Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança da Informação Prof. Glauco Ruiz Auditoria e Segurança de Sistemas Segurança da Informação Segurança é importante ? Qual o nosso nível de dependência? Quanto tempo podemos ficar sem nossos dados? Quanto tempo cada sistema pode ficar parado ? Qual o nosso nível de sensibilidade? Pode ser útil para o seu concorrente? Pode ficar publicamente disponível? Qual o valor da sua reputação? (intangível) Haverá dano em casos de modificações ou interrupções? Quem pode se interessar por tudo isso? (o impacto) Agente externos? Agentes Internos? Há risco de caráter culposo Mitos sobre Segurança • ‘isso nunca acontecerá conosco’ • ‘nunca fomos atacados, não precisamos de mais segurança’ • ‘já estamos seguros com o firewall’ • ‘utilizamos os melhores sistemas, então, eles devem ser seguros’ • ‘não dá para gastar com segurança agora, deixa assim mesmo’. Mitos sobre Segurança • ‘utilizamos as últimas versões dos sistemas dos melhores fabricantes’. • ‘nossos fornecedores irão nos avisar, caso alguma vulnerabilidade seja encontrada’ • ‘ninguém vai descobrir essa ‘brecha’ em nossa segurança’ • ‘tomamos todas as precauções, de modo que os testes não são necessários’ • ‘vamos deixar funcionando e depois resolveremos os problemas de segurança’ Mitos sobre Segurança • ‘os problemas de segurança são de responsabilidade do • departamento de TI’ • ‘Luis, depois de instalar o Word para a Claudia, você pode instalar o firewall?’ • ‘a companhia de TI que foi contratada irá cuidar da segurança’ • ‘o nosso parceiro é confiável, podemos liberar o acesso para ele’ • ‘não precisamos nos preocupar com a segurança, pois segurança é um luxo para quem tem dinheiro’ O que pode resolver o Problema? • Compras de equipamentos e softwares de última geração? • Rígidas regras comportamentais com severas punições? (isso não é uma solução adequada) NENHUMA ATITUDE ISOLADA OBTERÁ ÊXITO ! Segurança → Gestão de Riscos: conhecer o problema Planejar, agir (implementação de controles) Auditar (imprescindível – teste de invasão), educar, monitorar, aprender, gerenciar, etc. Segurança sem Metodologia Qual é o bem a ser protegido? Como a informação em formato digital é facilmente manipulável em dispositivos diminutos a complexidade é ainda maior. Segurança deve ser contínua • ataque acontece... • ...há um reforço nesta vulnerabilidade e... • ...ataques de novos tipos acontecem ... • ...promovendo novos tipos de reforços e • assim por diante. Por que deve ser contínua • Entender a natureza dos ataques é fundamental • Novas tecnologias trazem consigo novas vulnerabilidades • Novas formas de ataques são criadas • Aumento da conectividade resulta em novas possibilidades de ataques • Existência tanto de ataques direcionados quanto de ataques oportunísticos • A defesa é mais complexa do que o ataque (hacker explora um ponto vulnerável, você protege vários pontos) • Aumento dos crimes digitais Visão Holística do Risco • Cada empresa tem um universo próprio • O nível de risco é crescente em virtude do crescimento da conectividade • Assim como processos já comuns, como o risco jurídico, risco de crédito, risco financeiro e pessoal, o risco da informação vêm tomando importância nas corporações • Ações corporativas integradas, com o emprego de mecanismos de controle buscam reduzir o risco a níveis aceitáveis • A auditoria visa a conformidade (compliance) dos controles Alguns incidentes Incidentes de Segurança da Informação Ativos É qualquer elemento que tenha valor para a empresa. Tipos de ativo: - Ativos Humanos: referem-se a tudo que o indivíduo pode gerar de benefício para as organizações por meio de sua experiência, conhecimento, criatividade e habilidade para resolver problemas, visto de forma criativa e dinâmica. - Financeiros: ativo financeiro é um valor mobiliário que representa direitos sobre ativos reais que podem ser tangíveis (edifícios, equipamentos, etc) ou intangíveis (conhecimentos tecnológicos, marcas, patentes, etc). - Físicos: Prédios fábricas, equipamentos, manutenção, segurança, utilização, etc. Ativos - Propriedade Intelectual: São ideias originais que por si não geram resultado financeiro, mas quando aplicadas a produtos e serviços agregam valor a estes. Alguns ativos de Propriedade Intelectual são Marcas, Patentes, Desenhos Industriais, Direitos Autorais, Direitos Conexos, Segredos Industriais, Know How, etc. - Ativos da Informação e TI: Dados digitalizados, informações e conhecimento sobre clientes, desempenho de processos, finanças, sistemas de Informação, etc. - Ativos de Relacionamento: Relacionamento dentro da empresa, marca e reputação junto a clientes, fornecedores, unidades de negócio, órgãos reguladores, concorrentes, revendas autorizadas, etc. Termos e definições relacionados • Recursos de processamento da informação: Qualquer sistema de processamento da informação, serviço ou infraestrutura, ou as instalações físicas que os abriguem • Risco: Combinação da probabilidade de um evento e de suas consequências • Ameaça: Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização. Vai existir sempre. • Vulnerabilidade: Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. Ponto Fraco Termos e Definições Relacionados • Segurança da Informação: Preservação da confidencialidade, integridade e da disponibilidade da informação Adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade podem estar envolvidas • Confidencialidade: • - Propriedade de que a informação não esteja disponível, ou seja, revelada a indivíduos, entidades ou processos não autorizados • - Acesso ao necessário somente, nada mais, nada menos • Integridade: - Propriedade de proteger a exatidão e completeza de ativos • Disponibilidade • - Propriedade de tornar acessível e utilizável sob demanda, por fontes autorizadas - No momento necessário e atualizada Termos e definições relacionados • Politica: Intenções e diretrizes globais formalmente expressas pela direção • Diretriz: Descrição que ostenta o que deve ser feito e como, para se alcançarem os objetivos estabelecidos nas políticas • Procedimento: Forma específica de executar uma atividade ou um processo. Deve estar no papel, documentado. • Controle: Forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes. Práticas ou estruturas organizacionais que podem ser de natureza administrativa, técnica, de gestão ou legal.. Termo também utilizado como sinônimo para proteção ou contramedida. Termos e definições relacionados • Análise de Risco: Uso sistemático de informações para identificar fontes e estimar o risco • Avaliação de Risco: Processo de comparar o risco estimado com critério de risco pré-definidos para determinar a importância do risco • Gestão de Riscos: Atividades direcionadas para direcionar e controlar uma organização no que se refere a riscos. Geralmente inclui a análise, a avaliação, o tratamento, a aceitação e a comunicação de riscos • Tratamento do Risco: Processo de seleção e implementação de medidas (controles) para modificar um risco Termos e definições relacionados • Evento de Segurança da Informação: - Ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação de política de segurança da informação ou falha de controles; - Uma situação previamente desconhecida, que possa ser relevante para a segurança da informação; • Incidente de Segurança da Informação: - Indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação; • Partes Externas: - Provedores de serviços, clientes, gerenciamento de serviços de segurança, operação de call center, recursos de terceirização,consultores, auditores, desenvolvedores de produtos de software e sistemas de TI, pessoal de limpeza, pessoal temporário, estagiário e contratações de curta duração Termos e definições relacionados • Conformidade: - Atendimento a um requisito; • Não conformidade: - Não atendimento a um requisito; • Ação corretiva: - Ação para eliminar a causa de uma não conformidade identificada ou outra situação indesejável; • Ação preventiva: - Ação para eliminar a causa de uma potencial não conformidade ou outra situação potencialmente indesejável. Termos e definições relacionados • Auditoria: - Processo sistemático, documentado e independente para obter evidência da auditoria e avaliá-la objetivamente para determinar a extensão na qual os critérios de auditoria são atendidos; • Auditor: - Pessoa com atributos pessoais demonstrados e competência para conduzir uma auditoria; • Análise Crítica: - Atividade realizada para determinar a pertinência, adequação e eficácia do que está sendo examinado, para alcançar os objetivos estabelecidos; - Manutenção da realidade, atualização; • Parte interessada: - Pessoa ou grupo que tem um interesse no desempenho ou no sucesso de uma organização, também conhecidos como stakeholders (clientes, acionistas, pessoas que atuam na organização, fornecedores, sociedade, parceiros). Protegendo as Informações da Organização • Ativos (a empresa define quais); • Informações críticas e sensíveis; • Ameaças; • Vulnerabilidades; • Riscos; • Avaliação e tratamento de risco; • Implementação de controles. • Monitoramento dos controles implementados; • Avaliação da eficácia dos controles implementados. Protegendo as Informações da Organização • Informações que devem ser protegidas (converse com os gestores de cada área) - Armazenada em computadores; - Transmitida por meios eletrônicos; - Impressa ou escrita em papel; - Enviada por fax; - Armazenadas em fitas ou discos; - Armazenadas em notebooks; - Faladas em conversas. Protegendo as Informações da Organização • Razão para a implantação de um Sistema de Gestão de Segurança da Informação (SGSI): - Garantir a continuidade dos negócios de uma organização, através da preservação dos três componentes básicos de uma informação: - Confidencialidade; - Integridade; - Disponibilidade. Protegendo as Informações da Organização • Principais tipos de ameaças: - Acesso não autorizado; - Usuários desleais (2 a 3% tendem a ser desleais); - Espionagem industrial; - Hackers de computador; - Fraude; - Fogo ou desastres naturais; - Perseguição e observação de funcionários chave; - Furtos de Notebooks. Segurança não é só hackers • Segurança significa muito mais do que proteção contra hackers, maus funcionários ou vírus. • A segurança significa permitir que as organizações busquem seus lucros, os quais são conseguidos por meio de novas oportunidades de negócios, que são resultado da flexibilidade, facilidade e disponibilidade dos recursos de informática. • Portanto, segurança não é apenas proteção, mas o elemento habilitador dos negócios da organização. • Pesquisas indicam que os consumidores deixam de realizar negócios via internet quando não confiam na segurança de um site. Vulnerabilidades só aumentam • A competitividade e a pressa no lançamento de novos produtos • O alto nível de conectividade • O aumento do número de potenciais atacantes • O avanço tecnológico, que resulta em novas vulnerabilidades intrínsecas • O aumento da interação entre organizações, resultando nos ambientes cooperativos • A integração entre diferentes tecnologias, que multiplica as vulnerabilidades • A Era da Informação, na qual o conhecimento é o maior valor • A segurança representando a habilitação de negócios Sigilo – breve histórico • Décadas de 70 e 80 sigilo dos dados • Época dos mainframes proteção era voltada para os dados • Décadas de 80 e 90 com as redes, preocupação com a integridade, e com as informações, não mais os dados. A informática fazia parte da administração e da estratégia da organização • A partir da década de 90 crescimento do IP, enfoque muda para a disponibilidade. Informática essencial nos negócios, e o que deve ser protegido agora é o conhecimento. Portanto ! • Portanto, proteger o conhecimento significa proteger o próprio negócio da empresa ! • Assim, a segurança passa a fazer parte do processo de negócios das organizações. Por que isso é um problema? • Hoje só há ‘remendos’ para os problemas de segurança, sem uma estratégia e uma arquitetura de segurança que protejam de fato a organização (há um falso senso de segurança) →aumento na vulnerabilidade da organização. • A segurança passa a ser, em um primeiro momento, o principal responsável pelo negócio, o elemento que permite que a venda realmente aconteça. • O profissional de segurança passa, assim, de uma posição técnica obscura para a linha de frente dos negócios da organização. • O sucesso, muitas vezes, depende da comunicação segura entre matrizes, filiais, fornecedores, parceiros comerciais, distribuidores e clientes. Sendo assim... • O profissional deve se orientar a essa nova realidade, • na qual ele tem de ouvir as pessoas, de modo a entender e saber como aplicar as tecnologias de acordo com a organização, sua estratégia de negócios, suas necessidades e sua estratégia de segurança. Como é vista a segurança hoje • Esse é o maior desafio da segurança: uma solução de segurança é imensurável e não resulta em melhorias nas quais todos podem notar que alguma coisa foi feita. • Pelo contrário, a segurança tem justamente o papel de evitar que alguém perceba que alguma coisa está errada. • O fato é que ninguém percebe a existência da segurança, apenas a inexistência dela, quando um incidente acontece e resulta em prejuízos gigantescos. • Sobre a segurança, ainda hoje se tem esse conceito de que ela é um artigo caro e dispensável, necessário somente quando algum ataque acontece e traz prejuízos à organização. Como é vista a segurança hoje • Apesar dessa visão reativa, algumas organizações já veem a segurança com outros olhos, passando a considerá-la como parte essencial do negócio. • A formação de equipes dedicadas de segurança da informação é um indicativo desse fato. Nos EUA, 98% das empresas pesquisadas já possuem, pelo menos, uma pessoa dedicada ao assunto. No Brasil, 60% das empresas possuem, pelo menos, uma pessoa dedicada. • Hoje a questão não deve ser se existe ou não segurança, mas sim em que nível se encontra. Assim como a qualidade, ela deve ser considerada um pré-requisito do processo de negócios, pois se não existe a segurança, não existem os negócios. A segurança é • Inversamente proporcional às funcionalidades, ou seja: • quanto maiores as funcionalidades, como serviços, aplicativos e demais facilidades, menor é a segurança desse ambiente. Segurança pode ser compreendida pelos seguintes fatores • Exploração da vulnerabilidade em sistemas operacionais, aplicativos, protocolos e serviços (bugs) • Exploração dos aspectos humanos das pessoas envolvidas (Engenharia Social) • Falha no desenvolvimento e implementação da política de segurança • Falha na configuração de serviços e de sistemas de segurança • Desenvolvimento de ataques mais sofisticados Como fazer, então? • O objetivo é, portanto, equilibrar a segurança com os riscos, minimizando os impactos que uma falha de segurança pode causar à organização. • As obrigações dos administradores quanto à manutenção da segurança devem estar claramente definidas na política de segurança da organização Tem solução? O que fazer? • Política e procedimentos abrangentes, • O controle dos usuários • Autenticação de todos os meios de acesso ao sistema, transações e comunicações • Proteção dos dados • Constante monitoramento • Evolução do nível de segurança geral • Novas técnicas e tecnologias devem ser utilizadas antes que os hackers as utilizem contraa organização • Segurança de perímetro e a abordagem em camadas, onde vários mecanismos de segurança são adotados de forma encadeada, também são importantes. e.... • Portanto, segurança total é impossível, e segurança parcial deve assumir os riscos. • As organizações, portanto, devem definir o nível de segurança, de acordo com suas necessidades, já assumindo esses riscos. • Isso faz com que o plano de contingência seja um dos pontos essenciais dentro do esquema de segurança de uma organização, criando não uma rede totalmente segura, mas sim um sistema altamente confiável, que seja capaz de anular os ataques mais casuais de hackers e também de tolerar acidentes, como a possibilidade de um tubarão romper os cabos de transmissão localizados no mar. Visão Geral Análise de Riscos Plano de Contingencia Política de Segurança Reflexão Uma corrente de proteção tem a força medida pelo elo mais fraco da mesma. Análise de Riscos em Segurança da Informação Auditoria e Segurança de Sistemas Análise de Riscos CONCEITO: Cada vez mais as organizações, seus sistemas de informação e redes de computadores são colocados à prova por diversos tipos de ameaças, incluindo vazamento de informações, fraudes, roubos e invasões (físicas e lógicas). Problemas causados por diversas causas são frequentes e aumentam a cada dia. OBJETIVO: A Análise de Riscos tem por objetivo mapear as ameaças e vulnerabilidades do ambiente de negócios. Introdução • Por que fazer? • Quando fazer? • Quem deve fazer? • Identificar pontos vulneráveis e o impacto da vulnerabilidade sobre o negócio • Custo • Ponto chave da política de segurança Diferenças Importantes • Ameaça • Vulnerabilidade • Ataque • Impacto • Riscos Risco x Impacto Problema x Risco Exemplos de Riscos Riscos Tecnológicos: • Ex: O banco de dados utilizado não pode processar tantas transações como se espera • Ex: A ferramenta CASE que apoia o projeto não apresentam o desempenho esperado Riscos com Pessoal: • Ex: O treinamento necessário para o pessoal ainda não está disponível • Ex: O pessoal experiente deixará o projeto antes do final Riscos Organizacionais: • Ex: Problemas financeiros organizacionais forçam reduções no orçamento do projeto • Ex: Haverá mudanças na alta direção da empresa, redefinindo prioridades para o projeto Riscos de Requisitos: • Ex: São Propostas mudanças nos requisitos que geram considerável retrabalho Risco de Estimativas: • Ex: O tempo requerido para software é subestimado • Ex: A produtividade estimada por Ponto de Função, não está sendo atingida Risco de Fornecimento: • Ex: O Hardware essencial ao projeto não será entregue dentro do prazo. Alguns gerenciam riscos assim Porque gerenciar riscos? • Minimiza a gerência por crises • Minimiza a ocorrência de surpresas e problemas • Possibilita melhor alavancagem de resultados • Auxilia o processo decisório • Aumenta a probabilidade de sucesso do projeto Relação Custo x Benefício • Outro ponto importante a ser considerado na realização da análise de riscos é a relação custo-benefício. Esse cálculo permite que sejam avaliadas as medidas de segurança em relação à sua aplicabilidade e o benefício que poderá ser agregado ao negócio. Assim, essa visão orienta a implementação das medidas de segurança somente em situações em que a relação custo-benefício se justifique. • No entanto, é fundamental que na organização esteja clara a relação custo-benefício, isto é, que todos os envolvidos na implementação da segurança (a equipe de execução do projeto, a alta administração e todos os usuários) devem estar conscientes dos benefícios trazidos pelas medidas de segurança para os indivíduos e para a organização como um todo. Características dos riscos • É parte de qualquer atividade e nunca pode ser eliminado • Não é possível conhecer todos os riscos • Risco em si não é mau • Risco é essencial para o progresso, e a falha importante para o aprendizado • Precisamos aprender a balancear as possíveis consequências negativas, com os benefícios potenciais associados às oportunidades Gerência dos Riscos Categorias dos Riscos • Projeto: aqueles que ameaçam o planejamento do projeto, tais como o orçamento, o cronograma, complexidade do projeto, etc • Técnicos: aqueles que ameaçam a qualidade do produto ou serviço, tais como a especificação dos requisitos, projetos técnicos, mão-de-obra não especializada, etc • Negócio: aqueles que ameaçam a viabilidade do produto ou serviço, tais como perda de apoio de gerência de alto nível, produto não alinhado com a estratégia da companhia, etc • Mercado: aqueles que não dependem da organização, tais como inflação, taxa cambial, recessão, etc Riscos x Sistemas RISCOS Descrevendo riscos Processo de identificação dos riscos Componentes dos Riscos • Evento • Probabilidade de ocorrência • Gravidade do impacto ou efeitos ou consequência • Criticidade ou nível de controle (Probabilidade x Impacto) Riscos Técnicos • Especificação de requerimentos • Tecnologia • Complexidade e interfaces • Performance • Confiabilidade • Qualidade • Segurança • Garantias Identificação dos Riscos Priorizando riscos Revisão dos riscos • O evento ainda é possível? • A probabilidade ainda é a mesma? • O impacto ainda é o mesmo? • A tolerância da empresa ao risco ainda é a mesma? Riscos x Planos de contingência • Riscos residuais: Riscos residuais são aqueles que ainda permanecem depois que as repostas de prevenção, transferência ou mitigação tiverem sido aplicadas. Esses incluem também riscos menos sérios que tenham sido aceitos e com os quais se tenha lidado, através, por exemplo, da adição de quantias de contingência ao custo e ao tempo permitido. Que deve ser refletido no plano de contingência. • Riscos secundários: Os riscos que surgem como resultado direto da implementação de uma resposta a um risco são denominados riscos secundários. Eles devem ser identificados e as repostas a eles planejadas, e apresentados no plano de contingência. Ex.: Instalação da nova versão de BD, melhora performance significativamente, mas existe o risco da incompatibilidade com alguns programas, após instalação da nova versão. Monitoramento e controle • Reavaliação dos Riscos: realizada periodicamente, em alguns marcos ou pontos de controle • Auditoria de Riscos: exame e documentação do que foi planejado em relação à eficiência (todo o processo). • Análise de Variação e Tendências: realizada periodicamente por meio de técnicas de acompanhamento de performance/estratégia de tratamento do risco • Análise de Reservas: reavaliar as reservas de acordo com o que foi planejado, o que está ocorrendo e as modificações ocorridas. Monitoramento e controle “A única coisa que nunca muda é que tudo está sempre mudando” Heraclito de Efeso Portanto .... • Fique atento a novos riscos (WORKAROUNDS) • Acompanhe os riscos identificados • Reavalie os cenários • Monitore os gatilhos (eventos precursores) • Realoque recursos, se for o caso • Fortaleça os compromissos e responsabilidades • Atualize os planos de projetos, plano de gerenciamento de riscos e de registro de riscos Analisando e calculando riscos Classificação de Impactos Probabilidade da ocorrência Escala Ordinal – muito baixa, baixa, moderada, alta, muito alta Escala Cardinal – assinala valores numéricos. Pode ser valores lineares (.1/ .3/ .5/ .7/ .9) ou não lineares (.05/ .1/ .2/ .4/ .8/) Auditoria de Sistemas de Informação Prof. Glauco RuizAuditoria e Segurança de Sistemas Conceito de Auditoria Auditoria de sistemas é uma atividade voltada à avaliação dos procedimentos de controle e segurança vinculados ao processamento das informações. Tem como funções: documentar, avaliar e monitorar sistemas de controle legais, gerencias de aplicação e operacionais. Os instrumentos para desempenhar tais funções podem variar do uso da auditoria desoftware ao uso habilidoso de técnicas de entrevistas. Contexto da Auditoria de SI Auditoria de SI é um instrumento da direção, dos acionistas, do ambiente externo, do usuário para: • Opinar, avaliar, validar a qualidade dos dados e da informação e dos sistemas que a geram e mantém, em termos de segurança, confiabilidade e eficiência Interna ou Externa Exige conhecimentos de TI Problemas da Auditoria de SI • Auditores tendem a ficar defasados tecnologicamente em relação ao ambiente computacional da organização. • Falta de bons profissionais em auditoria, combinando experiência e conhecimento em TI e auditoria • Executivos precisam ser educados para obter proveito de auditoria • Complexidade crescente no ambiente computacional • Sistemas centrais (mainframes, sistemas multiusuários) • Microcomputadores independentes • Redes de computadores • Ambiente client/server Ambiente Atual • Internet e intranet • Web services e organizações interconectadas Complexidade Crescente da TI • Novos modelos de desenvolvimento de software (CMM/CMMI) • Gerência de Projetos – PMI/PMBOK • Novos aspectos da segurança e avaliação de riscos (Internet, celular, tablets, cloud computing, etc) O futuro da Auditoria de SI Novas funções no ambiente: • Analista de segurança (security officer) • Analista de qualidade • Analista de conformidade (compliance officer) • Auditoria de segurança e qualidade • Maior automação do processo de auditoria, através de suporte intrínseco (essencial) dos sistemas • Análise de custo/benefício da auditoria • Gestão e Qualidade da Auditoria Objetivos da Auditoria de SI Certificar-se que: • as informações são corretas e oportunas; • existe um processamento adequado das operações; • as informações estão protegidas contra fraudes; • existe proteção das instalações e equipamentos; • existe a proteção contra situações de emergência (paralisação de processamento, perda de arquivos, inundações, incêndios, etc.); • As informações estão de acordo com as leis vigentes. Funções de um Auditor de SI Conhecimentos profundos e necessários em: • Auditoria • Sistemas da Informação • Processamento de Dados Dentro desses itens, deve conhecer: • Linguagens de Programação (Java, C#, PHP, Python, etc) • Documentação de sistemas • Fluxogramas/BPMN • Metodologias de desenvolvimento • Técnicas de Prototipação • Elaboração de Plano Diretor de TI (PDTI) Funções de um Auditor de SI .... continuação • Apuração de custos em centro de computação • Normas administrativo-técnico-operacionais; funções de mecânica operacional da área de computação • Contratos de software e hardware • A Auditoria pode (e deve) ser feita em equipes de auditores • Deve-se otimizar a utilização dos recursos de TI • O auditor assessora o alto escalão da empresa, inclusive o conselho administrativo • Deve ter o talento de auditar Auditoria nas Organizações Presidência Executiva Diretoria Administrativa Diretoria Financeira Diretoria de Vendas Diretoria de TI Auditoria de Sistemas Algumas técnicas de ASI • Utilização de programas de computador (coleta dados, informações, controle, spyware) • Questionários • Entrevistas • Simulação de dados • Visitas in-loco • Mapeamento estatístico (mapping) • Rastreamento-programa (tracing) • Análise de relatórios e telas • Simulação paralela (ambiente paralelo) • Análise de logs (accounting) • Análise de programa-fonte • Exibição parcial da memória snapshot Relatórios e Avaliações da ASI • é a peça mais importante da auditoria • devem ser completos e chegam aos mínimos detalhes possíveis de serem relatados • confidenciais, com acesso somente a quem solicitou auditoria (alto escalão) • não deve permitir contestação por parte dos envolvidos (provas, fatos concretos). Isso pode desmoralizar o auditor • deve ser planejado e estruturado, com conclusões lógicas e eficientes (sem enrolações) • os relatório ou avaliações finais, quando bem feitos e fáceis de interpretar, fazem o sucesso de toda auditoria (pode levar anos), caso contrário, o fracasso depreciará tudo o que foi duramente realizado, mesmo que bem feito • IMPORTANTE: deve sugerir correções e não somente apresentar os erros Conceitos de um Relatório ASI FINALIDADE · Meio de informar o resultado de nossos trabalhos. · “Produto” fornecido pelo auditor. DEVE SER · Cuidadosamente imaginado; · Adequadamente planejado; · Bem escrito. DEVE CONTER · Fatos constatados e de relevância; · Sugestões e recomendações para melhoras efetivas; · Procedimentos não observados; · Comentários do auditado. PARA O AUDITOR SERÁ · O atestado de que notou a anormalidade e a comunicou. · Uma imposição à gerência para que corrija a situação ou explique por que não a corrige. · O relatório bem escrito reduz o tempo de estudo, entendimento e discussão pela gerência. · O contato do auditor com a alta administração deve causar boa impressão. Para reflexão... • E quando auditamos a pessoa errada ? • Quais as consequências ? • O que pode ser feito ? O que deve ser feito ? “A auditoria busca a honestidade na sua forma, procura descobrir o errado, ensinar o correto, portanto, haja sempre fazendo o que é certo, não deixe de agir com os bons princípios do ser humano, com a religiosidade, como uma pessoa idônea. Tente se colocar sempre do outro lado da situação, essa reflexão o fará enxergar o que é certo e o errado, e qual lado você irá seguir. Isso deve ser decisivo na sua vida, na sua carreira, na sua formação como pessoa.“ Prof. Glauco Ruiz Prof. Glauco Ruiz Dez Falhas Auditoria e Segurança de Sistemas Dez Falhas • 1. Não existência de uma estrutura de políticas, normas e procedimentos Os regulamentos (políticas, normas e procedimentos) existem para explicitar como a organização deseja que o recurso informação deva ser tratado. Além do mais, como não temos legislação no Brasil em certos assuntos, por exemplo monitoramento de mensagem de correio eletrônico, a organização precisa dizer aos seus usuários com será tratada esta questão. • 2. A gestão do controle de acesso permite uma identificação para uso comum. É de se admirar, mas ainda encontramos em muitas organizações identificações que não são individuais e são utilizadas por um grupo de usuários. Não referindo aqui às situações de exceção. São casos normais de acesso à informação. Com esse acesso comum é muito difícil identificar qual usuário fez determinado acesso. • 3. Não existência de gestor da informação. Historicamente a área de tecnologia exercia a função de gestor da informação. Mas, mesmo nos anos iniciais da tecnologia da informação a área de informática deveria ser apenas um prestador de serviço, deveria ser o custo diante da informação. É fator crítico de sucesso para o processo de segurança da informação a existência do gestor da informação que deve ser a pessoa da área de negócio ou da área administrativa que á a responsável por aquela informação. É o gestor da informação que vai autorizar (ou negar) o acesso dos demais usuários da empresa àquela informação. • 4. Planos de continuidade que são apenas belos documentos. Planos de continuidade de negócio ou planos para situações de contingência devem ser um processo vivo. Mas, muitas empresas desenvolvem seus planos e os mesmos ficam parados nas estantes. Um plano de continuidade tem que ser vivo: atualizado constantemente, testado e crescente em termos de escopo e cenário. • 5. Registros de ações realizadas: não existem ou pouco tempo de guarda. Registros para investigação (auditoria ou computação forense) precisam ter definidos sua existência e seu tempo de vida. Um registro de acesso (log) a um sistema que seja guardado apenas um dia é muito pouco caso haja uma investigação sobre uma ação indevida nesta aplicação. Também é importante a existência do registro de tentativas de acesso e erros de identificação/senha. • 6. Cópias de segurança: definição da informática. As cópiasde segurança devem existir por razões de recuperação do ambiente de tecnologia, requisitos legais, aspectos históricos e exigências de auditoria. Apenas o primeiro caso é de responsabilidade da área de tecnologia. Requisitos legais e necessidade de guarda por questões históricas devem ser definidos pela área de negócio. Exigências de auditoria devem ser definidas pelas auditorias internas ou externas. • 7. Não existência de um gestor do processo de segurança. A segurança da informação é uma responsabilidade de todos. Porém, um profissional deve ser responsável pela existência do processo de segurança da informação. Empresas de médio e grande porte podem ter um funcionário dedicado a esta função, evidentemente desde que ele tenha os pré-requisitos para a mesma. • 8. Não existência de uma gestão de risco. Quando não existe uma gestão de risco, as análises de risco e de ameaças são feitas aleatoriamente e normalmente apenas quando se tem um risco eminente. Toda organização deve ter uma gestão de risco contínua. • 9. Não alinhamento da segurança com o negócio. A segurança deve considerar as prioridades do negócio da organização. Mas lembramos que as áreas de negócio e a direção da organização devem considerar a participação da segurança da informação em definições estratégicas. Evidentemente não falamos aqui de situações de extremo segredo, como por exemplo, a junção de duas instituições financeiras. • 10. Usuário: pouco treinamento e conscientização. A pessoa humana é o fator determinante para o sucesso ou fracasso do processo de segurança da informação em uma organização. Cada usuário precisa ser treinado e conscientizado. Precisa saber suas responsabilidades, o que pode e o que não pode fazer. Garantindo que a organização não falhe nestes dez itens citados conseguiremos isto com certeza e a organização terá um excelente nível de proteção da informação. Prof. Glauco Ruiz Plano de Contingência Auditoria e Segurança de Sistemas O que é? • Documento cujo objetivo é descrever as medidas a serem tomadas pela empresa para os processos vitais voltarem a funcionar em um estado minimamente aceitável, o mais rápido possível. • Obs.: plano de contenção : feito antes de ocorrer o dano. Contingência →após o problema ter ocorrido O que é? • Deve-se ter em conta as situações em que regras normais de segurança podem falhar; • Deve ser testado antes da eventualidade para a qual foi planejado. O que é? • Deve concentrar-se nos acidentes de maior probabilidade e menos catastróficos e não nos acidentes mais catastróficos que geralmente são menos prováveis; • Deve ser construído a partir de cenários prováveis, previamente definidos Por que é necessário? • Para manter a integridade de dados da organização; • Manter os serviços operacionais e prover, se necessário, serviços temporários ou com certas restrições até que os serviços normais sejam restaurados; Acidentes Comuns • Vírus; • Perda de HD; • Perda de Conectividade; • Falha de ar condicionado; • Falha de energia; • Ataques de Hackers; • … Boas práticas • Desenvolvido por equipes pluridisciplinares, envolvendo todas as áreas do negócio; • Testado periodicamente; • Atualizado sempre que necessário; • Arquivado de um jeito seguro e de fácil acesso à equipe de recuperação; • Formalmente aprovado pela gestão da empresa ETAPAS DO DESENVOLVIMENTO Fases do Plano de Contingência • Planejamento • Desenvolvimento • Treinamento • Teste • Atualização Planejamento • Fases: • Atividades Preliminares; • Análise de Impacto; • Análise de alternativas de recuperação; Planejamento –Atividades Preliminares • Comprometimento da alta gerência • Estudo preliminar (funções críticas) Planejamento –Análise de impacto • Classificação das funções, sistemas e recursos de acordo com a importância para a organização; • Fornece base para tomada de decisão para a gerência ( como e onde investir em medidas de segurança ); • Avalia a importância de cada atividade e identifica vulnerabilidades e possíveis ameaças; Planejamento –Alternativas de recuperação • Prevenção de acidentes • Equipamentos de detecção e extinção de incêndio; • Manutenção preventiva de equipamentos; • Politicas de backup, armazenamento e recuperação de sistemas; • Proteção a documentos não magnéticos (papéis e etc…); • Política de pessoal adequada ( contratação e demissão); • Backups • Recuperação de dados • Procedimentos manuais • Seguros • Acordos comerciais • Soluções internas (espelhamento; processamento em locais diferentes, cold site interno (sala vazia)) • Relatório das alternativas para recuperação dos serviços computacionais DESENVOLVIMENTO Desenvolvimento • Um plano de contingência efetivo deve cobrir, essencialmente, duas fases: • resposta imediata a um desastre e • processo de restauração; Desenvolvimento • Resposta imediata a um desastre: envolve decisões gerenciais, como decidir entre levar o plano até as últimas consequências, e tomar medidas corretivas para restaurar o sistemas no próprio prédio; • Processo de restauração: define os passos a serem seguidos no local escolhido como instalação reserva; Resposta imediata a um desastre • Identificar e compreender o problema. • Conter os danos, limitando ou parando o problema; • Determinar os danos causados; • Restaurar o sistema; • Eliminar as causas; • Comunicar o problema e as soluções aos interessados, contactar seguradoras, e etc… Processo de restauração • Escolha da Instalação Reserva • Identificação de aplicativos críticos • Inventário de programas e arquivos críticos • Identificação de requerimentos de sistema (necessários para processar aplicativos críticos) • Identificação de Requerimentos de Rede de Telecomunicações • Identificação de Documentação e Suprimentos Necessários • Contatos com fornecedores • Retirada do pessoal • Documentos em papel • Documentos em meios magnéticos TREINAMENTO Treinamento • Cada funcionário deve estar conscientizado de suas responsabilidades em caso de contingências; • Devem ser feitas palestras educativas sobre acidentes e planos de recuperação, e também simulações; TESTE Teste • Os testes podem ser feitos em um conjunto de procedimentos de uma parte do plano ou utilizando elementos surpresa de simulação de acidentes; • Representa uma garantia para a organização; • É a única maneira de garantir a efetividade do • plano de contingência; Teste - Metodologias • Teste integral • Teste parcial • Teste simulado ATUALIZAÇÃO Atualização • A maioria dos sistemas e funções de negócio muda com frequência, assim como seus procedimentos; • Se o plano não estiver preparado, seu uso será bastante limitado; • Um auditor pode auxiliar no desenvolvimento e revisão de um plano; • As fragilidades e as deficiências devem ser reportadas no relatório de auditoria; Módulos, Riscos de TI e Considerações Finais Módulos de um P.C. Os planos de contingência estão subdivididos em três módulos distintos e complementares que tratam especificamente de cada momento: • Plano de Administração de Crise – Tem o propósito de definir passo-a-passo o funcionamento das equipes envolvidas com o acionamento da contingência antes, durante e depois da ocorrência do incidente. Além disso, tem que definir os procedimentos a serem executados pela mesma equipe no período de retorno à normalidade. Módulos de um P.C. • Plano de Continuidade Operacional – Tem o propósito de definir os procedimentos, reduzir o tempo de indisponibilidade dos sistemas produtivos e, consequentemente, os impactos potenciais à produção. • Plano de Recuperação de Desastres – Tem o propósito de definir um plano de recuperação e restauração das funcionalidades dos sistemas afetados que suportam os processos de trabalho e produção, a fim de restabelecer o ambiente e as condições originais de operação. Riscos de T.I. Cada área de TI tem inerenteseus riscos operacionais e técnicos. Alguns exemplos : - Desenvolvimento de Sistemas: risco de que os sistemas da empresa sejam desenvolvidos de forma não padronizada gerando custos pela "independência na criação" e dificuldades ou mesmo impossibilidade de manutenção em função da falta de uma Metodologia de Desenvolvimento de Sistemas (Controle Interno) - Operação/Produção: risco de indisponibilidade dos serviços de TI pela inexistência de sites alternativos (Controle Interno) para continuidade do processamento em casos de perda de uma ou mais máquinas principais. - Suporte Técnico: risco de indisponibilidade dos serviços pela adoção/implantação de um software básico não compatível com a infraestrutura de TI homologada (Controle Interno). Contingência em T.I. Os Planos de Contingência de TI são normalmente construídos para situações até extremas de ocorrência de riscos, porém situações de ocorrência de riscos do dia-a-dia devem também ser contempladas por eles. Um Plano de Contingência de TI está baseado em três vértices : - Vértice PESSOAS - que trata dos recursos humanos envolvidos nas atividades em Contingência. - Vértice ORGANIZAÇÃO - que trata especificamente sobre a disponibilidade e segurança de recursos estruturais e organizacionais para suportar as atividades necessárias em Contingência. - Vértice TECNOLOGIA - que contempla os recursos de hardware, software e ambientais apoiados em tecnologias de TI e complementares para atender em contingência. Considerações P.C. em T.I. Existem várias metodologias para a elaboração de Planos de Contingência, assim como há também softwares para sua gestão, documentação e atualização. O importante porém é que a filosofia de contingenciamento de riscos esteja viva e ativa entre os funcionários de TI. Situações imprevistas em TI ocorrem praticamente todos os dias. As ações para sua correção são normalmente feitas ainda de forma corretiva. Históricos das ocorrências com causas e ações tomadas são procedimentos raros, assim como uma base de dados das lições aprendidas. Em TI, Riscos e Contingências caminham juntos. Metodologias, políticas, ações operacionais e gerenciais (preventivas e corretivas) e dinheiro são as bases para a boa gestão deste processo. Política de Segurança Prof. Glauco Ruiz Auditoria e Segurança de Sistemas O que é • A Política de Segurança pode ser entendida como sendo um conjunto de normas e diretrizes destinadas a proteção dos ativos da organização. • Neste documento deve estar descrito a forma que a empresa deseja que seus ativos sejam: • Protegidos; • Manuseados; • Tratados. Objetivo • O objetivo de qualquer política de segurança é o de definir as expectativas da organização quanto ao uso dos seus recursos (computadores e rede), estabelecendo procedimentos com o intuito de prevenir e responder a incidentes relativos a segurança. Importância • Com o passar do tempo, aumenta-se a dependência das empresas no uso de computadores e sistemas. Esta dependência é necessária para que ela se torne eficiente e a partir daí, gere mais negócios. • Dessa forma, a informação passa a ter um valor estratégico e tático para as organizações. Hoje em dia, a informação é o ATIVO mais valioso para muitas empresas. Importância • Diante deste cenário a política de segurança passa a ter uma importante função, pois visa a proteção dos ativos da Organização para que os negócios não parem e ocorram dentro de um ambiente harmônico e seguro. Abrangência • A Política de Segurança é uma atividade que deve envolver toda a Organização, é importante que todas as áreas participem ativamente neste processo, portanto, esta política deve ser abrangente e incluir as regras de como as informações e os recursos da Organização devem ser manipulados. Assim, definirá o que é e o que não é permitido em termos de comportamento. Abrangência • A Política de Segurança é quem dá o direcionamento para os esforços e os investimentos de ordem técnica. • Pode variar em termos de abrangência de acordo coma complexidade da Organização. Como deve ser • Dicas para elaborar uma Política de Segurança: • Ser flexível com relação às mudanças necessárias; • Ser simples na comunicação; • Ser objetiva e curta; • Conter regras simples; Como deve ser • Ser consistente, de acordo com as outras políticas da corporação; • Ser aplicável utilizando os equipamentos e tecnologias de rede existentes; • Estar de acordo com as leis locais, estaduais e federais; • Ser facilmente acessível a todos os membros da Organização; Como deve ser • Definir um conjunto claro de metas de segurança; • Definir com precisão cada um dos assuntos discutidos na política; • Mostrar claramente a posição da instituição sobre cada ponto; • Descrever a justificativa da política independente dos assuntos secundários; Como deve ser • Definir sobre que circunstâncias determinado Item é aplicável; • Definir as regras e as responsabilidades dos membros da Organização com respeito a cada uma das diretivas definidas; • Descrever ou associar as consequências do não cumprimento da Política descrita; Como deve ser • Indicar informações para contato, mais detalhes e esclarecimentos de qualquer uma das diretivas; • Definir as expectativas de privacidade dos usuários. O que precisa conter • Um planejamento, levantando o perfil da empresa; • Aprovação da política de segurança pela diretoria; • Análise interna e externa dos recursos a serem protegidos; • Elaboração das normas e proibições, tanto física, lógica e humana; O que precisa conter • Aprovação pelo Recursos Humanos; • Aplicação e treinamento da equipe; • Avaliação periódica; • Feedback. Divulgação • Deve ser escrita de forma clara para que todos os envolvidos possam entendê-la e melhor praticá-la. Divulgação • Para que a cultura da empresa seja mudada em relação à segurança de informações, é fundamental que os funcionários estejam preparados sobre o assunto através de: • Avisos (Comunicação Interna, Intranet); • Reuniões de conscientização; • Treinamento direcionado; • Peça teatral (com exemplos sobre o assunto). Divulgação • Com isso a empresa terá mais chance de obter êxito no seu processo de implantação do Programa de Segurança da Informação Corporativa. O que não deve ter • Detalhes técnicos. • Detalhes e/ou imitações de políticas de segurança de outra empresa. Engenharia Social Controlando o Fator Humano na Segurança da Informação Auditoria e Segurança de Sistemas Uma empresa pode ter: • adquirido as melhores tecnologias de segurança que o dinheiro pode comprar; • treinado tão bem seu pessoal que eles trancam todos os segredos antes de ir embora; • contratado guardas para o prédio na melhor empresa de segurança que existe. Mesmo assim a empresa ainda estará vulnerável. Na Empresa, os indivíduos podem: • seguir cada uma das melhores práticas de segurança recomendadas pelos especialistas; • instalar cada produto de segurança recomendado; • vigiar muito bem a configuração adequada do sistema e a aplicação das correções de segurança Esses indivíduos ainda estarão completamente inseguros Por quê ? •Porque o FATOR HUMANO é o elo mais fraco da segurança. Ilusão de Segurança... • Um cadeado no seu portão • Firewalls • Sistema de detecção de intrusos • Dispositivos avançados de autenticação • Tokens baseados no tempo • Cartões biométricos inteligentes. “a segurança não é um produto, é um processo” (Bruce Schneier - Consultor de segurança) Além disso: A segurança não é um problema para a tecnologia, é um problema para as pessoas e a direção. Sendo assim... Este material concentra-se principalmente nos métodos não técnicos que os invasores hostis usam para roubar informações e com isso comprometer a integridade das informações que se acredita estarem seguras (mas que na realidade não estão). Alguns exemplos... 1- Ataque Direto : simplesmente pedindoOutro exemplo... 2- Criando a Confiança Departamento de Compras... 3- Contas a pagar... E a lista da Engenharia Social continua... 1- Intruso na empresa: “você pode me ajudar?” 2 - Ataques aos empregados iniciantes informações sobre softwares ou projetos novos; 3 - Entrando nas instalações - crachás... - Funcionário recém demitido 4 - Virando latas (tratamento do lixo da empresa) 5 - Equipe de limpeza (terceirizada ou não) 6 - Quando o intruso é vendedor de software. Por quê as pessoas conseguem ser enganadas pelo Engenheiro Social ? Maior vulnerabilidade: a própria natureza Humana Seis tendências básicas da natureza humana (Cialdini,2001) 1.Autoridade 2.Afabilidade 3.Reciprocidade 4.Consistência 5.Validação Social 6.Escassez Por quê essas características humanas são vistas como vulnerabilidades ? Personalidade do Engenheiro Social • inflexível e prejudicial a si próprio e/ou às pessoas com as quais convive • Padrão social de comportamento irresponsável, • Explorador • Insensível, constatado pela ausência de culpa • Atitude aberta de desrespeito por normas, regras e obrigações sociais de forma persistente • Estabelece relacionamentos com facilidade, principalmente quando é do seu interesse, mas dificilmente é capaz de mantê-los • Baixa tolerância à frustração e facilmente explode em atitudes agressivas e violentas • Incapaz de aprender com as punições. Tudo está perdido ? Conscientização e Treinamento em Segurança da Informação 1. A segurança por meio da Tecnologia, do Treinamento e dos Procedimentos • As empresas que realizam testes de invasão de segurança relatam que suas tentativas de invadir os sistemas de computadores de uma empresa cliente com métodos da engenharia social têm um índice de sucesso de quase 100%. • 58% dos ataques com sucesso são de pessoas de dentro da corporação. Conscientização • Só existe uma maneira de manter seguros os seus planos de produto: • ter uma força de trabalho treinada e consciente • um programa constante de conscientização. • Algumas autoridades recomendam que 40% do orçamento geral para segurança da empresa seja aplicado no treinamento da conscientização. Assim sendo... • É importante conhecer os métodos usados pelo engenheiro social • E incluir técnicas de treinamento de pessoal para evitar a ocorrência de tais ataques... Métodos comuns da engenharia social • Finge ser um colega de trabalho • Finge ser um empregado de um fornecedor, empresa parceira ou autoridade legal • Finge ser alguém com autoridade • Finge ser um empregado novo que solicita ajuda • Finge ser um fornecedor de sistemas que liga para oferecer um patch ou uma atualização do sistema • Oferece ajuda quando ocorrer um problema e, em seguida, faz o problema ocorrer para manipular a vítima e fazer com que ela ligue pedindo ajuda • Envia software ou patch grátis para que a vítima o instale. Métodos comuns da engenharia social • Envia software ou cavalo de tróia como um anexo de correio eletrônico • Usa uma janela pop-up falsa que pede para o usuário fazer o login novamente ou digitar uma senha • Em seguida, captura as teclas digitadas pela vítima com um sistema ou programa de computador • Deixa um disquete ou CD com software malicioso em algum lugar do local de trabalho • Usa jargão e terminologia interna para ganhar a confiança • Oferece um prêmio pelo registro em um site Web com um nome de usuário e a senha • Deixa um documento ou arquivo na sala de correspondência para entrega interna • Configura uma caixa de correio para que as ligações de retorno percebam o atacante como alguém de dentro da empresa • Finge ser do escritório remoto e pede acesso local ao correio eletrônico. Sinais de um ataque • Recusa em dar um número de retorno • Solicitação fora do comum • Alegação de autoridade • Ênfase na urgência • Ameaça de consequências negativas em caso de não atendimento • Mostra desconforto quando questionado • Nome falso • Cumprimentos ou lisonja • Flerte Fatores que tornam as empresas mais vulneráveis aos ataques • Um número grande de funcionários • Diversas instalações • Informações sobre o paradeiro dos empregados deixadas nas mensagens de voice mail • Informações de ramal de telefone disponíveis • Falta de treinamento em segurança • Falta de sistema de classificação de dados • Nenhum plano ou grupo de resposta aos incidentes de segurança. Algumas ações de proteção • ID de chamadas • Retorno de ligação • Endosso (empregado de confiança deverá endossar a identidade do solicitante) • Segredo comum compartilhado • Supervisor ou gerente • Correio eletrônico seguro (com assinatura digital) • Reconhecimento pessoal de voz • Pessoalmente (pedir para o solicitante comparecer pessoalmente). Critérios para a verificação de não-empregados • Verificar relacionamento da empresa solicitante : • fornecedor, parceiro estratégico ou outro • Verificar a identidade do solicitante e o status do emprego na empresa do fornecedor / parceiro • Verificar se o solicitante assinou um contrato de confidencialidade que esteja arquivado • Encaminhar a solicitação para o gerenciamento quando as informações tiverem classificação de Internas. Saber classificar os dados da empresa • Público • Interno • Particular • Confidencial Saber classificar os dados da empresa • Público: não há necessidade de verificação • Interno: verificar a identidade do solicitante como um empregado ativo e pedir aprovação do gerenciamento para não-empregados. Saber classificar os dados da empresa • Particular: informações de natureza pessoal destinadas ao uso apenas dentro da empresa. • Verificar a identidade do solicitante como um empregado ativo ou não empregado com autorização. • Consultar o departamento de recursos humanos antes de divulgar informações particulares para empregados autorizados ou solicitantes externos. Saber classificar os dados da empresa • Confidencial: apenas para o pessoal que tem necessidade absoluta de conhecer as informações dentro da organização. • Verificar a identidade do solicitante e a • Necessidade de conhecê-las do proprietário designado das informações. • Liberar apenas com consentimento prévio, por escrito, do gerente ou do proprietário das informações ou seu representante. • Apenas o pessoal do gerenciamento pode divulgar para as pessoas não empregadas pela empresa. Resumindo para finalizar... • Conscientização CONSTANTE ! • Treinamento envolvendo TODOS os funcionários da empresa
Compartilhar