SEGURANÇA DA INFORMAÇÃO Professor: Richyan

CASO DA PETROBRÁS Recentemente acredito que todos acompanharam o incidente do roubo de equipamentos da Petrobrás contendo informações altamente sigilosas e estratégicas. Muito embora as investigações iniciais por parte da Polícia Federal apontavam para um caso de espionagem industrial, segundo entrevistas do próprio superintendente da PF, Jacinto Caetano em artigo publicado no site Folhaonline. Entretanto, o desfecho deste incidente mostrou que foi apenas um caso roubo de equipamentos.

Com base neste caso falaremos a respeito da segurança da informação

Segurança da informação: um termo cada vez mais citado como diferencial de mercado ou até mesmo sobrevivência das grandes e médias empresas no mundo inteiro.

O conjunto de medidas para a garantia da segurança dos sistemas em uma empresa varia muito de acordo com seus sistemas e processos de negócio.. Medidas distintas devem ser empregadas na proteção dos equipamentos utilizados.

Para cada aplicação crítica da empresa, diferentes controles devem ser empregados para endereçar a prevenção, identificação e resposta às ameaças que podem ser classificadas em três níveis de impacto às informações da empresa:

Integridade: perdas ou danos às informações armazenadas nos sistemas; Disponibilidade: parada dos sistemas e/ ou das redes de comunicação entre sistemas ou redes para acesso aos sistemas; Confidencialidade: roubo de dinheiro, propriedade intelectual, informações confidenciais e estratégicas à organização por meio da invasão de sistemas vulneráveis.

Para análise de segurança de sistemas deve considerar algumas etapas essenciais, a seguir: 1)Avaliar junto à alta administração da empresa os objetivos corporativos de segurança da informação versus processos de negócio com base nos ativos e perda financeira envolvida. 2) Mapear os processos gerenciais e aplicações de negócio, redes, interfaces envolvidas, junto a gerência técnica (operacional e TI) a serem objeto da análise;

3) Definir quais os controles que melhor atendam aos requisitos do negócio, considerando o ambiente de TI da empresa . 4) Avaliar o grau de exposição das aplicações aos riscos, por meio de teste e comparação dos controles implementados com base nas boas práticas de mercado, junto ao corpo gerencial e de TI da empresa (como: operadores, analistas,etc.)

5) Enumerar recomendações com o objetivo de minimizar “a materialização” dos riscos identificados; 6) Discutir as recomendações com os gestores envolvidos e elaborar um plano de ação, com datas definidas para determinar tarefas de alta, média e baixa prioridade, conforme a urgência necessária, na implementação destas recomendações e manutenção de níveis aceitáveis de segurança nas aplicações de missão crítica da empresa.

Quais são os tipos de ataque No local de trabalho: Acesso a informação restrita (lista de ramais, organogramas e etc.) por pessoal não autorizado. Por telefone: Contato efetuado por um sujeito que diz ser da área de Help-Desk informando que a estação de trabalho do usuário alvo necessita de uma atualização de software, de forma que ela fique em conformidade com as demais da organização e mais segura (patch de emergência).

Lixo: Vasculhar o lixo de uma organização para encontrar informações descartadas que possuem valor ou que forneçam dicas de ferramentas que podem ser utilizadas em um ataque de engenharia social. On-line: Envio de e-mail publicitário, oferecendo brindes para que o usuário participe de sorteios, solicitando os dados pessoais e profissionais.

Veja as principais formas de prevenção: Implementar formalmente uma Política Corporativa de Segurança da Informação. Quando possível, efetuar palestras junto aos colaboradores para demonstrar a todos que você está comprometido a seguir o documento; Classificar as informações de forma a esclarecer para cada colaborador sobre que pode ser divulgado e o que não pode;

Desconfiar de grandes promoções, preços baixos e das ofertas veiculadas na Internet; Desconfiar sempre que for surpreendido por um telefonema de alguém que não conheça. Nunca divulgar nada e pedir um número de retorno para verificar se a ligação é verdadeira; Conscientizar os colaboradores a respeito do tema, realizando palestras e treinamentos onde o assunto seja abordado, estando na maioria das vezes, presente.

Contudo, as conseqüências deste episódio poderiam ter sido muito mais danosas para aquela empresa considerando o tipo de informação guardada nos referidos equipamentos. Dessa forma, cabe fazer aqui algumas reflexões sobre este incidente, ou seja, aprender com o erro dos outros

1°) Por que informações tão importantes foram despachadas em um contêiner? 2º) Por que pelo menos 45 pessoas possuíam condições de abrir o referido contêiner, pois eram detentoras de cópias da chave? Isto não é um número elevado, considerando a importância do conteúdo transportado? Será que a empresa Halliburton responsável pelo transporte foi devidamente avisada sobre a importância deste conteúdo?

3º) Por que tais informações não estavam criptografadas (cifradas) de forma a garantir o seu sigilo? 4º) Será que todos os envolvidos no transporte deste conteúdo possuíam noções dos riscos envolvidos quanto à segurança destas informações? Foram treinadas para tal? 5º) Será se existem procedimentos escritos para o tratamento destes casos? E se existem, porque não foram observados? Estas são perguntas que somente a Petrobrás poderá responder. 

Que lições podemos aprender com este tipo de incidente? 1º) Não podemos ficar alheios este problema, pois ele também pode acontecer conosco. 2º) Informações estratégicas e confidenciais da empresa devem ser protegidas adequadamente, já existem mecanismos que permitem isto. 3º) O uso de notebooks é uma realidade assim como é também uma realidade o que número de furtos destes equipamentos vem crescendo vertiginosamente e isto não pode ser simplesmente ignorado e deixado para amanhã.

Fica, portanto a seguinte mensagem final: 4º) Nunca ignorar o elemento humano no processo da segurança. O treinamento deve ser constante bem como deve envolver todos aqueles que se utilizam deste tipo e equipamento.    5º) A terceirização de informações sensíveis deve, na medida do possível, ser evitada. Entretanto quando isto não for possível, controles adicionais devem ser adotados para mitigar o risco. Fica, portanto a seguinte mensagem final: “Quanto o assunto é Segurança da Informação é preferível aprender com o erro dos outros”.

Corroborando esta afirmação, vejamos o resultado de uma enquete realizada pelo site IT Web intitulado: “Como a sua empresa protege informações em notebooks?”. Os resultados parciais apresentados em 20.02.2008 são: Criptografia 15,79% Uso de tokens 7,89% Uso de senhas 15,79% Programas de conscientização 7,89% Biometria 5,26% Não há proteção para dados em notebooks 47,37%

Conclusão O resultado dessa enquete destaca que 47,37% das empresas ainda não adotaram nenhuma medida para proteger o conteúdo neste tipo de dispositivo, portanto, concluímos que a maioria das empresas ainda não tomou nenhuma medida para mitigar este tipo de risco, ou seja, a percepção de que isto somente acorre com o vizinho ainda persiste.    

Turma: AD6A Alunas: Dayse Débora Flávia Josélia Rosemeire