O documento discute os conceitos de segurança da informação, inteligência competitiva e gestão de riscos nas organizações. Aborda a classificação dos ativos de informação, os principais riscos e ameaças, além de métodos para difusão do conhecimento e minimização de perdas.

1. Risco e Segurança da Informação Israel José dos Santos Felipe Márcio Carvalho de Brito UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE CENTRO DE CIÊNCIAS SOCIAIS APLICADAS PROGRAMA DE PÓS-GRADUAÇÃO EM ADMINISTRAÇÃO PPGA-UFRN

2. INTRODUÇÃO CONHECIMENTO ORGANIZAÇÕES AMEAÇAS Inteligência Competitiva segundo Elisabeth Braz, PhD em inteligência competitiva pela UFRJ. É um processo sistemático e ético usado para identificar, coletar, analisar e disseminar informações analisadas, ou seja, com valor agregado, de forma a minimizar o risco do tomador de decisão em suas ações. Ex.://www.cimentoitambe.com.br/itambe-empresarial/nao-basta-ter-inteligencia-e-preciso-inteligencia-competitiva/ Fonte: Módulo Risk Manager News. Segurança da Informação e Inteligência Competitiva

3. DIFUSÃO DO CONHECIMENTO Três Mecanismos de Difusão 1º. Aprender através da inspeção física dos produtos patenteados dos concorrentes e através de informações sobre a logística do produto obtidas de várias fontes (fornecedores e distribuidores). 2º. A informação patenteada é também difundida quando se incorpora aos bens de capital produzidos por fornecedores externos. A menos que as empresas na indústria produzam seus próprios bens de capital ou protejam a informação que eles dão aos fornecedores, suas tecnologias podem ser adquiríveis pelos concorrentes.

4. DIFUSÃO DO CONHECIMENTO 3º. A rotatividade da mão-de-obra aumenta o número de pessoas que passa a conhecer o domínio tecnológico, abrindo uma brecha de vulnerabilidade para que essas informações cheguem a outras empresas. Três Mecanismos de Difusão

5. Gestão do Risco A História do Risco e Fontes de Risco Ainda Keynes (apud BERNSTEIN 1997, p. 12) teve de admitir que “se a natureza humana não caísse na tentação de enfrentar riscos...talvez pouco se inventasse como resultado da fria avaliação”. A síntese utilizada por Longenecker, Moore e Petty (2004, p. 634), diz-se que “nada é certo, exceto a morte e os impostos”. Os empresários provavelmente ampliaram esse adágio da seguinte maneira: “ Nada é certo, exceto a morte, os impostos e os riscos em pequenas empresas”. Entretanto as fontes de risco associado as empresas Gitman e Joehnk (2005) e Delloite apresentam exaustivas literatura a respeito com pontos parecendo comuns.

6. Definição de Risco “ Risco é a incerteza inerente aos ganhos e perdas que podem ocorrer como resultado das decisões exigidas por toda a organização.” Risco está relacionado à escolha , não ao acaso Gestão de Riscos é o enfoque estruturado que alinha estratégia, processos, pessoal, tecnologia e conhecimento, com o objetivo de avaliar e gerenciar essas incertezas como forma de criação de valor .

7. O processo de gerenciamento de riscos Gerenciar o risco é a melhor estratégia para as organizações no contexto atual, Brealey e Myers (2005, p. 309) Segundo Bodie e Merton (2002, p.262) discorre que o processo de gerenciamento de risco é uma tentativa sistemática de analisar e de gerir o risco. Portanto as organizações precisam de gestores capazes de assumir e conhecer os riscos inerentes para que possam gerenciá-las de forma sistemática através de ferramentas descritas.

8. Grupos de Riscos Risco Estratégico : Falta de capacidade da empresa em proteger-se, adaptar-se ou antecipar-se a mudanças (econômicas, tecnológicas, mercadológicas e etc) que possam impedir o alcance dos objetivos e metas estabelecidas; Risco Operacional : Fraudes, erros de sistemas de informações, extrapolação de autoridade dos empregados, desempenho insatisfatório, falhas na adoção dos critérios de subscrição;

9. Grupos de Risco Risco Atuarial : Metodologias e/ou cálculos incorretos da tarifação do seguro, pela insuficiência da manutenção de tabelas de preços, bem como de reajustes periódicos a serem aplicados nas apólices, e pela inadequada constituição das reservas técnicas; Risco Legal : Documentação incorreta das transações, descumprimento da legislação vigente, novas leis, decisões judiciais.

10. Grupos de Riscos Risco de Crédito : Não recebimento de créditos concedidos. Risco de Liquidez : Deficiência de fundos, decorrentes de dificuldade de se obter recursos, impossibilitando fazer face aos compromissos assumidos em decorrência de gestão insatisfatória. Risco de Mercado : Decorre da variabilidade dos preços e produtos e das variáveis externas que afetam estes dois itens.

11. Por que a Gestão de Riscos? Tarefa fundamental da direção da empresa. Reduz a volatilidade dos ganhos. Maximiza valor aos acionistas. Promove a melhoria contínua dos processos. Assumir riscos é fundamental no propósito do mercado .

12. RISCOS MAIS RELEVANTES Fonte: Brasiliano & Associados, 2003.

13. PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO//2003 EMPRESA MÓDULO SECURITY SOLUTIONS S.A. RESULTADO: FUNCIONÁRIOS INSATISFEITOS E VAZAMENTO DE INFORMAÇÃO DIFUSÃO DO CONHECIMENTO

14. PRINCIPAIS AMEAÇAS À SEGURANÇA DA INFORMAÇÃO Fonte: Módulo Security, 2003

15. MINIMIZAÇÃO DE PERDAS E MAXIMIZAÇÃO DOS LUCROS SEM GERAÇÃO DE RECEITAS PREVENÇÃO DE PERDAS SEGURANÇA EMPRESARIAL (patrimonial, pessoal e da informação) SEGURANÇA DE SAÚDE OCUPACIONAL; MEIO AMBIENTE; SEGURANÇA DO TRABALHO.

16. *1º Incêndio – 1ª REVOLUÇÃO INDUSTRIAL FLORESCIMENTO DAS SEGURADORES AUMENTO DE SINISTROS X ATOS CRIMINOSOS *GERAÇÃO DE PADRÕES DIFERENCIADOS DOS ATIVOS – de acordo com o cuidado da empresa na PREVENÇÃO. INDÚSTRIA DO SEGURO – Ator coadjuvante para prevenção de PERDAS POTENCIAIS.

17. E O QUE SIGNIFICA PREVENÇÃO e menores custos para segurar o ativo? Projeto consistente; Treinamento; Proximidade com equipes de bombeiros ou próprios.

18. OUTRAS AMEAÇAS foram surgindo para PERDA DE PRODUÇÃO: ROUBOS PELOS FUNCIONÁRIOS; ATOS DE VANDALISMO; PERDAS DE MATERIAIS E EQUIPAMENTOS POR FALTA DE CONTROLE.

19. AS SEGURADORAS IMPÕE OUTROS PADRÕES DE PREVENÇÃO: Prêmios para indústrias com procedimentos preventivos para controle de perdas devido as sabotagens industriais e sindicatos com diminuição dos ativos representados pela terra e bens de produção.

20. ATUALMENTE É A SOCIEDADE DO CONHECIMENTO – ATIVO MAIS VALORIZADO QUE NÃO DEPRECIA COM O TEMPO, AO CONTRÁRIO, AUMENTA A VALORIZAÇÃO. Segundo Peck: Aumenta a tendência da aplicação de ativos inatingíveis com RISCOS diretamente relacionados a valor e custo de proteção ao bem.

21. “ A medida que o conhecimento se torna mais essencial para a criação de riqueza, a empresa começa a ser considerada uma intensificadora do conhecimento, necessitando, portanto, promover mecanismos de proteção das suas informações e ao mesmo tempo desenvolver meios de obtenção de informações sobre os planos, os produtos e os lucros de seus adversários.” A GUERRA TOTAL PELA INFORMAÇÃO

22. ESPIONAGEM INTELIGÊNCIA COMPETITIVA MILITARES AMBIENTES DE NEGÓCIOS Espionagem Empresarial X Inteligência Competitiva A GUERRA TOTAL PELA INFORMAÇÃO

23. Associação Brasileira dos analistas de inteligência competitiva ABRAIC. Lei da Espionagem econômica e Industrial Brasileira; Contra – Inteligência Competitiva; SEBRAE em parceria com a ABRAIC; PLATT, Washington (1974) e SANTOS, Néri dos (2000). INTELIGÊNCIA COMPETITIVA NO BRASIL

24. Fonte: PLATT, Washington (1974) e SANTOS, Néri dos (2000). SEMELHANÇAS NAS ABORDAGENS ENTRE IE E IC. INFORMAÇÕES ESTRATÉGICAS – IE INTELIGÊNCIA COMPETITIVA – IC A produção de uma informação sobre determinado assunto compreende a seleção e reunião dos fatos relativos ao problema, sua avaliação, seleção e interpretação, e a expressiva, como informação acabada, oral ou escrita. É um processo sistemático de agregação de valor, que converte dados em informação e, na seqüência, informação em conhecimento estratégico para apoiar a tomada de decisão organizacional.

25. www.gomesebraga.com.br www.informal.com.br www.abraic.org.br SUGESTÕES PARA APROFUNDAMENTO EM IC .

26. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO

27. Conforme o autor Kovacich (1998) ..Embora não exista uma forma padronizada de se classificar a informação existente nas organizações , do ponto de vista de seu conteúdo ela costuma ser divida em três (03) categorias, a saber: CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO

28. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO Informação Pessoais Informação de Segurança Nacional Informação de Negócio

29. Podem incluir dados individuais de empregados, clientes e outras pessoas, incluindo CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO - Informação Pessoais Idade Endereço Números de telefone Peso Salário, etc

30. É toda aquela que precisa ser protegida para GARANTIR A SEGURANÇA da sociedade e do Estado. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO - Informação de Segurança Nacional

31. Correspondem ás informações utilizadas pelas organizações para desempenhar sua MISSÃO. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO - Informação de Negócios

32. Segundo a NBR ISO/IEC 17799 a segurança de um ambiente é caracterizada pela manutenção de três fatores primordiais CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO Confidencialidade Integridade Disponibilidade das Informações Críticas

33. Para a NBR a Informação é "um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para organização e conseqüentemente necessita ser adequadamente protegido“. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO

34. É definida pela NORMA como sendo: a garantia de que a informação só pode ser acessada e manipulada por pessoas autorizadas , ou seja, ela é restrita a um conjunto de entidades, que podem ser seres humanos ou podem ser um sistema eletrônico . CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO A Confiabilidade

35. Implica que toda vez que uma informação é manipulada ela está consistente, ou seja, que não foi alterada ou adulterada por um acesso legal ou ilegal. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO A Integridade

36. É a garantia de que uma informação sempre poderá ser acessada, pelas pessoas e processos autorizados, independentemente do momento em que ela é requisitada e do local no qual está armazenada CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO A Disponibilidade

37. Afirmar que um ambiente é aderente à Norma de Segurança da Informação significa dizer que o mesmo utiliza os recursos adequados para garantir a Disponibilidade Confidencialidade e a Integridade de suas informações. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO

38. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO Mas para isto devem ser aplicados ao ambiente alguns ou todos os controles existentes na norma de segurança.

39. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO Contudo, a lista dos controles que devem ser aplicados depende de características do próprio ambiente, como por exemplo: forma e local de armazenamento das informações, valor das informações armazenadas, quem pode acessá-las, quais servidores estão instalados, que tipo de serviços são disponibilizados aos usuários da rede interna e da rede externa e etc.

40. De acordo com o nível de segurança necessário um conjunto de "Controles de Segurança" deve ser implementado CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO

41. Política de segurança da informação: este é um documento que descreve quais atividades os usuários estão autorizados a realizar, como e quando podem ser realizadas. É de vital importância que a alta administração apóie o uso da Política e demonstre o seu comprometimento com a aplicação de suas penalidades cabíveis; CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO

42. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO Definição das responsabilidades de segurança: este controle visa esclarecer a quem "pertence" cada ativo da organização, bem como quem deve ser contactado em caso de problemas de segurança relacionados a ativo em questão;

43. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO A melhor forma de evitar mal uso das informações é educar seus usuários, Assim é de vital importância que todo e qualquer usuário passe por um treinamento antes de ter acesso as informações contidas no ambiente. Processo de treinamento

44. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO O ser humano sempre se preocupou com a sua segurança e de seus bens, isto faz parte de nossos instintos.

45. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO Como nos dia atuais, o maior bem que a humanidade possui são as informações e conhecimentos gerados por ela, houve a necessidade do desenvolvimento de métodos e técnicas que permitissem a sua proteção.

46. SEGURANÇA FÍSICA SEGURANÇA DA INFORMAÇÃO

47. INTRODUÇÃO Segurança física e lógica Base para proteção de qualquer investimento Sistemas vulneráveis = perda de todos os recursos

48. INTRODUÇÃO Estatísticas: 72% próprios funcionários 15% a 20% terceiros formalmente autorizados 5% a 8% pessoas externas Fonte: FBI

49. CONTROLE DE ACESSO LÓGICO Alternativas: Manual; Automático; Híbrida.  O Security Office tem o papel de analisar e escolher a melhor solução.

50. CONTROLE DE ACESSO LÓGICO Segundo Ferreira (2003,p. 124), “o controle de acesso físico (manual ou automatizado) deve ser capaz de distinguir entre a pessoa autorizada e a não autorizada, mediante sua identificação[...]”.

51. CONTROLE DE ACESSO LÓGICO Deve-se respeitar pelo menos duas entre três premissas básicas: Quem é o indivíduo? O que o indivíduo possui? O que o indivíduo sabe?

52. CONTROLE DE ACESSO LÓGICO Sistemas de controle de acesso com apenas uma premissa: Invasões ocasionadas por perda; Uso indevido e falsificações.

53. CONTROLE DE ACESSO LÓGICO Características: Proteção contra ataques forçados; Atualização do produto/ferramenta; Registro dos acessos; Autenticação por senha; Bloqueio de múltiplos acessos; Flexibilidade; Monitoração; Backup de segurança; Proteção do computador.

54. CONTROLE DE ACESSO LÓGICO Cada organização tem sua própria realidade e os níveis de segurança exigidos acabam sendo diferentes de empresa para empresa.

55. Segundo Ferreira (2003,p.127) “o controle de acesso físico é toda e qualquer aplicação de procedimentos ou o uso de equipamentos com o objetivo de proteger ambientes, equipamentos ou informações de acesso restrito ”. CONTROLE DE ACESSO FÍSICO

56. A política e o investimento... Ativos Custo/benefício Uma política de controle de acesso físico eficaz depende muito mais da gestão dos modelos de segurança do que apenas o uso de tecnologias. CONTROLE DE ACESSO FÍSICO

57. Quanto maior o investimento em prevenção menor será o prejuízo em caso de eventos. CONTROLE DE ACESSO FÍSICO

58. CONTROLE DE ACESSO FÍSICO Tipos de controle de acesso físico. Grades, muros e portas; Guardas; Crachás; Controle de acesso biométrico.

59. CONTROLES AMBIENTAIS De acordo com Ferreira (2003) os equipamentos devem ser fisicamente protegidos contra ameaças à segurança e perigos ambientais. Alguns itens à serem considerados: As instalações de processamento e armazenamento de informação que tratam as informações sensíveis devem ser projetadas para reduzir riscos de espionagem de informação durante o seu uso;

60. Os itens que necessitam de proteção especial devem ser isolados para reduzir o nível geral de proteção exigida; Adotar controles de forma a minimizar ameaças potenciais; Aspectos ambientais devem ser monitorados para evitar condições que possam afetar a operação das instalações de processamento da informação; Utilização de métodos de proteção especial (equipamentos); Desastre nas proximidades da instalação. CONTROLES AMBIENTAIS

61. SEGURANÇA FÍSICA DE COMPUTADORES PESSOAIS Deve ser adotada uma política formal. Devem ser tomadas precauções ao utilizar recursos de computação móvel em locais públicos. Recursos de computação móvel nunca devem ser deixados sem observação.

62. INVESTIMENTOS EM SEGURANÇA FÍSICA E AMBIENTAL 1º Passo Análise dos riscos e vulnerabilidades físicas que a organização possa estar exposta. 2º Passo Levantamento das necessidades de componentes e processos de segurança física.

63. INVESTIMENTOS EM SEGURANÇA FÍSICA E AMBIENTAL - Cont. 3º Passo Implementação do plano de segurança física.

64. CONSIDERAÇÕES FINAIS Os controles de segurança devem atender às necessidades de segurança da organização.

65. Política de Segurança Definição A Política de Segurança é composta por um conjunto de regras e padrões sobre o que deve ser feito para assegurar as informações e serviços importantes para a empresa. Garantindo confidencialidade, integridade e disponibilidade.

66. Construção da Política Aspectos importantes Estabelecimento do conceito que as informações são um ativo importante da organização; Envolvimento da alta administração com relação à segurança da informação; Responsabilidade formal dos colaboradores sobre os recursos da informação; Estabelecimento de padrões para a manutenção da SI.

67. Considerações importantes para o desenvolvimento da Política Deve ser criada antes da ocorrência de problemas com a segurança; Criação de um Comitê de Segurança da Informação composta por diversos profissionais, cada um responsável pelo controle de acesso.

68. As Políticas devem ser: Simples; Compreensíveis; Homologadas e assinadas pela Alta administração; Estruturadas de forma a permitir implantação por fases; linhadas com estratégias de negócios da empresa, padrões e procedimentos já existentes; Flexíveis; Positivas.

69. Etapas da Construção da Política O processo de desenvolvimento é dividido em 04 fases: Fase I – Levantamento das Informações; Fase II – Desenvolvimento do Conteúdo das Políticas e Normas de Segurança; Fase III - Elaboração dos Procedimentos de Segurança da Informação; Fase IV – Revisão, Aprovação e Implementação das Políticas, Normas e Procedimentos de Segurança da Informação.

70. Fatores comuns a todas as Políticas As Políticas de Informações contemplam os seguintes aspectos: Especificação da Política; Declaração da Alta Administração; Autores/Patrocinadores da Política; Referências a outras Políticas, Normas e Procedimentos; Procedimentos para Requisição de Exceções à Política; Procedimentos para Mudanças da Política; Data de Publicação, Validade e Revisão.

71. Pontos críticos para o sucesso Devido às necessidades de proteção das informações e dependência da TI (uma tendência nas empresas), a Segurança da Informação aborda como ter sucesso na Política de Segurança: Formalização dos processos e instruções de trabalho; Utilização de tecnologias capazes de prover segurança; Atribuição formal das responsabilidades e das penalidades; Classificação das informações; Treinamento e conscientização constantes.

72. Conceitos na Política Corporativa: Confidencialidade; Integridade; Disponibilidade; Legalidade; Auditabililidade; Não-repúdio.

73. A segurança pode ser desmembrada em 4 grandes aspectos: Segurança computacional; Segurança lógica; Segurança física; Continuidade de negócios.

74. Características Ser verdadeira Ser complementada com a disponibilidade de recursos Ser válida para todos Ser simples Comprometimento da alta administração da organização

75. Benefícios Curto prazo Formalizar e documentar o procedimentos de segurança; Implementar novos procedimentos e controles; Prevenir de acessos não autorizados, danos ou interferências; Maior segurança. Médio prazo Padronização dos procedimentos de segurança; Adaptação segura de novos processos; Conformidade com padrões de segurança; Qualificação e quantificação dos sistemas de respostas a eventualidades. Longo prazo - Retorno sobre o investimentos; Consolidação da imagem associada à Segurança da Informação.

76. Treinamento Na implantação de uma Política de Segurança em uma empresa, é fundamental que os funcionários sejam conscientizados através de: Avisos: comunicação interna, email, intranet; Reuniões; Elaboração de material promocional; Treinamento direcionado; Peça teatral; Palestras periódicas.

77. Publicação e Divulgação Os aspectos que devem ser considerados na disseminação da Política de Segurança são: Utilização de diversas mídias; Treinamento básico e avançado; Orientação para novos funcionários; Informativos sobre as atuais tendências .

78. Fases do Programa de Conscientização Identificação de escopo, metas e objetivos; Identificação dos instrutores; Identificação do público-alvo; Motivação dos funcionários e da Alta administração; Administração do Programa; Continuidade do Programa; Avaliação do Programa.

79. REFERÊNCIAS FERREIRA, Fernando Nicolau Freitas. Segurança da informação. Rio de Janeiro: Ciência Moderna, 2003. BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação das organizações. São Paulo: Editora Atlas, 2005. DAWEL, George. A segurança da Informação nas Empresas . Rio de Janeiro: Editora Ciência Moderna, 2005. FONTES, Edison Luiz Gonçalves. Vivendo a segurança da informação: orientações práticas para as organizações. São Paulo: Editora Sicurezza, 2000.

80. Vídeo 1 (A defesa)

81. Vídeo 2 (Os invasores)

82. Vídeo 3 (Navegar)

83. Vídeo 4 (Spam)

84. OBRIGADooo A TODOS PELA ATENÇÃO!