Posts Tagged ‘Segurança da Informação’

Fatores Externos e a Segurança da Informação

17/07/2009

segurança da informação

Sempre afirmo e cada vez mais tenho certeza baseado na minha experiência e na conversa com outros profissionais ligados à proteção da informação: o processo de segurança  não acarreta maiores problemas, mas aflora os problemas existentes na organização.

Minha primeira constatação desta verdade foi após a implantação com sucesso do conceito de Gestor da Informação em um banco. Com a grande facilidade de que o próprio gestor fazia a liberação das transações que estavam sob o seu domínio. Isto é: não precisava de ajuda operacional da segurança; ele mesmo fazia tudo em tempo real. Um belo dia eu recebi um telefonema de um usuário reclamando que um determinado gestor da informação não liberou para ele um acesso a uma determinada transação. Dizia que ele precisava daquela informação e um choro de lamentação. De uma maneira educada passei a mensagem: não é a segurança que tem autonomia sobre a informação da organização. É o gestor da informação. O usuário deveria voltar e justificar essa necessidade ao gestor da informação. Caso o gestor continuasse não liberando sugeri que ele levasse o problema ao seu nível hierárquico superior.

Tempos depois descobri que havia uma rixa entre o solicitante e o gestor o que gerou todo este ruído. De uma maneira simples, rixa entre pessoas é, inicialmente, um problema de gestão de pessoas, de chefias e do RH. Claro que em segundo lugar a segurança tem haver com esse tipo de problema porque pode atrapalhar o bom andamento do uso da informação.

Sendo assim, quais são essas outras questões que diretamente não tem haver com a segurança, mas que precisamos considerar quando implantamos e gerenciamos o processo de segurança da informação em uma organização?

1. Clima organizacional
Um péssimo clima organizacional não ajuda em nada o processo de segurança da informação. Usuários insatisfeitos com a organização, achando que a empresa só quer espoliar as pessoas, que não tem respeito com os funcionários, prestadores de serviço, clientes e outras sensações negativas só podem exigir um malabarismo para um bom processo de segurança. Uma simples catraca para controle de acesso físico gera reclamações que a empresa quer monitorar o horário de trabalho do lanche, etc… Imaginem o monitoramento de emails!

2. Falta de vibração e comprometimento com a empresa
Diferente do item anterior os usuários não estão insatisfeitos com a organização, mas, também não estão satisfeitos. Farão o feijão com arroz mínimo. Chegou o horário da saída: tchau! Se o princípio de incêndio começou um minuto após o fim de expediente, não é mais problema de ninguém. A área de segurança patrimonial que resolva. Como no prato ovos com bacon, todos são a galinha: estão envolvidos. Ninguém está comprometido como o porquinho.

3. Executivos não dão exemplo, afinal são os donos, são a família.
Empresas familiares, principalmente a terceira geração que recebeu a criação da primeira geração e o crescimento da segunda geração e agora dirige uma empresa lucrativa e rica, esquece (na maioria das vezes) de tratar questões como a segurança, de uma maneira profissional. Segurança vale para os funcionários; para os donos, não! Se esses membros da família permitirem o diálogo com especialistas, poderão mudar de idéia/entendimento. Se não, essa característica de empresa familiar será uma dificuldade.

4. A Organização não é familiar, mas possui vários donos.
Empresas como cooperativas onde todos são donos da organização, também têm dificuldades semelhantes às empresas familiares. Difícil de entender? Lembre-se do condomínio onde você mora ou passa suas férias. Que dificuldade para um porteiro impedir o acesso de um morador (que ele não conhece) e que não se identifica. Depois as pessoas se queixam de assaltos em condomínios.

5. Alguns dirigentes estão na organização.
Alguns executivos estão na organização. Qualquer problema eles mudam para outra organização. Afinal ele é famoso pela sua liderança e capacidade. O mundo ficou chocado quando foi comunicado de uma maneira mais explícita os bônus milionários que os executivos recebiam, independente de que as empresas estavam indo ladeira abaixo. Muitas vezes sem cometer nada ilegal, conseguiam fechar o ano com uma foto bonita e aparentes lucros. O que aconteceria no dia primeiro de janeiro do ano seguinte ou como estava o risco de um desastre acontecer e a empresa afundar de vez, não importava. Rigorosamente isto foi mais noticiado quando o governo americano colocou dinheiro do povo americano para salvar empresas e bancos e enquanto isso seus executivos estavam recebendo polpudos bônus. Não existe comprometimento mínimo com a empresa.

Existem outros fatores externos à segurança da informação que afeta o processo de proteção. Evidentemente que alguns (ou a maioria) fogem do poder do gestor da segurança da informação, porém isto não impede que este gestor esteja atento. Esses fatores externos exigem que o gestor de segurança da informação seja criativo e cada vez mais profissional. Além do que ele precisa estar comprometido com a organização e esta mesma organização precisa ser merecedora desse comprometimento.

Este texto foi publicado originalmente por Edison Fontes.

As Sete Maiores Mentiras do Currículo.

17/07/2009

O Apreendedor Indica:

Gente, gostei muito do artigo publicado pela Constatti, e resolvi postar aqui. É realmente incrível a capacidade que canditados tenham e estejam dispostos a mentir, disponibilizando informaçõe falsas em seus currículos na esperança de conquistar uma vaga. É  muito interessante  e útil o artigo, porque ele além de previnir as empresas também desencoraja os “engraçadinhos de plantão” deixando claro que existem formas simples e eficazes dos empregadores constatarem tais mentiras. É muito bom ver uma empresa como esta, que conta com uma grande equipe e capacidade técnica e que tem o cuidado e a preocupação de levar informação de qualidade ao público.Veja:

As Sete Maiores Mentiras do Currículo.

 mentiras-no-curriculumTemos procurado alertar as empresas para se ter o cuidado quando da contratação de novos funcionários. 

Muitas empresas, sem saber, estão contratando pessoas desonestas as quais ocuparão cargos com acesso privilegiado dentro da empresa. Elas não pouparão esforços de usar do cargo para ter benefício pessoal, e sem o menor escrúpulo do prejuízo que possa causar a empresa.

Essas pessoas usam de má fé, desde o momento da apresentação de seus currículos, inventando toda uma estória sobre seu perfil profissional para conseguir o emprego.

A Revista Época publicou um artigo em 24/04/09 abordando o assunto. Destacamos abaixo o trecho que fala dessas mentiras mais comuns para que você fique alerta e tome precauções.

1. Idiomas
É a mentira mais popular. Trata-se daquele inglês “básico” que no currículo se torna “avançado”. É também a mentira mais fácil de ser identificada. Ocorre principalmente em seleções de jovens profissionais que não esperam uma avaliação rigorosa de seu domínio de idioma estrangeiro. Um simples teste ou uma conversa com o recrutador são suficientes para desmascarar o monoglota.

2. Qualificação
Inventar uma especialização técnica ou transformar um curso rápido em pós-graduação também são manobras muito comuns – e fatais – nos processos de seleção. Além da questão moral, se a fraude é descoberta, leva à dúvida sobre todas as competências que o candidato afirma ter. Essas mentiras são normalmente descobertas na entrevista, quando o recrutador pede detalhes dos cursos realizados – nome dos professores, das disciplinas etc. Se o candidato conseguir manter a farsa, ele ainda pode ser desmascarado quando checadores ligam para a universidade para conferir as informações. Algumas empresas são mais diretas: exigem o certificado dos cursos.

3. Cargos e funções
Muitos candidatos mentem sobre cargos em empregos anteriores para demonstrar experiência ou pleitear salário mais alto. Assim, um estagiário pode virar assistente, um supervisor vira gerente, e por aí vai. São dados de checagem relativamente fácil quando a entrevista é bem feita: o candidato costuma escorregar nos detalhes sobre seu passado profissional.

4. Participação em projetos
Esse tipo de mentira, relacionada a conquistas e projetos implementados em empregos anteriores, exige um esforço maior do recrutador. Por causa do passar do tempo e da rotatividade das empresas, muitas vezes é difícil entrar em contato com antigos colegas do projeto mencionado. Segundo Max Gehringer, esse problema começou a surgir nos anos 1980, quando passaram a circular currículos em primeira pessoa. “O currículo com as palavras ‘liderei’ ou ‘coordenei’ é complicado porque são ações difíceis de ser mensuradas e com resultados muitas vezes subjetivos”, diz Max. A estratégia dos recrutadores para detectar as invencionices é levar a entrevista a um nível de detalhe extremo, para capturar contradições.

5. Motivo de desligamento
Se percebida, a mentira sobre os motivos da saída de empregos anteriores desperta a impressão de que o candidato quer esconder algo. Demissões nunca são bem vistas. Mas hoje, com a rotatividade tão alta, deixaram de ser um estigma. Mesmo assim, devem ser explicadas. Se o desligamento foi espinhoso, o melhor é demonstrar maturidade, assumir eventuais maus passos e mostrar que o episódio serviu de lição. Jogar a culpa no ex-chefe é tentador, mas o efeito é quase o mesmo de um pedido para desistir do processo de seleção.

6. Datas de entrada e saída de empregos
Esticar em alguns meses a permanência no emprego anterior pode ser até aceito pelo selecionador, para quem tem vergonha de dizer que estava desempregado. “Mas a manipulação de datas é intolerável quando ela tenta esconder um padrão de permanências curtas nos empregos”, afirma Vander Giovani, da Kroll. Uma ou duas passagens curtas podem ser devidas a dificuldades de adaptação, diz Giovani. Mais que isso é sinal de instabilidade e falta de habilidades sociais. “Há aqueles que nem sequer colocam experiências curtas para não destacar essa instabilidade”, afirma Carlos Eduardo Dias, da Asap. “Essa omissão é imperdoável.” E facilmente constatada por checadores, ao ligar para empresas ou observar a carteira de trabalho.

7. Endereço
Muitos candidatos mentem em relação ao local de moradia por três motivos: imaginam que morar perto pode facilitar a contratação; acreditam que morar em um bairro mais pobre prejudique suas chances; ou tentam obter uma verba maior de vale-transporte. Nos dois primeiros casos, é uma mentira menos ofensiva, mas também não vale a pena. Quando for descoberta – pela checagem do comprovante de residência ou pela visita de um colega, ela vai despertar desconfiança do empregador.

Leia mais aqui.

Funcionários Levam Informações da Empresa!

17/07/2009

funcionarios_levam_informacoes_grdA Symantec e o Instituto Ponemon, uma empresa de pesquisa líder em gerenciamento de informação e privacidade, realizaram pesquisa junto a trabalhadores que perderam ou deixaram seus empregos em 2008 e constataram em relação às informações da empresa:

  • 79% copiaram informações sem autorização do empregador. Utilizaram CD/DVD, Drive USBou conta pessoal de correio eletrônico. Na opinião deles, 59% eram informações confidenciais.
  • 61% relataram ter uma visão desfavorável do seu antigo empregador.
  • 82% disse que seu empregador não realizou uma auditoria ou uma revisão dos papéis ou documentos eletrônicos antes que ele/ela deixasse o emprego.
  • 24% tiveram acesso ao sistema ou rede de computadores de empregador após a saída da empresa.

Esses números merecem ter atenção por todas as organizações. Ainda bem, meu caro leitor(a) que sua empresa não tem esse problema. Será?

A questão de vazamento de informação está crescente. Infelizmente empresas concorrentes muitas vezes usam métodos não corretos. A maneira mais fácil é via um usuário da empresa alvo que tenha acesso (autorizado ou não) à informação desejada, tipo cadastro de clientes. Mas não esqueça que um vazamento de informação pode ser via invasão de um site não protegido adequadamente.

A grande questão é que muitas empresas não fazem nem o “dever de casa” em segurança da informação. Ter um processo estruturado de segurança da informação é um controle básico. Continuidade nos controles e profissional habilitado para a gestão da segurança são fatores críticos de sucesso.

A empresa precisa saber que vai gastar recursos (financeiros, tempo, pessoas, mudança cultural). Mas toda organização tem condições de ter um bom nível de segurança da informação. As informações da sua organização valem muitíssimo mais do que o valor necessário para implantar e manter os controles. Não sabe quanto valem suas informações? Pergunte ao seu concorrente! Ele sabe muito bem!

Proteja profissionalmente sua informação!

Ética! Um princípio sem fim

Este artigo foi publicado originalmente no site: ITWEB

Saiba Mais:
 
Indico a todos que façam uma visita e confiram o conteúdo da Constatti, hoje chamo a atenção para estas Novas parcerias da Constatti que estão possibiltando a publicação de artigos de profissionais renomados no mercado de Segurança da Informação.A idéia é compartilhar cada vez mais conteúdo relevante para seus clientes amigos e parceiros.

Quebra de Sigilo de Dados Cadastrais/Pessoais e a Ocorrência do Dano Moral.

17/07/2009

 Quando se fala em quebra de sigilo há logo uma associação aos dados bancários, fiscais e telefônicos. Para muitos esta violação ocorre devido a uma corrupção entranhada em nossa sociedade com ampla divulgação pelos meios de comunicação. Em Constituição Federal Anotada de UADI LAMMÊGO BULOS, 2005, Editora Saraiva, 6ª Edição, pág. 159, “o sigilo de dados desdobra-se em duas vertentes: o segredo bancário e o segredo fiscal, formas relativas de direito à privacidade, porque podem ser quebradas pela Justiça Criminal ou Civil, pelas Comissões Parlamentares de Inquérito e até por requisição do Ministério Público. Essa última hipótese não é absolutamente pacífica.” Venho então acrescentar mais uma vertente, que é o SIGILO DE DADOS CADASTRAIS, que nada mais é do que segredo cadastral. Este assunto também é tratado pelo Constitucionalista cima declinado quando aborda que: “Os dados contidos nos bancos de informações também devem permanecer em segredo, para não violar a privacidade alheia.” “O sigilo de dados entrecruza-se como o segredo das comunicações telefônicas. Esse fato é muito benéfico, porque reforça a tutela da intimidade. … Só podem ser quebrados por ordem judicial, com base no princípio da legalidade.” (STF, HC 70.814-5/SP, rel. Min. Celso de Mello, 1ª Turma, DJ 1, 24-6-1994, p. 16650; RT, 709:418). (grifo nosso) Diz ainda que é “Interessante frisar que a garantia do sigilo de dados, no posto de norma constitucional, é uma novidade trazida pela Constituição de 1988. Funciona como complemento aos direitos de privacidade (art. 5º, X) e à intimidade.” Assim entendemos que os dados contidos nos cadastros pessoais (ex.: SERASA e SPC) não podem ser utilizados pelas Empresas para exposição do consumidor de forma pública, seja para negar crédito ou para efetuar, principalmente, suas defesas em processos judiciais com intuito de denegrir o autor em suas demandas, tendo como destaque as ações de danos morais. As Empresas possuem convênios com órgãos de proteção ao crédito para consulta em seus estabelecimentos no momento da compra pleiteada pelo consumidor. Porém, é comum nas ações tramitantes na Justiça de comporem o arsenal de provas as telas de consulta de dados cadastrais, que inclusive trazem com destaque “confidencial”, com intuito de denegrir a imagem do autor por suas inclusões nos referidos órgãos, esquecendo os mesmos de que muitas negativações são efetivadas ao arrepio da Lei, sem notificações, prescritos ou de liquidez incerta por ser o suposto débito alvo de ação de revisão judicial, entre outros fatores. “Consideram-se dados pessoais quaisquer informações relativas a uma pessoa, seja ela identificada ou identificável, que podem ser armazenadas e processadas em bancos de dados” O legislador incluiu como princípio constitucional “o direito a inviolabilidade do sigilo de dados”, previsto nos incisos X e XII do Art. 5º de nossa Carta Maior, in verbis: “X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurando o direito a indenização pelo dano material ou moral decorrente de sua violação” “XII – é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal.” (grifo nosso) As empresas possuem com a SERASA e o SPC, como demais órgão de proteção ao crédito, um contrato de prestação de serviços, e estes possuem condições explícitas de que a realização de consultas é para “rotinas operacionais”, onde os contratos VEDAM divulgação por ser informação CONFIDENCIAL. Concluímos que a produção de provas contra os autores com base em dados cadastrais é Inconstitucional, com violação aos princípios fundamentais do art. 5º da CF, exceto por ordem judicial com tramitação da ação em segredo de justiça.

 

Foi exibida uma reportagem no Jornal Nacional, com a informação de que uma investigação do Ministério Público de São Paulo pôs em xeque a divulgação de dados pessoais sigilosos, que é uma prática que tem se multiplicado no Brasil porém ilegal. Uma empresa que funciona em um prédio no Morumbi, na Zona Sul de São Paulo, e que mantém uma página na internet é o alvo da investigação.
O interessante é que para obter acesso as informações era necessário somente efetuar o pagamento de uma taxa de R$ 25,00 por mês e uma taxa por pesquisa.
O site, disponibiliza até um exemplo, com alguns dados (ficticios).É fácil é possível descobrir o endereço, os telefones, inclusive os celulares, e os contatos de pessoas próximas (vizinhos, pai, mãe) digitanto somente o CPF do indivíduo que deseja-se pesquisar.Como também, é possível saber que carro a pessoa tem, a placa, o Renavam, o chassi e o ano de fabricação.
Por telefone, um funcionário da empresa disse, de onde vêm as informações. “A origem dos dados são fontes do Detran, dos emplacamentos. Uma empresa que é conveniada a eles, entendeu?”, disse o entrevistado.
É oferecido ainda dados sobre cheques sem fundos, pendências, protestos. E ao ser questionado sobre como eles conseguem informações sobre cheques, o funcionário diz que “vêm do Banco Central”, por meio de uma empresa terceirizada que passa as informações.
Declararam também que os principais clientes são empresas de cobrança, instituições financeiras, advogados e comerciantes que fazem 2 milhões de consultas por mês. Incluindo policiais civis de São Paulo e do Rio de Janeiro.
Complementou o funcionário que a empresa tem grandes clientes, o Deic [Departamento de Investigações sobre o Crime Organizado], a Polinter. Delegados e diversas delegacias são clientes nossos”.

Opinião:
O que mais me intriga e causa indignação é o fato de saber que igual a esta empresa existem as duzias na internet atuando tranquilamente, e nenhuma delas foi citada ou questionada durante a reportagem.
Me pergunto, por qual motivo, verdadeiramente a AP Informação foi a bola da vez,  pois ficou clara a indignação com a falta de proteção com dados de pessoas “famosas” ” jogadores de futebol”, e dados de  “autoridades do três poderes…”
Será que algum dado fornecido esbarrou na pessoa errada? Por qual motivo, não ficou explícita a importância de proteger dados de pessoas comuns?Como então serão investigadas as supostas fontes e caso culpadas, como serão punidas? Sabendo que trata-se de grandes instituições.
Todos nós sabemos que este é um ato ilegal, mas deixo aqui uma pergunta:
Até onde vamos, com ações aparentemente corretas, defensivas e necessárias mas, que sempre deixam transparecer que foram executadas com intenções pessoais ou digamos assim, direcionadas?