Vazamento de Informações no Tribunal de Justiça do RS- Esquema de venda de informações para organização criminosa.

De acordo com a Polícia Civil, grupo pagava por consultas à informações sigilosas do sistema interno da Justiça.

Sete servidores públicos estão sendo investigados e 14 estagiários foram afastados por suspeita de envolvimento no esquema de venda de informações sigilosas para integrantes de uma organização criminosa.

Alvos de operações, recebiam informações antecipadas dos funcionários, que tinham acesso ao sistema do tribunal.

Uma ex-estagiária do TJRS foi presa suspeita de vazar informações a criminosos, que pagavam por consultas a informações sigilosas, como mandados de prisão e/ou processos.

A ex-estagiária atuou no TJRS por um ano, segundo as investigações da Polícia Civil, e a mesma teria sido atraída pela organização criminosa, para repassar as informações sigilosas solicitadas.

O Núcleo de Inteligência do Tribunal de Justiça acompanhou as investigações, que duraram dois meses, e constatou que as informações vazadas eram restritas aos juízes, servidores das varas e autoridades policiais.

O valor pago era de R$ 3.000,00, por consulta.

Ao final das investigações, o TJRS informou que, trocou todas as senhas de acesso e suspendeu as senhas de 500 ex-estagiários do órgão, mas que ainda estavam ativas.

Segundo o Desembargador Antônio Vinicius Amaro da Silveira, 2º Presidente do TJRS, todos os servidores são orientados a não repassarem as suas senhas. O compartilhamento de senhas é irregular no Tribunal.

Segurança da Informação e Controle de Acessos

Como podemos ver, no caso acima, a falta de controle de acessos combinada com a falta de segurança da informação pode resultar em sérios riscos e vulnerabilidades para uma organização.

Aqui estão alguns impactos negativos que podem surgir dessa combinação:

1- Acesso Não Autorizado: Sem um controle efetivo de acesso, há maior probabilidade de acesso não autorizado aos sistemas e dados da organização. Isso pode levar a vazamentos de informações sensíveis.

2- Roubo de Credenciais: A ausência de controles de acesso adequados facilita o roubo de credenciais, pois os usuários podem compartilhar senhas ou ter privilégios excessivos.

O compartilhamento de senhas aumenta significativamente os riscos de acesso não autorizado, comprometendo a segurança dos dados.

3- Perda de Dados Sensíveis: A falta de segurança da informação combinada com acesso não autorizado pode resultar na perda ou exposição de dados sensíveis, incluindo informações de clientes e propriedade intelectual.

4- Manipulação de Dados: Usuários não autorizados podem modificar, excluir ou corromper dados, comprometendo a integridade das informações armazenadas.

5- Responsabilização Comprometida: A ausência de controles de acesso dificulta a atribuição de responsabilidades em caso de incidentes de segurança, tornando-se difícil identificar quem realizou a ação prejudicial.

6-Violação de Conformidade: A falta de controles de acesso robustos pode resultar em violações de regulamentações de privacidade e segurança, sujeitando a organização a penalidades legais e danos à reputação.

7- Exposição a Ameaças Internas: Funcionários mal-intencionados podem explorar a falta de controle de acesso para realizar atividades prejudiciais sem serem detectados facilmente.

8- Ataques Cibernéticos Bem-Sucedidos: A ausência de medidas eficazes de segurança da informação pode facilitar a realização de ataques cibernéticos, como malware, phishing e ransomware.

9- Prejuízos Financeiros: Incidentes resultantes da falta de controle de acesso e segurança da informação podem resultar em prejuízos financeiros significativos, incluindo custos de recuperação, multas e perda de receita.

Ao abordar o compartilhamento de senhas e o controle de acessos, a organização fortalece sua postura de segurança, reduzindo os riscos associados a acessos não autorizados e garantindo a proteção eficaz dos dados.

Para evitar esses riscos, é crucial implementar uma abordagem abrangente de segurança da informação, incluindo políticas de controle de acesso, autenticação forte, monitoramento contínuo e treinamento regular dos usuários.

Treinamento e Conscientização

A conscientização sobre a importância da segurança da informação em todos os níveis da organização é fundamental para criar uma cultura de proteção e responsabilidade.

Realizar treinamentos eficazes de controle de acessos e segurança da informação é crucial para fortalecer a postura de segurança de uma organização.

Aqui estão alguns elementos essenciais que podem ser incluídos em um programa de treinamento abrangente:

1- Sensibilização sobre Segurança da Informação: Abordagem inicial que destaca a importância da segurança da informação para a organização, seus clientes e funcionários. Enfatize os riscos associados à falta de segurança.

2- Políticas e Procedimentos: Explique claramente as políticas de controle de acesso e segurança da informação adotadas pela organização. Certifique-se de que os participantes compreendam as diretrizes e as práticas recomendadas.

3- Princípios de Controle de Acesso: Descreva os princípios do controle de acesso, como o princípio do menor privilégio, e explique como eles contribuem para a segurança. Ilustre casos práticos.

4- Autenticação e Autorização: Detalhe os métodos de autenticação, como senhas, autenticação multifatorial, tokens, e explique o processo de autorização para acessar recursos específicos.

5- Reconhecimento de Ameaças e Ataques: Eduque sobre diferentes ameaças cibernéticas, como phishing, malware e engenharia social. Ensine os participantes a reconhecerem sinais de possíveis ataques.

6- Boas Práticas de Senhas: Forneça orientações sobre a criação e o gerenciamento de senhas seguras. Destaque a importância de não compartilhar senhas e de atualizá-las regularmente.

7- Monitoramento de Atividades: Explique como as atividades dos usuários são monitoradas para garantir a conformidade e a detecção precoce de comportamentos suspeitos.

8- Responsabilização e Consequências: Esclareça as responsabilidades dos usuários em relação à segurança da informação e as possíveis consequências do não cumprimento das políticas estabelecidas.

9- Exercícios Práticos e Simulações: Realize exercícios práticos e simulações de ataques para que os participantes possam aplicar os conhecimentos adquiridos em situações do mundo real.

10- Atualizações Contínuas: Destaque a natureza dinâmica da segurança da informação e a necessidade de atualizações regulares. Incentive a participação em treinamentos periódicos.

11- Recursos de Suporte: Forneça recursos de suporte, como guias de referência, canais de comunicação para relatar incidentes e suporte técnico.

Ao criar um programa de treinamento abrangente que aborde tanto o controle de acessos quanto a segurança da informação, a organização pode capacitar seus funcionários a desempenharem um papel ativo na proteção dos ativos digitais e na mitigação de riscos de segurança.

O treinamento é, sem dúvida, uma componente crucial na implementação eficaz da segurança da informação e o controle de acessos. Também, é importante destacar que, a segurança abrange uma série de medidas e práticas que, quando combinadas, fortalecem a postura de proteção da organização