Lei Geral de Proteção de Dados

Estudo de Caso - ABC importados

Parabéns!!! Você foi contratado como o analista de segurança da informação da empresa ABC importados, que faz importação e venda de diversos produtos vindos da China. A empresa foi fundada em novembro de 2.010 e faz até hoje a ligação de lojistas brasileiros a diversos produtos importados da China. Atualmente a ABC possui 1.200 funcionários divididos em 3 escritórios, no Rio de Janeiro, São Paulo e Belo Horizonte. Os diretores ficam no escritório do Rio de Janeiro e os outros escritórios prestam contas a este escritório.

A área de Tl e organizada de forma centralizada. Ha uma Wide Area Network (WAN) a qual todos os escritórios estão conectados. A WAN da ABC e uma rede de computadores que cobre uma grande área. Ela contrasta com as Local Area Networks (LANs) dos escritórios, que são limitados a alguns andares de um edifício comercial em cada cidade. Os computadores da equipe de venda estão conectados a WAN. Todos os produtos vendidos são registrados em uma base de dados central, isto é, o volume de estoque pode ser acompanhado em tempo real a qualquer momento do dia. Ao atualizar os estoques com base nas vendas, a ABC sempre tem os produtos mais vendidos em estoque. A velocidade de reposição do estoque depende da popularidade do produto.

Cada funcionário possui um número de identificação (Uld), que é usado para fazer o login no sistema de registro de vendas. Todo produto vendido é associado ao funcionário que gerou a fatura. Na mesma base de dados há muitas informações de clientes armazenadas, tais como endereços, nomes e números de cartões de credito. Todas essas informações dos clientes, armazenadas na Tl da ABC, tornam muito importante a segurança da informação e conformidade com as leis de privacidade. A divulgação acidental da base de dados dos clientes pode ter enormes consequências para a imagem da ABC. A ABC possui uma organização de segurança da informação parcialmente centralizada a ISO 27001 e a ISO 27002 são as normas utilizadas. No Rio de Janeiro há um executivo-chefe de Segurança da informação (Chief Information Security Officer, ou CISO). Ele tenta garantir que a segurança da informação seja parte do trabalho de todos os funcionários da ABC. Fica a cargo dos escritórios locais garantir o cumprimento das leis e dos regulamentos. Esse elemento descentralizado pode ter impacto na forma como a segurança da informação deve ser organizada localmente.

O Encarregado de Segurança da informação Local (Local Information Security Officer, ou LISO) do escritório central e responsável pela adesão as regras centrais. Também é responsável pela segurança física dos escritórios e pela saúde, segurança e ambiente dos empregados dos escritórios. Todo escritório possui um ponto focal de seguran9a da informação, isto e, um funcionário responsável pela segurança da informação no escritório o ponto de contato para o LISO. Até este ano, a ABC só tinha implementado algumas medidas de segurança baseadas na aplicação direta das melhores práticas em resposta a incidentes de segurança. Agora a direção do grupo decidiu que a segurança será parte de uma devida diligencia e você tem que apontar a abordagem e as soluções para implementar a segurança da informação.

Explique o que significa a devida diligencia para a ABC e por que isso tem um impacto sobre as funções do CISO.  Identifique os riscos mais importantes a segurança com os quais a ABC terá que lidar. Você deve pensar em termos do triangulo CIA quando considerar os potenciais riscos. O sistema de pedidos da ABC está concentrado em uma grande empresa de Tl próxima ao Rio de Janeiro. A ABC terceirizou sua Tl para essa empresa. O CISO recebe uma chamada telefônica afirmando que um cabo de dados vital foi cortado durante uma poda de arvores que ocorria fora do prédio. Todas as conexões do centro de computadores com a internet foram quebradas. A ABC nao e mais capaz de comercializar pela internet. A empresa de Tl estima um tempo de inatividade de pelo menos 8 horas. A ABC vende em torno de 2.000.000 itens por dia a um preço média de cada e R$6,80 por item. Calcule a perda que o tempo fora da internet causará.

A devida diligencia baseia-se, em um primeiro momento, em atestar a saúde da empresa, em todos os aspectos, e aqui em particular, no que tange a segurança das informações armazenadas pela empresa ABC e suas relações de compra e venda. A devida diligencia (due diligience) é de fundamental importância para empresas que buscam mais segurança em suas negociações. Em resumo, é o conjunto de medidas necessárias e razoáveis a serem tomadas para satisfazer requisitos legais, anteriores a uma negociação e aplicadas especialmente na aquisição, fusão, compromissos comerciais de compra e venda de empresas ou corporações. Ela tem o objetivo de avaliar o risco do negócio como um todo. Se a negociação que se espera realizar for concretizada, haverá sempre o dever de gerenciar com a devida diligência. Falhas contratuais simples que deixem de prever obrigações de fornecedores ou procedimentos internos de segurança podem representar riscos de grandes impactos. Exemplos como os incidentes cibernéticos e violação de dados decorrentes de falhas de documentação no setor de TI, interrupção da cadeira de produção por acordos mal elaborados com fornecedores, perda de reputação da empresa por mal gerenciamento de crises, além dos comuns casos de roubo, fraude ou corrupção são exemplos que uma devida diligencia ajuda a prevenir.                                                A devida diligência técnica fornece uma imagem realista da tecnologia da empresa e também da área de segurança da informação. Ele expõe facilmente problemas culturais e disfunções em equipes técnicas. Um processo da devida diligencia consiste nos seguintes passos: investigação preliminar da empresa e funcionários; entrevistas com a gerência sênior; uma visão geral completa da implementação da tecnologia e dos ativos disponibilizados pela empresa; um resumo de cada conversa durante todo o processo e um relatório final com detalhes sobre o software, a tecnologia e os funcionários.                                                                Abordado o tema da devida diligencia, definiremos o que será protegido em termos de informação e dados pela a referida empresa. Como exposto, na base de dados da empresa há muitas informações de clientes armazenadas, tais como endereços, nomes e números de cartões de credito. Sendo assim, a segurança da informação é prioridade, partindo de uma estratégia que visa a proteção de dados, informações sigilosas e demais materiais particulares que devem, obrigatoriamente, ser restritos apenas ao responsável de direito (empresa ABC) ou às pessoas para quem o conteúdo é encaminhado. Partindo dessa premissa, o principal papel da proteção de dados é assegurar a confidencialidade e a privacidade, além do gerenciamento, controle de processamento, armazenamento, compartilhamento e a distribuição desses dados. A segurança da informação busca aplicar práticas e políticas de segurança que garantam a integridade das informações corporativas, evitando possíveis ataques, vazamentos de dados, dentre outras ameaças que podem prejudicar a empresa.                                                                Sendo assim, partiremos para os riscos mais importantes a segurança da informação com os quais a empresa ABC terá que lidar. Sem delongas, vazamento de dados e ataque de hackers são as principais ameaças a empresa.  Para esses casos aplica-se os pilares do triangulo CIA (em inglês Confidentiality, Integrity e Availability). No primeiro, a confidencialidade da informação se refere às práticas utilizadas para manter as informações em sigilo, acessíveis apenas aos seus responsáveis diretos ou pessoas autorizadas. Nesse sentido, ela envolve medidas como criptografia de dados e restrição de acesso dos colaboradores a determinadas informações, bem como um treinamento adequado para que os funcionários saibam lidar cuidadosamente com dados sigilosos.  No segundo pilar, a integridade assegura que as informações não serão modificadas indevidamente sem a autorização do responsável. Ou seja, é preciso se certificar de que as informações não sejam corrompidas durante sua transmissão, armazenamento ou processamento. Assim, o pilar da integridade dentro da segurança da informação garante, por exemplo, que um arquivo permaneça o mesmo desde sua entrega até o seu processamento. Por fim, no terceiro pilar, a disponibilidade garante que os usuários ou destinatários autorizados pela empresa tenham acesso a suas informações a qualquer momento, respeitando as práticas de confidencialidade. Além disso, esse pilar também diz respeito à eficiência da rede utilizada, analisando sua capacidade de evitar falhas.                Partindo para o fim da análise, potenciais riscos podem ocorrer durante o processo em que a empresa ABC está inserido. Existem diversos riscos, como por exemplo incêndios, funcionários não habilitados para devidos fins, pessoas alheias a empresa se fazendo por funcionários, falhas de energia e hackers. Um exemplo sensível a se debater, é quando um cabo de dados vital é cortado durante uma poda de arvores. Todas as conexões do centro de computadores com a internet foram quebradas e a empresa ABC nao é mais capaz de comercializar pela internet durante 08 horas. Isso gera uma perda substancial em valores para a empresa, como segue na tabela abaixo. Mas existe uma contramedida (salvaguarda) que é posta em prática para eliminar um risco em potencial. Essa contramedida baseia-se na contratação de um link de redundância, que pode ser outra solução importante para evitar esse tipo de problema. Ele nada mais é do que uma segunda opção de acesso à internet. Assim, quando o link principal falhar, será possível acessá-la através desse segundo link. Além disso, ele pode ser configurado pela equipe de suporte técnico para o modo automático. Ou seja, toda vez que o primeiro link cair, o segundo será ativado automaticamente, sem maiores problemas.

...