1
João Barreto
15 de Outubro de 2014
Pequeno Almoço Tecnológico
SysValue 2.0
“Factor Humano e Segurança da Informação”
2© Innovagency2005 –Confidencial. 2© SysValue2014 –Confidencial.
O “Factor Humano” (1/5)
Facto 1 - A intervenção humana
es...
3© Innovagency2005 –Confidencial. 3© SysValue2014 –Confidencial.
O “Factor Humano” (2/5)
Facto 2
Errare humanum est
As raz...
4© Innovagency2005 –Confidencial. 4© SysValue2014 –Confidencial.
Porque erram as pessoas (1/10)
Confirmation bias
•Gostamo...
5© Innovagency2005 –Confidencial. 5© SysValue2014 –Confidencial.
Porque erram as pessoas (2/10)
Ilusão do “corpo de nadado...
6© Innovagency2005 –Confidencial. 6© SysValue2014 –Confidencial.
Porque erram as pessoas (3/10)
Preocupamo-nos com o que e...
7© Innovagency2005 –Confidencial. 7© SysValue2014 –Confidencial.
Porque erram as pessoas (4/10)
Somos maus a estatística (...
8© Innovagency2005 –Confidencial. 8© SysValue2014 –Confidencial.
Porque erram as pessoas (5/10)
Buyer’s Stockholm Syndhrom...
9© Innovagency2005 –Confidencial. 9© SysValue2014 –Confidencial.
Porque erram as pessoas (6/10)
O Efeito Âncora
•Tomamos d...
10© Innovagency2005 –Confidencial. 10© SysValue2014 –Confidencial.
Porque erram as pessoas (7/10)
Prevalência da memória r...
11© Innovagency2005 –Confidencial. 11© SysValue2014 –Confidencial.
Porque erram as pessoas (8/10)
Demasiada atenção dada a...
12© Innovagency2005 –Confidencial. 12© SysValue2014 –Confidencial.
Porque erram as pessoas (9/10)
Não existe multitasking
...
13© Innovagency2005 –Confidencial. 13© SysValue2014 –Confidencial.
Porque erram as pessoas (10/10)
Falta de conhecimentos/...
14© Innovagency2005 –Confidencial. 14© SysValue2014 –Confidencial.
O “Factor Humano” (3/5)
Consequência
O erro humano esta...
15© Innovagency2005 –Confidencial. 15© SysValue2014 –Confidencial.
O “Factor Humano” (4/5)
Facto final e grave
95% dos inc...
16© Innovagency2005 –Confidencial. 16© SysValue2014 –Confidencial.
O “Factor Humano” (5/5)
48% das “falhas” de segurança s...
17© Innovagency2005 –Confidencial. 17© SysValue2014 –Confidencial.
“Factor Humano” e Segurança da Informação
O Erro Humano...
18© Innovagency2005 –Confidencial. 18© SysValue2014 –Confidencial.
Como gerir o “Factor Humano”?
Monitorizar
Avaliação do ...
19© Innovagency2005 –Confidencial. 19© SysValue2014 –Confidencial.
Oferta SysValue neste domínio
Políticas, Frameworks,
Pr...
20© Innovagency2005 –Confidencial. 20© SysValue2014 –Confidencial.
Programas de Sensibilização
Planeamento
Definição da Es...
21© Innovagency2005 –Confidencial. 21© SysValue2014 –Confidencial.
Oferta SysValue 2.0 neste domínio
”Continuous Social En...
22© Innovagency2005 –Confidencial. 22© SysValue2014 –Confidencial.
Partner
João Barreto (jbarreto@sysvalue.com)
Questões?!
Próximos SlideShares
Carregando em…5
×

2. SysValue 2.0 - Factor Humano e Segurança - João Barreto

295 visualizações

Publicada em

Factor Humano e Segurança - JB

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
295
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
2
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

2. SysValue 2.0 - Factor Humano e Segurança - João Barreto

  1. 1. 1 João Barreto 15 de Outubro de 2014 Pequeno Almoço Tecnológico SysValue 2.0 “Factor Humano e Segurança da Informação”
  2. 2. 2© Innovagency2005 –Confidencial. 2© SysValue2014 –Confidencial. O “Factor Humano” (1/5) Facto 1 - A intervenção humana está presente, ou esteve, em todos os aspectos de uma organização. Mesmo em contextos de automação extrema, os automatismos foram codificados, desenvolvidos, assemblados e configurados por humanos
  3. 3. 3© Innovagency2005 –Confidencial. 3© SysValue2014 –Confidencial. O “Factor Humano” (2/5) Facto 2 Errare humanum est As razões pelas quais erramos são as mesmas que nos tornam tão especiais
  4. 4. 4© Innovagency2005 –Confidencial. 4© SysValue2014 –Confidencial. Porque erram as pessoas (1/10) Confirmation bias •Gostamos de informação alinhada com as nossas crenças; •Somos amigos de pessoas que gostam do mesmo que nós; •Inconscientemente, ignoramos tudo o que ameaça o nosso status quo.
  5. 5. 5© Innovagency2005 –Confidencial. 5© SysValue2014 –Confidencial. Porque erram as pessoas (2/10) Ilusão do “corpo de nadador” •Acreditamos que os nadadores “transformam” os seus corpos devido ao que fazem; •Confundimos factores de seleção com resultados (o caso das “melhores” faculdades); •Investimos no que “acreditamos” que é um melhor investimento, sem procurarmos saber se efetivamente é.
  6. 6. 6© Innovagency2005 –Confidencial. 6© SysValue2014 –Confidencial. Porque erram as pessoas (3/10) Preocupamo-nos com o que está já perdido •Sentimos mais a perda do que gostamos do sucesso equivalente; •Tomamos, portanto, decisões irracionais e emocionais perante a perspectiva de perda, independentemente dos factos presentes. “Organisms that placed more urgency on avoiding threats than they did on maximizing opportunities were more likely to pass on their genes”
  7. 7. 7© Innovagency2005 –Confidencial. 7© SysValue2014 –Confidencial. Porque erram as pessoas (4/10) Somos maus a estatística (gambler’s falacy) •Temos a tendência para não acreditar nas “variáveis independentes”; •Colocamos demasiado peso nos eventos passados e acreditamos que afectarão o futuro.
  8. 8. 8© Innovagency2005 –Confidencial. 8© SysValue2014 –Confidencial. Porque erram as pessoas (5/10) Buyer’s Stockholm Syndhrome •Racionalizamos compras de que não necessitamos; •Agimos antes de pensar para evitar a dissonância cognitiva. “O desconforto de ter de gerir ideias/situações antagónicas provoca uma revisão mental do que acreditamos”
  9. 9. 9© Innovagency2005 –Confidencial. 9© SysValue2014 –Confidencial. Porque erram as pessoas (6/10) O Efeito Âncora •Tomamos decisões comparando cenários e não avaliando o seu valor; •Podemos ser facilmente manipulados com uma “âncora” (ver caso abaixo). 16% 84% 75% 25%
  10. 10. 10© Innovagency2005 –Confidencial. 10© SysValue2014 –Confidencial. Porque erram as pessoas (7/10) Prevalência da memória relativamente aos factos •As pessoas acreditam mais na memória que nos factos; •As pessoas tendem a não explorar os dados, tomando decisões com base em gut feelings.
  11. 11. 11© Innovagency2005 –Confidencial. 11© SysValue2014 –Confidencial. Porque erram as pessoas (8/10) Demasiada atenção dada aos estereótipos •As pessoas tentam encaixar tudo nos seus estereótipos favoritos; •Tal é verdade mesmo quando não existe um suporte lógico. Qual das seguintes alternativas é mais provável? •Linda é uma empregada bancária; •Linda é uma empregada bancária e uma ativista feminista.
  12. 12. 12© Innovagency2005 –Confidencial. 12© SysValue2014 –Confidencial. Porque erram as pessoas (9/10) Não existe multitasking •... existe apenas context-switching; •... onde a matéria cinzenta divide-se na focalização do tratamento dos problemas
  13. 13. 13© Innovagency2005 –Confidencial. 13© SysValue2014 –Confidencial. Porque erram as pessoas (10/10) Falta de conhecimentos/formação •A ignorância é atrevida; •O desconhecimento não impede a execução; •A formação contínua não é tão respeitada pelas organizações como deveria.
  14. 14. 14© Innovagency2005 –Confidencial. 14© SysValue2014 –Confidencial. O “Factor Humano” (3/5) Consequência O erro humano estará presente em todos os aspectos de uma organização
  15. 15. 15© Innovagency2005 –Confidencial. 15© SysValue2014 –Confidencial. O “Factor Humano” (4/5) Facto final e grave 95% dos incidentes de segurança devem-se hoje a erro humano
  16. 16. 16© Innovagency2005 –Confidencial. 16© SysValue2014 –Confidencial. O “Factor Humano” (5/5) 48% das “falhas” de segurança são devidas a “mau uso” de sistemas e tecnologia e 28% estão já relacionadas com redes sociais e interação entre indivíduos! Em todo o mundo 38% dos problemas de segurança têm como causa-raiz a negligência, principalmente devido a falta de informação/capacitação (source: Ponemon Institute) A perda de clientes (churn) devido a incidentes graves de segurança é de praticamente 4%, média calculada considerando países em 3 continentes (source: Ponemon Institute)
  17. 17. 17© Innovagency2005 –Confidencial. 17© SysValue2014 –Confidencial. “Factor Humano” e Segurança da Informação O Erro Humano afecta a segurança da informação de inúmeras maneiras: •Má configuração de sistemas (multi-tasking); •Fraca gestão de patching (gambler’s falacy); •Perda de dispositivos (efeito âncora); •Envio de informação sensível para destinatários errados (Buyer’s Stockholm Syndhrome); •Execução de payloads nocivos (Buyer’s Stockholm Syndhrome); •Passwords fracas (ignorância); •Erros em código-fonte (desconhecimento); •Inconsciência relativamente a ameaças (Confirmation Bias); •Escolha inadequada de soluções técnicas (Ilusão do “corpo do nadador”); •...
  18. 18. 18© Innovagency2005 –Confidencial. 18© SysValue2014 –Confidencial. Como gerir o “Factor Humano”? Monitorizar Avaliação do comportamento humano Auditorias de Segurança da Informação Mitigar Formação e Capacitação de colaboradores Implementação de Processos Escolha de controlos compensatórios Antecipar Gestão de riscos focada nas pessoas Identificação das funções como activos
  19. 19. 19© Innovagency2005 –Confidencial. 19© SysValue2014 –Confidencial. Oferta SysValue neste domínio Políticas, Frameworks, Procedimentos, etc. Programas de Sensibilização à Segurança da Informação Testes de Engenharia Social Revisão de Código Formação em Desenvolvimento de Código Seguro Auditoria a Processos de Gestão e Operação de Segurança
  20. 20. 20© Innovagency2005 –Confidencial. 20© SysValue2014 –Confidencial. Programas de Sensibilização Planeamento Definição da Estratégia de Programa Definição da estrutura dos temas a serem desenvolvidos Definição dos mecanismos de avaliação do programa Desenvolvimento e planeamento dos processos de comunicação Definição de indicadores de avaliação do programa Implementação Instalação da plataforma tecnológica Desenvolvimento dos conteúdos do Programa Execução e avaliação do Programa Exercícios de engenharia social Workshops de sensibilização para Quadros da instituição Desenvolvimento Desenvolvimento da Política de Sensibilização à Segurança da informação da instituição Apoio Continuado Prestação de apoio presencial e remoto para, num regime mensal, discutir com a instituição alterações conjunturais ou específicas ao seu contexto e adaptar os atuais conteúdos ou produzir novos de acordo com o definido.
  21. 21. 21© Innovagency2005 –Confidencial. 21© SysValue2014 –Confidencial. Oferta SysValue 2.0 neste domínio ”Continuous Social Engineering" – Solução de suporte à realização continuada de ataques de engenharia social contra os colaboradores de uma organização, potenciando uma permanente monitorização da sensibilização destes relativamente a estas práticas e, simultaneamente, capacitando- os para melhor se defenderem Características do serviço/solução: •Cloud-based; •Self-service; •Multi-ataque (phishing, USB dropping, email scams, geração de payloads, etc.); •Reporting integrado online; •...
  22. 22. 22© Innovagency2005 –Confidencial. 22© SysValue2014 –Confidencial. Partner João Barreto (jbarreto@sysvalue.com) Questões?!

×