| Gestão Corporativa para Prevenir Roubo de Identidades | ||
 |
||
|
|
De: Orlando Tenório Chacón, CISA, CISM -
Traduzido por: Danielle Pascuotte -
Publicado no Boletim ISACA LATAM “Con Sabor Latino” Out/Dez/2007  O QUE É O ROUBO DE IDENTIDADE? São todos os tipos de fraudes no qual um indivíduo obtém e utiliza ilicitamente os dados pessoais de outra pessoa para realizar uma fraude. Por exemplo, seu nome, número do RG, número do cartão de crédito ou qualquer outra informação relacionada à identificação da pessoa. A maioria das pessoas desconhece que foram vítimas de roubo de identidade até que cobranças desconhecidas são realizadas no seu cartão de crédito ou empréstimos são feitos em seu nome sem a sua aprovação. Isto é uma fraude séria. As pessoas que tiveram sua identidade roubada podem perder meses ou anos e também milhares de dólares reparando os prejuízos causados nas suas linhas de crédito e em seu nome. As vítimas podem perder oportunidades de emprego e até serem detidas por delitos que não cometeram. Entre os sentimentos experimentados pelas vítimas ao atravessar o árduo processo de recuperação de sua identidade se encontram a humilhação, a raiva e a frustração. As principais denúncias relacionadas ao roubo de identidade são: • Fraude com cartões de crédito • Serviços não-autorizados de serviços públicos • Chamadas telefônicas fraudulentas • Fraude bancária • Empréstimos fraudulentos • Fraude com documentos governamentais como passaporte, carteira de motorista entre outros ELEMENTOS UTILIZADOS PARA O ROUBO Para realizar o roubo de identidade os fraudadores utilizam-se de diversos artifícios, vistos como atrativos pelas vítimas potenciais: • Sorteios falsos • Ofertas de crédito financeiro • Ofertas de viagens a tarifa reduzida ou ofertas com descontos em revistas • Estelionato de bolsa de estudos Os fraudadores também utilizam outros elementos que lhe são muito úteis para apoderar-se da identidade das vítimas: •Roubando carteiras que contém sua identificação e cartões de banco e de crédito •Roubando correspondência, incluindo extratos bancários, ofertas de cartão de crédito, cheques novos e informação sobre impostos •Preenchendo um “formulário de mudança/alteração de endereço” a fim de desviar a correspondência para outro lugar •Procurando no lixo informações sobre os dados pessoais •Fingindo ser alguém que tem uma necessidade real de obter informação e o direito legal para fazê-lo •Utilizando a informação pessoal que se compartilha através da internet •Utilizando técnicas de roubo por correio eletrônico tais como o “phishing” COMO OS FRAUDADORES UTILIZAM A INFORMAÇÃO? Depois de terem se apoderado dos dados de suas vítimas, a fase seguinte é atuar rapidamente para proceder com as fraudes. Estes são alguns dos exemplos: •Utilizam cartões de crédito para fazer compras •Solicitam cartões de crédito/débito adicionais e um novo PIN para facilitar a fraude de adiantamento de dinheiro •Abrindo uma nova conta de cartão de crédito, utilizando o nome, data de nascimento e números de RG e CPF falsos •Utilizando os cartões até esgotar o limite disponível •Adquirindo um serviço telefônico ou de internet em nome da vítima. A PRINCIPAL DEFICIÊNCIA É INTERNA Os que se dedicam ao roubo de identidade também aproveitam as deficiências que as organizações possuem internamente. Por exemplo: •Falta de políticas e práticas de segurança e privacidade sobre a informação nas organizações •Fraudes realizadas pelos funcionários através da criação de contas falsas ou utilizando a conta dos funcionários •Controles inadequados ou inexistentes para proteger a informação privada dos funcionários e dos clientes •Falta de capacitação provocando a manipulação inadequada da informação •Falta de conscientização tanto dos funcionários como dos clientes criando uma confiança que é aproveitada pelos fraudadores •Falta de punições/sanções ou estabelecidas de forma deficiente quando os funcionários da empresa cometem erros que implicam na perda de informação •Funcionários descontentes ou ex-funcionários que não tiveram seus direitos de acesso eliminados após o desligamento. ARQUITETURA DE PRIVACIDADE Para proteger-se e proteger seus clientes as organizações podem implementar uma arquitetura de privacidade, a qual engloba aspectos técnicos (por exemplo, ferramentas de segurança em um firewall) como aspectos não-técnicos, tais como processos a ser implementados para controlar o acesso de um visitante ou terceiro a áreas restringidas do edifício ou da rede da empresa. A arquitetura de privacidade deve considerar-se como complemento da política de segurança da informação da organização existente, já que facilita a tarefa dos responsáveis de segurança em seu objetivo de proteger a empresa em todos os níveis. A implementação da arquitetura de privacidade permite às organizações servir de exemplo para outras companhias, os próprios funcionários e para seus clientes sobre suas políticas para a proteção dos dados. O resultado final é que a empresa normalmente ganha prestígio e tanto clientes como parceiros se animam a realizar negócios através da internet. Os componentes da arquitetura de privacidade são: •Política de Privacidade •Processos de Controle do Negócio •Educação e Conscientização •Infra-estrutura técnica •Resposta a incidentes Política de Privacidade Este é o primeiro componente da arquitetura. Muitas empresas não dispõem de um responsável para os problemas de privacidade e desse modo as ameaças ao roubo de identidade não recebem a devida atenção e tampouco se aplicam medidas preventivas. Deve diferenciar entre clientes e funcionários. Adicionalmente, esta política deve considerar-se internamente como objetivo no que se refere à exigência de proteção dos dados individuais armazenados e manipulados pela empresa. Uma vez definida a política, resulta imprescindível o apoio dos níveis executivos da empresa e a comunicação clara da mesma. Processos de Controle do Negócio Deve-se realizar a criação de processos de controle nos casos em que o resultado final seja eficiente e gestionavel. É indispensável ter controles com parceiros ou provedores de serviços, já que se um funcionário envia dados confidenciais a um colaborador, a empresa a que se representa segue sendo responsável pela proteção desses dados. Todos os funcionários de uma organização são responsáveis em proteger os dados armazenados nos dispositivos que manipulam, tanto se são de propriedade particular ou ferramentas corporativas. A instalação de antivírus, assim como a criptografia do disco rígido deveriam ser práticas habituais. Uma medida altamente recomendada na manipulação de dados privilegiados é que o acesso aos mesmos seja permitido somente quando seja estritamente necessário para a realização de suas tarefas. Educação e Conscientização A educação e conscientização no manuseio da privacidade e no seguimento dos processos de controle é chave para que esta fase tenha êxito. As medidas mais comuns como a proteção de documentos confidenciais, a atenção com dispositivos móveis, a resistência mediante ataques de engenharia social entre outros requerem o conhecimento e seguimento da política de privacidade da organização. Infra-estrutura técnica Atualmente a tecnologia permite a detecção e mitigação dos efeitos da maioria dos ataques baseados no roubo de identidade. Existem mecanismos de identidade eletrônica baseados em chips criptografados, cuja segurança, ate o momento não foi comprometida. Técnicas de criptografia do disco rígido, controle de aceite para dispositivos desde os que se tenta acessar a rede corporativa e, no geral, soluções de “blindagem” dos sistemas operacionais, são chaves na luta contra o roubo de identidades. Igualmente importante é a colaboração com os provedores de serviço para bloquear os ataques uma vez produzidos. A segurança de rede inclui técnicas aplicáveis aos dispositivos de rede como o uso de criptografia durante as transmissões de dados. Por exemplo, com produtos que suporte IPsec, VPN, SSL entre outros, ou o hardware com funcionalidades anti-X (antivírus, anti-spam, anti-spyware, anti-phishing, etc.) especificamente desenvolvido para mitigar ataques cujo objetivo principal é o roubo de dados. Resposta a Incidentes Uma vez desenvolvida a arquitetura de privacidade é necessário implantar um processo de monitoração contínuo que permita melhorar a mesma. A definição de um plano de contingência que defina exatamente como atuar mediante um incidente ajuda na reação rápida e eficiente diante de ataques. Uma má resposta corporativa ante a publicação de um incidente nos meios de comunicação pode resultar mais prejudicial que o próprio ataque. DESAFIOS E RISCOS FUTUROS Como conclusão, é importante estabelecer quais são os desafios e riscos futuros, tanto para as organizações como para seus clientes: Desafios O principal desafio é dar confiança aos clientes, que devem perceber que os serviços que se proporcionam são seguros. Conseguir que as organizações invistam em privacidade. Um desafio importante é que as organizações revertam às incidências internas. Conseguir que os clientes invistam em segurança. Obter uma internet mais segura. Riscos O principal risco é a habilidade dos fraudadores. As vulnerabilidades dos sistemas operacionais. O difícil é conseguir que os clientes apliquem medidas de segurança em seus equipamentos de uso pessoal. O uso de softwares sem licença, ao qual não se pode aplicar os patches de segurança. REFERÊNCIAS Red Seguridad. Editorial Bormart 2005: Arquitectura de privacidad: prevención del robo de identidades. Diário TI. La mayor amenaza a la seguridad es interna Federal Trade Commission, FTC. La FTC da a conocer lãs 10 primeras categorias de la lista de quejas presentadas por los consumidores por fraude, 2006 BBB en Español, Robo de Identidade, 2005. Federal Trade Commission, FTC. Tome el Control, Defiéndase contra el Robo de Identidad, 2005 MasterCard, Robo de Identidad, 2006 Danielle Pascuotte é auditora de sistemas em um dos maiores grupos financeiros internacionais da Europa. |
Gestão Corporativa para Prevenir Roubo de Identidades
© Copyright 2013 danielle pascuotte & ISACA Chapter SP
© Copyright 2013 danielle pascuotte & ISACA Chapter SP
Agenda de Eventos 
Fotos