Escolar Documentos
Profissional Documentos
Cultura Documentos
Formação:
Informática – Univille
Pós graduação “Gestão da Tecnologia e Informação” – UDESC
Mestre em Computação Aplicada – UTFPR
Profissional:
Diretor Departamento de TI – Prefeitura Municipal de São Bento do Sul
Diretor Técnico – UKTech https://www.uktech.com.br
Definições de Riscos;
Análise de Riscos;
Furto de Dados;
LGPD.
Análise de Riscos
O que é um risco ?
Risco é o efeito da incerteza nos objetivos, tudo que pode comprometer
ou contribuir para seu alcance. (ISO 31000).
Exemplo: A empresa ABC está em pleno crescimento e necessita de um servidor
de arquivos adicional. Em virtude do bom preço do equipamento, comprará um
usado.
Exemplo: Preciso de um computador rápido. Por isso não uso antivírus.
Exemplo: Estes softwares custam muito dinheiro. Usarei um pirata.
http://marcelinhovazdias.blogspot.com.br/2010/10/hagar-o-horrivel.html
Quais são as causas da incerteza ?
Falta ou
deficiências das
informações
relacionadas ao
evento.
Quais dados a empresa ABC gravará no servidor novo? O servidor usado está bom?
Será que eu pegarei um malware se não utilizar um antivírus ?
O aplicativo pirata é seguro? Há algum trojan ou afins no seu keygen? Alguém vai denunciar?
Componentes do risco
Causa: é a fonte ou a vulnerabilidade existente que da origem ao evento;
Evento
Componentes do risco - exemplos
• e apagou
Consequênci
todos os
a dados
Componentes do risco - exemplos
• infelizmente
Consequênci pegamos um
a ransomware
Análise de riscos
Análise de riscos é o processo de compreender a natureza dos riscos e
determinar o nível de risco.
Áreas de aplicação
Mercado financeiro;
Seguros;
Gestão de projetos;
Segurança da informação;
Outros.
Literatura
PMBOK;
ITIL;
Cobit;
Norma ISO 31000;
Norma ISO família 27000.
Análise de riscos - benefícios
Valor do risco:
Baixo Risco
Baixo Risco
Baixo Risco
Médio Risco
Médio Risco
Alto Risco
Alto Risco
Análise de riscos
Alto Risco
Alto Risco
Análise de riscos
Análise de riscos
Como mitigar riscos?
Remover a causa do risco
Exemplo: substituir o sistema operacional Windows pelo Linux na empresa
ABC. Desta forma, o malware para sistemas Microsoft é evitado. (Causa,
sistema operacional Windows).
Alterar a probabilidade
Exemplo: em caso da impossibilidade de substituição do sistema operacional
Windows, adquirir ferramentas anti-malware. (Alterar a probabilidade de infecção
por malware).
Alterar a consequência
Exemplo: utilizar máquinas virtuais na empresa ABC. Caso a ferramenta anti-
malware não detecte a ameaça, basta restaurar a máquina virtual. (Alterar
consequência).
Analisar e mapear as vulnerabilidades - TI
Ameaças naturais;
Estrutura física;
Hardware e Software;
Recursos Humanos.
Plano de Contingência
Fonte: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf
Estatísticas
Maiores Furtos de Dados
1) Adobe – 2013 – 153 milhões de registros de usuários. Inclui dados
pessoais tais como senhas e número de cartão de crédito;
2) Adult Friend Finder – 2016 – 413 milhões de contas. Inclui dados
pessoais tais como logins, senhas e endereços de e-mail;
3) Canva – 2019 – 137 milhões de usuários. Inclui dados pessoais tais como
senhas e número de cartão de crédito;
4) LinkedIn – 2012 e 2016 – 165 milhões de contas. Inclui dados pessoais
tais como dados de logins e senhas;
5) Yahoo – 2013 e 2014 – 3 bilhões de contas de usuários. Inclui dados
pessoais tais como logins, senhas, números telefônicos;
6) Facebook – 2016 – 87 milhões de contas. 443 mil são brasileiros.
Fonte: https://itforum.com.br/noticias/o-que-e-mapeamento-de-fluxo-de-valor-uma-tecnica-lean-para-melhorar-os-processos-de-negocios/
https://assisemendes.com.br/vazamento-de-dados-nas-empresas/
Maiores Furtos de Dados - Brasil
1) Cadastro de Chaves Pix – 2021 – 160 mil chaves expostas. Os dados
incluem nome, dados bancários e CPF;
2) Vazamento de dados do Ministério da Saúde – 2021 – 50TB de dados
vazados, de acordo com atacantes. Possível utilização de DNS Hijacking.
Fonte: https://www.jota.info/tributos-e-empresas/mercado/vazamentos-de-dados-no-brasil-28012022
https://www.tecmundo.com.br/seguranca/230265-ministerio-saude-invadido-50-tb-roubados.htm
Maiores Furtos de Dados - Brasil
Brasil é o sexto país com o mais vazamentos de dados;
Brasil é o país com maior número de vítimas de roubo de dados na
Internet;
20% dos internautas abriram links falsos ou afins com consequente furto
de dados.
Fonte: https://olhardigital.com.br/2022/03/17/seguranca/brasil-e-o-6o-pais-com-mais-vazamentos-de-dados-no-planeta-aponta-levantamento/
https://www.otempo.com.br/interessa/brasil-e-o-pais-com-maior-numero-de-vitimas-de-roubo-de-dados-na-internet-1.2455194
Furtos de Dados - Causas
Fonte: https://www.kaspersky.com.br/resource-center/threats/data-theft
Furtos de Dados – Dados mais furtados
Registro de clientes;
Dados financeiros;
Códigos fonte e algoritmo;
Descrições de processos e práticas operacionais;
Dados de rede – logins e senhas;
Registros de RH;
Dados pessoais armazenados localmente no computador.
Furtos de Dados – Consequências
Processos judiciais;
Pagamentos por ransomware;
Custo de recuperação por especialista;
Reputação da empresa;
Multas ou sanções;
Tempo de inatividade.
Furtos de Dados – Boas práticas
Fonte: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm
https://gdpr-info.eu/
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
Lei Geral de Proteção de Dados Pessoais - LGPD
Lei número 13.709 de 14 de agosto de 2018;
Entrou em vigor em setembro de 2020;
Aplicação de sanções administrativas a partir de agosto de 2021;
“Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos
meios digitais, por pessoa natural ou por pessoa jurídica de direito público
ou privado, com o objetivo de proteger os direitos fundamentais de
liberdade e de privacidade e o livre desenvolvimento da personalidade da
pessoa natural.”
Fonte: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
Lei Geral de Proteção de Dados Pessoais - LGPD
Estabelece regras sobre coleta, armazenamento, tratamento e
compartilhamento de dados pessoais;
Aplica-se tanto a pessoa física quanto jurídica – pública ou privada;
Dados pessoais e dados sensíveis
Dados pessoais: dados que permitem a identificação direta ou indireta de
um indivíduo, como RG, CPF, passaporte, telefone, e-mail e afins;
Dados pessoais sensíveis: dados que façam referência à origem étnica,
convicção religiosa, opinião política, filiação a sindicato, organizações de
caráter religioso, político ou filosófico e bem como dados referentes à
saúde e orientação sexual. Adicionalmente, dados genéticos e
biométricos vinculados a uma pessoa natural.
LGPD – Princípios de norteamento
1. Finalidade: Só é possível utilizar dados para propósitos legítimos,
específicos e informados ao titular dos dados, sem possibilidade de
tratamento posterior que seja incompatível com a suas finalidades;
2. Adequação: O uso de dados deve ser compatível com as finalidades
informadas ao titular, de acordo com o contexto do negócio;
3. Necessidade: As empresas devem solicitar dados de clientes que sejam
estritamente necessários para alcançar suas finalidades;
4. Livre acesso: O titular dos dados tem o direito de consultar de forma
gratuita e a qualquer momento os dados que a instituição tem a seu
respeito.
LGPD – Princípios de norteamento
5. Qualidade dos dados: O titular deve poder atualizar, complementar e
solicitar a exclusão de seus dados;
6. Transparência: O titular deve ser informado com exatidão como seus
dados serão tratados, inclusive dando o seu consentimento;
7. Segurança e prevenção: os dados devem ser armazenados e tratados de
forma segura a fim de assegurar o uso correto e evitar o vazamento de
dados;
8. Não discriminação;
9. Responsabilização e prestação de contas.
LGPD – Atores envolvidos
LGPD – Ciclo de vida dos dados
LGPD - Penalidades
Advertência com aplicação de prazo para as correções;
Multa: até 2% do faturamento do último exercício, limitada a 50 milhões
de reais – por infração!;
Suspensão do funcionamento do banco de dados ou da atividade de
tratamento de dados;
As sanções são aplicadas após a oportunidade de ampla defesa do
infrator, considerando os critérios: a boa fé do infrator, a gravidade da
infração, condição econômica do infrator, dentre outros parâmetros.
Contato
E-mail: paulo.uhlig@uktech.com.br pruhlig@yahoo.com.br Skype: uktech.paulo.uhlig