o pro- xy analisa o que se deve fazer (pode ser permitida ou negada) e depois abre uma segunda conexão, agora, com o ambiente externo. O proxy fica o tem- po todo como intermediário entre as duas conexões. Unidade 1 • Fundamentos de Segurança da Informação21/236 • Rootkit: programa com código mali- cioso que busca esconder-se de sof- twares de segurança e do usuário e, com isso, utilizar diversas técnicas avançadas de programação. • Sniffer: ferramenta utilizada por cra- ckers e especialistas em segurança para monitorar e gravar pacotes que trafegam pela rede. • Spam Zombies: computadores de usuários finais que foram comprome- tidos por códigos maliciosos em geral, como worms, bots, vírus e cavalos de troia. Esses códigos maliciosos, uma vez instalados, permitem que Spam- mers utilizem a máquina para o envio de spam sem o conhecimento do usu- ário. • Spam: termo usado para referir aos e-mails não solicitados com propósito comercial que, geralmente, são envia- dos a um grande número de pessoas. • Spyware: consiste em um programa automático de computador, que re- colhe informações sobre o usuário, os costumes e transmitem essas infor- mações a uma entidade externa na internet sem o consentimento da víti- ma e, por esse motivo, são conhecidos como programas espiões. • VPN (Virtual Private Network): é uma Rede Virtual Privada que geralmen- te utiliza criptografia. Pode ser im- plementada em modo de transporte ou túnel e utiliza vários protocolos, como o IPSec ou SSL. Permite a cone- Unidade 1 • Fundamentos de Segurança da Informação22/236 xão segura de usuários conectados à Internet ao ambiente corporativo das empresas ou à conexão segura entre várias unidades. • Vulnerabilidade: é uma falha que ex- põe o sistema e pode comprometer o sistema como um todo ou parte dele. Uma vulnerabilidade pode ser explo- rada. A vulnerabilidade é a fragilidade de um ativo que pode ser explorada por uma ameaça. Ao existir uma ame- aça, a vulnerabilidade torna-se um risco em potencial. • Worms ou Vermes: um worm é seme- lhante a um vírus, mas difere-se pelo fato de não depender de estímulo ou intervenção para ser ativado. Mui- tos vírus possuem a característica de worms e vice-versa. Unidade 1 • Fundamentos de Segurança da Informação23/236 Glossário Shouldersurfing: expressão usada para uma pessoa que tenta olhar por cimado ombro da vítima e roubar a senha, seja em terminais de bancos, shopping, teatros, ou outros locais públicos. Spammers: pessoas que praticam o spam, ou seja, enviam diversos e-mails ou qualquer outro tipo de mensagem para as pessoas sem que elas tenham autorizado. NAT (Network Address Translation): é um recurso que permite converter endereços IPs da rede interna em endereços da internet. Pode ser encontrado em Firewalls ou programas nativos do Windows, por exemplo, o Internet Conection Sharing (recurso que permite compartilhar a co- nexão com a Internet entre vários computadores). Quando se conecta à internet através de um provedor de acesso, recebe-se apenas um endereço IP válido, isso permite que apenas um com- putador acesse a Internet, porém, é possível compartilhar a conexão entre vários computadores da rede via NAT, dessa forma, o computador com o NAT configurado torna-se o principal na rede e os outros deverão ser autorizados. Questão reflexão ? para 24/236 Baseado no que foi exposto nesta unidade, reflita se vale a pena investir na segurança de uma informação mes- mo se o custo de implementação for maior do que o va- lor financeiro envolvido. 25/236 Considerações Finais • Analisamos o quão importante é mantermo-nos informados em relação à Segurança da Informação. • Verificamos que riscos surgem a todo instante e devemos analisá-los e to- mar as providências cabíveis em cada situação. • Segurança eficaz e eficiente deve ser realizada através do envolvimento de todas as pessoas de uma empresa. • Apesar de todo o esforço realizado, sempre haverá vulnerabilidades, tendo em vista em que não existe um ambiente completamente seguro. Unidade 1 • Fundamentos de Segurança da Informação26/236 Referências BEAL, Adriana. Segurança da Informação. 1. ed. São Paulo: Atlas, 2006. CERT. Cartilhas de Segurança disponibilizadas pelo CERT. Disponível em: <http://cartilha.cert.br>. Acesso em: 29 out. 2017. FONTES, Edison. Segurança da Informação–O usuário faz a diferença. São Paulo: Saraiva, 2008. GLOBO. Rússia estende residência de Snowden após perdão dos EUA a Manning. Disponível em: <https://g1.globo.com/mundo/noticia/russia-estende-residencia-de-snowden-apos-perdao- -dos-eua-a-manning.ghtml>. Acesso em: 29 out. 2017. MITNICK, Kevin D.; SIMON, William L. A Arte de Enganar. São Paulo: Pearson, 2003. PEIXOTO, Mário César Pintaudi. Engenharia Social e Segurança da Informação. Rio de Janeiro: Brasport, 2006. SÊMOLA, Marcos. Gestão da Segurança da Informação-Uma visão executiva, 2 ed. Curitiba: Mo- dulo, 2014. SILVA, Antônio Everaldo Nunes. Segurança da Informação: Vazamento de Informações – As infor- mações estão realmente seguras em sua empresa? Rio de Janeiro: Ciência Moderna, 2012. http://cartilha.cert.br https://g1.globo.com/mundo/noticia/russia-estende-residencia-de-snowden-apos-perdao-dos-eua-a-manning.ghtml https://g1.globo.com/mundo/noticia/russia-estende-residencia-de-snowden-apos-perdao-dos-eua-a-manning.ghtml 27/236 Assista a suas aulas Aula 1 - Tema: Fundamentos de Segurança da Informação. Bloco I Disponível em: <https://fast.player.liquidplatform.com/ pApiv2/embed/dbd3957c747affd3be431606233e0f1d/ dbd97c7e9978587f3e32bbd5ceff8f9b>. Aula 1 - Tema: Fundamentos de Segurança da In- formação. Bloco II Disponível em: <https://fast.player.liquidplatform.com/ pApiv2/embed/dbd3957c747affd3be431606233e0f1d/ b76722b3a3da6c7cca37da9aeaf75763>. https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/dbd97c7e9978587f3e32bbd5ceff8f9b https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/dbd97c7e9978587f3e32bbd5ceff8f9b https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/dbd97c7e9978587f3e32bbd5ceff8f9b https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/b76722b3a3da6c7cca37da9aeaf75763 https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/b76722b3a3da6c7cca37da9aeaf75763 https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/b76722b3a3da6c7cca37da9aeaf75763 28/236 1. A Segurança da Informação tem como objetivo a preservação de cinco princípios básicos, sendo que um deles fornece prova inegável que o usuário realizou uma determinada ação, não sendo permitido negar o ato. Assinale a alternativa que contempla esse princípio. a) Integridade. b) Confidencialidade. c) Não repúdio. d) Autenticidade. e) Disponibilidade. Questão 1 29/236 2. Assinale a alternativa correta. Problemas como a falta de treinamen- to de funcionários, antivírus desatualizado, problemas de rede e falta de profissionais capacitados são caracterizados na Segurança da Informação como: a) Invasões. b) Proxy. c) Bugs. d) Vulnerabilidades. e) Hoax. Questão 2 30/236 3. Alguns softwares desenvolvidos por crackers possuem a função de co- letar informações sobre atividades realizadas em um computador e são conhecidos como programas espiões. De que tipo de vírus estamos nos referindo? a) Malware. b) Trojan. c) Antimalware. d) Adware. e) Spyware. Questão 3 31/236 4. Qual dos itens abaixo NÃO representa ganhos obtidos com a implemen- tação da Segurança da Informação: a) Produzir melhores produtos e serviços. b) Reduzir os níveis de riscos a patamares aceitáveis. c) Implementação de segurança física de mecanismos que controlem o ambiente de modo a garantir seus princípios. d) Ambiente totalmente seguro. e) Redução das perdas e impactos causados por incidentes. Questão 4 32/236 5. Muito utilizados na área da Segurança da Informação, termos como “Hackers” e “Crackers” são usados para referir-se às pessoas com habili- dades e conhecimentos avançados em computadores, porém, a imprensa erroneamente confunde os dois termos. Diante dos itens abaixo, marque a alternativa correta. a) O Cracker rouba a proteção para o vírus criado pelo Hacker. b) Hacker é um desenvolvedor de sistemas e o Cracker encontra bugs e vulnerabilidades e in- forma ao Hacker. c) Tanto os “Hackers” como os “Crackers” criam programas para proteção e ajudam os usuá- rios a se protegerem dos vírus. d) Hackers são pessoas más, roubam informações sigilosas, infectam computadores de suas vítimas com vírus, e Malwares e Crackers são pessoas boas, como analistas de suporte que ajudam os usuários e configuram suas máquinas. e) Cracker é um criminoso virtual que utiliza a engenharia social para extorquir pessoas, e o Hacker é um entusiasta, sendo o seu principal objetivo quebrar sistemas de segurança pelo desafio. Questão 5 33/236 Gabarito 1. Resposta: C. O Não-Repúdio é o mecanismo que com- prova o ato através de provas, por exemplo, um furto ser filmado e comprovado o autor, geralmente é usado judicialmente. Não tem nada haver com termodinâmica e leitura de temperatura. 2. Resposta: D. Uma vulnerabilidade pode ser explorada e comprometer um sistema como um todo ou parte dele. Se existir uma ameaça a vulnera- bilidade torna-se um risco em potencial. 3. Resposta: E. O Spyware consiste em um programa au- tomático de computador, que recolhe in- formações sobre o usuário sem o consen- timento e, por esse motivo, são conhecidos como programas espiões. 4. Resposta: D. Não existe um ambiente totalmente seguro. A segurança é comparada a um produto de teste, coloca-se e vê-se o poder que o siste- ma tem. 5. Resposta: E. O Cracker é um indivíduo com conhecimen- tos elevados de computação e segurança, que os utiliza para fins criminosos, destrui- ção de dados ou interrupção de sistemas a fim de conseguir vantagens financeiras da vítima. O Hacker utiliza seus conhecimentos para fins de diversão, interesse e desafio. O Hacker não busca ganhos financeiros e de- dicam boa parte do seu tempo a conhecer e modificar softwares e hardwares. 34/236 Unidade 2 Normas Brasileiras ABNT Objetivos 1. Tendo em vista que o objetivo de uma norma é orientar e, a partir disso, para nossocaso, criar um padrão de me- lhores práticas no gerenciamento da informação, esta unidade visa apre- sentar de modo sucinto e comentado os principais tópicos abordados na ISO/IEC 27002:2013. Unidade 2 • Normas Brasileiras ABNT35/236 Introdução As normas realizam uma contribuição fun- damental para as nossas vidas, pois são responsáveis por padronizar produtos e serviços, sem as quais os produtos podem apresentar má qualidade, incompatibilida- des e perigos, por exemplo, brinquedos para crianças fora dos padrões de segurança exigidos. Elas também oferecem um papel importante na melhoria das defesas de se- gurança para as empresas: são fundamen- tais para o fechamento de contratos, além de uma maneira creditável de demonstrar confiança aos clientes. Quando as empre- sas não seguem as normas, as políticas de segurança e controle, tornam-se frágeis e ineficientes, o que “abre brechas” para uma possível ação judicial movida por algum funcionário insatisfeito. A norma é um documento estabelecido por consenso, aprovado por organismo reco- nhecido, que fornece regras, diretrizes e ca- racterísticas para atividades de uso comum e repetitivas. A família ISO/IEC 27000 são as normas que definem os requisitos para um Sistema de Gestão da Segurança da Infor- mação (SGSI) (ISO/IEC 27000, 2013). O SGSI possui estudo nos riscos do negócio para estabelecer, implementar, operar, monito- rar, revisar, manter e melhorar a segurança da informação. A ABNT (Associação Brasileira de Normas Técnicas) é o Fórum Nacional de Normaliza- ção. As normas brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB) e dos organismos de Normaliza- ção Setorial (ABNT/ONS), são elaboradas Unidade 2 • Normas Brasileiras ABNT36/236 por Comissões de Estudo (CE), formadas por representantes dos setores envolvidos, de- las fazem parte: produtores, consumidores e neutros (Universidades, laboratórios, por exemplo). As normas da família 27000 são abrangen- tes e as que se destacam são: • ISO 27001: Padrão que define os re- quisitos para um Sistema de Gestão de Segurança da Informação. • ISO 27002: Padrão que substituiu, em 2007, a ISO 17799:2005 (código de boas práticas). • ISO 27003: Recomendações de defi- nição e implementação de gestão de segurança da informação. • ISO 27004: Mecanismos de mediação e de relatório de gestão de segurança da informação. • ISO 27005: Abordagem para gestão de risco das informações em uma or- ganização. • ISO 27006: Certificação, auditoria e homologação da gestão de segurança da informação. Para saber mais Para as empresas que já seguem algumas nor- mas, como a NBR ISO 9000 (Sistema de Gestão da Qualidade), a obtenção da ISSO 27000 torna-se mais fácil, pois a empresa já possui um melhor controle e qualidade em seus procedimentos. Po- de-se dizer que a necessidade de certificação sur- ge com o exemplo, como é o caso das importan- tes e inspiradoras companhias Google, Microsoft e Apple influenciando outras empresas para se adequarem às conformidades e, assim, ganharem confiança e credibilidade. Unidade 2 • Normas Brasileiras ABNT37/236 2. NORMA ISO/IEC 27002:2013 A NBR ISO/IEC 27002:2013 divide-se em 18 seções. As seções de 1 a 4 determinam o es- copo, as referências normativas, os termos e definições e a estrutura da própria norma. A partir da seção 5, entretanto, são aborda- dos os controles de segurança da informa- ção. É importante ressaltar que cada seção contém um controle e uma diretriz para im- plementação. As outras seções acompa- nhadas do respectivo número de categorias serão destacadas a seguir. 2.1 Seção 5 – Política de Segu- rança da Informação A Seção 5 é responsável pela política de segurança da informação com o intuito de fornecer uma base de apoio com as exigên- cias do negócio, leis e regulamentações da organização. Para isso, deve-se produzir um documento com as políticas internas e comunicar aos funcionários, fornecedores, entre outros. É fundamental que esse docu- mento seja aprovado pela direção, além de que o mesmo deve ser analisado com frequ- ência e atualizado. Destacamos os pontos: • Controle: elaborar um documento com as políticas internas da organiza- ção e aprovado pela direção. Link A NBR ISO/IEC 27002:2013 pode ser conferida na íntegra em: <http://www.abntcatalogo.com. br/norma.aspx?ID=306582>. Acesso em: 17 nov. 2017. Unidade 2 • Normas Brasileiras ABNT38/236 • Diretrizes para implementação: é im- portante que o documento declare o comprometimento da organização para gerenciar a segurança da infor- mação. 2.2 Seção 6 – Organização da Segurança da Informação A Seção 6 tem por objetivo estabelecer uma estrutura de gerenciamento para iniciar e controlar a implementação da segurança da informação dentro da organização. Deve-se definir aspectos como a proteção de cada ativo, o cumprimento de proces- sos e a separação das funções e contatos adequados. Nesta seção, são definidas as políticas de segurança relacionadas ao uso de dispositivos móveis com o intuito de ge- renciar os riscos decorrentes da utilização e acesso remoto desses dispositivos. Organização interna: geralmente as orga- nizações atribuem a um gestor de seguran- ça da informação a responsabilidade global Para saber mais As normas oferecem um papel importante na me- lhoria das medidas e ações relacionadas à defesa de segurança da informação de uma empresa, além de serem fundamentais para o fechamento de contratos, sendo uma maneira simples de de- monstrar aos clientes que a empresa é confiável. Unidade 2 • Normas Brasileiras ABNT39/236 pelo desenvolvimento e implementação da segurança da informação, entretanto, a res- ponsabilidade por pesquisar e implemen- tar os controles deverá permanecer com os gestores individuais. Uma política comum é a nomeação de um proprietário para cada ativo que se torna responsável pela prote- ção diariamente. Controle: é importante que funções confli- tantes e áreas de responsabilidades sejam separadas, a fim de reduzir o uso indevido dos ativos da organização. Diretrizes para implementação: é funda- mental que sejam tomados cuidados para impedir que uma única pessoa possa aces- sar, modificar ou usar ativos sem a devida autorização ou detecção. Importante também mencionar a monitora- ção de atividades, auditoria e gerenciamen- to da supervisão. A Segregação de funções é um método utilizado para reduzir o risco de mau uso e de uso acidental dos ativos de uma organização. 2.3 Seção 7 – Segurança em Re- cursos Humanos A Seção 7 é responsável por assegurar que funcionários internos e externos entendam as responsabilidades e estejam em confor- midade com os papeis para os quais foram contratados. São definidos controles para serem aplicados antes, durante e no encer- ramento ou mudança da contratação. A or- ganização também deve informar ao candi- Unidade 2 • Normas Brasileiras ABNT40/236 dato quais serão suas responsabilidades e qual o papel que será desempenhado. Essas regras valem também para os fornecedores ou terceiros, visto que todos devem estar cientes das ameaças relativas à segurança da informação e das responsabilidades. Por fim, caso haja violação da segurança da informação, um processo disciplinar formal deve ser comunicado e aplicado e, no en- cerramento da contração, todos os equi- pamentos devem ser devolvidos, o acesso à empresa revogado e também levar em con- sideração atualizações da política interna e treinamentos constantes, a fim de diminuir a exposição aos riscos. 2.4 Seção 8 – Gestão de Ativos A Seção 8 é responsável por identificar os ativos da organização e definir as respon- sabilidades apropriadas para a proteção. A empresa deve manter um inventário atua- lizado dos ativos, determinando quem são os proprietários designados e quais os usos aceitáveis e, ainda, é fundamental ter o con- trole de quais ativos foram devolvidos após o encerramento das atividades. Para garantir aproteção da informação de modificações ou divulgações não autoriza- das, é necessário que a empresa tenha um processo adequado de classificação e trata- mento das informações. E, por fim, a organi- zação deve definir como será o tratamento de mídias visando prevenir acesso, divulga- Unidade 2 • Normas Brasileiras ABNT41/236 ção, modificação, remoção ou destruição não autorizada das informações. 2.5 Seção 9 – Controle de Aces- so A Seção 9 tem o objetivo de limitar o aces- so e os recursos de processamento da in- formação. A organização deve estabelecer uma política de controle de acesso, na qual são estabelecidos mecanismos de controle para impedir que um usuário não autoriza- do tenha acesso a sistemas e serviços. Para isso, é necessário que a organização tenha processos bem definidos para cadas- tro e remoção de usuários, gerenciamen- to de acessos privilegiados, concessão de senhas e ajustes de permissões de acesso. Para controlar o acesso, sistemas e aplica- ções devem possuir mecanismos de prote- ção, contando com procedimentos seguros de login e gerenciamento de senhas. 2.6 Seção 10 – Criptografia Na Seção 10, o objetivo é assegurar o uso efetivo e adequado da criptografia, manten- do-se nos princípios da confidencialidade, autenticidade e integridade da informação. Para tanto, é necessário que a organiza- ção desenvolva e implemente uma política para o uso de controles criptográficos, bem como estabeleça uma política relacionada ao gerenciamento das chaves de criptogra- fia, definindo o uso, a proteção e o ciclo de vida das mesmas. Unidade 2 • Normas Brasileiras ABNT42/236 2.7 Seção 11 – Segurança Física e do Ambiente Na Seção 11, o objetivo é prevenir o acesso físico não autorizado, danos e interferên- cias; para tanto é necessário estabelecer os perímetros de segurança, os mecanismos de controle de entrada e saída dos ambien- tes e assegurar que escritórios, salas e ins- talações estejam seguros. Vale lembrar a importância em projetar e aplicar a proteção contra desastres natu- rais, ataques e acidentes, de modo a não comprometer o ambiente. Além das ins- talações, os equipamentos da organiza- ção devem ser protegidos contra ameaças, também devem passar por manutenções periódicas para assegurar a disponibilidade e integridade. Link A criptografia é a área da criptologia que trata dos princípios, dos meios e dos métodos de trans- formação de documentos com o objetivo de mas- carar o conteúdo, impedir modificações, uso não autorizado e dar segurança à confidência e à au- tenticação de dados. Informações sobre Cripto- grafia podem ser conferidas em: <https://www. kaspersky.com.br/resource-center/defini- tions/encryption>. Acesso em: 27 nov. 2017. Unidade 2 • Normas Brasileiras ABNT43/236 2.8 Seção 12 – Segurança nas operações A Seção 12 visa a garantia da operação se- gura e correta dos recursos de processa- mento da informação. Assim, ela dita que os procedimentos operacionais devem ser bem estabelecidos e documentados ao se- parar os ambientes: desenvolvimento, teste e produção, de forma que um não interfira no outro. Quaisquer mudanças na orga- nização que possa afetar a segurança das informações ali armazenadas, processadas ou trafegadas devem ser controladas, além disso, destaca as ações de identificação das alterações necessárias, planejamento e tes- te das mudanças, avaliação dos impactos potenciais, entre outras atividades. A organização deve estar protegida contra códigos maliciosos, portanto, é necessário implantar controles para detectar, prevenir e recuperar as informações, além de criar programas de conscientização dos usu- Link A Segurança Física é essencial para lidar com as ameaças à Segurança da Informação, poden- do ser caracterizada pelo uso de barreiras físicas para evitar o acesso de pessoas não autorizadas a áreas em que se encontram dados e informa- ções críticas da empresa. Maiores detalhes so- bre Segurança Física podem ser conferidos em: <https://www.gestaodesegurancaprivada. com.br/seguranca-fisica-e-logica-nas-or- ganizacoes/>. Acesso em: 27 nov. 2017. https://www.gestaodesegurancaprivada.com.br/seguranca-fisica-e-logica-nas-organizacoes https://www.gestaodesegurancaprivada.com.br/seguranca-fisica-e-logica-nas-organizacoes https://www.gestaodesegurancaprivada.com.br/seguranca-fisica-e-logica-nas-organizacoes Unidade 2 • Normas Brasileiras ABNT44/236 ários. Demais controles operacionais são necessários, como a realização de backup das informações, proteção contra a perda de dados, o registro e monitoramento dos eventos importantes (logs) e a criação de procedimentos para instalações de softwa- res, a fim de garantir a integridade dos sis- temas operacionais. E por fim, a gestão das vulnerabilidades técnicas, com a função de prevenir que o sistema não seja comprome- tido. 2.9 Seção 13 – Segurança nas comunicações Na Seção 13, o objetivo é garantir a prote- ção das informações, além de identificar e incluir mecanismos de segurança em qual- quer acordo de serviços de rede, indepen- dentemente se são serviços internos ou para terceiros. No caso de mensagens eletrôni- cas, deve haver um item que estabeleça a proteção das informações transmitidas. Por fim, a organização deve criar acordos de confidencialidade e de não divulgação das informações, tais acordos devem ser cons- truídos com termos obrigatórios do ponto de vista legal. 2.10 Seção 14 – Aquisição, De- senvolvimento e Manutenção de sistemas A Seção 14 tem como objetivo garantir a segurança da informação nos processos de aquisição, desenvolvimento e manutenção Unidade 2 • Normas Brasileiras ABNT45/236 de sistemas. Durante os processos de de- senvolvimento e de suporte, a segurança da informação deve estar presente no ciclo de vida dos sistemas. Para isso, deve ser criada e divulgada aos envolvidos uma política de desenvolvimento seguro. Após ter a política, a organização deve ana- lisar como a informação será trafegada, processada e armazenada de forma segura, estabelecendo procedimentos para contro- le das mudanças no sistema e oferecendo ambientes seguros para o desenvolvimen- to, que caso seja realizado por terceiros, as atividades devem ser supervisionadas e monitoradas pela organização. Por fim, os dados utilizados nos testes de- vem ser cuidadosamente selecionados, pro- tegidos e controlados. O ideal é que dados fictícios sejam utilizados, porém, quando for necessário utilizar informações reais, é ne- cessário que estas sejam protegidas contra remoção ou modificação. 2.11 Seção 15 – Relacionamento na cadeia de suprimento A Seção 15 objetiva garantir a proteção dos ativos da organização que são acessíveis pelos fornecedores. Uma política para se- gurança da informação nos relacionamen- tos deve ser estabelecida e os requisitos de segurança acertados com os fornecedores que irão acessar, processar, armazenar, co- municar ou prover componentes de infraes- trutura para as informações da organização. As entregas dos serviços de fornecedores também devem ser gerenciadas com moni- toramento, análise e auditorias. Unidade 2 • Normas Brasileiras ABNT46/236 2.12 Seção 16 – Gestão de inci- dentes de Segurança da Infor- mação Na Seção 16, o objetivo é tratar da gestão de incidentes de segurança da informação, destacando a importância de assegurar um enfoque efetivo e incluir a comunicação so- bre fragilidades e eventos de segurança da informação. Isso significa que a organiza- ção deve estabelecer as responsabilidades e os procedimentos, de forma a dar respostas rápidas, efetivas e ordenadas a incidentes, bem como estabelecer canais para rápida notificação dos eventos aos responsáveis. Caso funcionários ou terceiros encontrem fragilidades de segurança, estas devem ser notificadas à organização. No caso de incidentes de segurança, os pro- cedimentos já estabelecidos da organiza- ção devem ser respeitados e as informações obtidas na análise e na resoluçãodevem ser utilizadas para reduzir a probabilidade e o impacto de futuros incidentes. Por fim, a organização deve ter procedimentos para identificar, coletar e preservar informações, visto que estas podem servir como evidên- cias. Para saber mais Existem empresas que pouco investem em certi- ficações da família ISO 27000 e em treinamentos para seus funcionários, além de não possuírem um departamento específico para reportar inci- dentes de segurança. A falta de conhecimento na área e os altos custos são uma barreira para investimentos no setor de segurança da informa- ção, por isso é necessário que a diretoria participe ativamente na sua gestão. Unidade 2 • Normas Brasileiras ABNT47/236 2.13 Seção 17 – Aspectos da se- gurança da informação na ges- tão da continuidade do negócio A Seção 17 tem como objetivo tratar dos as- pectos da segurança na gestão da continui- dade do negócio, para , é recomendado que os processos, procedimentos e controles para assegurar a continuidade da seguran- ça da informação devam ser estabelecidos, documentados, implementados e mantidos pela organização. Tais controles devem ser verificados periodicamente de forma a ga- rantir a continuidade em situações adversas. A organização deve, também, implementar recursos de processamento de dados com redundâncias suficientes para atenderem aos requisitos de disponibilidade, ou seja, manter em maior tempo possível os servi- ços disponibilizados. 2.14 Seção 18 – Conformidade A seção 18 trata da conformidade com re- quisitos legais, contratuais e menciona que a organização deve evitar a violação de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relaciona- das à segurança da informação e de quais- quer requisitos de segurança. Além disso, pondera-se a necessidade de identificação da legislação aplicável e dos requisitos con- tratuais, além da garantia a conformidade com os direitos de propriedade intelectual. Todos os controles e processos da organiza- ção devem estar em conformidade com as Unidade 2 • Normas Brasileiras ABNT48/236 leis, acordos, legislação e regulamentações pertinentes. E, por fim, a organização deve analisar cri- ticamente a segurança da informação, de modo a garantir que está implementada e ativa de acordo com as políticas, procedi- mentos já estabelecidos pela própria orga- nização e de acordo com os aspectos legais do país. No que diz respeito ao controle, destaca- mos os pontos: permitir que procedimen- tos apropriados sejam implementados para garantir a conformidade com os requisitos legislativos e contratuais relacionados aos direitos de propriedade intelectual e uso de softwares proprietários (pertencem a uma empresa privada e detêm direitos de uso, edição e redistribuição) para assegurar que o direito autoral não esteja sendo violado. Além de manter a conscientização das po- líticas e notificar a intenção de tomar ações disciplinares contra pessoas que violarem essas políticas. Unidade 2 • Normas Brasileiras ABNT49/236 Glossário Dispositivos móveis: é um dispositivo de computação portátil, geralmente, equipado com um método de entrada: tela sensível ao toque ou um mini teclado. Muitos dispositivos móveis por- táteis possuem sistemas operacionais e podem executar aplicativos. Exemplos: notebook, smar- tphones e tablets. Logs: é o termo utilizado para descrever o processo de registro de eventos relevantes em um sis- tema computacional. Esse registro pode ser utilizado para reestabelecer o estado original de um sistema, diagnosticar problemas ou ser utilizado para auditorias. Softwares proprietários: são softwares que pertencem a uma empresa privada e detêm direitos de uso, edição e redistribuição. O software é pago e, com isso, o cliente tem direito às atualiza- ções do produto e ao suporte técnico. Exemplo de software proprietário: Sistemas Operacionais Android do Google e o IOS da Apple. Questão reflexão ? para 50/236 Suponha que uma empresa foi alvo de um cracker e necessita criar um documento de política de segurança interna para se adequar e treinar os funcionários. Como seria possível criá-lo se não existissem as normas? 51/236 Considerações Finais • Na Seção 6 (Organização da Segurança da Informação), a organização interna é fundamental para que funções conflitantes e áreas de responsabilidade sejam segregadas, a fim de reduzir as modificações não autorizadas e o uso indevido dos ativos da organização. • Na seção 18 (Conformidade), o direito de propriedade intelectual é necessário para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais relacionados aos direitos de propriedade intelectual e sobre o uso de produtos de softwares proprietários. • As normas representam um importante instrumento sinalizador de direção para as empresas preocupadas com o negócio e a prestação das informações que as sustentam. • As normas são apenas um ponto de partida, visto que nem todas as recomendações e contro- les podem ou devem ser integralmente aplicados, visto que cada empresa possui uma meto- dologia e deve buscar o que melhor adapta-se ao seu negócio. Unidade 2 • Normas Brasileiras ABNT52/236 Referências FONTES, Edison. Políticas e Normas para a Segurança da Informação. São Paulo: Brasport, 2012. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS: Importância e Benefícios. Disponível em: <http://www.abnt.org.br/normalizacao/o-que-e/importancia-beneficios>. Acesso em: 07.10.2017. ________. ABNT NBR ISO/IEC 27002:2013: Tecnologia da Informação – Técnicas de Segurança – Código de práticas para controles de segurança da informação. SEÇÕES DA NORMA ABNT NBR ISO/IEC 27002:2013. Disponível em: <https://www.profissionais- ti.com.br/2010/03/conheca-a-nbr-isoiec-27002-parte-1/>. <https://www.profissionaisti.com. br/2010/03/conheca-a-nbr-isoiec-27002-parte-2/>. Acessos em: 08.10.2017 53/236 Assista a suas aulas Aula 2 - Tema: Normas Brasileiras ABNT. Bloco I Disponível em: <https://fast.player.liquidplatform.com/ pApiv2/embed/dbd3957c747affd3be431606233e0f1d/ 8f827690ed7e4bedee2bf8bc3d63021f>. Aula 2 - Tema: Normas Brasileiras ABNT. Bloco II Disponível em: <https://fast.player.liquidplatform.com/ pApiv2/embed/dbd3957c747affd3be431606233e0f- 1d/8a41be218fc0407c4fc5e926f6bdc969>. https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/8f827690ed7e4bedee2bf8bc3d63021f https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/8f827690ed7e4bedee2bf8bc3d63021f https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/8f827690ed7e4bedee2bf8bc3d63021f https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/8a41be218fc0407c4fc5e926f6bdc969 https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/8a41be218fc0407c4fc5e926f6bdc969 https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/8a41be218fc0407c4fc5e926f6bdc969 54/236 1. Assinale a alternativa correta De acordo com a norma NBR ISO/IEC 27002:2013, existe uma seção que trata a melhor forma de gerenciar riscos da infraestrutura de TI de uma empresa, incluindo a implementação de práticas e estruturas organizacionais para estabelecer proteções e procedimentos para segurança da in- formação. Essa prática é denominada por: a) Controle. b) Ativo. c) Política. d) Recurso. e) Evento. Questão 1 55/236 2. Existe uma seção na norma NBR ISO/IEC 27002:2013 que contêm reco- mendações para que sejam cumpridas obrigações legais na organização, além de implementar procedimentos adequados para garantir a conformi- dade com os direitos de propriedade intelectual. Questão 2 Tal seção refere-se a(o): a) Controle de Acesso. b) Gestão de Incidentes de Segurança da Informação. c) Gestão de Ativos. d) Segurança nas operações. e) Conformidade. 56/236 3. Assinale a alternativa correta. Questão 3 A norma NBR ISO/IEC 27002:2013 estabelece que sejaconveniente que a tarefa de definir a clas- sificação de um ativo e assegurar que esteja atualizado e no nível apropriado é de responsabili- dade do: a) Usuário do ativo. b) Gerente. c) Consumidor. d) Proprietário do ativo. e) Diretor executivo. 57/236 4. A norma NBR ISO/IEC 27002:2013 tem como objetivo garantir a operação segura e correta dos recursos de processamento da informação, inclusive, da administração de acesso gerenciado pelo controle de: Questão 4 a) Segregação de funções. b) Remoção de propriedade. c) Manutenção dos equipamentos. d) Entrega de serviços. e) Gestão de capacidade. 58/236 5. Assinale a alternativa correta. Questão 5 A Norma NBR ISO/IEC 27002:2013 refere-se a um conjunto de regras internacionais que auxi- liam as empresas na gestão de seus negócios, porém, para uma empresa obter a certificação ISO é necessário que ela tenha: a) Maturidade. b) Flexibilidade. c) Idoneidade. d) Competitividade. e) Rigidez. 59/236 Gabarito 1. Resposta: A. A norma NBR ISO/IEC 27002:2013 fornece diretrizes para práticas de gestão e normas de segurança da informação para as organi- zações, incluindo a seleção, implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização. 2. Resposta: E. A Seção Conformidade possui diretrizes para implementação especificas para pro- priedade intelectual, dentre elas adquirir software por meio de fontes conhecidas e de reputação para assegurar que o direito autoral não está sendo violado. 3. Resposta: D. Segundo a seção Gestão de Ativos, con- vém que os ativos mantidos no inventário tenham um proprietário. De acordo com as diretrizes para implementação, é necessário que o proprietário do ativo seja responsável pelo próprio gerenciamento desse ativo ao longo do seu ciclo de vida. 4. Resposta: A. Na Segregação de Funções (Seção Organi- zação da Segurança da Informação) é im- portante que sejam tomados certos cui- dados para impedir que uma única pessoa possa acessar, modificar ou usar ativos sem a devida autorização ou detecção. 60/236 Gabarito 5. Resposta: D. Para uma empresa, obter a norma NBR ISO/ IEC 27002:2013 é ter um diferencial compe- titivo para a conquista de clientes que valo- rizam a certificação, além de promoverem uma redução de custos com a prevenção de incidentes de Segurança da Informação. 61/236 Unidade 3 Gestão de Riscos Objetivos 1. Apresentaremos uma breve explanação acerca de gerenciamento, classificação, análise e gestão de riscos. A partir des- ses tópicos, você constatará que um dos grandes erros cometidos pelas pessoas, em geral, é acreditar que estão imunes aos riscos e, por se sentirem seguros, não se previnem. Unidade 3 • Gestão de Riscos62/236 Introdução Um criminoso nem sempre busca informa- ções, já que a intenção pode ser, por exem- plo, realizar ataques a outros computadores e, assim, esconder a real identidade e locali- zação, além de propagar códigos maliciosos e disseminar spam. É preciso considerar não só para a empresa, mas também para o cotidiano de usuários comuns, os riscos aos quais estão expos- tos, e, com isso, tentar reduzi-los através da adoção de uma postura preventiva e que a atenção com a segurança torne-se um há- bito incorporado à rotina. Nesse sentido, a Unidade 3 descreve as ma- neiras para gerenciar, identificar e analisar o risco: se este é possível de ser aceito ou não, e, por fim, divulgá-lo. Assim, desejamos de- senvolver o seu senso crítico em relação aos riscos e às formas de tratamento. 1. Modelo de Segurança Um modelo de segurança organizacional é um “framework” constituído de várias en- tidades, mecanismos de proteção, compo- nentes físicos e lógicos, procedimentos e configurações para prover um nível de se- gurança adequado ao ambiente, sendo que possuem características relevantes ao tipo, missão crítica e objetivos da empresa que o adotará. Todo modelo deve possuir planejamento operacional para atender a rotina do ne- gócio em questão, além de apresentar um caráter tático a médio prazo, e estratégico a longo prazo. Convém ressaltar que é im- possível tornar uma estrutura segura de um dia para o outro. A implantação eficaz de um modelo de se- gurança está diretamente associada a uma Unidade 3 • Gestão de Riscos63/236 metodologia top down, ou seja, deve iniciar e derivar na direção da alta gerência para os níveis inferiores hierárquicos. A segurança deve ser trabalhada em todos os aspectos, seguindo-se o conceito de de- fesa por perímetro, ou seja, todo elemento conectado a algum tipo de rede deve ter a segurança trabalhada. 2. DETALHAMENTOS ACERCA DO RISCO 2.1 Gerenciamento de Risco É o processo de identificar, estimar, tratar, reduzir o risco e implementar mecanismos para mantê-lo dentro dos níveis aceitá- veis. Os riscos podem ser transferidos para empresas seguradoras, rejeitados (negli- genciados), reduzidos ou assimilados. Um modo de reduzir riscos pode ser realizado através da implementação de medidas de contenção e salvaguardas. Caso a organi- zação opte por ignorar o risco, isso poderá acarretar em fatalidades ao negócio. As etapas de gerenciamento de risco po- Para saber mais As principais ameaças para que o risco de vaza- mento de informação corporativa materialize-se concentram-se não unicamente, mas, principal- mente, nos seguintes fatores: o elemento huma- no, a engenharia social, a espionagem e a tecno- logia. Sendo assim, é importante que a empresa desenvolva um estudo do risco, definido como o processo global de análise e de avaliação do risco. Unidade 3 • Gestão de Riscos64/236 dem despender de um tempo considerável das pessoas envolvidas nas diferentes áre- as da empresa, assim, é importante que o processo seja amplamente entendido antes que a execução concretize-se. 2.2 Tipos de Riscos Em relação aos tipos de riscos que as em- presas podem submeter-se, destaca-se: Riscos de Ambiente: ocorre quando há for- ças externas que possam afetar a viabili- dade de negócio da empresa, incluindo os fundamentos que orientam a realização dos objetivos gerais e estratégicos que definem o modelo. São exemplos desses riscos: con- corrência (ações dos concorrentes ou de novos operadores no mercado da empresa que podem prejudicar a vantagem competi- tiva ou ameaçar a sua capacidade de sobre- vivência); inovação tecnológica (a empresa não é capaz de superar avanços de tecnolo- gia no modelo de negócio para alcançar ou manter uma vantagem competitiva); risco jurídico (alteração de leis podem ameaçar a capacidade da empresa para consumar operações importantes, aplicar acordos contratuais ou implementar estratégias e atividades específicas); regulamentação (alteração de regulamentos pode ameaçar a posição competitiva da empresa e a capa- Link Os Modelos de Gerenciamento de Riscos estão apresentados em: <https://escritoriodeproje- tos.com.br/plano-de-gerenciamento-dos- -riscos>. Acesso em: 27 nov. 2017. https://escritoriodeprojetos.com.br/plano-de-gerenciamento-dos-riscos https://escritoriodeprojetos.com.br/plano-de-gerenciamento-dos-riscos https://escritoriodeprojetos.com.br/plano-de-gerenciamento-dos-riscos Unidade 3 • Gestão de Riscos65/236 cidade de realização eficiente de negócios); ameaças naturais (essas ameaças não de- vem ser subestimadas, deve-se considerar a ocorrência de inundação, incêndio, descar- gas elétricas, vendaval, magnetismo, entre outros). Riscos de Processo: são os riscos relaciona- dos à efetividade dos processos da empresa e ocorrem quando a aquisição, gestão, re- novação e disposição dos bens não estão claramente definidas ou estão mal alinha- das com as estratégias de condução do mo- delo de negócio. Podemos destacar os ris- cos operacionais - levam em consideração a satisfação dos clientes, recursos huma- nos, interrupção do negócio e desgaste da marca; riscos de autorização (liderança, li- mite, autoridade, comunicação e desempe-nho); riscos de integridade (fraudes de ge- renciamento, fraudes de empregados, atos ilegais, uso não autorizado e reputação); riscos de tecnologia da informação (acesso, relevância, integridade, disponibilidade e confidencialidade); riscos financeiros (moe- da, crédito, taxa de juros e liquidez). Dentre os riscos de processo, um dos mais impor- tantes e críticos são os riscos operacionais, pois trabalha com o risco de que as opera- ções sejam ineficientes na execução do mo- delo de negócio da empresa, satisfação dos clientes, custo, tempo e no desempenho. Riscos de Informação para tomada de de- cisões: nesses riscos, destacamos os ope- racionais (definição de preços, obrigações contratuais, mensuração e relatórios ge- renciais), financeiros (impostos, fundo de pensão, orçamento, planejamento, relató- rios gerenciais e financeiros) e estratégicos (definição do ambiente, carteira de negócio, estrutura organizacional e planejamento). Unidade 3 • Gestão de Riscos66/236 Em relatório publicado pela World Economic Forum, aponta-se que a adaptação das em- presas para as alterações climáticas foram o risco de maior impacto potencial em 2016. 2.3 Análise de Riscos O valor de cada produto (computador, rote- ador, mobiliário, por exemplo) é necessário para se obter uma análise de custo-benefí- cio efetiva. Além disso, o preço dele deter- minará o processo de seleção de medidas de salvaguarda adequado. Para determinar o valor da informação ou produto são utilizados dois métodos. O pri- meiro denomina-se método quantitativo que analisa, numericamente, os efeitos dos riscos nos objetivos gerais do projeto. De- ve-se considerar por meio de análises, a ex- posição que o projeto tem aos riscos iden- tificados. Pondera-se que os riscos a serem analisados no método quantitativo podem trazer maior prejuízo ou algum impacto sig- Link Um relatório anual revelou os maiores riscos glo- bais no ano de 2016, cujos detalhes podem ser vistos em: <http://segurancadainformacao. modulo.com.br/o-global-risks-report-re- vela-os-maiores-riscos-globais-de-2016>. Acesso em: 27 nov. 2017. http://segurancadainformacao.modulo.com.br/o-global-risks-report-revela-os-maiores-riscos-globais-de-2016 http://segurancadainformacao.modulo.com.br/o-global-risks-report-revela-os-maiores-riscos-globais-de-2016 http://segurancadainformacao.modulo.com.br/o-global-risks-report-revela-os-maiores-riscos-globais-de-2016 Unidade 3 • Gestão de Riscos67/236 nificativo ao projeto. O segundo é denomi- nado de método qualitativo que prioriza a análise ou ação adicional através da ava- liação e combinação da probabilidade de ocorrência e impacto dos riscos. A técnica Delphi é um exemplo de método qualitati- vo, sendo constituída por um grupo de deci- são, cujos membros votam anonimamente e cada um opina sobre a resposta do outro em relação a um determinado risco. No pro- cesso de escolha de uma medida de prote- ção para minimizar um risco específico, é necessário avaliar o custo, funcionalidade e efetividade. Quanto às análises de riscos, estas são ba- seadas nos processos de identificação, análise e avaliação do risco. A organização deve identificar as fontes de risco, eventos, causas e potenciais impactos, com o objeti- vo de gerar uma lista de riscos baseada em eventos que podem afetar o negócio. Nessa etapa, deve-se utilizar ferramentas e técni- cas adequadas, informações atualizadas e pessoas com conhecimento em gestão de empresa. A etapa de análise consiste no (re) conhecimento do risco, devendo ser con- sideradas as causas, fontes, consequência (positivas ou negativas) e a probabilidade de ocorrência de acordo com o tipo que se determinará o nível de risco. Finalmente, a avaliação contribui na tomada de decisões de acordo com os riscos, considerando, as- sim, a tolerância aos mesmos, as questões regulatórias e legais. Os riscos que não são identificados nesse estágio podem repre- sentar problemas futuros, pois não serão tratados. Unidade 3 • Gestão de Riscos68/236 2.4 Gestão dos Riscos Para obter sucesso no modelo de seguran- ça, o processo de gestão de risco deve fun- cionar em um framework que provê a base estrutural e os recursos que devem perme- ar todas as camadas da organização. Esse framework orienta a organização no ge- renciamento efetivo dos riscos através da aplicação do processo de gestão de riscos em vários níveis e contextos específicos da organização. Ademais, ele deve assegurar que as informações de risco derivadas dos processos são adequadamente disponibi- lizadas e utilizadas como base nos proces- sos de tomada de decisão e na prestação de contas em todos os níveis da organização. Para ser efetiva, a gestão de risco deve criar valor para a organização, ser parte integral dos processos, estruturada, dinâmica, inte- rativa e facilitar a evolução contínua da or- ganização. A direção deve articular uma política de gestão do risco e determinar indicadores de desempenho para os riscos alinhados ao negócio. Além disso, deve-se atribuir as responsabilidades de gestão aos níveis apropriados e comunicar os benefícios aos acionistas, assegurando-se a evolução con- tínua do framework. Antes de se iniciar o projeto e implementa- ção do framework, é importante entender o contexto interno e externo da organização, uma vez que estes podem influenciar signi- ficativamente o projeto. O contexto interno pode ser entendido como sendo o capital, Unidade 3 • Gestão de Riscos69/236 tempo, pessoas, processos e tecnologia. Por outro lado, o externo representa o meio cul- tural, político, regulatório e financeiro. Na Política de Gestão do Risco, deve-se es- clarecer os objetivos e o comprometimento da organização. A gerência deve especificar as razões fundamentais para organizar os processos, métodos e ferramentas a serem utilizadas. Deve-se instituir controles e auditorias para assegurar a efetiva e eficiente integração da gestão de riscos aos processos de negó- cio da organização. Além disso, a organiza- ção deve desenvolver meios práticos para alocar os recursos apropriados e necessá- rios, tais como: pessoas, conhecimento, ex- periência, competências e bases de conhe- cimento, além de estabelecer mecanismos de geração de relatórios internamente. Por fim, os mecanismos existentes devem esta- belecer procedimentos de comunicação e de geração de relatórios para os stakehol- ders externos, incluindo a troca efetiva de informações para atender aos requisitos le- gais, regulatórios e de governança corpora- tiva. 2.5 Implementação da Gestão de Risco A organização deve definir o tempo e estra- tégia para a implementação do framework, documentar as decisões e comunicar aos stakeholders, a fim de assegurar que o fra- mework esteja apropriado ao negócio da organização. Deve-se assegurar que todos Unidade 3 • Gestão de Riscos70/236 os processos tenham aplicações aos níveis e às funções relevantes da organização como parte integrante das práticas e processos de negócio. 2.6 Monitoramento e Revisão do Framework Deve-se estabelecer fatores de cálculos de desempenho, medir o progresso e executar uma comparação do planejamento elabo- rado, inicialmente, com a revisão constan- te do framework, além disso, é fundamental informar os riscos e rever a sua efetividade. 2.7 Desenvolvimento Contínuo do Framework O desenvolvimento contínuo do framework baseia-se nas revisões e decisões que de- vem ser tomadas para verificar o nível de se- gurança adequado ao ambiente, tais como: a política e o plano de gestão de riscos. É importante lembrar que tais decisões de- vem agregar melhorias à cultura das orga- nizações. 3. Processo para Gestão de Risco O processo de gestão de risco deve ser parte integral da organização, fazer parte da cul- tura, práticas e processos de negócio. A co- municação e consulta com os stakeholders Unidade 3 • Gestão de Riscos71/236 externos são necessárias em todos os pro- cessos de gestão de riscos, sendoque o pla- no de comunicação deve ser desenvolvido o mais rápido possível e endereçar questões do risco, consequências e medidas neces- sárias para gerenciá-lo. A consulta com os stakeholders externos é importante porque auxilia na definição do contexto em relação aos questionamentos e dúvidas acerca do processo de gestão de risco e assegura que os interesses dos stake- holders foram entendidos e considerados, reúne diferentes áreas de conhecimento na análise de riscos e certifica que estes foram adequadamente identificados. No processo de gestão de risco é fundamental definir o escopo e critérios de riscos para as tarefas do processo. A organização deve desenvolver o critério a ser utilizado na avaliação da importância do risco e deve refletir sobre os valores, obje- tivos e recursos. Alguns critérios devem ser derivados de questões regulatórias e legais. Pondera-se que o critério de risco deve ser consistente com a política de gestão de ris- cos da organização, além de ter o seu desen- volvimento no início do processo de gestão de riscos e avaliação contínua. Link O processo de Gestão dos Riscos é regido pela norma ABNT NBR ISO/IEC 31000:2009, cujos de- talhes podem ser obtidos em: <http://www.ab- ntcatalogo.com.br/norma.aspx?ID=57311>. Acesso em: 17 nov. 2017. http://www.abntcatalogo.com.br/norma.aspx?ID=57311 http://www.abntcatalogo.com.br/norma.aspx?ID=57311 Unidade 3 • Gestão de Riscos72/236 4. NORMA ISO/IEC 31000:2009 Esta norma destina-se a apresentação de como as organizações gerenciam, identifi- cam, analisam e avaliam se o risco deve ser modificado a fim de atender os critérios de risco da organização. Todas as organizações gerenciam os riscos de alguma forma, po- rém esta norma estabelece uma quantidade de princípios que precisa ser atendida para tornar a gestão de riscos eficaz. Ademais, a norma ISO/IEC 31000:2009 es- tabelece que cada setor específico ou apli- cação da gestão de riscos possui necessi- dades particulares, percepções e critérios. Quando uma organização implementa e mantém a gestão dos riscos de acordo com essa norma possibilita à organização: au- mentar a probabilidade de atingir os obje- tivos; encorajar uma gestão proativa; estar atenta à necessidade de se adaptar, tratar os riscos da organização e melhorar a iden- tificação de oportunidades e ameaças. 5. IMPACTOS NA EMPRESA Quando um funcionário (ou prestador de serviços) é contratado por determinada empresa, geralmente, assina um termo de compromisso com as descrições de respon- sabilidades em relação à função que exer- cerá. Esse termo também descreve as res- ponsabilidades do funcionário em manter o sigilo acerca das informações às quais terá acesso e a seguir as normas de segurança da informação e o padrão ético da organi- zação. Também visa a proteção do funcio- nário, da informação e, consequentemente, da empresa (FONTES, 2008). Unidade 3 • Gestão de Riscos73/236 Silva (2012, p. 55) relata que: Para saber mais Toda empresa deve possuir uma classificação de confidencialidade da informação que pode ser dividida em pública, interna, confidencial ou secreta. Essa categorização permite o conhecimento das regras institucio- nais por todas as pessoas que lidam com a informação, amenizando os impactos na empresa, caso ocorra algum tipo de situação emergencial (PEIXOTO, 2006). Para diminuir os impactos na empresa é fundamental realizar a análise de riscos, que é entendido como o processo que os identifica e trata de forma sistemática e contínua. Também compreende a realização de quatro ativi- dades básicas que são a análise e avaliação, tratamento, aceitação e, por fim, a comunicação do risco. Unidade 3 • Gestão de Riscos74/236 Segundo Beal (2006, p.12), o que define a análise de risco é o: No gerenciamento dos riscos, é importante a implementação de um ambiente de controle efe- tivo para serem planejados, implementados, monitorados, terem comprometimento da alta ad- ministração, envolvimento das áreas de negócio, tecnologia e auditoria, além do monitoramento dos processos de gerenciamento dos riscos. Uso sistemático da informação (dados históricos, análise teórica e opini- ões fundamentadas) para identificar fontes e estimar o risco”. Além disso, é dito como um “processo de comparação do risco estimado com determi- nado critério de risco para determinar sua relevância. Para saber mais Infelizmente, percebe-se que, na prática, para alguns diretores de empresas o custo é o principal empecilho financeiro, um analista de segurança ou a área de projetos passa por grandes dificuldades para conseguir que o projeto de segurança seja aprovado, visto que os diretores preferem investir em outros setores da empresa a investir na segurança da informação, pois alegam que o referido projeto não gera explicitamente lucro e não tem retorno, recebendo importância após algum incidente de segurança (SILVA, 2012). Unidade 3 • Gestão de Riscos75/236 Pesquisas recentes da consultora e correto- ra de seguros “Aon” revelaram que os riscos cibernéticos representam a quinta maior preocupação de empresários em empresas privadas. Em resposta às ameaças, 53% das empresas adotaram análises de riscos para ataques, 33% transferiram os riscos para o mercado segurador e 12% aderiram a ou- tras formas de transferência de risco, como seguros cativos. Foi relatado que quanto maior a empresa, mais significativo o im- pacto do risco cibernético; organizações com receita superior a 1 bilhão de dólares colocaram o risco cibernético na segunda posição no ranking. Por fim, essas pesquisas apontaram outros riscos que preocupam os empresários, tais como: dano à reputação da marca, desaceleração econômica e re- cuperação lenta, aumento da concorrência e mudanças regulatórias e legislativas. Unidade 3 • Gestão de Riscos76/236 Glossário Framework: sua definição é tratada de várias formas pelos autores da área de tecnologia. Em nosso estudo, entenderemos como um conjunto de classes específicas para determinada tarefa, ou seja, ao utilizar um framework criado por um programador, por exemplo, outro programador pode utilizá-lo para facilitar o seu trabalho e desenvolvê-lo. Salvaguardas: é a proteção concedida por uma organização referente à defesa e à segurança. Stakeholders: é uma pessoa ou um grupo que legitima as ações de uma organização e que tem um papel direto ou indireto na gestão e resultados. Do inglês, stake significa interesse, participa- ção, risco, e holder significa aquele que possui. Assim, stakeholder também significa parte inte- ressada ou interveniente. Segurança em Profundidade ou Defesa por Perímetro: é um modelo que pode ser comparado a uma cebola que tem múltiplas camadas, ou seja, um ambiente segmentado a fim de proporcio- nar diferentes níveis de segurança, como firewall externo, sistema de detecção de intrusos, sis- tema de VPN, antivírus, firewall interno, política de segurança, entre outros. Empresas Seguradoras: são empresas responsáveis pela administração de gestão de riscos de outras entidades, a fim de protegê-las e garantir possíveis ressarcimentos em perdas financeiras. Questão reflexão ? para 77/236 Se uma informação não possui valor financeiro, reflita quais seriam as motivações para uma empresa investir em tecnologia, processos e pessoas a fim de protegê-la. 78/236 Considerações Finais • Todo modelo de segurança deve possuir um planejamento operacional para atender à ro- tina do negócio. Importante ressaltar que é impossível tornar uma estrutura segura de um dia para o outro, pois deve ser trabalhada em todos os aspectos, seguindo-se o conceito de defesa por perímetro. • Vimos que nem sempre tratar o risco é a melhor solução, pois podem ser transferidos para empresas seguradoras e, caso a organização opte por ignorar o risco, essa ação poderá acarretar em fatalidades ao negócio. • Além da norma ISO/IEC 27002:2013, a norma internacional ISO 31000:2009 possui um pa- pel de destaque como
Compartilhar