A cada 50 segundos, um laptop é roubado nos Estados Unidos, o que daria um prejuízo de mais US$ 198 milhões.

Um notebook de funcionário roubado ou perdido pode dar um prejuízo de mais de US$ 115 mil à empresa, segundo uma pesquisa encomendada pela Intel.

O estudo, feito pelo Ponemon Institute, mostra que notebooks perdidos ou roubados em aeroportos custam às empresas uma média de US$ 49.246, ressaltando que não se trata só o valor do equipamento, mas dos dados armazenados nele.

O levantamento mostra que o custo aumenta proporcionalmente ao tempo que a máquina fica perdida.

Se o notebook é achado no mesmo dia, o custo é de US$ 8.950.

Mas se demorar mais de uma semana para ser recuperado, o prejuízo sobe para até US$115.849.

No Brasil, não existem dados de furtos compilados, mas nos EUA, segundo Ponemon Institute, a cada 50 segundos um laptop desaparece das vistas de seu dono nos aeroportos americanos. O que daria 1.728 notebooks por dia e o prejuízo chegaria a mais de US$ 198 milhões.

Para fazer este cálculo, o instituto de pesquisa analisou 138 casos de perda de notebooks e avaliou o valor gasto com reposição, detecção, perícia forense, vazamento de dados, perda de propriedade intelectual, consultoria legal e despesas regulatórias. A perda de dados representa 80% do custo do imprevisto.

De forma surpreendente, a pesquisa revelou que não é o computador do CEO que vale mais, mas sim o de um diretor ou gerente. O notebook de um executivo sênior custa à empresa US$ 28.449, enquanto o de um gerente ou diretor causa um prejuízo de US$ 60.781 e $61.040, respectivamente.

O uso de softwares de criptografia reduz significativamente o custo do roubo: enquanto uma máquina com HD não criptografado custa US$56.165, uma criptografada sai por US$ 37.443.

E você, concorda com estas informações?

Já tiveste o infortúnio de ser roubado e levado o seu notebook?

 Dando continuidade ao artigo / post anterior, iremos apresentar algumas soluções para minimizar os riscos de segurança das informações corporativas.

As empresas que não querem proibir o uso de dispositivos móveis têm alternativas para reduzir o perigo, entre elas:

• Política de acesso: Controlar com rigor e atualizar constantemente o perfil do usuário e a permissão de acesso a cada sistema para evitar abusos;
• Monitoramento de pen drive: Softwares gravam no servidor a data que algum usuário conectou seu pen drive e o conteúdo que foi copiado;
• Criptografia: A técnica faz com que documentos de PCs, e-mails, smartphones ou pen drives sejam cifrados e apenas um receptor habilitado possa decifrá-los, e;
• Treinamentos: 45% dos vazamentos de dados são acidentais, dizem especialistas. Reforçar a conscientização dos funcionários ajuda a evitar incidentes.

Mas nem sempre a proibição radical resolve. Impedir sumariamente o uso de pen drives, smartphones ou qualquer outro tipo de memória portátil pode comprometer a produtividade do funcionário que necessita da mobilidade. Segundo Carlos Affonso, diretor regional da Módulo Security, o ideal seria começar uma avaliação para classificar os riscos, monitorando onde residem as informações confidenciais da empresa, e revisar o perfil do usuário que pode acessá-las. Outro item obrigatório da cartilha é o treinamento dos funcionários para que eles entendam quais são os reais riscos de um roubo de informações. “A facilidade é a inimiga da segurança. Os roubos de dados tendem a crescer, e os profissionais de tecnologia precisam estar cada vez mais ativos e incluí-los em suas listas de combate”, resume Affonso. Sinal de que o trabalho está só começando.

Dando continuidade aos artigos elaborados pelo Sr. Carlos Wagner P. Firpo, especialista em Gestão da Segurança da Informação, iremos apresentar os riscos de não definirmos regras claras sobre o uso de pen drives nas organizações.

Eles medem apenas 6 centímetros, levam uma microplaca de circuito, um chip de memória — e é só. Enganam-se, porém, os que subestimam esses pequenos objetos. Um simples pen drive já pode abrigar até 64 gigabytes de informação. Isso significa o conteúdo de 16 DVDs, alguns milhares de músicas, se você fizer a conta pensando em entretenimento, ou mais de 30 milhões de registros de clientes de uma empresa, se pensar nos riscos que esses dispositivos representam para as empresas. Cada vez menores, mais potentes e mais baratos, os chips de memória têm se multiplicado nas organizações. Eles são a maneira mais rápida de transportar arquivos de um computador para outro. Ninguém precisa mais entender de conexões em rede entre duas máquinas. Basta “espetar” um chaveirinho e fazer o transporte físico das informações para qualquer lugar — inclusive para fora da empresa. “A possibilidade de copiar dados em pen drives não seguros, iPods e computadores de mão, entre outros aparelhos, tem representado um tormento para os esforços de segurança”, diz Larry Ponemon, presidente do Ponemon Institute, empresa americana que pesquisa vazamentos de dados e segurança da informação. Os pen drives já são o segundo meio mais utilizado para transportar documentos e dados corporativos para fora da companhia, segundo uma pesquisa da empresa de segurança digital McAfee. Só perdem para os laptops. Mas, ao contrário dos PCs portáteis, os chaveiros de memória são virtualmente impossíveis de controlar e são encarados de forma casual: raríssimas empresas exigem que os dados por eles transportados sejam protegidos.

O vazamento de informações corporativas causado por perda ou roubo de pen drives tem se tornado cada vez mais freqüente nas estatísticas, de forma proporcional ao crescimento do uso desse tipo de memória portátil. Recentemente, nos Estados Unidos, nomes, endereços, números de identidade e registros médicos de 120.000 pacientes do hospital Wilcox Memorial, no Havaí, foram expostos por causa de um pen drive perdido. O mesmo aconteceu com 6.500 alunos da Universidade do Kentucky, que tiveram suas informações expostas após o extravio do pen drive de um professor. A gigante da aviação Boeing também revelou, no ano passado, ter sido vítima do roubo de 320.000 arquivos de documentos confidenciais por um funcionário que agiu por cerca de dois anos e utilizou memórias portáteis como aliadas. O rombo? Entre 5 bilhões e 15 bilhões de dólares. No Brasil, a situação não é diferente. A subsidiária local da Kroll, consultoria de gerenciamento de riscos, foi contratada no ano passado por uma empresa do ramo imobiliário em São Paulo para investigar um caso de roubo de dados usando a memória portátil. Um suposto técnico entrou na empresa com o pretexto de consertar os computadores da secretária e do diretor-geral, conectou o pen drive e em menos de 25 minutos já havia copiado planilhas com dados bancários, informações financeiras e documentos da empresa. Apenas no final do dia, percebeu-se que não se tratava, de fato, de um funcionário da empresa. “O impacto poderia ter sido muito menor se existissem alguns controles tecnológicos simples, entre eles o bloqueio de gravação nesse tipo de memória portátil”, diz Paulo Renato Silva, diretor da área de computação forense e serviços de tecnologia da Kroll.

“A maioria das empresas conhece os riscos, mas não compreende a gravidade ou acredita que a solução para o problema é muito complexa e cara”, afirma o americano Ponemon. Os números justificam todo e qualquer cuidado. Segundo um levantamento recente do próprio Ponemon Institute com 893 entrevistados, 51% dessas pessoas utilizam esse meio para copiar informações confidenciais da empresa e a maioria (87%) sabe que a prática viola as regras de segurança das companhias. Para proteger seus dados, a Honda Brasil começou a implantar, no mês passado, uma política de restrição aos equipamentos particulares de seus funcionários, sejam pen drives, MP3 players ou computadores de mão. “Mesmo que um desses aparelhos seja plugado a um dos 4.200 computadores da empresa, nenhum dado pode ser copiado”, diz Leandro Doreto, analista de segurança da informação e um dos integrantes do projeto da montadora japonesa. Para não abrir mão da comodidade dos pen drives, a Honda comprou dispositivos criptografados e distribuiu aos profissionais de acordo com a função. Esse tipo de política preventiva, porém, ainda é exceção no Brasil. Segundo Wanderson Castilho, diretor da E-NetSecurity Solutions, de cada dez empresas, menos de três têm essa preocupação de monitoramento. “Nos Estados Unidos, essa proporção chega a sete entre dez”, diz Castilho.

Prejuízo: 1,82 milhão de dólares é o custo médio de um incidente de vazamento de dados

(1) Base: 893 respostas (mundo)

Fontes: MacAfee, Ovum e Ponemon Institute

Parte da explicação está no custo. Enquanto um pen drive de 1 GB custa em média 20 reais no varejo, o mesmo aparelho com criptografia total e proteção por senha chega a custar quase 14 vezes mais, segundo estimativas da fabricante Kingston. Mas problema maior está na complacência. Não raro, as empresas só tomam a precaução depois de passar por problemas. A Hyspex, empresa paulista do setor de alumínio, teve há quase quatro anos um episódio de vazamento de dados pela internet. A fórmula de uma de suas ligas, um dos principais patrimônios da companhia, foi enviada por e-mail por um funcionário para seu principal concorrente. Sem a vantagem competitiva, a empresa perdeu clientes e ficou praticamente parada por seis meses. Depois da experiência, a Hyspex restringiu o acesso à internet somente a sites relacionados ao negócio. E-mails pessoais e mensageiros instantâneos são proibidos, e os e-mails corporativos são monitorados. O próximo deve ser os pen drives. “Foi uma lição duramente aprendida”, afirma o diretor-geral da Hyspex, Arthur Feola.

No próximo post / artigo, iremos continuar a análise, apresentando possíveis soluções para minimizar estes riscos.

Dando continuidade ao post anterior no qual publicamos o jogo os 7 Erros da Segurança da Informação, em função das diversas solicitações que recebemos por e-mail, solicitando o gabarito, estamos antecipando e publicando o resultado neste post.

Este “exercício” foi elaborado pela empresa 3Elos Segurança em TI, cujo website é o seguinte www.3elos.com.br.

Vamos reapresentar a primeira imagem com os 7 Erros assinalados e as respectivas justificativas:

1. Software licenciado deve ser armazenado de forma segura quando não utilizado;
2. Pelo código de conduta de negócios e práticas operacionais, apenas informações relacionadas aos negócios da empresa podem ser manipuladas nos sistemas e equipamentos. Além disso, sempre quando se ausentar do equipamento o mesmo deve ser bloqueado;
3. As cópias de backup devem ser armazenadas em locais fisicamente separados para não serem afetados em casos de emergência tais como fogo ou inundação;
4. Líquidos podem causar danos aos hardwares e disquetes e, quando quentes, podem causar sérias queimaduras nos usuários;
5. Pelo código de conduta de negócios e práticas operacionais, apenas informações relacionadas aos negócios da empresa podem ser manipuladas nos sistemas e equipamentos;
6. Os valores e bens pessoais devem ser guardados em locais apropriados quando não estão em uso;
7. Fios soltos aumentam o perigo na área de trabalho. Os fios devem ser armazenados em locais seguros embaixo das mesas. Os equipamentos são muito sensíveis a qualidade da força elétrica. Também é recomendável o uso de no-break ou estabilizador para todos os equipamentos, e;
8. Gavetas abertas aumentam o perigo na área de trabalho. Quando não utilizadas, devem ser fechadas.

E aí, conseguiram “gabaritar”?

Dando continuidade ao post anterior no qual iniciamos a falar sobre Segurança da Informação, gostaríamos de apresentar de uma forma lúdica, ou seja, através da tradicional brincadeira dos 7 Erros o que acontece em organizações que não se preocupam em avaliar os riscos reais e potenciais no que se refere a “falhas” de segurança da informação.

Este “exercício” foi elaborado pela empresa 3Elos Segurança em TI, cujo website é o seguinte www.3elos.com.br.

Vamos apresentar a primeira imagem, por favor, busquem os 7 Erros no que se refere a Segurança da Informação, e avaliem se estas “falhas” não estão acontecendo em suas organizações neste exato momento em que esta lendo este post.

No próximo post que iremos publicar amanha, apresentaremos o gabarito, com as justificativas, até lá … desejamos “sorte” no exercício!

Dando continuidade ao post anterior no qual iniciamos a falar sobre Segurança da Informação, gostaríamos de apresentar os resultados de uma pesquisa recente que recebemos do website www.computerworld.uol.com.br

São dados preocupantes a respeito de roubo de informações dos empregadores, por empregados demitidos. O índice é preocupante e se baseia em pesquisa realizada.

Framingham – Copiar e-mails e arquivos foram as práticas mais adotadas por ex-empregados, sendo que 50% ainda acessam redes remotamente.

O índice de roubo de informações de funcionários que foram demitidos ou deixaram seus empregos nos últimos 12 meses foi de 69%, de acordo com uma pesquisa do Ponemon Institute divulgada esta semana.

O estudo “Jobs at Risk = Data at Risk” foi realizado com 945 pessoas que foram dispensadas, demitidas ou que deixaram seus empregos em um ano, sendo que 67% disseram ter usado informações confidenciais de seus empregos anteriores para se recolocarem no mercado.

A pesquisa mostra que 61% dos respondentes que tinham uma visão negativa das companhias onde trabalhavam levaram dados, enquanto o índice de desvio de informações entre ex-funcionários que viam seus ex-empregadores de forma positiva foi de 26%.

Somente 31% dos participantes da pesquisa responderam que “confiavam” em seus ex-empregadores, enquanto 25% mostraram “incerteza” e 44% disseram que não confiavam nas práticas das empresas que deixaram.

Dos 945 participantes da pesquisa encomendada pela Symantec, 37% foram demitidos, 38% mudaram de emprego e 21% deixaram as empresas antecipando cortes. O grupo entrevistado atuava em 12 setores diferentes da indústria, sendo que 20% lidavam com tecnologia, 10% com finanças e contabilidade, 24% estavam na área de vendas e 8% em marketing e comunicações.

Levar informações de e-mails e copiar arquivos foram as ações mais praticadas pelos funcionários que roubaram documentos de seus antigos empregos, de acordo com o estudo. As práticas menos adotadas foram o desvio de arquivos em PDF, o acesso a arquivos de bancos de dados e o roubo de códigos-fonte. As informações foram levadas tanto em papéis simplesmente carregados pelos ex-funcionários como transferidas para mídias e pen-drives ou como anexos via e-mail para contas pessoais.

Alguns entrevistados admitiram ser errado levar informações das empresas sem permissão, mas 79% destes citaram várias razões para suas atitudes, incluindo respostas como “todo mundo faz isso”, “a informação pode ser útil no futuro” ou “a companhia não pode rastrear a informação até mim.”

Surpreendentemente, 24% dos ex-funcionários que responderam à pesquisa disseram que ainda podiam acessar os sistemas de seus antigos empregadores, sendo que 50% tiveram acesso entre um dia e uma semana após terem deixado as empresas, e 20% acessaram suas ex-redes corporativas por mais de uma semana.

Algumas perguntas / reflexões para os Gestores:

Quanto vale os dados da sua empresa?

Quanto a sua empresa já investiu em desenvolver documentos para uso próprio?

Quais são os riscos das suas informações serem levadas para o seu concorrente através de seus ex-funcionários?

E os funcionários que ainda estão no quadro de colaboradores da empresa?

Participe, registrando as suas experiências, nos campos de comentários deste post!

A partir deste post, teremos a contribuição do consultor Carlos Wagner P. Firpo.

Tenho visitado alguns clientes e tenho percebido algumas irregularidades comuns ao dia a dia. Desde o modo básico até o avançado.

Algumas perguntas básicas, como, o seu antivírus é atualizado regularmente, foi bem configurado?  Ele é para uso domestico ou corporativo. E o seu backup está sendo efetivado para a sua segurança? Ele foi processado um restaure  com sucesso?

As respostas são sempre,  como assim? Para que? Deve ser feito?

O que você faria se perdesse todos os seus dados?… Enfim várias respostas são dadas.

Você já avaliou o seu grau de risco, se perdesse tudo, como você iniciaria a manhã de segunda-feira?

Pois bem eis a solução:

Contrate um especialista no assunto. Este irá fornecer as informações preventivas ideais para o seu ambiente, seja ele pequeno, médio ou grande porte. Identificando a melhor política e as melhores regras a serem praticadas documentadas e treinadas.

A Segurança da Informação é um tema bastante amplo a ser debatido entre usuários e especialistas. Os conceitos estão sempre ativos a uma melhor solução.

No próximo post incluiremos definições e metodologias.

Continuando um post anterior, recebemos, hoje, pelo newsletter da ISO, o comunicado de um lançamento de uma pesquisa “The ISO Survey of Certifications 2007”. A pesquisa revela que 175 países estão utilizando uma ou mais das normas ISO de gerenciamento de sistemas, sendo que em 2006, este número era 170 – “uma demonstração clara que estas normas tornaram-se instrumentos essenciais na economia mundial”.

As principais conclusões são as seguintes:

ISO 9001:2000 (gestão da qualidade)

Até o final de dezembro de 2007, pelo menos 951.486 certificados ISO 9001:2000 haviam sido emitidos em 175 países e economias. Estes números representam um aumento de 54.557 (+ 6%) ao longo de 2006, quando o total foi de 896.929 em 170 países e economias. Novas certificações representam 32% de todos os certificados emitidos.

O aumento pareça muito menor do que em 2006 (+16%) e de acordo com a pesquisa pode ter vários fatores combinados para produzir esse resultado:

• O interesse pela certificação diminui, aguardando as “novidades” da próxima edição, ou seja versão 2008 / 2009. No período de 1999 / 2000, ocorreram atitudes semelhantes, ou seja, muitas organizações preferiram “esperar e ver” atitude”.
• O mercado está amadurecendo para a certificação em alguns países onde esta atividade começou desde o início.
• O crescimento contínuo em outros segmentos, faz com que as organizações busquem normas de gerenciamento de sistemas específicas para o seu segmento, deixando de interessar-se pela ISO 9001.
• A tendência por substituir certificados emitidos para vários “sites”, por um único certificado que cubra todos os “sites”

ISO 14001:2004 (gestão ambiental)

Até o final de dezembro de 2007, pelo menos 154.572 certificados foram emitidos em 148 países e economias. Estes números representam um aumento de 26.361 (+ 21%) ao longo de 2006, quando o total foi de 128.211 em 140 países e economias. Novas certificações representam 29% de todos os certificados emitidos.

ISO / TS 16949:2002 (gestão da qualidade para fornecedores automotivos)

Até o final de dezembro de 2007, pelo menos 35.198 certificados ISO / TS 16949:2002 tinham sido emitidos em 81 países. Estes números representam um aumento de 7.199 (+ 26%) ao longo de 2006, quando o total foi de 27.999 certificados em 78 países e economias.

ISO 13485:2003 (gestão da qualidade para os dispositivos médicos)

Até o final de dezembro de 2007, pelo menos 12.985 certificados ISO 13485:2003 tinham sido emitidos em 84 países. Estes números representam um aumento de 4.959 (+ 62%) ao longo de 2006, quando o total foi de 8.026 em 81 países e economias.

ISO / IEC 27001:2005 (gestão da segurança da informação)

No final de dezembro de 2007, pelo menos 7.732 ISO / IEC 27001:2005 tinham sido emitidos em 70 países. Estes números representam um aumento de 1.935 (+ 33%) ao longo de 2006, quando o total foi de 5.797 em 64 países. Novas certificações representam 90% de todos os certificados emitidos.

Os resultados do inquérito continuam a lançar luz sobre a evolução da economia global, com novas economias emergentes, como China, Índia, Brasil e Federação da Rússia, que figuram entre os principais países para os totais dos certificados emitidos, ou de crescimento durante 2007. Países que não os estabelecidos economias industrializadas mostrando intensivo certificação, por exemplo, Bulgária, República Checa, da República da Coréia, México, Polônia, Romênia, Tailândia e Turquia.

Mais informações

A ISO disponibiliza gratuitamente as principais conclusões desta pesquisa no site da ISO, através do seguinte link.

Mais informações, podem ser encontradas em “The ISO Survey of Certifications 2007”, que é um conjunto de brochura e CD, cujo valor é 48 francos suíços. Está disponível a partir do seguinte link.

Segue o link com as informações originais.

Vale a pena analisar os dados, e tirar as suas próprias conclusões. Iremos aguardá-las, registrem aqui!

Recebi, hoje, pelo newsletter da ISO, um informe de que foi publicado um livro e CD, no qual auxilia as organizações a integrar as diversas normas de gestão, buscando realmente um sistema de gestão integrado, maiores informações podem vistas neste link.

Realmente é um desafio para as organizações que se propõe a integrar diversas normas em um único sistema de gestão.

Normalmente, quando se pensa em integrar normas em um único sistema de gestão, imaginamos somente, por exemplo:

• ISO 9001:2000 “versus” ISO 14001:2004.

Mas, atualmente, estão surgindo “novas tendências” de integração, por exemplo:

• ISO 13485;
• ISO 22000;
• ISO 28000, e;
• ISO/IEC 27001.

E não podemos esquecer de exemplos “locais”, por exemplo: integrar ISO 9001 com os critérios do PGQP (Programa Gaúcho da Qualidade e Produtividade) e PBQP-H!

O livro e o CD apresentam diversos exemplos e pontos considerados importantes para esta “integralização”.

E você, atua em organizações no qual o sistema de gestão é integrado?

Quais foram as maiores dificuldades e ganhos com esta “integralização”?