Privacidade e Segurança na Sociedade da Informação

MARCO AURÉLIO*
No dia 16 de dezembro participei da conferencia "Privacidade e Segurança na Sociedade da Informação - Lições Aprendidas 2015" no Auditório da Fundação Portuguesa das Comunicações, em Lisboa e sintetizei algumas informações de cinco apresentações neste post.

O encontro foi organizado pelo Grupo Segurança na Sociedade da Informação (GSSI) da APDSI e teve o objetivo de promover, junto dos decisores e cidadãos em geral, a necessidade de atualização de informação relativa à realidade vivida e observada nos domínios de Privacidade e Cibersegurança no último ano, quer em Portugal quer na União Europeia, e debater acontecimentos e ações que vários intervenientes perspectivam relativamente ao futuro neste domínio.

COORDENAÇÃO: GSSI DA APDSI
HELDER VASCONCELOS

Helder Vasconcelos, coordenador da GSSI da APDSI (Associação para a Promoção e o Desenvolvimento da Sociedade da Informação realizadora do evento), considera que a privacidade é um direito fundamental dos cidadãos e proteger a privacidade é um dos maiores desafios do mundo digital. Assim, devemos prevenir o uso ilegítimo das tecnologias de informação e fazer com que a utilização de tecnologias digitais contribua para um incremento da segurança e privacidade, e com isso proteger a informação, evitando a sua utilização abusiva.

Alguns problemas do "presente"
- Informação exaustiva e sensível, quer pessoal quer empresarial, é frequentemente digitalizada e guardada em servidores sem garantias de segurança;
- A imposição de cláusulas de "renúncia de direitos à privacidade" de dados pessoais por parte de operadores e fornecedores de serviços da internet como, por exemplo, o Gmail.

Alguns desafios futuros
Cloud Computing - Informação empresarial sensível a residir em servidores externos à empresa.

Big Data - Mais informação disponível e com valor comercial: input para fornecedores bens e serviços e ativo para anunciantes;
Perdas de privacidade decorrentes da agregação e manipulação da informação sobre comportamento dos consumidores online.

Privacidade e concorrência - O caso das F&As - se fusão implicar combinação de bases de dados, a informação passa a ser controlada por uma entidade diferente daquela com a qual o consumidor escolheu interagir. Pode criar poder de mercado "indevido" no mercado de informação sobre consumidores.
 

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
LUÍS MIRA AMARAL
ENGENHEIRO (IST) E ECONOMISTA (MSC NOVASBE)
PRESIDENTE EXECUTIVO BANCO BIC PORTUGUÊS

Para o Engenheiro (IST), economista (MSC NOVASBE) e Presidente Executivo do Banco BIC Português, a informação é um dos ativos mais preciosos que uma organização pode dispor, sendo essencial para o negócio necessita de proteção adequada.

E, por ter um papel fundamental no suporte dos processos de negócio, a informação está exposta a três elementos fundamentais:
- Tecnologia - armazenar, processar e transmitir informação;
- Pessoas - criam e utilizam a informação;
- Processos - manipulam a informação para a execução dos processos de negócio.

O volume de informação em formato eletrônico tem vindo a aumentar exponencialmente nos últimos anos com o crescimento da economia digital e a proteção da informação neste contexto é de uma importância vital para que as bases de confiança entre os vários parceiros se mantenham e solidifiquem.

As politicas, normas e procedimentos de Segurança da Informação aplicam-se a todos os colaboradores independentemente do seu vinculo laboral, prestadores de serviços ou quaisquer entidades em regime de Outsourcing.

São ainda aplicáveis quer ao ambiente informático quer aos meios convencionais de tratamento, comunicação e arquivo da informação.

A Estrutura documental e operacional tem por objetivo a criação de todo o conjunto documental de politicas, normas e procedimentos de Segurança da Informação de modo a colocar o Banco em conformidade com as best practices nesta matéria.

Luiz Amaral diz que as falhas de segurança da informação são causadas, normalmente, por:
- Ausência de politicas, normas e procedimentos que permitam a gestão de riscos e ameaças;
- Ausência de uma cultura de segurança;
- Novas vulnerabilidades originadas pela utilização de novas tecnologias, pelo aumento do trabalho em rede ou em equipamentos sem fios;
- Erro/falha humana acidental ou deliberada;
- Ausência de processos que permitam aferir/medir o risco de segurança e que garantam a implementação oportuna de correções ás aplicações e sistemas;
- Aumento de ataques deliberados por cyber criminosos;

Alguns fatos sobre a segurança da informação
De acordo com a Websense - Cyber Security Company e o Financial Times as entidades financeiras enfrentam cerca de 300% mais cyber attacks do que as empresas de outros setores de atividade;

Cerca de 90% dos ataques começam por um e-mail com código malicioso que é aberto por alguém dentro da organização;

De acordo com o site Infoblox network no segundo trimestre de 2015 assistimos a um aumento de 74% de phishing e pharming.

Alguns dos ataques mais recentes conhecidos e numero de usuários com informação comprometida*:
- eBay - 145 milhões de usuários
- Anthem (seguradora) - 80 milhões de usuários
- JPMorgan Chase - 76 milhões de usuários
- Target (lojas) - 70 milhões de usuários
- Home Depot (lojas) - 56 milhões de usuários

*Informação comprometida - na sua maioria dados de pagamentos e dados pessoais sensíveis.

Já não se trata da possibilidade de ser atacado, mas sim de quando seremos atacados e de quanto tempo levaremos a responder.

PLANO DE SEGURANÇA TECNOLÓGIA
Utilizando o risco como critério de avaliação das prioridades de segurança do Banco, e sendo este risco continuamente avaliado, garantimos que as decisões tomadas com base nessa informação serão sempre justificadas pelas ameaças reais ao Banco e os recursos despendidos para endereçá-las são os necessários.

Para Luis Amaral a continuidade do negócio (gerir o negócio mesmo sem sistema) é diferente (e mais importante) do que o disaster recovery.

Assets > Ameaças > Controles > Vulnerabilidades > Medidas
Assets são os bens do Banco, quer humanos, materiais ou lógicos/intelectuais que possam ser explorados causando um impacto avaliável.
Para definir o peso relativo de cada um dos assets do Banco, foram definidas duas métricas:
Criticidade de um asset para o negócio:
 Negligenciável
 Marginal
 Crítico
 Catastrófico

Nível de confidencialidade:
 Público
 Interno
 Confidencial
 Alto risco

É feita uma avaliação das ameaças aos bens do Banco, organizada por tipo de impacto que as mesmas possam causar. É essencial que esta avaliação nunca esteja fechada e seja revista e melhorada ciclicamente.
 Confidencialidade
 Integridade
 Disponibilidade
 Custos diretos por destruição/perda
 Custos diretos por roubo/extorsão
 Custos de resolução de incidente (perdas de produtividade interna, recursos externos)
 Perda de confiança do cliente / Reputacional
 Falhas regulamentares
 Falhas contratuais
 Cenários de desastre

Controles existentes no Banco que possam endereçar as ameaças identificadas. Estes controles podem ser de quatro tipos:
 Detecção
 Correção
 Mitigação
 Prevenção

Vulnerabilidades identificadas nos assets do Banco que não consigam ser totalmente endereçadas pelos controles atuais. Esta lista estará, à imagem da lista de ameaças, em constante evolução.

O BancoBIC tem sido alvo de ataques desde o inicio do ano de 2015, urge proceder à implementação das medidas atrás preconizadas.

 
JOSÉ TRIBOLET
PROFESSOR CATEDRÁTICO
PRESIDENTE DO INESC

José Tribolet, Professor catedrático e presidente do INESC sugere a arquiterua abaixo.

Na ilustração acima, Tribolet alega que a camada Organização só funciona para os sócios. Na camada de aplicações brinca dizendo que as empresas vendem as soluções (Aplicações) e as empresas compram problemas.
Mas, em Serviços temos a camada mais moderna, com uma arquitetura orientada a serviços.

No lado esquerdo temos o controle a priori, enquanto na coluna da direita o sistema tem que ser observado. É o controle a posteriori. Para isto temos que ter log de tudo, não manipulados por aplicações. Análogo à caixa preta do avião.

O mais importante é ter uma política de acesso e, antecipadamente, saber quem faz o quê e manter a informação encriptada.
Então, se você tem uma coisa (entidade de informação) e uma ação (verbo) vai mudar o estado da informação, isto só pode ser feito se o autor tiver privilégio para tal.

Enquadramento dos Projetos de Transformação da Organização Y
O sistema XPTO tem como objetivo ser o Sistema de Informação transversal de suporte à Organização Y.
Neste contexto, deverá integrar todas as aplicações de "negócio" onde Y atua, no que deverá ser "visto" como um sistema único.

Arquitetura de Referencia
A organização Y terá uma Arquitetura de Referência baseada em princípios de arquitetura de Sistemas de Informação e que deverá garantir:
- O alinhamento do Sistema com as necessidades das entidades intervenientes no âmbito do Diagrama de Contexto da Organização Y
- A segurança da informação.
- O controlo de acessos de acordo com os perfis dinâmicos dos seus diversos tipos de usuários.
- A auditabilidade de todas as ações efetuadas.
- A gestão da informação.
- A segurança da informação.

Arquitetura de Informação
Especifica as entidades de Informação da Organização Y.
Especifica os mecanismos de gestão das Entidades de Informação.
Deverá ser independente de:
- Fluxos de Negócio (a nível conceitual e técnico)
- Estrutura funcional e orgânica de Y (devido a mudanças orgânicas, procedimentais, legais, etc.)
- Aplicações
- Tecnologia

Arquitetura dos Fluxos de Negócio
Especifica os fluxos de negócio de Y, com ênfase na gestão do ciclo de vida dos Processos.
Necessita de suportar múltiplos pontos de vista dos atores organizacionais.
Deverá ser independente de:
- Estrutura funcional e orgânica de Y
- Aplicações
- Tecnologia

Segurança
Especificação do modelo de segurança deverá ser uma característica da arquitetura.
- Independente da sua concretização aplicacional e tecnológica.
- Princípio de "não confiança": a segurança não poderá ser garantida pelas aplicações individuais.
Deverá incluir mecanismos para:
- Autenticação,
- Autorização,
- Criptografia,
- Não Repudiação,
- Delegação de Confiança.
Deverá suportar o conceito de Perfil de Acesso:
- Gere o acesso a qualquer objeto do sistema que pode mudar de estado ou provocar uma mudança de estado.
- Autoriza a relação entre aplicações, usuários, fluxos de negócio e entidades de informação.
Os perfis são suportados de forma transversal à da arquitetura e não dependem de aplicações de negócio individuais

Regras de Negócio
Regem as normas legais, procedimentais ou outras que cruzam a arquitetura de referência.
A arquitetura deverá especificar:
- O modelo de suporte às regras de negócio.
- Os mecanismos de gestão de regras de negócio.
- A sua articulação com as demais componentes da arquitetura, especialmente fluxos e informação.

Monitorização e Auditabilidade
Garante a verificação rastreável da utilização dos sistemas a nível operacional, aplicacional e tecnológico.
Monitorização e auditabilidade aplicam-se a:
- Todas as atividades e entidades (ex.: documento, peça de informação).
- Qualquer outro elemento da arquitetura que possa mudar de estado ou provocar uma mudança de estado.
Suportado por mecanismos seguros e independentes e com garantia de não repudiação.
Característica da arquitetura e não das aplicações

 
CYBER RISKS & VISÃO EMPRESARIAL PORTUGUESA
RESULTADOS DO SURVEY EUROPEU 2015
RODRIGO SIMÕES DE ALMEIDA, COUNTRY MANAGER DA MARSH PORTUGAL

A Marsh realizou, em 2015, o seu primeiro Survey Europeu relativamente aos riscos cibernéticos, que teve como objetivos:
- perceber o nível de conhecimento das Empresas sobre este risco;
- quais as suas reações;
- quais os processos em curso para responder a esta ameaça.
 Mais de 700 empresas, de toda a Europa, participaram.
 Portugal foi o 2.º país com mais respondentes.

Que tipo de conhecimento, acredita que, a sua Empresa tem sobre a exposição a ataques cibernéticos?
- 39% Conhecimento Básico
- 36% Conhecimento Completo
- 25% Conhecimento Limitado
64% tem conhecimento básico ou limitado sobre a sua exposição ao risco cibernético

Nos seus riscos corporativos, onde figura o risco cibernético?
- 32% TOP 10 dos Riscos
- 25% TOP 5 dos Riscos
- 25% Não está considerado como Risco
- 18% Fora do TOP 10 dos Riscos
57% considera o risco cibernético no seu TOP de Riscos

75% identifica o Departamento de IT como responsável pela revisão e gestão dos riscos cibernéticos.

64% diz que o seu Departamento Financeiro não tem um plano implementado para aceder a fundos de financiamento, de modo a responder quando for necessário.

64% não analisa a exposição dos seus fornecedores/clientes aos riscos cibernéticos.

66% identifica o Departamento de IT como responsável pela revisão e gestão dos riscos cibernéticos.

A sua Empresa estimou o impacto financeiro de um ataque cibernético?
Qual o pior cenário de perda?
- 74% Sem Perdas Estimadas
- 16% Acima de 5 milhões de Euros
- 5% De 2 a 5 milhões de Euros
- 5% 0 a 1 milhão de Euros
74% não estimou o impacto financeiro de um ataque cibernético

A sua Empresa possui algum plano de contingência para ataques
cibernéticos?
- 39% Parcialmente
- 32% Sim
- 15% Não Sei
- 14% Não
32% possui um plano de contingência para um ataque cibernético

Que cenário de perda cibernética se apresenta como a maior ameaça para a sua Empresa?
- 29% Interrupção do negócio
- 20% Danos de dados ou software
- 18% Fuga de informação de Clientes
- 9% Responsabilidade face a terceiros como resultado de uma falha no sistema
- 7% Perda de propriedade intelectual
29% considera a interrupção do negócio a pior ameaça de um ataque cibernético

Considera que a maior ameaça, à sua Empresa, pode ter origem em?
- 39% Hackers (ameaça externa)
- 30% Uma ameaça interna (ex. infidelidade de colaboradores)
- 27% Erro operacional, incluindo perda de equipamentos móveis
- 4% Crime organizado
39% considera a ameaça externa como ponto da sua origem

Empresas & Seguro de Cyber
89% não tem conhecimento suficiente sobre o Seguro de Cyber
A sua Empresa sofreu algum ataque cibernético nos últimos 12 meses?
- 23% Sim
- 59% Não
- 18% Não Sei
23% sofreu um ataque cibernético nos últimos 12 meses

Principais conclusões
As empresas portuguesas apesar de colocarem o risco cibernético no seu TOP de riscos, têm um conhecimento básico ou limitado sobre a sua exposição a este risco.

A revisão e a gestão dos riscos cibernéticos devem passar não apenas pelo Departamento de IT, mas também pelo Departamento de Gestão de Riscos e Administração.

Identificam cenários de cyber que podem as afetar, contudo não têm um plano implementado para fundos de financiamento para dar resposta, nem têm estimado o impacto financeiro de um ataque cibernético.

No caso de um ataque cibernético, a interrupção de negócio é considerada como a maior ameaça e no que se respeita à sua origem os Hackers ocupam a primeira posição.

Apesar de 23% assumirem ter sofrido um ataque cibernético no último ano, 89% não tem conhecimento suficiente sobre o Seguro de Cyber.

As apólices específicas de Cyber Risks visam ocupar as lacunas existentes nas apólices tradicionais, como por exemplo, a de Danos Materiais e Responsabilidade Civil Geral que não têm cobertura, nomeadamente, para responsabilidade decorrente da divulgação de informação; responsabilidade por violação de privacidade; responsabilidade pelos prejuízos econômicos sofridos por terceiros, decorrentes de falha de sistema informático ou de segurança de rede.

O Risco Cibernético estará, certamente, no TOP dos Riscos de 2016 e a solução passará por uma boa consultoria na gestão e mitigação deste risco.
 

"BEYOND"
CYBER SECURITY & PRIVACY
JOSÉ A. S. ALEGRIA
HEAD OF CYBER SECURITY AND PRIVACY
PORTUGAL TELECOM'S CSO

A segurança começa em você.
Abaixo, a lista TOP 5 das vulnerabilidades em violação de dados, de acordo com a Forbes, 05 de novembro de 2015 - http://www.forbes.com/sites/ericbasu/2015/11/05/the-top-5-data-breach-vulnerabilities/
1. Funcionários
2. Dispositivos móveis desprotegidos
3. Aplicações armazenadas em Cloud
4. Fornecedores de serviços terceirizados
5. Ataques maliciosos

Há também muitas "empresas" que ainda ignoram Cyber Security.

E a situação é ainda pior no nível "residencial" e "pessoal".

Em 2020 teremos um novo mundo digital: 7B de pessoas; 30B de dispositivos e 44 Zettabytes de dados.

Usar dados pessoais para segmentar anúncios é o capitalismo vigilante.
Shoshana Zuboff, professor emérito da Harvard Business School.

ABRE PARÊNTESIS
Enquanto fazia este compilado, recebi um lembrete de privacidade do Google:

Role para baixo e clique em "Concordo" quando quiser seguir para a Pesquisa Google ou explore outras opções nesta página.

Dados que processamos quando você usa o Google
 Quando você procura um restaurante no Google Maps ou assiste a um vídeo no YouTube, por exemplo, nós processamos informações sobre essa atividade, incluindo informações como o vídeo a que você assistiu, IDs de dispositivos, endereços IP, dados de cookies e localização.
 Também processamos os tipos de informação descritos acima quando você usa aplicativos ou sites que usam serviços do Google como anúncios, Google Analytics e o player de vídeo do YouTube.
Por que os processamos
Processamos esses dados para os objetivos descritos na nossa política, incluindo:
 Ajudar nossos serviços a fornecer conteúdo mais útil e personalizado, por exemplo, resultados de pesquisa mais relevantes;
 Melhorar a qualidade dos nossos serviços e desenvolver novos;
 Fornecer anúncios com base nos seus interesses, incluindo coisas como pesquisas que você fez ou vídeos que você assistiu no YouTube;
 Melhorar a segurança protegendo contra fraude e abuso; e
 Conduzir análises e dimensões para entender como nossos serviços são usados.
Combinação de dados
Também combinamos dados entre nossos serviços e em todos os seus dispositivos para essas finalidades. Por exemplo, usamos dados de trilhões de consultas de pesquisa para criar modelos de correção ortográfica que usamos em todos os nossos serviços e combinamos dados para alertar você e outros usuários sobre possíveis riscos à segurança.
FECHA PARÊNTESIS

Mas, no futuro tudo estará conectado e todo mundo será vulnerável e o que podemos fazer sobre isso? Ler o Livro: Future crimes de Marc Goodman.

É necessário reaproximar Cyber Security & Privacy de uma maneira completamente diferente.

Sete características de resiliência digitais (nível organizacional)
1. Priorizar os ativos de informação com base em riscos de negócios;

2. Fornecer proteção diferenciada para os ativos mais importantes;

3. Integrar a segurança cibernética em gestão de risco corporativo e processos de governança;

4. Contar com o pessoal da linha de frente para proteger os ativos de informação que eles usam;

5. Integrar segurança cibernética (e privacidade) em sua tecnologia e processos;

6. Implantar defesas ativas para envolver atacantes;

7. Testar continuamente para melhorar a resposta a incidentes em todas as funções de negócios.

Marco Aurélio é Sócio-Fundador da Go2web