Segurança da Informação

Ξ 1 comentário

Incidentes de segurança

publicado por Lilian Pricola

As estatísticas mostram que colaboradores internos são responsáveis por mais de 70% dos incidentes de segurança. Isso quer dizer que as empresas estão contratando hackers ou pessoas mal intencionadas? Não!!

Por desconhecimento das políticas, processos e controles da empresa, as pessoas acabam expondo a organização a riscos.

Trabalho há quase 25 anos na área; estive em várias empresas e troquei experiências com outros profissionais e vou citar casos que, realmente, ocorreram, por mais estranhos que possam parecer!

Um profissional levou de sua casa um roteador wireless e conectou-o na rede corporativa da empresa, visando auxiliar na conectividade de novos colaboradores. Ele sabia que deveria ter aberto um chamado técnico junto à equipe de redes, para providenciar os acessos. Sabia, também, que o atendimento levaria mais de uma semana, o que causaria atraso em seu projeto. O que ele não imaginava é que tal ação faria com que a rede da empresa ficasse exposta a possíveis ameaças de pessoas que estivessem localizadas externamente, no andar de baixo, de cima ou do outro lado da rua. Cometeu, portanto, ainda que sem intenção, um incidente de segurança e, quando foi abordado, informou que havia protegido o acesso ao roteador por meio de criptografia e senha. É importante ressaltar que somente profissionais autorizados podem instalar estes dispositivos na rede, pois neles são configurados controles adicionais, tais como criptografia avançada, senhas complexas, certificados digitais, restrição de acesso às imediações internas da empresa, não exposição do roteador a acessos anônimos (os usuários que desejam se conectar devem conhecer previamente o nome do roteador).

Mas como a empresa pode se proteger desse tipo de incidente?

Primeiramente, todo incidente deve ser documentado, registrado e analisado. Existe um controle na norma de segurança ISO/IEC 27001 denominado “aprendendo com erros”. Os erros sempre vão existir e devemos aprender com eles para podermos desenvolver prevenções e evitar que ocorram novamente.

No caso citado, a empresa inseriu um tópico em sua norma de segurança, informando que a conectividade de dispositivos na rede corporativa era de total responsabilidade da área de TI e que qualquer outro profissional que o fizesse estaria quebrando a referida norma de segurança. Medidas disciplinares cabíveis seriam aplicadas aos profissionais que inserissem qualquer dispositivo na rede corporativa. A divulgação desse tópico foi feita por meio de comunicados internos e inserção do conteúdo nos treinamentos corporativos. Controles adicionais foram introduzidos na rede para que, caso alguém conectasse algum dispositivo, este não fosse reconhecido automaticamente por ela.

E o que o profissional deveria ter feito para não expor a empresa ao risco? Primeiramente, deveria ter inserido, em seu cronograma de projeto, os prazos compatíveis entre a contratação de novos colaboradores e a abertura dos chamados técnicos. Como não o fizera, ele deveria ter aguardado o tempo necessário para o atendimento ou escalado o assunto para seus superiores. Um profissional não pode assumir um risco em nome da empresa; existem representantes, normalmente ligados à presidência, que podem fazê-lo, mas isto é um assunto para um outro artigo.

Autor

MBA-Gestão Empresarial pela FGV, Pós-graduada em Segurança e Auditoria de Redes pelo LSI-USP e Bacharel em Ciências da Computação pela PUC-SP. Auditora líder da 27.001 e auditora interna da ISO 20K. Membro do Comitê CB-21 – ABNT. Professora responsável por elaborar e ministrar treinamentos sobre Segurança da Informação em empresas públicas e privadas. Experiência de 25 anos atuando no segmento bancário e prestação de serviços de TI, participando ativamente dos projetos de certificação ISO/27001 e ISO/20000. Gerente de Segurança da Informação responsável pela implantação do processo de Governança, Risco e Compliance (GRC), Continuidade de Negócios e Desenvolvimento de Produtos de Segurança. Como especialista em segurança, foi responsável pela administração de ferramentas de proteção migração de Datacenters e criação do CSIRT.

Lilian Pricola

Comentários

1 Comment

  • Ótimo case, Lilian. Abs, Mônica.

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes