Palestra_Segurança_da_Informação_Amcham

Prévia do material em texto

Segurança da
Informação no
Home Office
Mais de 20 anos de experiência na área de 
tecnologia e segurança da informação;
Tecnólogo em Gestão de TI, MBA em Computação 
Forense e Perícia Digital, cursando MBA em 
Cybersecurity. 
Professor universitário na UniAteneu e Unichristus
Diretor de Parcerias na SUCESU-CE
Perito Associado e Vice Diretor de Comunicação da 
APECOF - Associação Nacional dos Peritos em 
Computação Forense
Ismael Júnior
ismael.junior@wisertecnologia.com.br
Sócio Diretor na Wiser Tecnologia
Especialista em Cibersecurity 
85 99282.3333
/ismaeljunior
Ciber Segurança
em números.
Brasil ocupa a 70ª colocação no índice 
de segurança cibernética da União 
Internacional de Telecomunicações 
(ITU, na sigla em inglês), órgão da 
Organização das Nações Unidas (ONU) 
que coordena esforços nesta área.
Fonte: Agência Senado
A internet está presente em 80% das 
casas do país, chegando a 116 milhões 
de usuários.
O índice de utilização da internet 
entre as empresas também é quase 
pleno, 98%.
Fonte: Agência Senado
Em 2018, 70 milhões de brasileiros 
foram vítimas de ataques 
cibernéticos, levando a perdas de 
US$ 20 bilhões.
Fonte: Agência Senado
Mais de 2,5 bilhões dados foram 
comprometidos, roubados ou 
expostos em 2017 e no ano 2018, 
chegaram a 4,55 bilhões em todo o 
mundo.
O Brasil sofreu 15 bilhões de 
tentativas de ataque cibernético em 
apenas três meses em 2019.
Fonte: Fortinet.
Segundo a Kaspersky Lab, 6,95%
de todas as mensagens
indesejadas foram enviadas a
partir de algum computador no
Brasil. A China, porém, é a maior
fornecedora dessas mensagens,
com 15,82% dos envios. O segundo
lugar é ocupado pelos Estados
Unidos, com 12,64% dos envios de
spams.
21,66% dos 
brasileiros já 
receberam esse 
tipo de mensagem 
fraudulenta. 
Fonte:www.consumidormoderno.com.br/2019
/05/21/brasil-numero-usuarios-atacados-
phishing/
Home Office ou 
Teletrabalho
Curiosidade
Em 1857, surge o trabalho remoto. 
Através das atividades de telégrafo, J. Edgar Thompson proprietário de uma linha 
de ferro controlava suas unidades remotas através do telégrafo, exercendo a 
gestão e o controle de recursos e mão de obra remotamente.
O termo teletrabalho surge na década de 70.
Mundo passava por uma crise no petróleo e havia uma preocupação com os 
gastos com deslocamento para o trabalho.
Determinadas funções passavam a ser executas em domicílio.
Fonte: https://pt.wikipedia.org/wiki/Teletrabalho
15 milhões de teletrabalhadores no 
país, conforme informações do 
Presidente da Sociedade Brasileira 
de Teletrabalho e Teleatividades
(Sobratt), Wolnei Tadeu Ferreira. 
Fonte: Agência Câmara de Notícias
Em 2017, 70% das 
empresas privadas no 
Brasil já adotavam o 
teletrabalho
• Economia nos custos de escritório;
• Maior acesso a talentos;
• Redução da perda de bons funcionários;
• Menores custos por funcionário;
• Menos reuniões;
• Aumento na disponibilidade de tempo do funcionário;
• Aumento na produtividade.
Vantagens do Home Office - Empresa
Fonte: https://jus.com.br/artigos/67782/o-que-e-teletrabalho-
quais-suas-vantagens-e-as-novidades-trazidas-pela-reforma
• Difícil sucessão, em caso de necessidade de transição;
• Interferência de assuntos domésticos nos assuntos profissionais;
• Dificuldade de manter o espírito de equipe;
• Alinhamento de expectativas;
• Segurança da informação.
Desvantagens do Home Office - Empresa
 Redução do estresse;
 Aumento do bem-estar;
 Maior disponibilidade de tempo livre;
 Redução das despesas;
 Possibilidade de ser seu próprio chefe;
 Possibilidade de trabalhar sem interrupções;
 Controle do seu ritmo de trabalho;
Vantagens do Home Office - Funcionário
Fonte: https://www.ibccoaching.com.br/portal/quais-as-
vantagens-e-desvantagens-do-teletrabalho/
 Não ter colegas de trabalho;
 Dificuldade para separar a vida pessoal da profissional;
 Não ser levado a sério;
 Falta de metodologia de trabalho;
 Dificuldade para se adaptar novamente ao ambiente corporativo,
caso necessário;
 Segurança da informação.
Desvantagens do Home Office - Funcionário
Fonte: https://www.ibccoaching.com.br/portal/quais-as-
vantagens-e-desvantagens-do-teletrabalho/
Segurança da 
Informação
A Segurança da Informação está relacionada com a proteção de um conjunto de
dados, no sentido de preservar o valor que possuem, seja para uma pessoa ou uma
empresa.
São características básicas da segurança da informação os atributos de:
Confidencialidade
Integridade
Disponibilidade
Autenticidade
Legalidade
A informação não estará 
disponível ou será divulgada 
a pessoas ou empresas sem 
prévia autorização dos 
responsáveis pela 
informação.
Confidencialidade
Ter informações confiáveis, 
ou seja integras, sem 
nenhum tipo de intervenção 
de pessoas não autorizadas.
Integridade
Ter dados e sistemas 
disponíveis apenas para 
pessoas autorizadas 
visualizar as informações.
Disponibilidade
Garantia da origem das 
informações geradas ou 
veiculadas entre as pessoas.
Autenticidade
Estar atento às leis do país 
e como são divulgadas as 
informações nos mais 
variados meios de 
comunicação.
Legalidade
Somente o responsável 
pela informação pode 
agregar valor a mesma e a 
participação da equipe de 
tecnologia é fundamental 
em todo processo de 
armazenamento.
Valor
Informações de Valor que 
você mantém em casa, no 
computador, no trabalho, 
celular, no e-mail particular 
ou corporativo.
Informações
pessoais
• Informações de Funcionários;
• Dados Financeiros;
• Folha de Pagamento;
• Contratos;
• Projetos;
• Patentes;
• Ect.
A empresa possui dados valiosos:
Como funcionário, devemos 
trabalhar juntos para 
proteger as informações 
importantes da empresa afim 
de evitar prejuízos de 
qualquer proporção.
• Indisponibilidade de Serviços;
• Prejuízo Financeiro;
• Processos Judiciais;
• Multas ou Penalidades Contratuais;
• Perda de Confiança dos Clientes;
• Queda no valor das ações na bolsa.
Os custos e prejuízos associados com as 
falhas de segurança são enormes:
Ataques
Cibernéticos
• Phishing é uma maneira desonesta que ciber-criminosos usam para 
enganar você a revelar informações pessoais, como senhas ou 
cartão de crédito, CPF e número de contas bancárias. 
• Eles fazem isso enviando e-mails falsos ou direcionando você a 
websites falsos.
https: //www.avast.com › pt-br › c-phishing
Phishing
Das informações de usuários que não tem conhecimento desse tipo 
de crime, os desavisados:
• Informações pessoais;
• Informações corporativas;
• Informações financeiras.
Phishing. Como se alimentam?
https://sejadigital.com › o-que-e-phishing-e-como-ele-funciona
Por tentativas de adquirir fotos, músicas e outros dados pessoais ao 
se fazer passar por uma pessoa confiável ou uma empresa enviando 
uma comunicação eletrônica oficial. Isso ocorre de várias maneiras, 
principalmente por: e-mail, mensagem instantânea, SMS e Voz.
Phishing. Como se reproduzem?
https://seguranca.uol.com.br › antivirus › dicas › curiosidades › o-que-e-phis..
Phishing Tradicional, que seria o equivalente a “pescar com rede”.
Imaginemos que 10% dos usuários de uma campanha de 10 mil 
disparos se infectaram com o phishing. 1000 computadores sob o 
controle do atacante é o indício de que a campanha foi um sucesso.
https://seguranca.uol.com.br › antivirus › dicas › curiosidades › o-que-e-phis..
Phishing. Quais os tipos?
Spear Phishing, tradução da palavra “Spear” para o português é lança 
ou arpão. 
São mais elaborados, em que os fraudadores pesquisam o 
funcionamento de uma instituição para conseguir informações como 
padrões de endereços de e-mail (nome@empresa.com.br) detalhes da 
sua estrutura hierárquica, descobrindo quem são os responsáveis por 
pagamentos, que bancos a empresa usa, etc.
Phishing. Quais os tipos?
Smishing é um tipo de phishing realizado via SMS. 
Um Smishing popular é o “problema com conta bancária ou cartão de 
crédito”. Nesse caso, o link vai para umapágina de phishing do banco. 
Instalação do aplicativo: dependendo da versão e do tipo do sistema 
operacional, o usuário pode ser levado a fazer download de aplicativos 
que controlam seu telefone.
https://minutodaseguranca.blog.br/quais-tipos-de-phishing-voce-conhece
Phishing. Quais os tipos?
Vishing (voice pishing), é o mais antigo jeito enganar os usuários para
extrair dados secretos por telefone (década de 1990).
O ponto é simples: os golpistas telefonam para você se passando por
alguém do “seu banco” e tentam extrair dados de sua conta e cartão com
perguntas astutas.
Mas hoje em dia o vishing subiu novo nível. Não só os golpistas humanos
chamam as vítimas para atraírem suas credenciais, mas bots e robôs
também.
Phishing. Quais os tipos?
https://minutodaseguranca.blog.br/quais-tipos-de-phishing-voce-conhece
 Netflix - Acesso Gratuito;
 Governo Federal - Kit gratuito de luvas, máscaras e álcool gel;
 Ambev - Doação de álcool gel para os cidadãos;
 Aplicativo COVID-19Tracker - Monitoramento e dados estatísticos do 
Coronavírus;
 Agendamento Vacina - Agendamento para vacinação contra o 
Coronavírus em casa;
 Fabricação Vacina - Fabricação da vacina contra Coronavírus;
 Auxílio Emergencial - Cadastro de brasileiros de baixa renda;
 ANATEL – 7GB de internet para responder questionário sobre as 
operadoras.
Ataques. Exemplos atuais:
Como proteger 
a empresa?
É necessário estabelecer responsabilidades de acordo com os 
objetivos definidos. Aspectos como o controle das tecnologias, a 
realização de cópias de segurança (backup) ou os processos de 
recuperação são algumas das tarefas que devem ter um executor e 
um momento definido para cada uma delas.
Gestão de Responsabilidade
Considerando a grande variedade de dispositivos no mercado, é 
importante utilizar apenas aqueles que contam com ferramentas de 
segurança adequadas.
Gestão de Dispositivos
Para garantir que os dados não sejam afetados por códigos 
maliciosos, todos os dispositivos utilizados pelo colaborador devem 
contar com uma solução de segurança que detecte proativamente
esse tipo de ameaça.
Proteção contra códigos 
maliciosos
Considerando que existem dispositivos que estão acessando à rede 
fora do perímetro físico do escritório, é necessário fazer um 
acompanhamento do tipo de tráfego gerado. 
Monitoramento do 
tráfego da rede
Uma VPN (Virtual Private Network) é uma tecnologia de rede que se 
utiliza para conectar um ou mais computadores a uma rede privada 
por meio da Internet, de forma que o acesso remoto às ferramentas 
corporativas seja seguro.
Conexões seguras
Nesse documento deve estar todas as obrigações e 
responsabilidades dos usuários em relação ao uso das tecnologias 
que possuem à disposição.
Criação de uma Política 
de Segurança
A educação é um ponto fundamental para que todos os usuários
sejam conscientes dos riscos aos quais podem estar expostos e
quais são os cuidados que devem ter ao acessar dispositivos fora da
empresa.
Conscientização dos funcionários
Como se 
proteger?
Antivírus + Firewall + VPN
• Tenha um antivírus instalado e atualizado;
• Mantenha o firewall ativo;
• Evite conectar dispositivos USB (Pendrive e HD-Externo) desconhecidos;
• A VPN não deve permitir navegação na internet enquanto conectada na 
rede da empresa;
• Ao se ausentar da mesa bloqueie a tela do computador;
• Ao final de expediente faça o logout na VPN;
E-mail pessoal
• Cuidado com e-mails de fontes desconhecidas;
• Verifique o remetente do e-mail;
• Desconfie de e-mails que pedem uma ação urgente;
• Nunca envie dados pessoais por e-mail;
• Evite clicar em links enviados por e-mail, prefira digitar você mesmo o 
endereço do site;
• Não digite seus dados em formulários enviados por fontes suspeitas.
• Sempre verifique o remetente do e-mail, especialmente em mensagens que
solicitam informações da empresa. Não repasse informações de fontes
desconhecidas;
• Se não faz parte da sua rotina, desconfie de mensagens com pedidos de
transferência financeira e alerte os responsáveis imediatamente;
• Desconfie de e-mails de parceiros ou fornecedores solicitando ações como envio
de informações ou confirmação de dados cadastrais.
E-mail corporativo
• É necessário saber: Você precisa mesmo compartilhar suas informações com
“todo mundo”?;
• Revise a visibilidade das informações do seu perfil. Deixe o mínimo possível
disponível para quem não faz parte da sua rede;
• Ao fazer publicações, reflita se aquela informação é do interesse de todos;
Nas Redes Sociais
• Tente validar se os dados que a pessoa colocou no perfil são verdadeiros (por
exemplo: a empresa em que ela diz que trabalha existe?);
• Duvide de mensagens com links;
• Tenha a máxima atenção com os canais oficiais de comunicação das empresas
em redes sociais, para evitar contatos com perfis falsos (normalmente os canais
corretos estão nas páginas oficiais da empresa);
• Desconfie de contatos de perfis oferecendo ajuda e solicitando
dados pessoais.
Nas Redes Sociais
• Nunca abra links enviados por SMS, especialmente vindos de fontes
desconhecidas;
• Não baixe aplicativos enviados por SMS;
• Não retorne ligações ou mensagens enviadas por números desconhecidos;
• Nunca responda mensagens pedindo confirmação de dados pessoais, bancários ou
credenciais de sites (login e senha);
• Desconfie de mensagens “urgentes”, como promoções relâmpago 
(“você não pode perder!”) de fontes desconhecidas.
Em dispositivos móveis - SMS
• Em hipótese alguma responda à mensagens solicitando dados pessoais, mesmo 
que ela pareça ter vindo do seu banco ou de um serviço que você assina (TV a 
Cabo, operadora de telefonia, etc.);
• Desconfie de mensagens urgentes, que pedem ação rápida.
Em dispositivos móveis –
WhatsApp e Telegram
• Baixe aplicativos de fontes confiáveis. Procure usar sempre as lojas oficiais de
aplicativos como a Play Store (Google), Microsoft Store e App Store (Apple).
• Verifique a reputação do aplicativo e leia os comentários de outros usuários antes
de baixar. Quanto mais comentários e avaliações, menor a chance de você estar
baixando um aplicativo falso.
• Verifique também a reputação do desenvolvedor do App. Quanto mais aplicativos
desenvolvidos, menor a chance de o desenvolvedor ser um golpista.
Em dispositivos móveis –
Outros aplicativos
Perguntas
Ismael Júnior
85 99282-3333
ismael.junior@wisertecnologia.com.br