Paulo Roberto Uhlig

Formação:
Informática – Univille
Pós graduação “Gestão da Tecnologia e Informação” – UDESC
Mestre em Computação Aplicada – UTFPR

Profissional:
Diretor Departamento de TI – Prefeitura Municipal de São Bento do Sul
Diretor Técnico – UKTech https://www.uktech.com.br
 Definições de Riscos;
 Análise de Riscos;
 Furto de Dados;
 LGPD.
Análise de Riscos
 O que é um risco ?
 Risco é o efeito da incerteza nos objetivos, tudo que pode comprometer
ou contribuir para seu alcance. (ISO 31000).
 Exemplo: A empresa ABC está em pleno crescimento e necessita de um servidor
de arquivos adicional. Em virtude do bom preço do equipamento, comprará um
usado.
 Exemplo: Preciso de um computador rápido. Por isso não uso antivírus.
 Exemplo: Estes softwares custam muito dinheiro. Usarei um pirata.

http://marcelinhovazdias.blogspot.com.br/2010/10/hagar-o-horrivel.html
 Quais são as causas da incerteza ?

Falta ou
deficiências das
informações
relacionadas ao
evento.

Quais dados a empresa ABC gravará no servidor novo? O servidor usado está bom?
Será que eu pegarei um malware se não utilizar um antivírus ?
O aplicativo pirata é seguro? Há algum trojan ou afins no seu keygen? Alguém vai denunciar?
 Componentes do risco
 Causa: é a fonte ou a vulnerabilidade existente que da origem ao evento;

 Evento: um evento é a ocorrência ou mudança em um conjunto específico de

circunstâncias;

 Consequência: é o resultado do evento.

Causa Consequência

Evento
 Componentes do risco - exemplos

• Devido à uma falha do software do

Causa firewall Microsoft

• um hacker invadiu o sistema da

Evento empresa

• e apagou
Consequênci
todos os
a dados
 Componentes do risco - exemplos

• Em virtude do baixo investimento

Causa financeiro

• não compramos um sistema

Evento antivírus

• infelizmente
Consequênci pegamos um
a ransomware
 Análise de riscos
 Análise de riscos é o processo de compreender a natureza dos riscos e
determinar o nível de risco.
 Áreas de aplicação
 Mercado financeiro;
 Seguros;
 Gestão de projetos;
 Segurança da informação;
 Outros.
 Literatura

 PMBOK;
 ITIL;
 Cobit;
 Norma ISO 31000;
 Norma ISO família 27000.
 Análise de riscos - benefícios

 Fornece embasamento para

avaliação dos riscos;
 Facilita decisões sobre o
tratamento dos riscos;
 Assim, evita que não
conformidades prejudiquem
os objetivos.
 Fatores que influenciam a análise
 Disponibilidade de dados a respeito do risco;
 Existência de dados que possam ser
mensurados;
 Registros de estatística histórica;
 Experiência dos analistas;
 Estabelecimento do contexto dos eventos;
 Tempo disponível para o levantamento de
dados;
 Probabilidade x Impacto
 Probabilidade: chance
de determinado evento
ocorrer;
 Impacto: a extensão em
que o evento, caso
ocorra, afete o objetivo.
 Popularmente: “o
tamanho do estrago que
o risco pode causar.”
Análise de riscos

Valor do risco:
Baixo Risco

Baixo Risco

Baixo Risco
Médio Risco

Médio Risco

Alto Risco

Alto Risco
Análise de riscos

Alto Risco

Alto Risco
Análise de riscos
Análise de riscos
Como mitigar riscos?
 Remover a causa do risco
 Exemplo: substituir o sistema operacional Windows pelo Linux na empresa
ABC. Desta forma, o malware para sistemas Microsoft é evitado. (Causa,
sistema operacional Windows).
 Alterar a probabilidade
 Exemplo: em caso da impossibilidade de substituição do sistema operacional
Windows, adquirir ferramentas anti-malware. (Alterar a probabilidade de infecção
por malware).
 Alterar a consequência
 Exemplo: utilizar máquinas virtuais na empresa ABC. Caso a ferramenta anti-
malware não detecte a ameaça, basta restaurar a máquina virtual. (Alterar
consequência).
 Analisar e mapear as vulnerabilidades - TI
 Ameaças naturais;
 Estrutura física;
 Hardware e Software;
 Recursos Humanos.
 Plano de Contingência

 Plano de contingência: lista de ações a serem tomadas no caso dos riscos

ocorrerem.
 Proporciona reversão ou redução do impacto causado pela ocorrência de
determinado risco.
 Ex. Em caso de perda de dispositivo móvel corporativo. Ação: executar
bloqueio do equipamento perdido e remoção dos dados.
 Como elaborar ?

 Envolver todas as áreas no processo.

Colaboradores de todos os setores devem estar envolvidos com as práticas
da segurança da informação. Assim medidas preventivas são executadas
corretamente.
Exemplo: salvar dados no local correto (não no desktop!), efetuar backups.
 Como elaborar ?

 Definir a equipe responsável pela gestão de crise.

Equipe responsável para solucionar ou mitigar os impactos causados pela
ocorrência dos riscos e avaliar os prejuízos.
Exemplo: infestação da rede de computadores por um novo worm.
 Como elaborar ?

 Realizar a análise de risco;

 Definir prioridades.
 Como elaborar ?

 Realizar a análise de risco;

 Definir prioridades.
Uma boa prática é priorizar o que é mais impactante, não o que mais fácil
de resolver.
 Como elaborar ?

 Definir estratégias de recuperação

A equipe de gestão deve determinar o que deve ser recuperado e como
recuperar. A estratégia leva em conta o custo financeiro, viabilidade e tempo
gasto para a realização.
 Como elaborar ?

 Documentar o plano de contingência;

 Realizar testes!!
Exemplo: O colaborador XYZ era um grande gestor, sabia o que fazer em quaisquer
circunstâncias, pena que ele foi demitido.
O backup é executado diariamente. O CEO da empresa perdeu os dados e solicitou
restauração. Em virtude de problema no servidor de backup, o backup não era executado há
20 dias.
 Uma boa referência
 NIST Special Publication 800-53 (Rev. 5) Security and Privacy Controls for
Information Systems and Organizations;

Fonte: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf
Estatísticas
 Maiores Furtos de Dados
1) Adobe – 2013 – 153 milhões de registros de usuários. Inclui dados
pessoais tais como senhas e número de cartão de crédito;
2) Adult Friend Finder – 2016 – 413 milhões de contas. Inclui dados
pessoais tais como logins, senhas e endereços de e-mail;
3) Canva – 2019 – 137 milhões de usuários. Inclui dados pessoais tais como
senhas e número de cartão de crédito;
4) LinkedIn – 2012 e 2016 – 165 milhões de contas. Inclui dados pessoais
tais como dados de logins e senhas;
5) Yahoo – 2013 e 2014 – 3 bilhões de contas de usuários. Inclui dados
pessoais tais como logins, senhas, números telefônicos;
6) Facebook – 2016 – 87 milhões de contas. 443 mil são brasileiros.
Fonte: https://itforum.com.br/noticias/o-que-e-mapeamento-de-fluxo-de-valor-uma-tecnica-lean-para-melhorar-os-processos-de-negocios/
https://assisemendes.com.br/vazamento-de-dados-nas-empresas/
 Maiores Furtos de Dados - Brasil
1) Cadastro de Chaves Pix – 2021 – 160 mil chaves expostas. Os dados
incluem nome, dados bancários e CPF;
2) Vazamento de dados do Ministério da Saúde – 2021 – 50TB de dados
vazados, de acordo com atacantes. Possível utilização de DNS Hijacking.

Fonte: https://www.jota.info/tributos-e-empresas/mercado/vazamentos-de-dados-no-brasil-28012022
https://www.tecmundo.com.br/seguranca/230265-ministerio-saude-invadido-50-tb-roubados.htm
 Maiores Furtos de Dados - Brasil
 Brasil é o sexto país com o mais vazamentos de dados;
 Brasil é o país com maior número de vítimas de roubo de dados na
Internet;
 20% dos internautas abriram links falsos ou afins com consequente furto
de dados.

Fonte: https://olhardigital.com.br/2022/03/17/seguranca/brasil-e-o-6o-pais-com-mais-vazamentos-de-dados-no-planeta-aponta-levantamento/
https://www.otempo.com.br/interessa/brasil-e-o-pais-com-maior-numero-de-vitimas-de-roubo-de-dados-na-internet-1.2455194
 Furtos de Dados - Causas

 Engenharia social e phishing;

 Senhas fracas;
 Vulnerabilidades de sistemas;
 Ameaças internas;
 Erro humano;
 Downloads comprometidos;
 Ações físicas.

Fonte: https://www.kaspersky.com.br/resource-center/threats/data-theft
 Furtos de Dados – Dados mais furtados

 Registro de clientes;
 Dados financeiros;
 Códigos fonte e algoritmo;
 Descrições de processos e práticas operacionais;
 Dados de rede – logins e senhas;
 Registros de RH;
 Dados pessoais armazenados localmente no computador.
 Furtos de Dados – Consequências

 Processos judiciais;
 Pagamentos por ransomware;
 Custo de recuperação por especialista;
 Reputação da empresa;
 Multas ou sanções;
 Tempo de inatividade.
 Furtos de Dados – Boas práticas

 Usar senhas seguras, autenticação 2FA e não anotá-las!

 Uma senha para cada conta;
 Cuidado com o compartilhamento de informações em redes sociais;
 Contas não utilizadas? Eliminar.
 Atualizar sistemas;
 Wi-Fi gratuito? Cuidado!
 Mantenha-se sempre informado!
 Legislação sobre dados e informações

Fonte: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm
https://gdpr-info.eu/
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
Lei Geral de Proteção de Dados Pessoais - LGPD
 Lei número 13.709 de 14 de agosto de 2018;
 Entrou em vigor em setembro de 2020;
 Aplicação de sanções administrativas a partir de agosto de 2021;

“Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos
meios digitais, por pessoa natural ou por pessoa jurídica de direito público
ou privado, com o objetivo de proteger os direitos fundamentais de
liberdade e de privacidade e o livre desenvolvimento da personalidade da
pessoa natural.”

Fonte: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
Lei Geral de Proteção de Dados Pessoais - LGPD
 Estabelece regras sobre coleta, armazenamento, tratamento e
compartilhamento de dados pessoais;
 Aplica-se tanto a pessoa física quanto jurídica – pública ou privada;
 Dados pessoais e dados sensíveis
 Dados pessoais: dados que permitem a identificação direta ou indireta de
um indivíduo, como RG, CPF, passaporte, telefone, e-mail e afins;
 Dados pessoais sensíveis: dados que façam referência à origem étnica,
convicção religiosa, opinião política, filiação a sindicato, organizações de
caráter religioso, político ou filosófico e bem como dados referentes à
saúde e orientação sexual. Adicionalmente, dados genéticos e
biométricos vinculados a uma pessoa natural.
 LGPD – Princípios de norteamento
1. Finalidade: Só é possível utilizar dados para propósitos legítimos,
específicos e informados ao titular dos dados, sem possibilidade de
tratamento posterior que seja incompatível com a suas finalidades;
2. Adequação: O uso de dados deve ser compatível com as finalidades
informadas ao titular, de acordo com o contexto do negócio;
3. Necessidade: As empresas devem solicitar dados de clientes que sejam
estritamente necessários para alcançar suas finalidades;
4. Livre acesso: O titular dos dados tem o direito de consultar de forma
gratuita e a qualquer momento os dados que a instituição tem a seu
respeito.
 LGPD – Princípios de norteamento
5. Qualidade dos dados: O titular deve poder atualizar, complementar e
solicitar a exclusão de seus dados;
6. Transparência: O titular deve ser informado com exatidão como seus
dados serão tratados, inclusive dando o seu consentimento;
7. Segurança e prevenção: os dados devem ser armazenados e tratados de
forma segura a fim de assegurar o uso correto e evitar o vazamento de
dados;
8. Não discriminação;
9. Responsabilização e prestação de contas.
LGPD – Atores envolvidos
LGPD – Ciclo de vida dos dados
 LGPD - Penalidades
 Advertência com aplicação de prazo para as correções;
 Multa: até 2% do faturamento do último exercício, limitada a 50 milhões
de reais – por infração!;
 Suspensão do funcionamento do banco de dados ou da atividade de
tratamento de dados;
 As sanções são aplicadas após a oportunidade de ampla defesa do
infrator, considerando os critérios: a boa fé do infrator, a gravidade da
infração, condição econômica do infrator, dentre outros parâmetros.
 Contato
E-mail: paulo.uhlig@uktech.com.br pruhlig@yahoo.com.br Skype: uktech.paulo.uhlig