Aula 6 – Fatores Humanos em Segurança da Informação

Transcript

1. ADS SEGINF Aula 6 – Fatores Humanos em Segurança da

   Informação 1

2. Introdução • Complexas e imprevisíveis por natureza, as pessoas respondem

   aos estímulos e situações de forma distinta, por isso o comportamento humano dificilmente pode ser previsto. • Uma organização não deve confiar cegamente que seus colaboradores terão um comportamento de acordo com suas expectativas para com a proteção de suas informações. • A assinatura da política de segurança e do acordo de confidencialidade não assegura que o comportamento das pessoas será conforme o esperado! 2

3. Para reflexão 3

4. Objetivo • As pessoas são um dos pilares fundamentais para

   obtenção da Segurança da Informação. • Deve-se pensar em controles de segurança: • Antes da contratação. • Durante a contratação. • No momento de desligamento e após. 4 Segurança da Informação Tecnologia Pessoas Processos

5. Antes da contratação • Deve-se definir e documentar os papéis

   e responsabilidades de funcionários, fornecedores e terceiros, que devem ser assimilados e aceitos antes da contratação. • Deve-se verificar o histórico tendo em conta a classificação das informações. • Devem ficar claros a ciência e o aceite: • Políticas de segurança; • Acordo de confidencialidade (NDA) • Padrões de ética e conduta na empresa; e • Ações a serem tomadas em casos de violações de segurança e punições. 5

6. Durante a Contratação • Assegurar que os funcionários, fornecedores e

   terceiros estão conscientes das ameaças e preocupações relativas à segurança da informação, suas responsabilidades e obrigações, e estão preparados para apoiar a política de segurança da informação da organização. • Estabelecer um processo disciplinar formal para tratar das violações de segurança, assegurando um tratamento justo e correto aos funcionários que são suspeitos de cometer violações de segurança da informação. 6

7. Conscientização, educação e treinamento • Todos os funcionários e, onde

   pertinente, fornecedores e terceiros devem receber conscientização e atualizações regulares sobre segurança no que for relevante para as suas funções. • Tópicos comuns incluem: • Uso de e-mail; • Navegação na Internet; • Comportamento seguro em locais públicos; • Tratamento de Informações; e • Uso das credenciais de acesso. • A empresa deve sempre se manter atenta a mudanças tecnológicas e novas necessidades de capacitação. 7

8. Conscientização –Tópicos Comuns • Cibercrimes. • Phishing. • O que

   você joga no Lixo? • Descarte ou Doação de Equipamentos. • Dados Pessoais nas Redes Sociais. • Roubo ou Perda de Equipamentos. • Ambiente fora da Empresa. • Sala de Reunião. • Valor das Informações. 8

9. Conscientização, educação e treinamento • Safernet - http://www.safernet.org.br/ 9 •

   CERT.BR - http://cartilha.cert.br/fasciculos/

10. Encerramento ou mudança da contratação 10 • Encerramento de atividades

    • Responsabilidades para realizar o encerramento ou mudança de um trabalho deve ser claramente definidas e atribuídas. • Devolução de ativos • Todos os funcionário, fornecedores e terceiros devem devolver todos os ativos da organização, incluindo equipamentos e materiais que estiverem em sua custódia. • Retirada de direitos de acesso • Retirar todos os direitos de acesso aos recursos de processamento da informação.

11. BYOD • A popularização dos smartphones e tablets resultou no

    movimento do uso de dispositivos pessoais no ambiente de trabalho. • Esse fenômeno conhecido BYOD (Bring Your Own Device) gera mais produtividade, porém, traz novas ameaças e desafios à segurança corporativa. Deve-se considerar: • Propriedade x Privacidade. • Dados corporativos x Dados pessoais • Riscos tecnológicos. • Legislação trabalhista. • E agora com o trabalho remoto, como ficamos? Os desafios aumentam! 11

12. Privacidade 12 • Privacidade está relacionada com o direito de

    controlar a coleta e o uso de nossos dados pessoais, quem pode saber o que, em quais condições e para qual finalidade. • Leis como a europeia GDPR (General Data Protection Regulation) e a brasileira LGPD (Lei Geral de Proteção de Dados) possuem diversos requisitos para proteger a privacidade. • Com a LGPD, todas as empresas de pequeno, médio e grande porte terão que investir em segurança para prevenir, detectar e remediar violações de dados pessoais.

13. Privacidade - Aplicativos Móveis • Quem tem antivírus no celular?

    • Hoje há diversas soluções que avisam sobre permissões excessivas. 13

14. Privacidade - Aplicativos Móveis • Se o aplicativo for gratuito,

    o desenvolvedor precisa ganhar dinheiro de alguma forma..... • https://nordvpn.com/pt-br/blog/worst-privacy-apps/ 14

15. Privacidade na Prática https://www.privacytools.io/ - Software de diversas categorias 15

    Livros de Michael Bazzell - https://inteltechniques.com/books.html

16. • Objetivos do Phishing • Coletar Informações Sensíveis. • Infectar

    um computador através do acesso a links maliciosos. • Infectar um computador através de anexos maliciosos como arquivos PDF ou do Microsoft Office, que visam explorar vulnerabilidades e executar código arbitrário no computador alvo. • Perpetrar fraudes (Scam), exemplos clássicos incluem temas como ganho ou prêmios, participação em esquemas de pirâmide financeira, ajuda com transferência de heranças, etc. Phishing • Phishing é o tipo de fraude por meio da qual um golpista tenta persuadir uma pessoa a tomar uma ação após o recebimento de um e-mail, sendo que 97% das pessoas não identificam claramente mensagens de phishing!* • Quando o phishing é direcionado a pessoas em cargos estratégicos nas empresas, ele recebe o nome spearphishing, se envolver altos executivos, o ataque recebe o nome de Whaling (pesca de baleias). 16 Fonte: http://www.cibersecurity.com.br/97-das-pessoas-nao-identificam-phishing/

17. Análise de Phishing 17 http://bit.ly/2vx99rZ https://locked-apple-account.ml/ VT 6/67

18. Análise de Phishing 18 Detecção no VirusTotal - https://www.virustotal.com/gui/url/8b7d27a869c48969c8ba58c6687eb3fae eef996ce5c111cb9b72accbbf84c9a6/detection

19. Base de Dados de Phishing 19 PhishTank - https://www.phishtank.com/

20. Base de Dados de Phishing 20 Catálogo de Fraudes RNP

    - https://catalogodefraudes.rnp.br/

21. Engenharia Social • É o nome dado as práticas utilizadas

    para obter acesso a informações sigilosas de organizações por meio da enganação ou exploração da confiança das pessoas. • Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. • Explora as vulnerabilidades das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas. 21

22. Engenharia Social Ativa • O ser humano possui traços comportamentais

    e psicológicos que o torna suscetível a ataques de engenharia social. • Dentre essas características, pode-se destacar: • Vaidade pessoal e/ou profissional. • Autoconfiança. • Formação profissional. • Vontade de ser útil. • Busca por novas amizades. • Propagação de responsabilidade. • Persuasão. 22

23. Engenharia Social Passiva • Uma empresa deve-se preocupar com outros

    vetores passivos, sem interação direta com as pessoas, como: • Mergulho na Lixeira (Dumpster Diving) - envolve mergulhar em lixeiras em busca de informações valiosas. • Pegar Carona (Tailgating) – ocorre quando um indivíduo sem autorização de acesso segue de perto uma pessoa autorizada em uma área reservada. O malfeitor aproveita o momento, quando o autorizado abre a porta com seu crachá/chave - e entra furtivamente antes que a porta se feche. • Surfar no Ombro (Shoulder Surfing) – envolve o simples ato de olhar por cima do ombro dos alvos, para obter informações e dados confidenciais. 23

24. Engenharia Social - Prevenção • Educação e Treinamento – Importante

    conscientizar as pessoas sobre o valor da informação que elas dispõem e manipulam, seja ela de uso pessoal ou institucional e também informar os usuários sobre como age um engenheiro social. • Segurança Física – Permitir o acesso a dependências de uma organização apenas às pessoas devidamente autorizadas, bem como dispor de funcionários de segurança a fim de monitorar entrada e saída da organização. • Política de Segurança – Estabelecer controles rígidos quanto ao uso das senhas e boas práticas de segurança, como o uso de computadores em lugares públicos como lan houses, aeroportos e hotéis. • Monitoração – É essencial monitorar o acesso aos sistemas e criar alertas para detectar anormalidades. 24

25. Dúvidas? 25