Escolar Documentos
Profissional Documentos
Cultura Documentos
presidente: Abram Szajman diretor executivo: Antonio Carlos Borges colaborao: Assessoria Tcnica da FecomercioSP e Srgio Roberto Ricupero, gerente de Segurana de Informaes Corporativas da Editora Abril editora publisher: Luciana Fischer MTB: 55961 editor chefe: Jander Ramon editora executiva: Selma Panazzo editor assistente: Andr Rocha Projeto Grfico editores de arte: Maria Clara Voegeli e Demian Russo chefe de arte: Juliana R. Azevedo designers: ngela Bacon e Cristina Tiemi Sano produo grfica: Clayton Cerigatto
Sumrio
1 CUIDADOS NA ESCOLHA
E AQUISIO DE EQUIPAMENTOS A) Equipamentos X adequao s necessidades da empresa b) Fornecedores confiveis, assistncia tcnica e manuteno C) Escolha de softwares de prateleira e customizao D) Inventrio e destinao final dos equipamentos
8 9 10 11 14
E GUARDA DE INFORMAES A) Senhas b) E-mail e spam C) Antivrus, firewalls e bloqueios de sites D) Backups e revises peridicas
2 CUIDADOS NO GERENCIAMENTO
16 17 18 20 24 26 29 33 36 39 40 42
A) Capacitao da equipe (incluindo a diretoria) e monitoramento b) Contratao de terceiros e colaboradores em geral PLANEJAMENTO E OUTROS CUIDADOS A) Consultorias externas e implantao de normas regulamentadoras b) Ateno constante s regras jurdicas
3 ENGENHARIA SOCIAL 4
5 CONCLUSO
O crescente uso da tecnologia nas empresas brasileiras deixou de ser artigo de luxo, tornou-se uma questo de sobrevivncia no mercado. E no apenas pelo aspecto da competitividade, mas tambm para atender s exigncias legais: o empresrio precisa implementar ferramentas tecnolgicas para cumprir obrigaes fiscais e trabalhistas, por exemplo. Neste cenrio, junto com o impulso na demanda por produtos tecnolgicos, aumentou tambm a prtica de ilcitos, tais como obteno indevida de dados, propagao maliciosa de vrus e diversos tipos de estelionatos. Por isso, com o objetivo de, mais uma vez, auxiliar o empresrio na busca de melhores prticas para seus negcios, a FecomercioSP apresenta, a seguir, uma relao de dicas e sugestes prticas para prevenir ocorrncias indesejveis de crimes praticados contra empresas por meio de canais tecnolgicos.
1 cuidados na
10
O ideal que a empresa, com base no planejamento estratgico ou metas peridicas pr-definidas, desenvolva tambm um planejamento tecnolgico. Como as ferramentas no se justificam por si mesmas, o empresrio deve se perguntar como a nova tecnologia a ser adquirida pode auxili-lo em seus objetivos. Com isso em mente, fica mais simples decidir o que e quanto comprar.
11
Com relao escolha das marcas dos produtos, aconselhvel buscar informaes tcnicas completas, bem como a realizao de pesquisa de satisfao de usurios dos equipamentos pretendidos. Neste sentido, a internet uma excelente fonte de informaes sobre defeitos e vulnerabilidades recorrentes nos produtos. Alm disso, na escolha da marca dos equipamentos, o empresrio deve pontuar, os seguintes fatores: a disponibilidade de assistncia tcnica prxima empresa; e, os custos com peas de reposio da marca ou assistncia tcnica dos equipamentos.
12
e, acima de tudo, mantenha-se informado a respeito das atualizaes de segurana oferecidas periodicamente pelo fabricante. Esta medida importante porque, depois que um software lanado no mercado, o fabricante continua atento s suas vulnerabilidades. Assim, quando uma vulnerabilidade nova descoberta, o fabricante imediatamente contata os usurios e envia, geralmente de forma gratuita, o pacote de atualizaes. A empresa que no est devidamente cadastrada junto ao fabricante (adquiriu um software pirata, por exemplo) ou no atualiza seu sistema conforme indicao do fornecedor aumenta potencialmente seus riscos. Por outro lado, nem sempre os softwares de prateleira so suficientes: muitas vezes os programas encomendados se transformam na principal ferramenta do negcio de uma empresa. Por isso, alm da definio exata das funcionalidades que se espera do produto customizado, essencial a ateno na contratao dos profissionais desenvolvedores do programa personalizado. Assim, a escolha do prestador de servios de desenvolvimento de software para a empresa merece cuidados redobrados, atentando-se aos seguintes pontos:
13
procurar contratar empresa aps prvia e confirmada indicao de outros parceiros; conhecer o currculo e confirmar a capacidade dos profissionais que executaro a atividade; estabelecer regras de segurana caso os desenvolvedores trabalhem dentro da empresa durante o perodo de desenvolvimento; alocar um profissional da prpria empresa, com conhecimentos tcnicos especficos, para acompanhar todas as atividades e servios prestados pelos desenvolvedores do programa; nunca fornecer senhas da empresa ou dar acesso a dados sensveis para os prestadores de servios. Se necessrio, estas senhas devem ser manipuladas pelo funcionrio da empresa que estiver acompanhando os desenvolvedores; e no permitir cpia dos dados e cadastros pelos prestadores de servios. Todas as aes de migrao de dados devem ser procedidas apenas pelos funcionrios da prpria empresa ou, ento, em aes pontuais dos terceiros integralmente acompanhadas.
14
15
relao cronolgica dos usurios e das atividades para as quais o equipamento se destina; identificao dos softwares instalados nas mquinas; identificao de manipulao por terceiros (assistncia tcnica, programadores terceirizados etc.); identificao de todas as ocasies em que os equipamentos foram retirados e devolvidos nas dependncias da empresa; e, data em que o equipamento deixou de ser usando e informaes sobre o descarte ambientalmente correto. Se houver doao dos equipamentos, importante fazer isso de forma documentada. Por fim, encerrada a utilizao de determinado equipamento, nunca demais ressaltar, essencial que se realize a formatao completa das mquinas, preferencialmente com softwares especializados em apagar dados definitivamente, antes de se proceder destinao final. Concluda esta providncia, o material pode ser doado a instituies filantrpicas ou, ainda, a cooperativas de catadores, que daro a destinao final sustentvel aos materiais.
2 no cuidados
17
A) Senhas
Quando se fala em princpios bsicos de segurana da informao, sempre se comea pelo mesmo tema: senhas. Isto porque, seu compartilhamento ou obteno por meios indevidos responsvel pela maioria das fraudes mundiais realizadas por meios eletrnicos. As senhas seja de mquinas, cadastros ou sistemas so a porta de entrada para um banco infinito de informaes altamente relevantes (ora, se no fossem importantes no haveria necessidade de senhas, certo?). Exatamente por ter isso em mente, pessoas mal intencionadas buscam incansavelmente sua obteno pelos mais diversos meios fraudulentos. Assim, considerando que o inimigo sempre est atento aos mnimos deslizes, o gerenciamento das senhas de uma empresa merece ateno especial do empresrio. Desde sua formulao, concesso, at o bloqueio, todas as providncias devem ser muito bem planejadas. Vamos s sugestes:
18
nas regras para a formulao das senhas, exija sempre a variedade por tipos de caracteres letras, nmeros e smbolos; estabelea e monitore o cumprimento fiel de poltica ostensiva de utilizao para funcionrios e colaboradores, com regras obviamente proibitivas e punitivas relacionadas ao compartilhamento de senhas com terceiros, ainda que da prpria empresa; e, providencie a validade temporal das senhas, que devem ser obrigatoriamente alteradas em um perodo razoavelmente curto de tempo (a cada dois meses, por exemplo).
b) E-mail e spam
Se, por um lado, por meio da captao de senhas que grande parte das fraudes se inicia, no se pode negar que, por outro, por meio dos e-mails que as tentativas de fraude se propagam. Como comunicao rpida e barata, o canal de recebimento de e-mail tem enorme potencial tanto para o bem, quanto para o mal. Aqui, inevitavelmente, vamos falar dos riscos relacionados ao seu uso.
19
Por meio de e-mails e spams (e-mails abusivos no solicitados e de cunho comercial) os fraudadores enviam arquivos para captao de senhas, disseminao de vrus e outros artifcios para obter informaes sigilosas da empresa. Voc pode se prevenir com algumas aes simples: nunca abra anexos de e-mails de pessoas desconhecidas; analise cuidadosamente a possibilidade de no abrir anexos, se possvel, mesmo de pessoas conhecidas; nunca efetue ou preencha cadastros de pesquisas enviadas anexas a e-mails; delete e-mails supostamente enviados por instituies bancrias bancos de renome no enviam comunicao por e-mail; ao clicar em links enviados por e-mail, confirme na barra de endereo se voc est sendo direcionado para o local efetivamente desejado (existem muitos links falsos que direcionam para sites fraudulentos); crie uma poltica interna de utilizao de e-mails coorporativos as regras precisam ser claras, objetivas e com possibilidade de imposio de penalidades em caso de inobservncia;
20
utilize ferramentas legais de monitoramento dos e-mails coorporativos da empresa, com a ampla divulgao desta estratgia aos funcionrios; instale filtros antispam e atualize-os com regularidade; e, mantenha os sistemas operacionais sempre atualizados e originais de seus fabricantes.
21
Exatamente por este motivo, a avaliao de um profissional da rea de tecnologia importantssima na escolha dos softwares de proteo em geral, j que, para que a aquisio de uma soluo tecnolgica seja eficaz, preciso definir quais so os tipos de riscos a que determinada empresa est sujeita. E os riscos, por sua vez, esto intimamente ligados s atividades empresariais exercidas e s modalidades de equipamentos utilizados. Assim, se as atividades da empresa tm estreita relao com o envio e recebimento de informaes por e-mail, por exemplo, o antivrus deve ter foco especial neste segmento. Alm do antivrus, outra forma da empresa ter seu sistema protegido a utilizao dos firewalls, produtos para bloquear acessos no autorizados ao sistema. Para sua aquisio, contudo, tambm aconselhvel que haja a prvia anlise de um profissional de TI, para que sua implantao seja estudada em conjunto com a utilizao de todas as demais ferramentas de segurana da informao existentes na empresa. Novamente, no se pode deixar de lembrar que todas as ferramentas de segurana adotadas pela empresa tambm precisam ser atualizadas constantemente, conforme as indicaes do fabricante.
22
Neste sentido, considerando que o nvel de segurana aumenta na medida em que so ampliadas a variedade e a qualidade das solues adotadas, tambm interessante cogitar o bloqueio, no ambiente de trabalho, de acesso a determinados sites ou funcionalidades que potencialmente podem trazer prejuzos. Dentre tais sites podemos citar aqueles que oferecem downloads de programas e contedos, compartilhamento de arquivos, redes sociais em geral e trocas de mensagens, entre inmeros outros. Alm disso, se as informaes veiculadas nas mquinas da empresa forem de cunho estritamente confidencial (como informaes bancrias e dados cadastrais, por exemplo) pode ser prudente adotar a estratgia de bloqueio de acesso a e-mails particulares, bem como a possibilidade de cpia de arquivos das mquinas em hardwares mveis, como pen drive ou HD externo. preciso ter cuidado, tambm, com a criao e gerenciamento de redes internas, j que, se, por um lado, facilitam o acesso a arquivos e informaes de interesse comum, de outro, podem causar estragos coletivos, caso haja a contaminao por vrus e outras aes criminosas em geral. As redes merecem, portanto, ateno redobrada de monitoramento e proteo.
23
Outro ponto que deve ser levado em considerao pelo empresrio nos dias de hoje so as solues que ficam residentes na internet, chamadas de cloud computing. Estas solues ficam residentes em sistemas profissionais e os usurios, de modo geral, s necessitam de uma conexo internet. Assim, esta pode ser mais uma alternativa a ser avaliada para a estruturao de uma infraestrutura adequada e segura aos negcios das empresas. Sintetizando: preveno contra fraudes sinnimo de utilizao de variadas ferramentas, sendo que as minimamente exigidas so os antivrus, filtros antispam, firewalls e bloqueio de acesso a certos sites; as ferramentas adquiridas pela empresa precisam ser constantemente atualizadas, conforme indicaes dos fabricantes; e, a anlise das vulnerabilidades da empresa versus as ferramentas adequadas para a proteo desta, deve, preferencialmente, ser feita por um profissional de TI.
24
25
que simplesmente perdidas sem favorecimento de um infrator. Isto porque, em regra, refletem anos e anos de conhecimento e trabalho acumulado. E, por precauo, tambm no demais sugerir a realizao de mais de uma cpia de segurana de tudo, dependendo do grau de relevncia das informaes. Desta forma, definitivamente no investimento intil a aquisio de mquinas para arquivos de cpias de todas as informaes relevantes da empresa. Pense se todos os seus dados forem perdidos, qual o impacto desta perda sobre o seu negcio? em reSumo: a manuteno e a substituio de equipamentos antigos so importantes; a utilizao de mquinas de qualidade, evitando-se o uso de equipamentos sem garantia, o mais indicado; e, a realizao de backups peridicos essencial.
3 engenharia
social
27
No s os aspectos tcnicos merecem a ateno do empresrio que busca aumentar a segurana da informao em sua empresa. A chamada engenharia social, usada para cometer fraudes, tambm merece ser seriamente estudada. Embora o nome assuste um pouco, engenharia social nada mais do que a utilizao de estratgias para explorar o lado mais fraco (ou sensvel) do ser humano no intuito de obter informaes relevantes. o uso de tcnicas para explorar sentimentos como curiosidade, culpa, solidariedade e medo, para ter acesso aos dados sensveis de pessoas e empresas. As formas mais corriqueiras so os populares e-mails de clique aqui e veja as fotos de sua esposa, seu nome foi includo no Serasa clique aqui para saber o motivo, atualize os dados de seu token por e-mail etc. Alm dos conhecidos e-mails de phishing (pescaria de dados), h tambm as fraudes cometidas por telefone (seu filho foi sequestrado) e envio de mensagens pelo celular (voc ganhou a promoo do Domingo do Fausto), entre inmeras praticadas amplamente adotadas na busca de vtimas desavisadas. E o pior: novas armadilhas so inventadas a cada dia, pois, assim que antigas fraudes so descobertas como tal, os criminosos empenham-se na criao de histrias fraudulentas ainda mais convincentes.
28
Por isso, se o empresrio realmente pretende desenvolver uma poltica inteligente de segurana da informao, tambm precisa preparar seu contingente humano para prevenir ataques e, acima de tudo, evitar a consumao de prejuzos. Para tanto, selecionamos, nos tpicos seguintes, alguns itens relacionados engenharia social que devem ser analisadas cuidadosamente nas empresas:
29
30
Por esta razo, muito importante que o empresrio trabalhe incansavelmente o alerta aos seus funcionrios sobre a inadequao da divulgao de informaes no autorizadas relacionadas empresa nas redes sociais. Outra estratgia sugerida a formalizao de regras para uma poltica de utilizao dos equipamentos tecnolgicos: isto pode ser feito por meio da elaborao de um regulamento interno, que dever contemplar, no mnimo, diretrizes para os seguintes temas: fluxo de contedo permitido/proibido por meio dos e-mails corporativos; relao e/ou tipo de sites cujo acesso considerado inadequado; regras sobre a divulgao de informaes da empresa em redes sociais; regras sobre a utilizao de hardwares mveis (pen drive etc.) e acesso a contas pessoais de e-mail; regras sobre a formulao de senhas e proibio de seu compartilhamento;
31
disposies sobre a guarda e o sigilo de informaes da empresa; preceitos sobre permisso/proibio de downloads de arquivos diversos nos computadores da empresa; alerta para os tipos de fraudes recorrentes praticadas pela internet (este item precisa de atualizao constante, sendo o ideal que, assim que o departamento de TI identificar um tipo novo de fraude, todos os colaboradores sejam comunicados imediatamente); e, aviso ostensivo sobre o monitoramento do uso das ferramentas tecnolgicas pelo empregador (e-mail corporativo e acesso internet, entre outros), se for o caso. Com relao possibilidade de monitoramento eletrnico de e-mail, cabe aqui um esclarecimento importante. Embora ainda haja certa discusso sobre o tema, o assunto tem sido pacificado por decises do Poder Judicirio no seguinte sentido: se o e-mail/sistema da empresa e h avisos ostensivos de que o equipamento para uso exclusivo em servio e est sendo supervisionado, o monitoramento considerado legtimo. E, dependo da gravidade do fato
32
ocasionado pelo uso indevido pelo funcionrio, pode at mesmo fundamentar uma dispensa por justa causa. Falando em mau procedimento dos funcionrios, bom lembrar que, ao lado da preocupao com os ataques de pessoas externas, o empresrio, complementarmente, precisa estar alerta ao cometimento de ilcitos por integrantes de sua equipe. Nos termos da legislao civil em vigor, o proprietrio de uma empresa pode ser responsabilizado pelos atos praticados pelos empregados e, havendo danos a terceiros, o empregador poder ser obrigado a repar-los. Tambm importante frisar que, de acordo com o Estatuto da Criana e do Adolescente, se o empregado praticar pedofilia (armazenar ou divulgar fotos de pornografia infantil, por exemplo) atravs das ferramentas tecnolgicas fornecidas pelo empregador, este ltimo poder ser responsabilizado se tiver conhecimento de tal prtica e no fizer nada para imped-la. Ou seja, capacitao, cuidado e acompanhamento do uso das ferramentas tecnolgicas pelos funcionrios tambm so medidas impositivas altamente relevantes na preveno de danos dentro de uma empresa.
33
34
Tambm no podem ser esquecidas as precaues de praxe no acesso, pelos terceiros, aos dados e sistemas operacionais da empresa: regras precisam ser definidas no tocante manipulao e possibilidade de cpias, conforme descrito no captulo 1, C, deste trabalho. E, havendo regulamento interno para utilizao das ferramentas tecnolgicas em uma empresa, todos os colaboradores, inclusive terceiros, devem segui-lo. Assim, interessante que no contrato escrito de prestao de servios tecnolgicos por terceiros, seja de assistncia tcnica, manuteno peridica, fornecimento de equipamentos e desenvolvimento de software, entre outros haja o estabelecimento prvio e claro de todas as regras bsicas de segurana adotadas pela empresa e que, se quebradas, sujeitaro o contratante a uma penalidade que pode ser multa ou at mesmo a resciso do contrato. Finalmente, tambm importante enfatizar que a terceirizao de servios na rea de tecnologia da informao deve seguir rigorosos padres jurdicos para a sua completa configurao. Se houver desvio das finalidades contratuais (ter-
35
ceirizao da atividade fim da empresa, por exemplo) e, principalmente, nas hipteses em que o servio for prestado por pessoa fsica, com subordinao, habitualidade e mediante salrio, poder ficar caracterizada uma relao de emprego (nos termos da Consolidao das Leis do Trabalho), e no de uma simples prestao de servios terceirizados. Neste caso, desvirtuada a terceirizao, sero devidas aos trabalhadores envolvidos todas as verbas trabalhistas decorrentes da relao de trabalho, independentemente de o servio ter sido prestado dentro da empresa (na sede, filiais etc.), fora dela ou por empresa interposta. Alis, reforando este entendimento, recentemente foi publicada a Lei 12.551/2011, tambm conhecida como Lei do Teletrabalho, que definiu no haver distino, para fins de reconhecimento dos direitos trabalhistas, entre trabalhadores que prestam servio dentro da empresa e aqueles que realizam o servio distncia (em casa ou outros locais), desde que estejam caracterizados os pressupostos da relao de emprego (subordinao e habitualidade, por exemplo).
4 planejamento
e outros cuidados
37
Bem, como visto at aqui, quando se fala em segurana da informao, obrigatoriamente se considera a tomada e conjugao de diversas providncias de naturezas variadas. Desta forma, para organizar a adoo de todas estas medidas essencial a elaborao de um planejamento estratgico para todo o sistema tecnolgico, com indicao de objetivos, metas e aes estruturantes. Evidentemente, para a elaborao de um plano eficaz e factvel, o auxlio de profissionais experientes em cada uma das reas a ser trabalhada impositivo. Assim, contando sempre com a ajuda de especialistas, interessante que o empresrio enumere providncias e prioridades que pretende executar, tendo em vista, alm da segregao dos assuntos por natureza:
38
os fatores de maior vulnerabilidade de seu sistema; os pontos frgeis que podem trazer grandes prejuzos financeiros e de imagem, entre outros; as medidas mais fceis e de baixo custo, com resultado imediato; as aes dispendiosas, mas com resultados importantes em curto prazo; a forma de organizao da documentao de todas as mudanas e aquisies; e, as providncias para manuteno e acompanhamento da nova estrutura. Este ltimo ponto to importante quando a tomada inicial de providncias, pois somente o monitoramento e a reviso constante de todas as ferramentas garantiro a solidez e os resultados esperados da estrutura montada. Apresentamos, a seguir, outros pontos que podem auxiliar o empresrio no planejamento e manuteno com segurana de seu sistema:
39
40
Para este assunto especfico, inclusive, existe a Norma ISO 27.005 que trata detalhadamente da gesto de riscos de segurana da informao, bem como outras da srie ISO 27.000 que podem ser empregadas como orientaes gerais para a gesto da segurana nas organizaes. H, tambm, as normas do Payment Card Industry (PCI) e do Data Security Standard (DSS). Obtendo estas certificaes, a empresa, alm de garantir processos internos eficientes, demonstrar, publicamente, a parceiros e clientes sua transparncia e preocupao na gesto da segurana de seus dados.
41
anlise e atualizao dos contratos com clientes, com ateno ao Cdigo de Defesa do Consumidor (CDC) e outras leis relacionadas; anlise e atualizao dos contratos de trabalho dos funcionrios e/ou criao/atualizao de regulamento interno relativo ao uso das ferramentas tecnolgicas da empresa; anlise e atualizao dos contratos com fornecedores relativamente s regras de segurana da informao, compartilhamento e divulgao de dados; e, adoo de medidas jurdicas para prevenir ou combater eventuais ameaas ou leses ao direito da empresa segurana da informao.
5 concluso
43
No decorrer deste pequeno consolidado de dicas foi possvel perceber que a segurana da informao algo que merece ateno especial nas empresas, ainda mais em um mundo em que os negcios, aquisies e transaes circulam cada vez mais pelos meios tecnolgicos e virtuais. Neste cenrio, para uma empresa se manter sadia e produtiva, imprescindvel que faa, periodicamente, o checkup de todo o seu sistema operacional, garantindo, assim, a continuao da produtividade e de novos negcios. Contudo, para que isso seja possvel, faz-se necessria a formulao de planejamento estruturado que contemple medidas de naturezas diferentes que, devidamente conjugadas, formaro a armadura de proteo da empresa. Esta armadura pode, ento, ser confeccionada com base nos seguintes fatores:
44
avaliao sobre os riscos a que seu negcio est sujeito; cuidado na aquisio de equipamentos, produtos e servios; gerenciamento, guarda e proteo adequada de informaes; gerenciamento dos softwares, de modo geral, em relao s suas atualizaes; medidas de preveno contra tcnicas de engenharia social; planejamento, organizao e acompanhamento contnuo. preciso entender que a segurana um processo contnuo e cclico e que deve ser reavaliada periodicamente; e, ateno aos detalhes jurdicos.
45
Finalmente, no se pode negar que ataques covardes e pessoas mal intencionadas, infelizmente, sempre existiro. Entretanto, se o empresrio estiver devidamente preparado para enfrentar esta realidade, ao invs de desapontar clientes, parceiros comerciais, ou, simplesmente lamentar os prejuzos, poder exercer seu papel de protagonista em segurana da informao e, com medidas simples, passar a frustrar planos de criminosos. Enfim, nos dias atuais o empresrio precisa entender que a sociedade demanda por segurana, urgentemente, em todos os seus aspectos. Seja no mundo real ou no mundo virtual.
46
47
48