Perfil da Segurana de Sistemas

Ernani Elias de Souza

2010

Comrcio Eletrnico Varejo - Brasil

Fonte: e-Consulting

Produtos adquiridos pela Internet

Eletrodomstic os

Material Escolar Ingresso Viagens

Outros

Alimentos

Filmes, msica

Eletrnicos

Livros e CDs

Informtica Jogos Software Vesturio

Tipos de ataques utilizando a Internet

25 Vrus 20

15

10

Danos ao Sof ou Hard

Abuso inf. Pessoal Fraude com Outros Fraude Bancriacarto 1

Transaes eletrnicas por segmento

Indstria de Transformao Construo Comrcio/ Reparao de Autos Hotel/ Alimentao Transp./ Armaz./ Comunicao Ativ. Imobilirias, aluguel e servios Ativ. Cinema/ Vdeo/ Rdio/ TV 15% 13% 14% 14% 14%

15%

15%

Porcentagem das empresas que fazem transaes eletrnicas

Norte Nordeste Sudeste Sul Centro-Oeste 97,88

97,6

90,79

87,65 98,01

TIPO DE DIFICULDADE ENCONTRADA NO RECRUTAMENTO

90 Pessoas com as habilidades requeridas no uso de aplicaes de TIC em falta Especialistas em TIC com as habilidades requeridas em falta Altos custos de remunerao para especialistas em TIC 80 70 60 50 40 30 20 10 0 1 56,28 43,41 84,35

Incidentes de Segurana - 2005

Fonte: www.cert.br

Incidentes de Segurana - 2006

2010

Incidentes Reportados ao CERT.br -- Julho a Setembro de 2008

2011

Notificaes agrupadas por contatos de Whois (Top 15)

1 2 3 4

Telemar Norte Leste Telesp Brasil Telecom NET Servicos de Comunicacao Global Village Telecom Vivax CTBC Telecom Embratel

5 6 7 8

9
1 0 1 1 1 2 1 3

Vivo
Telefonica Data

614 TVP Joao Pessoa (Big TV) ESC90 Telecomunicacoes Televisao Cidade

1 4
1 5

Way TV Belo Horizonte

Adelphia Comunicacoes

Comparativo de Custo por tipo de Transao

Cost per Transaction
100 80 60 40 20 0 Branch Telephone PC
Source: Frans Hesp ABN-AMRO 11/99

120

110 55 35 11
Internet

Fatores que Afetam o crescimento das transaes eletrnicas

Legislao Tecnologia Aplicaes Culturais Confiana

Fontes de Fraude
Outros Funcionrios Terceiros Fornecedores Clientes 0 5
8 14 18 2 58

10

15

20

25

30

35

40

45

50

55

60

Porcentagem

Causas Provveis das Fraudes

Globalizao Reestruturao da Empresa Problemas Econmicos Falha de Controle Impunidade Perda de Valores Morais Outros 0 5 10 20 30 40 50 60 70 6 14 41 51 52 62

Porcentagem

Outras Formas Geradoras de Fraude

Balanos Falsificados Direitos Autorais Espionagem Carto de Crdito Compras Pessoais Uso de Informao Propinas Notas "Frias" Notas de Despesas Roubo de ativos Falsificao Documento Outros 0 5 10 15

1 1 2 4 10 10 14 23 30 33 37 17
20 25 30 35 40

Porcentagem

Formas de Constatao de Fraudes

Outros 1 Controles Internos Auditoria/Reviso Interna Auditoria Externa Coincidncia Investigaes Especiais Informaes de Funcionrios Informaes de Terceiros Informaes Annimas
0 5 10 12 15 20 25 30 35 40 45 50 55 27 2 9 18 29 39 52

Porcentagem

Medidas Preventivas Fraude

Acesso de Visitantes Backgroundcheck Verificao Eletrnica Peridica Construo da Lealdade Destruio de Documentos Restrio de Acesso a Locais Restrio de Acesso Informaes
27 31 35 40 44 57 74

10

20

30

40

50

60

70

80

Porcentagem

Por Tempo de Empresa

Perfil do Fraudador Hierarquia na Empresa

22 21 38 19

acima de 10 anos de 6 a 10 anos de 2 a 5 anos At 2 anos

Suporte Chefia Gerncia

16 1 26

57

20
Por Idade

40

Diretoria

Por Salrio 20

40

60

< 25 > 26 < 40 > 41 < 55 > 55

1

9 70 20

<R$1.000 >R$1.000 <R$3.000 >R$3.000 <R$6.000 >R$6.000

11

15 46 28

20

40

60

80

10

20

30

40

50

 Sugestes de Melhores Prticas

1. A segurana da informao deve ser elaborada de forma ativa e preventiva, ou seja, o trabalho deve ser feito antecipadamente a uma perda de informao, os profissionais de segurana geralmente CSOs (Chief Security Officers), devem identificar padres, vulnerabilidades e contramedidas para evitar a fuga e tornar eficaz o processo de gesto. 2. O modelo de segurana da informao proposto deve ser alicerado em medidas ativas. Estas so mtodos para reduzir as vulnerabilidades no processo de produo, armazenamento e compartilhamento das informaes. Devem ser vistas sob o prisma antecipatrio, ou seja, preventivo. por esta razo que a identificao da intruso deve ser antes e no depois da perda de informao ou evento.

 3.

Os responsveis pela proteo das informaes e conhecimentos corporativos, CSOs, precisam adotar procedimentos para conduzir uma avaliao peridica sobre segurana, revisar os resultados com sua equipe e comunicar o resultado para a alta gesto; 4. Os CSOs precisam planejar, patrocinar e incentivar a adoo de boas prticas corporativas para segurana computacional, sendo municiados com indicadores objetivos que permitam avaliar as ameaas e vulnerabilidades;

 5. As organizaes devem conduzir periodicamente uma avaliao de riscos relacionada a informaes e conhecimentos corporativos como parte do programa de gerenciamento de riscos empresariais; 6. As organizaes precisam desenvolver e adotar polticas e procedimentos baseados na anlise de riscos para garantir a segurana das informaes e conhecimentos corporativos; 7. As organizaes precisam estabelecer uma estrutura de gerenciamento da segurana empresarial para definir explicitamente o que se espera de cada indivduo (papis e responsabilidades);

 8. As organizaes precisam desenvolver um planejamento estratgico e tomar medidas efetivas para prover a segurana adequada para a sua rede de telecomunicaes e seus sistemas computacionais por onde trafegam as informaes e os conhecimentos corporativos; 9. As organizaes precisam tratar a segurana empresarial como parte integral da gesto alm de ser uma importante rea de negcios e no apenas uma rea que evita perdas; 10. As organizaes precisam divulgar as informaes sobre segurana empresarial, treinando e educando os empregados;

 11. As organizaes precisam conduzir testes peridicos e avaliar a eficincia das polticas e procedimentos relacionados segurana das informaes e conhecimentos corporativos; 12. As organizaes precisam definir e pr em prtica um plano para avaliar e mitigar vulnerabilidades ou deficincias que comprometam a segurana empresarial; 13. As organizaes precisam desenvolver e colocar em prtica aes e procedimentos de resposta imediata a incidentes;

 14. As organizaes precisam definir um plano de continuidade de negcios e testar sua funcionalidade, mantendo-o sempre atualizado; 15. As organizaes precisam adotar frameworks com as melhores prticas relacionadas segurana da informao, como o COBIT, o ITIL e a ISO 17799, para medir o nvel de maturidade dos processos alcanado com relao segurana da informao.

O sucesso feito de 30% de esforo, 30% de talento e 40% de trabalho de aperfeioamento (foco)

Creio na habilidade de se focar em algo e a voc pode extrair muito mais disso. Foi assim em toda a minha vida. E foi s uma questo de melhorar essa tcnica e aprender mais e mais; algo que no tem fim. Voc sempre encontra novas coisas para aprender. muito interessante. fascinante!

Ayrton Senna