{"id":19139,"date":"2018-07-01T00:00:35","date_gmt":"2018-07-01T03:00:35","guid":{"rendered":"http:\/\/www.rhevistarh.com.br\/portal\/?p=19139"},"modified":"2018-07-02T09:13:57","modified_gmt":"2018-07-02T12:13:57","slug":"fator-humano-o-principal-componente-da-seguranca-da-informacao","status":"publish","type":"post","link":"https:\/\/www.rhevistarh.com.br\/portal\/fator-humano-o-principal-componente-da-seguranca-da-informacao\/","title":{"rendered":"Fator humano: o principal componente da seguran\u00e7a da informa\u00e7\u00e3o"},"content":{"rendered":"
\"\"
Vladimir Prestes<\/figcaption><\/figure>\n

A prote\u00e7\u00e3o de dados confidenciais nas empresas \u00e9 baseada no componente t\u00e9cnico e no fator humano. De acordo com as \u00faltimas tend\u00eancias de desenvolvimento da seguran\u00e7a da informa\u00e7\u00e3o o foco passa a ser o indiv\u00edduo. Isto \u00e9 evidenciado por tecnologias tais como: UEBA (User and Entity Behavior Analytics), UBA (User behavior analytics), SUBA (Security User Behavior Analytics) e outras ferramentas de an\u00e1lise de comportamento de usu\u00e1rios, que visam detectar amea\u00e7as presentes.<\/p>\n

As amea\u00e7as em TI podem ser divididas em dois grandes grupos: tecnol\u00f3gicas e \u201chumanas\u201d. Prote\u00e7\u00e3o antiv\u00edrus, filtragem de tr\u00e1fego, cobertura de vulnerabilidades, prote\u00e7\u00e3o contra ataques direcionados, DDOS \u2013 s\u00e3o tarefas com as quais solu\u00e7\u00f5es especializadas lidam de modo autom\u00e1tico, j\u00e1 que a l\u00f3gica do computador reconhece bem as amea\u00e7as e \u00e9 capaz de tomar decis\u00f5es sobre seu bloqueio autonomamente.<\/p>\n

Amea\u00e7as \u201chumanas\u201d em TI \u2013 \u00e9 uma \u00e1rea especifica. Contra elas n\u00e3o h\u00e1 uma solu\u00e7\u00e3o totalmente automatizada. E geralmente essas amea\u00e7as s\u00e3o tratadas de forma integrada: configura-se o acesso aos componentes da infraestrutura de TI, utiliza-se sistema DLP (Data Loss Prevention), aumenta-se o conhecimento t\u00e9cnico dos funcion\u00e1rios e introduzem-se regulamenta\u00e7\u00f5es de trabalho com informa\u00e7\u00f5es cr\u00edticas para os neg\u00f3cios.<\/p>\n

As amea\u00e7as s\u00e3o muito distintas. Por isso, diferentes funcion\u00e1rios e at\u00e9 mesmo departamentos trabalham com elas: funcion\u00e1rios do departamento de TI cuidam das amea\u00e7as tecnol\u00f3gicas; profissionais de seguran\u00e7a da informa\u00e7\u00e3o s\u00e3o respons\u00e1veis pelo monitoramento do \u201cfator humano\u201d. A prop\u00f3sito, o departamento de TI nem sempre sabe quais as solu\u00e7\u00f5es e m\u00e9todos de prote\u00e7\u00e3o est\u00e3o sendo usados na empresa. Isso cria um tipo de contrapeso aos riscos que podem ser ocasionados pelos pr\u00f3prios profissionais TI. Em geral, essa abordagem mais precisa da seguran\u00e7a \u00e9 praticada por empresas de m\u00e9dio e grande porte.<\/p>\n

A prote\u00e7\u00e3o contra \u201camea\u00e7as humanas\u201d possui um car\u00e1ter integrado, ao mesmo tempo s\u00e3o aplicadas solu\u00e7\u00f5es especializadas e medidas administrativas.<\/p>\n

Por um lado, \u00e9 necess\u00e1rio elevar o n\u00edvel de capacita\u00e7\u00e3o t\u00e9cnica de seus funcion\u00e1rios, de modo que informa\u00e7\u00f5es confidenciais n\u00e3o venham a ser encontradas em e-mails pessoais, em anota\u00e7\u00f5es de smartphones ou, por descuido, n\u00e3o venham a cair nas m\u00e3os de terceiros. Representantes da empresa\u00a0Cybersecurity Ventures<\/a>, especializada em pesquisas no campo da seguran\u00e7a cibern\u00e9tica e an\u00e1lise de mercado, afirmam que os custos globais com treinamento de funcion\u00e1rios no \u00e2mbito da seguran\u00e7a da informa\u00e7\u00e3o podem chegar a 10 bilh\u00f5es de d\u00f3lares at\u00e9 2027.<\/p>\n

Por outro lado, \u00e9 importante acompanhar a movimenta\u00e7\u00e3o de dados confidenciais que podem ser transmitidos para fora do \u201cper\u00edmetro\u201d da empresa. Apenas o uso integrado de solu\u00e7\u00f5es t\u00e9cnicas e medidas administrativas ser\u00e3o capazes de impedir a maioria dos vazamentos de informa\u00e7\u00f5es. As consequ\u00eancias destrutivas provocadas por vazamentos s\u00e3o \u00f3bvias, mas os riscos causados pelo fator humano, muitas vezes, podem levar uma empresa \u00e0 fal\u00eancia.<\/p>\n

Na luta contra vazamentos de informa\u00e7\u00f5es, todas as empresas estabelecem tarefas semelhantes: impedir o roubo de dados financeiros, evitar danos \u00e0 reputa\u00e7\u00e3o, manter em segredo assuntos internos, n\u00e3o perder a carteira de clientes, proteger os dados pessoais de funcion\u00e1rios e clientes. As amea\u00e7as tecnol\u00f3gicas podem interromper temporariamente o trabalho de uma empresa, as comunica\u00e7\u00f5es, o contato com os clientes – mas tudo isso \u00e9 resolvido rapidamente. Em contrapartida, um alto executivo mal intencionado, possuindo acesso a todos os dados secretos, planos, documentos financeiros e anal\u00edticos, podendo causar n\u00e3o apenas s\u00e9rios danos ao neg\u00f3cio, mas destru\u00ed-lo completamente.<\/p>\n

A imprud\u00eancia de um funcion\u00e1rio de um de nossos clientes resultou no vazamento de dados confidenciais. O gerente da empresa simplesmente esqueceu o notebook em cima da mesa da sala de confer\u00eancias onde havia ocorrido uma reuni\u00e3o com um cliente. O notebook continha muitas informa\u00e7\u00f5es interessantes: um arquivo com ofertas comerciais para o ramo de atua\u00e7\u00e3o do cliente, sistemas de forma\u00e7\u00e3o de pre\u00e7os, arquivo de contratos, planos, etc. O\u00a0sistema DLP<\/a>\u00a0registrou a tentativa de download dos documentos para uma m\u00eddia externa e um grande vazamento foi evitado. No entanto, o cliente acabou visualizando dados aos quais ele n\u00e3o deveria ter tido acesso.<\/p>\n

E vazamentos ocasionais como estes n\u00e3o s\u00e3o raros. De acordo com uma\u00a0pesquisa<\/a>\u00a0realizada pela SearchInform, em 2016 eles foram respons\u00e1veis por 42% de todos os incidentes relacionados \u00e0 seguran\u00e7a da informa\u00e7\u00e3o nas empresas dos pa\u00edses da CEI (Comunidade dos Estados Independentes).<\/p>\n

Para garantir a prote\u00e7\u00e3o das informa\u00e7\u00f5es da empresa \u00e9 necess\u00e1rio desenvolver sua estrat\u00e9gia de seguran\u00e7a da informa\u00e7\u00e3o ou seguir as recomenda\u00e7\u00f5es abaixo, que permitem a redu\u00e7\u00e3o de riscos:<\/p>\n

    \n
  1. Estabele\u00e7a regras para o manuseio de informa\u00e7\u00f5es.<\/strong>A estrita observ\u00e2ncia das regras de armazenamento e opera\u00e7\u00f5es com dados e documentos confidenciais diz respeito a qualquer funcion\u00e1rio – desde o mais alto executivo at\u00e9 o profissional comum.<\/li>\n
  2. Realize o treinamento dos funcion\u00e1rios do departamento de seguran\u00e7a da informa\u00e7\u00e3o.<\/strong>Isso pode ser feito dentro da estrutura de sua organiza\u00e7\u00e3o: atribua esta tarefa ao departamento de RH ou de TI, ou inclua esta fun\u00e7\u00e3o \u00e0s reponsabilidades do departamento de SI. Tamb\u00e9m \u00e9 poss\u00edvel recorrer aos servi\u00e7os de empresas especializadas em treinamento de agentes de seguran\u00e7a da informa\u00e7\u00e3o (CTI, Security Awareness Training).<\/li>\n
  3. Crie o departamento de Seguran\u00e7a da Informa\u00e7\u00e3o,<\/strong>que trabalhar\u00e1 na preven\u00e7\u00e3o de incidentes. A tarefa dos funcion\u00e1rios de SI n\u00e3o \u00e9 apenas investigar viola\u00e7\u00f5es, mas analisar potenciais amea\u00e7as. Por exemplo, dar aten\u00e7\u00e3o especial aos funcion\u00e1rios que se enquadram em grupos de risco: apostadores, dependentes qu\u00edmicos, funcion\u00e1rios em processo de demiss\u00e3o ou insatisfeitos, etc.<\/li>\n
  4. Implemente solu\u00e7\u00f5es de prote\u00e7\u00e3o da informa\u00e7\u00e3o.<\/strong>Use ferramentas de controle de informa\u00e7\u00e3o: sistema DLP, sistema SIEM, etc. \u00c9 necess\u00e1rio monitorar o maior n\u00famero poss\u00edvel de canais de transmiss\u00e3o de informa\u00e7\u00e3o dentro da empresa.<\/li>\n
  5. Abandone a abordagem convencional de prote\u00e7\u00e3o.<\/strong>Por si s\u00f3, a implementa\u00e7\u00e3o de ferramentas de prote\u00e7\u00e3o de informa\u00e7\u00f5es n\u00e3o \u00e9 uma garantia de seguran\u00e7a, ainda mais se forem usadas apenas diante de uma necessidade. Frequentemente, o incidente ocorre e s\u00f3 ent\u00e3o, descobre-se que algo n\u00e3o foi configurado corretamente: um canal n\u00e3o estava sendo monitorado, um usu\u00e1rio teve acesso a informa\u00e7\u00f5es que deveriam ser restritas, etc. Configure as ferramentas corretamente e monitore os canais de informa\u00e7\u00e3o constantemente.<\/li>\n
  6. Fa\u00e7a uso do princ\u00edpio de \u201cfreios e contrapesos\u201d.<\/strong>N\u00e3o delegue toda a responsabilidade e poder apenas a uma pessoa: justamente com esse prop\u00f3sito \u00e9 estabelecido o departamento de SI, para ser o \u201ccontrapeso\u201d ao departamento de TI, que muitas vezes tem acesso \u00e0s mais importantes informa\u00e7\u00f5es confidenciais e possui conhecimento t\u00e9cnico suficiente para us\u00e1-las indevidamente.<\/li>\n<\/ol>\n

    Sobre o Autor:<\/strong><\/p>\n

    Vladimir Prestes <\/strong>\u00e9 Diretor Geral da\u00a0SearchInform<\/a>\u00a0no Brasil, l\u00edder russa em sistemas de seguran\u00e7a da informa\u00e7\u00e3o h\u00e1 mais de 20 anos. Com mais de dois mil clientes e cerca de 1.200.000 computadores protegidos, possui escrit\u00f3rios em 16 pa\u00edses.<\/p>\n","protected":false},"excerpt":{"rendered":"

    A prote\u00e7\u00e3o de dados confidenciais nas empresas \u00e9 baseada no componente t\u00e9cnico e no fator humano. De acordo com as \u00faltimas tend\u00eancias de desenvolvimento da seguran\u00e7a da informa\u00e7\u00e3o o foco passa a ser o indiv\u00edduo. Isto \u00e9 evidenciado por tecnologias tais como: UEBA (User and Entity Behavior Analytics), UBA (User behavior analytics), SUBA (Security User Behavior Analytics) e outras ferramentas de an\u00e1lise de comportamento de usu\u00e1rios, que visam detectar amea\u00e7as presentes.<\/p>\n","protected":false},"author":8,"featured_media":19140,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3062],"tags":[3030,3063],"table_tags":[],"class_list":["post-19139","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-vladimir-prestes","tag-destaque","tag-seguranca-da-informacao","entry"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.rhevistarh.com.br\/portal\/wp-json\/wp\/v2\/posts\/19139","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.rhevistarh.com.br\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.rhevistarh.com.br\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.rhevistarh.com.br\/portal\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/www.rhevistarh.com.br\/portal\/wp-json\/wp\/v2\/comments?post=19139"}],"version-history":[{"count":0,"href":"https:\/\/www.rhevistarh.com.br\/portal\/wp-json\/wp\/v2\/posts\/19139\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.rhevistarh.com.br\/portal\/wp-json\/wp\/v2\/media\/19140"}],"wp:attachment":[{"href":"https:\/\/www.rhevistarh.com.br\/portal\/wp-json\/wp\/v2\/media?parent=19139"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.rhevistarh.com.br\/portal\/wp-json\/wp\/v2\/categories?post=19139"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.rhevistarh.com.br\/portal\/wp-json\/wp\/v2\/tags?post=19139"},{"taxonomy":"table_tags","embeddable":true,"href":"https:\/\/www.rhevistarh.com.br\/portal\/wp-json\/wp\/v2\/table_tags?post=19139"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}