A Fraude Ocupacional: entendendo e mitigando a Oportunidade.


Mário Sérgio Ribeiro (*) O caso da Americanas trouxe de volta à cena as questões relacionadas à Fraude Ocupacional. As investigações prosseguem mas, os indícios, pelas notícias publicamente vinculadas, dão conta de que pode ter ocorrido uma fraude ocupacional (FO). Read more

Mitos da certificação na ISO 27001


Mário Sérgio Ribeiro (*) Um movimento importante ocorreu nos últimos dois anos acerca da procura e da conquista da certificação de empresas nacionais na ISO 27001, a norma de segurança da informação. Os motivos para tanto talvez pouco importem – Read more

O Porquê de se ter um Gerenciamento de Crise.


Mário Sérgio Ribeiro (*) ________________________________________________________________________________________ Em tempos bicudos, especialmente como esse em que vivemos, considero de extrema importância que qualquer empresa, seja ela pública ou privada, ter um Gerenciamento de Crise implementado.   Infelizmente, uma Crise não anuncia quando vai ocorrer, Read more

É possível mitigar o Vazamento de Dados?

enigma.consultoria Sem categoria Leave a comment   , , ,

(*) Mário Sérgio Ribeiro

Em quase vinte e cinco anos atuando somente com a segurança da informação eu nunca tinha visto tanta propagação de incidentes de vazamento de dados/informações como nos dias atuais. O pior é que não se escolhe local, entidade e grau de importância, etc. Vejam que nem o STF foi poupado, quando da questão da quebra de sigilo bancário do presidente Temer pelo ministro Barroso. Olhem onde o tema bate, bem lá no topo! E ao concluir esse artigo aparece o caso da Cambrige Analytica e Facebook. Já tratei desse assunto nesse espaço, mas hoje vou abordá-lo sob outra ótica.

 Define-se hoje um vazamento de dados/informações como um ato intencional com intuitos diversos, praticado por uma pessoa ou entidade interessada em quebrar a classificação da informação e tornar os dados acessíveis a quem não deveria ter esse direito. Os intuitos para essa prática podem ser, entre outros:

 -> Prejudicar a parte onde se tem os dados vazados, sem qualquer tipo de ganho ou vantagem com o ato;

-> Obter algum ganho, financeiro, por exemplo, com os dados vazados;

-> Criar algum tumulto, com a finalidade de desviar o foco para algo mais importante dentro do contexto.

Fica claro nesse escopo que estamos tratando que alguém ou alguns, de dentro ou de fora de alguma empresa, organismo, instituição com acesso a determinados dados e informações, que possa de forma intencional, quebrar a classificação da informação e compartilhar esses dados a quem não teria direito a conhecê-los. Esse “vazador” tem motivações para atuar e podemos classificá-lo de três tipos:

 -> Alguém ou alguns em bando colaboradores de uma empresa/instituição;

-> Alguém ou alguns em bando de fora da empresa roubando os dados da empresa/ instituição; ou

-> Juntos, gente de dentro e de fora da empresa e em conluio, para vazar os dados.

 Pois bem, contextualizada a questão vamos tentar dissecá-la. Comecemos pelo meio que esses dados estão disponibilizados. Para simplificar nosso raciocínio vamos instituir dois meios: o digital e o papel. O meio digital pode ser acessado em diversos formatos conforme sabemos: sistemas autorizados pela empresa, pen drive, telas de dispositivos, entre outros. O meio em papel, não tem outro formato, é o papel impresso mesmo com os dados/informações.

 Obedecendo ao ciclo de vida da informação, esses dados podem ser encontrados em um dos quatro momentos da vida do dado/informação: manuseio, transporte, armazenagem e descarte. Lembrando que o manuseio é onde o dado é criado e manuseado, transporte são os meios que os dados são enviados de um local a outro, a armazenagem onde o dado está guardado/custodiado e descarte, é o ciclo final, quando se dá o fim ao dado/informação.

Vou tratar esse artigo em duas partes. Na primeira vou falar sobre o vazamento interno dos dados, isto é, uma pessoa que faz parte da empresa ou é um terceiro, que atua o tempo todo na empresa e que vaza os dados. Em uma segunda parte e de forma mais curta, vou falar dos dados/informações de disponibilizados por uma empresa para outros (terceiros) e de um consumidor comum.

AMBIENTE INTERNO

Para vazar dado alguém interno de alguma forma teve acesso a eles. E aqui estamos falando de dados e informações que podem se utilizar dos quatro ciclos aqui comentados. Mais, esses dados podem estar em ambos os meios, digital e papel. Mais ainda, não necessariamente o vazador dos dados pode ser alguém que não tenha acesso autorizado aos dados vazados.

O tema não é nada simples porque estamos tratando com seres humanos, com todas as fragilidades que nossa espécie tem. Cabe às empresas praticarem algumas boas práticas para diminuir as consequências desses atos. Selecionei algumas bem simples, que se implementadas da maneira correta podem mitigar muito bem esse risco. Vamos lá:

(1) Políticas e normas claras e simples, mas com SANÇÕES.

Normalmente encontro Políticas e Normas de Segurança da Informação que mais parecem uma novela do que um documento que deve ser claro e simples.

A Política (menos detalhes) e as Normas (detalhes das diretrizes da política) devem ter como requisitos imprescindíveis serem claras e simples. Qualquer um que leia deve ter entendimento fácil do que está lendo para poder praticar. Não deve ser um romance, com frases de efeito. Infelizmente não é isso que temos. Costumo dizer que se você perguntar para um colaborador quais são as diretrizes da Política e ele não conseguir falar/explicar 30% dela, a empresa falha.

E por que as SANÇÕES? Talvez muita gente não goste, mas Política sem Sanção tira o efeito mandatório que uma Política deva ter. Olhando sob a ótica de controles que mitigam riscos, as Políticas e as Normas são o que consideramos Controles de Dissuasão. O verbo dissuadir significa instigar alguém a mudar de opinião ou de intenção. As políticas e normas em segurança da informação são elaboradas e implantadas para dizer aos colaboradores o que não deve ser realizado, o que não é permitido em suas diretrizes. E, ao incluir sanções no final do documento, a empresa está dizendo o que poderá fazer caso o colaborador infrinja alguma das diretrizes ali descritas.

Aqui temos um viés importante. As diretrizes com sanções, se bem elaboradas e dentro de um programa estruturado de conscientização e educação em segurança da informação, deve produzir o efeito que um controle de dissuasão deve produzir, ou seja, o colaborador que tiver alguma intenção, por exemplo, de vazar uma dada informação, pode mudar sua intenção porque está infringindo uma diretriz e a sanção pode ser dura, incluindo em algumas empresas, a demissão por justa causa.

Existem muitas políticas e normas por aí simplesmente informativa, a maioria mais parecendo um manual de procedimentos. É necessário colocar a política e normas em seu devido lugar, com sanções estabelecidas e acordadas com o jurídico da empresa e inseri-las em um programa estruturado de conscientização e educação. Sem isso, não temos um importante controle de dissuasão operando e mais, cria-se a possibilidade de mais oportunidades para alguém mal intencionado atuar.

 

(2) Permissões, só as necessárias para exercer a função do cargo

Muitas oportunidades são concedidas aqui àqueles que desejam vazar. Na grande maioria das empresas as permissões concedidas aos usuários para acesso aos dados e informações, independente se estejam informatizados ou não, estão acima de suas necessidades para executar o que descreve sua função de trabalho.

Os problemas e os riscos são diversos aqui e vou tocar em um deles apenas. Normalmente encontramos um erro clássico nesse caso, que incrementa o risco. Gestores de dada área são definidos como “dono da informação” (àquela que certamente trata de sua área de trabalho). Por essa “propriedade” são escolhidos para determinar o que seus subordinados podem ou não acessar, e até usuários de outras áreas, que possam ter a necessidade de acessar informações onde o dono é o tal gestor.

Nada contra gestores serem responsáveis por importante tarefa, mas sim, com a falta de critérios padronizados para que o gestor possa fazê-lo conhecendo os riscos de segurança da informação e seus requisitos básicos. Outra. Além dos critérios, o gestor pouco conhecimento tem sobre os riscos advindos de autorizações mal feitas. Em várias situações, esse mesmo gestor olha para o pilar Disponibilidade com muita importância, sem se ater com os perigos de corromper a Confidencialidade da Informação, que é o ponto central do que estamos tratando. As empresas acreditam piamente que os gestores têm totais condições de fazer tais avaliações sem qualquer orientação. Muito cuidado aqui!

Um exemplo clássico do que estamos falando é o gestor disponibilizar a um dado usuário permissões muito além de sua descrição de trabalho, única e exclusivamente porque em dado momento esse usuário irá substituir seu chefe, por exemplo; outra, por achar que tem gente de menos para fazer o trabalho, bem comum isso, incrementa privilégios onde não deveria fazê-lo. São práticas que ocorrem e que podem trazer problemas.

(3) A prática da Engenharia Social interna é mais comum do que se pensa.

Pensamos então somente que a Engenharia Social foi algo inventado pelos hackers, onde o mestre de todos foi Kevin Mitnick, o seu precursor. Infelizmente não é isso que ocorre. Muitas pessoas tem o talento de um engenheiro social e na maioria dos casos nem sabe que essa técnica é tema de estudo há anos.

Quem tem intenção de praticar um vazamento de dados/informação, em uma boa parte das vezes, procura ocultar sua identidade e/ou utilizar de algumas informações de que não dispõe de acesso. Aí entra o engenheiro social interno.

É aquele camarada com atitude de ganhar a confiança de seus companheiros de trabalho e conseguir seus objetivos, ou seja, ocultar sua identidade por meio da identidade da vítima ou ter os dados/informações que deseja.

Esses engenheiros sociais internos conhecem a empresa e sabem até que ponto seus colegas de trabalho estão conscientizados sobre essa prática. As empresas por sua vez, com parcos e em boa parte das vezes mal direcionados investimentos na conscientização e educação de seus colaboradores, não percebem a prática da engenharia social interna, que é silenciosa e não deixa rastros.

(4) A Classificação da Informação deve estar presente nos quatro ciclos de vida da informação, independente dos meios disponibilizados.

De uns tempos para cá as empresas começaram a valorizar um dos pilares da segurança da informação que é a Classificação da Informação. Quando eu classifico um dado/informação eu de fato demonstro que me preocupo com o valor desses dados e informações. E isso é fundamental em segurança: conhecer o valor e classificá-la segundo critérios estabelecidos.

E mais uma vez tenho que frisar: em qualquer meio que o dado/informação esteja disponibilizado. E mais, como cito no título do item, essa classificação deve estar presente nos quatro ciclos de vida da informação, começando pelo manuseio até seu descarte. Quando o dado/informação está devidamente classificado, e consequentemente valorado de forma estruturada, eu estabeleço um requisito fundamental para estabelecer permissões e evitar privilégios.

Projetos de concessão e controle de acesso lógico onde de forma preliminar foi estabelecido a Classificação da Informação de forma estruturada e criterizada, o projeto de acesso lógico demonstrou de forma clara o quão estava robusto e sólido.

Posso ser chato, mas tenho que voltar a falar o que venho dizendo há anos: se quer fazer a coisa certa em segurança da informação não há como fugir de um projeto estruturado da classificação da informação.

 

(5) Conscientização e educação em Segurança da Informação é o ano inteiro.

E por fim, é necessário o estabelecimento de um programa que possa conscientizar e educar o colaborador sobre o tema. De novo, não é só aquela palestra que muitas empresas fazem falando das diretrizes da política. Isso é enfadonho e ninguém se conscientiza de nada. É colocar no “sangue” do colaborador a cultura da segurança da informação. Posso dizer a você com todas as letras se isso for realizado de forma planejada muitos, mas muitos problemas seriam evitados, inclusive vazamento de dados/informação. Como? Não vou contar o milagre todo por que vivo disso, mas para começar, e se realizado de forma lúdica, a engenharia social interna pode ser evitada.

AMBIENTE DE TERCEIROS

Como no vazamento interno, aqui também não faltam incidentes. Quase todo dia tem um sendo noticiado. Vamos então.

Aqui temos dois tipos principais. Um, em que uma dada empresa disponibiliza seus dados/informações para um terceiro, por qualquer motivo, em que ele atue em apenas um ou nos quatro ciclos de vida da informação. O outro tipo, esse um consumidor, que tem seus dados/informações disponibilizados a um terceiro, que também pode atuar em um ou nos quatro ciclos de vida da informação.

Vejamos quando uma empresa disponibiliza seus dados/informações a um terceiro.

Normalmente vários cuidados são tomados no campo jurídico. Termos de confidencialidade, contratos bem escritos com cláusulas prevendo multas em caso de vazamento de dados, etc. Mas, o mais importante, e que em boa parte dos casos não é realizada, é uma ação preventiva a ser efetivada antes da formulação de qualquer contrato. Essa ação é uma auditoria para saber o quanto a empresa está preparada em termos de segurança da informação para ter disponibilizado as informações da empresa. Os resultados dão o Go ou No Go para a realização do contrato.

Essa auditoria deve varrer o escopo do contrato com minucioso detalhamento dos dados e informações que serão disponibilizados à empresa contratante. A auditoria deve estar municiada de todos os requisitos de segurança dos dados e informações que serão disponibilizados e preparar seus critérios de auditoria dentro de seu planejamento.

Essa auditoria muito provavelmente deverá apontar não conformidades e, desde que a empresa a ser contratada se interesse, essas não conformidades deverão ser corrigidas em um prazo a ser fornecido pelos auditores. Somente depois de uma segunda visita e os pontos corrigidos é que o contrato poderá ser redigido com as cláusulas que se desejar.

Por mais que se estabeleçam multas pesadas e/ou outros, o risco operacional de se efetivar um contrato dessa natureza sem uma auditoria como a citada é elevadíssimo. As prováveis perdas operacionais (financeira e imagem) por conta de um incidente de vazamento, por exemplo, podem provocar até a descontinuidade do negócio da empresa contratante, por mais que se aplique multas no terceiro.

Ok, tudo certo a empresa foi aprovada e o contrato estabelecido. Acabaram as auditorias? NÃO. Ao longo do contrato outras auditorias devem ser estabelecidas, com dia e hora marcados. Bom seria se pudessem ser previstos em contratos visitas de surpresa, sem aviso prévio, daquelas: passei aqui para tomar um cafezinho. Explico.

O tomar um cafezinho dá a possibilidade de, somente passeando pela empresa contratada, poder encontrar material de elevado valor da empresa contratante, por exemplo, impresso em um pool de impressão. Isso, entre outros tantos possíveis incidentes. Sem a surpresa, a empresa contratada pode lançar um texto alerta aos seus funcionários, que entre outros, lembrando a todos que naquele dia não esqueçam nada no pool de impressão, etc.

A empresa contratada, como a contratante, precisa ter a consciência de inserir no DNA de seus colaboradores a segurança da informação. Isso é imperativo.

Acabou? NÃO. Se o contrato for rescindido ou não renovado, deve ser realizada uma auditoria para ter as evidências necessárias de que a contratada descartou todos os dados/informações da empresa contratante. Caso isso não seja realizado, não percorremos o ciclo de vida da informação, o que pode trazer futuros problemas.

Já realizei diversas auditorias com esse escopo e encontrei muitas não conformidades, algumas classificadas como graves, que impossibilitava qualquer assinatura de contrato com a empresa. A maioria das empresas terceiras auditadas, interessadas no contrato a ser celebrado, corrigiram essas não conformidades e os contratos eram efetivados.

Confesso que a demanda que tenho por essas auditorias preventivas são menores do que as auditorias com as empresas terceiras já contratadas. Nesse caso, a demanda pelo meu serviço geralmente ocorre quando algum incidente ocorreu no terceiro, e dessa forma contratam o serviço e normalmente encontramos outros riscos que podem vir a provocar futuros incidentes, o que dos males é o menor.

Sobre o segundo tipo, os dados de consumidores. Difícil aqui. Não posso eu Mário Sérgio, contratar uma auditoria para cada empresa que estabeleci uma relação comercial e que ficou com meus dados. Aqui somente as leis sobre o tema. O que cabe e isso é importante, é saber no antes de disponibilizar seus dados, se a empresa mostra em um contrato ou documento legal o que faz com seus dados e como os protege. Isso não quer dizer muita coisa, porque papel aceita tudo, mas é algo que você tem em mãos e pode usar.

Outro ponto importante é saber se já houve incidente noticiado pela imprensa sobre a empresa. Se houve, você deve se aprofundar na pesquisa sobre a mesma, sentir que está apoiado nas informações que precisa e daí decidir o que fazer. Tenha sempre todo cuidado, pois os seus dados podem cair em mãos de quem você nem imagina e ele vale muito!

E para terminar, o caso desses dias envolvendo o Facebook e a Cambrige Analytica, empresa de análises de dados que foi acusada de ter coletado e usado os dados de 50 milhões de usuários do Facebook. Essas informações revelaram o perfil completo de 50 milhões de pessoas que estão na rede social, que passaram a receber propaganda altamente personalizada durante, por exemplo, a campanha de Donald Trump e do Brexit.

 O escândalo explodiu depois que um ex-funcionário da Cambridge Analytica, chamado Christopher Wylie, revelou que a consultoria britânica pegava dados das pessoas que fizeram o teste e também de seus amigos, sem consentimento.

Vou voltar no tema com mais profundidade, mas sempre alertei clientes em palestras de conscientização que faço que o Facebook é uma rede gratuita, que você não paga nada para entrar e nem para sair, e isso parece bom, mas se perguntaram alguma vez como uma rede social protege seus dados? Quem os acessa? O que faz com eles? Complicado, né?

 

Era isso!

 

Até a próxima.

_______________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br