A ESET – fornecedora de soluções de segurança da informação –acaba de divulgar os resultados de sua mais recente investigação intitulada “CPL malware no Brasil: Entre trojans bancários e e-mails maliciosos”. O estudo reafirma a ascendência dos trojans (Cavalo de Troia) bancários no país e também aponta como os cibercriminosos utilizam um tipo especial de arquivos executáveis, os CPL (Control Panel Application), para propagar ameaças e como essa tendência tem evoluído nos últimos anos.
Para conseguir que as vítimas executem os arquivos maliciosos e tenham suas máquinas infectadas, cibercriminosos utilizam e-mails falsos como principal via de propagação. Assim fazem os usuários acreditarem que o anexo na mensagem é um documento com informação útil.
Entre as principais ferramentas para realizar o ataque estão documentos como um orçamento, fatura ou recibo; informações uma dívida ou situação bancária; documentos digitais usados no Brasil, como boleto bancário ou Nota Fiscal Eletrônica ou supostas fotos, vídeos e arquivos multimídia.
Uma vez que o trojan bancário é executado no equipamento, um cavalo de troia é descarregado de algum servidor e a URL se encontra com o CPL, em formato de texto simples ou criptografado. A partir desse momento, o trojan busca uma forma de persistir no sistema infectado e, em seguida, começa a coleta de dados bancários da vítima. Se as credenciais de acesso estiverem disponíveis, screenshots ou qualquer outra informação bancária serão enviadas para o cibercriminoso.
“Durante a investigação, os especialistas da ESET notaram que o Brasil possui um ecossistema de cibercrime diferente do resto da região da América Latina”, afirma Camillo Di Jorge, Country Manager da ESET no Brasil. “A maneira como as ameaças são desenvolvidas e distribuídas demandam uma dedicação dos cibercriminosos, que geram os seus ataques de forma personalizada, levando em conta as diferentes formas de operações eletrônicas”, diz.
A análise ainda revelou que o Brasil está entre os três países na América Latina onde mais cresce o uso serviços bancários. Além disso, metade dos usuários de redes sociais no país afirmam já terem feito pelo menos uma transação on-line durante o ano 2013. “Acreditamos que o aumento de transações online estimula os cibercriminosos investirem, ainda mais, esforços em suas campanhas ataque”, finaliza.
Para ajudar os internautas e empresas, a ESET preparou uma lista com dicas de como aumentar a segurança durante a navegação na internet.
Para usuários:
• Não abra anexos de e origem duvidosa.
• Informar ameaças que chegam em sua caixa de entrada para ajudar a prevenir que outros usuários sejam afetados.
• Analisar anexos com uma solução de segurança.
Para as empresas:
• Bloqueio em anexos de e-mail servidores com extensões:.com, .cpl, .exe, .js, .vbs, .vbe entre outras.
• Tenha uma solução de segurança nos Endpoints que permita detectar estas ameaças.
• Conscientizar os usuários sobre segurança da informação para evitar que abram arquivos de e-mails falsos.
A TIVIT, empresa líder em serviços integrados de Tecnologia, anuncia o investimento de R$ 170 milhões na América Latina em 2015. Os recursos serão utilizados de maneira estratégica para suportar as atividades da companhia durante o ano: 65% destinados ao crescimento de suas operações, incluindo infraestrutura e conquista de novos clientes; e 35% em atualizações tecnológicas para suportar os serviços oferecidos atualmente.
A expectativa da companhia é manter o ritmo de crescimento neste ano e atingir um faturamento de R$ 2,5 bilhões, um aumento de cerca de 20% sobre 2014. “Para atingir nossas metas, iremos adotar uma estratégia de crescimento orgânico e vendas cruzadas, estendendo contratos com os clientes existentes e oferecendo novos serviços em nosso portfólio”, explica André Frederico, diretor de Desenvolvimento Corporativo da TIVIT.
As áreas de Cloud Computing, Segurança da Informação e Smart Systems são estratégicas para a TIVIT, com a expectativa de se fortalecerem ainda mais neste ano. Verticais nas quais a companhia já tem expertise, como meios de pagamento, bancos, seguradoras e utilities também permanecem no planejamento da empresa.
No ano passado, a TIVIT fechou seu balanço com um faturamento de R$ 2 bilhões, um número recorde em toda a sua história. O ano de 2014 foi um marco para a empresa, que fortaleceu sua atuação internacional, expandindo sua presença em mais sete países da América Latina: Brasil, Chile, Colômbia, Argentina, Peru, Panamá e Equador.
Operações latinas
Depois do Brasil, as maiores operações da TIVIT na América Latina estão no Chile e na Colômbia. A expectativa de crescimento para os países é de 10 à 15%, com a adoção de uma estratégia de crescimento orgânico e venda cruzada. Os setores de utilities, mineração e varejo estão entre as principais verticais do mercado chileno. Já a Colômbia também compartilha da expertise em utilities e traz sua experiência no segmento de Óleo & Gás para o portfólio atual da companhia.
Associados da Assespro e da Sucesu no Paraná vão poder contar com uma política de segurança da informação voltada para produtores e compradores de serviços e produtos de tecnologia e telecomunicações. normas e treinamentos padronizados para garantir a segurança de dados próprios clientes e fornecedores. A parceria foi viabilizada em um acordo com a empresa Consultcorp e o escritório do advogado Guilherme Guimarães.
“Nós trazemos uma experiência de vários anos no direito digital para apresentar às empresas, independente de porte e segmento, soluções para garantir a segurança de suas informações”, explica o advogado Guilherme Guimarães, que acrescenta: “hoje, em mais de 90% das empresas brasileiras, os dados já nascem em um ambiente digital. E a maioria não sabe como proteger esse ativo. Muitos empresários ainda não implantaram práticas de segurança. Alguns já tomam medidas para garantir essa segurança, mas não revisam essas normas com o passar do tempo. Em seis meses, essa política já pode ser obsoleta, trazendo riscos jurídicos para as empresas”.
Fernando Misato, da Consultcorp, especializada em segurança da informação, comemora a parceria com a Assespro-Paraná e a Sucesu-PR. ” Trabalhar com essas entidades, que são muito representativas no uso de tecnologia, para ter ou chancelar uma política de segurança, vai garantir os direitos das empresas. Vamos ter essa política de uma maneira muito simples com uma chancela muito forte das duas associações. Lincoln Moreira, presidente da Sucesu-PR, afirma que “está muito feliz de poder oferecer aos usuários de informática e telecomunicações esse serviço em parceria com empresas especializadas em segurança da informação. Hoje é uma das coisas mais importantes. É uma área onde se investe muito dinheiro em todas as empresas”.
Sandro Molés da Silva, presidente da Assespro-Paraná, diz que “o convênio é muito importante porque os associados sempre trabalham com informações estratégicas e sigilosas, principalmente de clientes. Há sempre risco de vazamento, podendo causar algum passivo em discussões na justiça. Algumas empresas criam medidas de segurança mas, muitas vezes, são soluções caseiras que não contemplam todas as normas que devem ser seguidas”.
Os detalhes do acordo e os valores do novo serviço vão ser divulgados nos próximos eventos da Assespro e da Sucesu no Paraná.
A empresa curitibana Consultcorp, especializada em segurança da informação, realizou eventos com revendas parceiras para tratar de oportunidades de negócios no Brasil com a crescente preocupação a respeito da segurança de informações estratégicas no ambiente empresarial. Veja reportagem em vídeo do Valor Agregado.
A Embratel anuncia a oferta de novos serviços de TI para o mercado corporativo. O novo portfólio promove a sinergia entre TI e Telecom e é capaz de gerar ganhos reais financeiros e de produtividade para empresas de todos os portes. Entre as novidades estão serviços de Outsourcing de TI, que inclui infraestrutura básica, serviços gerenciados, Help Desk, Service Desk, Segurança, bem como ofertas de integração de sistemas, suporte e manutenção. Soluções de Cloud Computing, gestão de informações, soluções de Data Centers e de segurança corporativa também fazem parte do novo portfólio da Embratel.
“Com o anúncio de hoje, a Embratel reforça sua posição de liderança e se apresenta como a única empresa do mercado a oferecer um portfólio completo de serviços convergentes de TI e Telecom, com mobilidade, para clientes empresariais de todos os tamanhos”, diz Mario Rachid, Diretor Executivo da Embratel e responsável pela nova área de TI.
Segundo o executivo, a Embratel vem preparando ao longo dos últimos dois anos para o lançamento da nova área. As atividades começaram por meio da Hitss, empresa do grupo América Móvil que foi incorporada este ano. Portanto, a nova oferta já começa estruturada e com uma equipe de mais de 1.000 profissionais especializados, além de contar com o suporte da Embratel, amplamente reconhecida pela qualidade de seus serviços. “Inovação e qualidade estão no DNA da Embratel”, diz Rachid. A empresa inicia a oferta de serviços de TI de olho num mercado que movimenta anualmente 61 bilhões de dólares no Brasil, segundo dados do IDC. As soluções de TI oferecidas pela Embratel abrangem, ainda, ITO (Infraestrutura), cujos serviços de Service Desk e Help Desk, Suporte Operacional, Serviços de Data Center, Service Delivery Management e Migração, podem ser personalizados de acordo com as demandas de cada cliente. Fábrica de Software (FSW), com certificação CMMI nível 3 também está sendo oferecida pela Embratel para ajudar empresas a terem acesso a aplicações personalizadas inclusive em dispositivos móveis (IOS, Android, Windows), Java e.Net, integração de dados (ODI e OGG), arquitetura SOA, Oracle Siebel, SAP, Portais e Fábrica de Testes.
A oferta de BPO (sigla em inglês para Terceirização de Processos de Negócio) e BSI (em português, Integração de Sistemas de Negócio) reforçam o portfólio da empresa, com ofertas que permitem a gestão e a prática de projetos com tecnologia SAP, Sales Force, Oracle e Amdocs.
Todos os serviços da empresa podem ser customizados às necessidades dos clientes. “Com a Embratel, os clientes têm a vantagem de poder contar com um único fornecedor capaz de gerenciar suas estruturas de TI e de Telecom de forma integrada”, diz o Diretor Executivo, acrescentando que a expertise da Embratel se fortalece com as parcerias internacionais com os maiores fabricantes de hardware, software e sistemas.
“Atuar em TI significa antecipar as necessidades dos clientes em suas estratégias de negócios, tornando-os mais competitivos”, afirma Rachid, destacando que, com a evolução da conectividade, da Internet e da mobilidade nos últimos anos, muitas aplicações empresariais deixaram os limites físicos das instalações e migraram com segurança para o ambiente de Cloud Computing. “Os serviços de Data Center da Embratel, por exemplo, contam com toda a estrutura tecnológica e hosting gerenciado – tanto físico como virtual (Cloud)”, diz ele, destacando que o mercado tem acompanhado a evolução da Embratel em novas áreas. “Nosso Data Center acaba ser premiado como um dos melhores do Brasil, afirma, citando o Prêmio Frost & Sullivan na categoria The Data Center Services Market Provided by Telecommunications Companies.
É indiscutível que poucas são as pessoas que conseguem sobreviver sem um endereço de e-mail, visitar seu perfil nas redes sociais, acessar a Internet para ver o seu saldo bancário ou pagar contas. No mundo dos negócios, mais ainda, a internet se tornou uma ferramenta de trabalho tão banal quanto um editor de texto, uma planilha eletrônica ou um software de CAD. Essa banalidade é o grande problema para a segurança das informações.
Existem basicamente três tipos de empresas: as que já possuem uma verba para segurança do ambiente computacional (normalmente já sofreram alguma perda por ataque), as que implantaram alguma forma de segurança e mantém apenas com equipe interna (são muitas) e, finalmente, as que acreditam que gastar dinheiro com segurança é custo e não investimento (infelizmente é a maioria). Nesse terceiro tipo de empresa, temos ouvido as mais variadas desculpas, mas, com certeza, a mais comum é que são tão pequenas que ninguém tem interesse em atacá-las. Esses dois últimos tipos cometem o maior erro que um administrador pode cometer: achar-se seguro.
Muitos leitores devem estar duvidando da existência desse terceiro grupo, mas, pasmem, é, sem sobra de dúvida, a maioria, principalmente as empresas de pequeno e médio porte que estão conectados à Internet por linhas ADSL. São empresas que, geralmente, não possuem área de TI formal. Porém, se perguntarmos nessas mesmas empresas se elas tem seguro contra roubo, em uníssono, irão responder que SIM, não operariam sem um seguro. É uma grande distorção, mas essas empresas podem estar sendo roubadas e infelizmente não poderão acionar suas seguradoras.
O custo de um sistema de segurança também aparece como o grande “culpado” para muitas desses dois últimos tipos. E, por não terem um departamento de TI formal ou um especialista que auxilie nas decisões estratégicas para TI, acabam correndo riscos desnecessários, pois, com o advento do software livre (por favor, não confundam software livre com software grátis), é possível implantar um sistema de segurança extremamente robusto com um custo muito baixo.
Temos percebido que não basta um firewall, um IDS/IPS e etc. É preciso muito mais do que isso, é preciso cultura empresarial de segurança. O grande responsável pela falta dessa cultura é a banalidade comentada anteriormente. Mesmo no primeiro tipo de empresa (as que têm verba para segurança) poucas são as que têm, realmente, uma política formal para segurança.
Investir em sistemas de segurança e treinamento é fundamental, porém existe outra variável importante nessa equação, já que o sistema é operado por pessoas que cometem erros como abrir qualquer arquivo anexo que recebem por e-mail, mesmo de um remetente que não fazem à mínima ideia de quem seja.
É desse grande furo na segurança que estamos falando. Os usuários de um sistema computacional, por mais sofisticado e caro que seja, se não tiverem cuidado e regras claras para utilizá-lo, estão colocando todo o sistema em risco.
É preciso ter olhos também para essa brecha no sistema e não apenas para as já velhas e carcomidas portas do protocolo TCP/IP. Do que adianta termos uma parafernália de segurança de última geração se o usuário do sistema, navegando na Internet, não tem o menor pudor em acessar sites que podem esconder scripts de ataque nas suas singelas páginas ASP(x) ou XML ou PHP?
Mas, também, como saber se o site é perigoso? A resposta é bom senso. Parece lúdico, mas uma das mais importantes ferramentas de segurança é o bom senso. Os administradores de sistema precisam estar atentos para esse problema. Os maiores vilões para a segurança dos dados da empresa podem estar(e provavelmente estão) dentro da própria empresa, fantasiados de aliados.
Durante auditorias de segurança é comumente encontrado esse tipo ocorrência, onde o sistema “falhou”, não porque estivesse sem o último patch ou update, mas porque um usuário fez o que não devia, e,pior, sem consciência, por falta de treinamento e orientação.
Não é fácil criar essa cultura empresarial, mas é preciso iniciá-la o mais rápido possível. E um grande auxiliar na criação dessa política é o pessoal da qualidade, pois podemos colocar certas regras de uso do sistema no manual da qualidade.
As empresas gastaram muito dinheiro implantando sistemas computacionais de gestão, gerenciamento de documentos, workflow, numa clara tentativa de se tornarem mais competitivas e economicamente viáveis. Algumas conseguiram, outras não. Infelizmente, continuam apenas na tentativa, seja por errarem na escolha do produto, seja por falta de cultura empresarial para implantar esses sistemas. E até por subestimarem o poder de transformação que esses programas realizam em uma empresa.
Com segurança é a mesma coisa: comprar um sistema não é o fim da história, é apenas o começo. Um trabalho árduo de conscientização e treinamento é necessário para criar essa cultura. Se todos realmente tiverem esses cuidados no uso dos recursos oferecidos pela empresa, o sistema estará muito mais seguro do que apenas confiando nos sistemas de segurança.
E vale lembrar que o pior tipo de ataque é aquele que você não sabe que sofreu, pois nenhuma medida corretiva será tomada e, outras vezes, os ataques poderão ocorrer, trazendo prejuízo para a empresa.
Não é fácil educar os usuários do sistema para terem bom senso, e muitas desculpas são dadas por eles na tentativa de justificar seus erros, mas treinamento é a saída mais curta para criar essa cultura.
É evidente que não podemos abrir mão de nenhum sistema de segurança porque temos bom senso, mas, com certeza, sem bom senso todo e qualquer sistema de segurança está mais vulnerável.
Sistemas de segurança robustos, bem administrados e atualizados e usuários treinados e orientados, formando essa cultura empresarial de segurança, é, sem sobra de dúvida, a melhor receita para uma empresa que busca trabalhar em um ambiente seguro.
Marcelo Piuma (marcelo@qualityware.com.br) é Engenheiro Eletricista e Diretor de Marketing da Qualityware Informática de Curitiba. Atuando no mercado de TI a mais de 20 anos tem desenvolvido projetos de segurança da informação e redes de computadores no Brasil, América do Sul, Europa e Malásia.
A TIVIT, empresa líder em serviços integrados de Tecnologia, anuncia a criação da área de CIS (da sigla em inglês Corporate Information Security), com o objetivo de aprimorar o suporte às operações críticas de seus mais de três mil clientes.
“A TIVIT já é reconhecida pelo alto nível de segurança e excelência operacional nos serviços prestados, apoiando os objetivos de negócios dos clientes”, explica Carlos Gazaffi, vice-presidente de Gestão de Tecnologia da TIVIT. “A segurança está no DNA de todas as áreas da TIVIT, como um fator fundamental para as nossas operações. A nova área reafirma nosso comprometimento em garantir a continuidade e evolução dos serviços para os clientes”.
A área de CIS terá como principais desafios a adequação dos controles de segurança para as novas ofertas e a gestão dos sistemas de tecnologia críticos e especializados para proteger os ativos da TIVIT e também dos seus clientes. Tudo isso considerando as especificações de cada cliente, o que reforça a posição da TIVIT como referência em segurança para ambientes críticos de negócios. Desde 2012, a TIVIT dispõe do Centro de Operações de Segurança (SOC), uma estrutura dedicada, que oferece gestão centralizada para prevenção, detecção, proteção, reportes e respostas às ameaças e incidentes de segurança com cobertura ininterrupta. De acordo com um estudo global feito pela consultoria PWC¹ no ano passado, o cenário é otimista para o mercado de segurança: os orçamentos das empresas para segurança da informação cresceram 51% em relação a 2013. Regionalmente, as companhias brasileiras também estão mais preocupadas com novas tecnologias e 61% dos entrevistados tem sua estratégia de segurança alinhada às necessidades de negócios. Porém, ainda há um grande desafio em definir as melhores práticas, dificuldade em conduzir análises situacionais, o que continua a colocar as corporações em risco.
Certificações
Para garantir a segurança e excelência operacional para as operações de seus clientes, a TIVIT atua em conformidade com as melhores práticas mundiais de qualidade e níveis de serviços. Dentre uma série de certificações e normas conquistadas, desde 2005 a TIVIT conta com a ISO 27001, que garante a segurança em todo o ciclo de negócio, com a adoção de um conjunto de requisitos, processos e controles com o objetivo de mitigarem e gerirem adequadamente os riscos da organização, e a garantia da segurança física e lógica.
Além disso, associada desde 2009, a empresa participa do PCI Security Standards Council, um fórum global aberto do setor financeiro e de meios de pagamento para contínuo desenvolvimento, aprimoramento, armazenamento, disseminação e implementação de padrões de segurança para a proteção de dados de contas. Com atuação em sete países latino-americanos, incluindo Brasil, Chile, Colômbia, Argentina, Peru, Panamá e Equador, a TIVIT aplica os mesmos padrões, políticas e processos de segurança em todas as suas operações nas regiões.
¹ Pesquisa Global de Segurança da Informação 2014 – PWC
O mercado da Internet das Coisas (IoT) ganha cada vez mais adeptos. De acordo com a previsão do Gartner, 2,9 bilhões de dispositivos estarão conectados em casas inteligentes em 2015. Esse crescimento é observado de perto pela Symantec que, em uma pesquisa, revela que 20% dos aplicativos utilizados para controlar esses aparelhos de IoT não possuem criptografia de dados e que nenhuma das ferramentas analisadas possui autenticação mútua entre o cliente e o servidor, o que gera grandes riscos aos usuários.
“Os aparelhos de Internet das Coisas facilitam muito a vida dos usuários e trazem vários benefícios”, afirma André Carraretto, especialista de Segurança da Informação da Symantec. “Porém, se não houver cuidado, eles podem permitir o acesso a dados pessoais, o que pode significar dar a um criminoso a sua localização, seus hábitos e até mesmo as chaves de sua casa”, completa o executivo.
Outros pontos críticos da pesquisa demonstram que:
• Um teste em 15 interfaces mostrou 10 vulnerabilidades web. Muitas delas poderiam até permitir a um invasor desbloquear remotamente a casa do usuário; • Atualizações de firmware não assinadas também podem permitir a invasores descobrir senhas e assumir o controle de outros dispositivos; • Muitos serviços de IoT não possuem medidas para proteger as contas dos usuários contra ataques de força bruta; • Muitas das plataformas de nuvem da Internet das Coisas contêm vulnerabilidades em aplicativos web comuns, facilmente exploradas;
“Os atacantes que conseguirem acesso à rede residencial invadindo, por exemplo, uma conexão wi-fi com criptografia fraca, têm mais vetores de ataque à disposição. E, apesar de ainda não termos observado nenhum ataque contra esses dispositivos, é importante estarmos atentos, já que a tendência é que cada vez mais tenhamos casas automatizadas”, comenta Carraretto.
Para ajudar o usuário a se proteger, a Symantec oferece as seguintes recomendações:
• Utilize senhas fortes e exclusivas para contas de dispositivos e redes de Wi-Fi • Altere as senhas padrão • Desative ou proteja o acesso remoto a dispositivos de IoT quando não for necessário • Use conexões com fio ao invés de sem fio quando possível • Seja cauteloso ao comprar dispositivos de IoT usados, já que podem ter sido adulterados • Instale atualizações dos aparelhos, quando disponibilizadas
O número corresponde a 117.339 novos incidentes todos os dias. Ainda que as perdas financeiras relacionadas ao cibercrime tenham aumentado 34% em todo mundo, o orçamento médio das empresas para a área de Segurança da Informação retraiu 4% em relação ao ano passado
A Segurança Cibernética não é mais uma questão que preocupa apenas os profissionais de TI. O impacto dessa área, uma das mais abrangentes quando se trata de risco, estendeu-se para outros setores das empresas e chegou às salas de reunião. Nos últimos 12 meses, a incidência dos ataques ao redor do mundo atingiu empresas de todos os setores econômicos.
Esse é o cenário atual apontado pelo estudo da PwC, “Managing cyber risks in an interconnected world”, que utilizou como base os dados da pesquisa “The Global State of Information Security Survey 2015”, organizada pela consultoria, em parceria com as empresas norte-americanas CIO e CSO.
De acordo com a pesquisa, o número de incidentes cibernéticos detectados subiu para 42,8 milhões este ano – um salto de 48 % em relação a 2013 (o equivalente a 117.339 novos ataques todos os dias). Este aumento impactou diretamente no custo: as perdas financeiras atribuídas a incidentes de segurança cibernética aumentaram 34% em relação ao ano passado.
Como a frequência e os custos de incidentes de segurança continuam a subir, o estudo da PwC constatou que o cenário se deve ao fato de que muitas organizações não atualizam os processos críticos e as tecnologias de segurança da informação, assim como não dão o real valor às necessidades de treinamento dos funcionários. O orçamento médio das empresas para a área de segurança da informação, em 2014, foi de $ 4,1 mi – uma retração de quase 4% em relação a 2013.
“Analisando a pesquisa, em alguns casos os programas de segurança da informação têm enfraquecido devido a investimentos insuficientes na área. Ao mesmo tempo, os custos financeiros de investigar e mitigar os incidentes crescem ano após ano”, avalia o sócio da PwC Brasil e especialista em TI, Edgar D’Andrea.
Pequenas empresas são mais vulneráveis – O estudo conclui, com base na pesquisa anual da consultoria, que as empresas maiores estão mais aptas a identificar os ataques cibernéticos – organizações com receita anual de $ 1 bilhão ou mais detectaram 44% mais incidentes em comparação ao ano passado.
Em empresas médias, com receita entre $ 100 milhões e $ 1 bilhão, houve um salto de 64 % no número de incidentes detectados. No entanto, é nas organizações menores que podem residir os maiores riscos. Empresas com faturamento de menos de $ 100 milhões contrariaram a tendência de aumento na identificação de ameaças cibernéticas e detectaram 5% menos incidentes este ano.
“Uma explicação pode ser a de que as pequenas empresas estão investindo menos em segurança da informação, o que pode deixá-las tanto incapazes de detectar ameaças, quanto mais vulneráveis a ataques cibernéticos”, afirma Edgar D’Andrea.
O estudo aponta que as pequenas empresas, muitas vezes, não se consideram alvo de hackers. Outra conclusão importante é a de que os adversários cibernéticos sofisticados têm adotado a estratégia de focar em empresas de pequeno e médio porte como um meio para ganhar acesso aos ecossistemas de negócios interconectados destas empresas com organizações de maiores dimensões.
“Esta realidade é perigosa e se agrava pelo fato de que grandes empresas, em muitos casos, fazem pouco esforço para monitorar a segurança dos seus parceiros, de fornecedores e das cadeias de abastecimento. Esses stakeholders acabam sendo atrativos para os hackers porque oferecem um rico tesouro de informações, incluindo documentos de estratégia comercial, de propriedade intelectual e uma ampla base de dados dos consumidores”, ressalta D’Andrea.
A pesquisa da PwC aponta que a América do Sul foi a única região a apresentar um declínio na detecção de ataques cibernéticos. O número de incidentes caiu 9% este ano. Em relação aos gastos médios das empresas com segurança da informação, houve queda de 24% na região. O orçamento médio na América do Sul fica em torno de $ 3,5 mi, menor do que na América do Norte ($ 4,6 mi) e na Ásia ($ 4,5 mi), à frente apenas da Europa ($ 3,1 mi).
Dentro de casa – Atuais e ex-funcionários das empresas têm sido os mais citados como culpados pelos cibercrimes, aponta o estudo da PwC – embora isso não signifique que todos os funcionários acusados exibem um comportamento malicioso. Em muitos casos, eles podem, sem intenção, comprometer dados por meio da perda de dispositivos móveis ou serem alvo de esquemas de phishing.
Os percentuais de incidentes atribuídos a prestadores de serviços atuais e antigos, e a consultores e empreiteiros aumentaram 18 % e 15 %, respectivamente, em 2014.
Vigilância – Com as revelações de Edward Snowden sobre esquemas de espionagem cibernética do governo norte-americano, um novo adversário se tornou ameaça para o ambiente: o serviço interno de inteligência do Estado. Empresas e sociedade se tornaram cada vez mais céticas em relação à vigilância governamental e também mais preocupadas com o potencial impacto sobre a privacidade de seus dados.
A repercussão do caso Snowden resultou na conscientização e em considerável preocupação entre os executivos de negócios, segundo revela o estudo da PwC. “Eles não só estão levantando questões sobre vigilância do governo, mas também em relação às telecomunicações e empresas de tecnologia que possam ter fornecido o acesso de seus dados à esfera governamental”, explica o especialista.
Em nível global, a pesquisa da PwC revelou que 59% dos executivos entrevistados afirmaram estar preocupados com algum tipo de vigilância cibernética dos governos. Essa preocupação é mais notável em executivos da China (93%), Índia (83%) e Brasil (77%).
“Riscos cibernéticos nunca serão completamente eliminados. Hoje, as organizações devem manter-se vigilantes e ágeis frente a um cenário de ameaças em constante evolução”, destaca D’Andrea.
Especialistas em segurança da informação apontaram a fragilidade do Brasil em lidar com as novas exigências de Segurança da Informação em debate realizado no primeiro dia de evento do IT Forum Expo/ Black Hat, principal feira de Tecnologia da Informação da América Latina. Participaram do debate: Francesco Pollola, da Tracenet IT Solutions; Marco Carvalho, da CompTIA; Tiago Jesuino, da CEABS Serviços; e Alexandre Knoploch, da ASEGI (Associação Brasileira de Profissionais de Segurança da Informação e Defesa Cibernética).
Francesco Pollola defendeu a criação de incentivos tributários para que as empresas brasileiras invistam mais nesse setor. “A maioria delas são reativas nas questões de segurança dos seus dados”, diz. Para ele, muitas vezes, a falta de informação entre os executivos impede que as equipes de TI consigam convencê-los a adotar procedimentos caso envolvam custos altos. Outro problema detectado pelo especialista é a questão cultural, pois, de nada adianta uma empresa fazer investimentos em segurança da informação, se os próprios funcionários são negligentes quanto à proteção dos próprios sistemas.
Para Tiago, é difícil mensurar as consequências de um prejuízo causado, por exemplo, por um vazamento de informações, quando a tecnologia não está diretamente vinculada ao negócio em si. “Nessas situações, costumo aconselhar que a área de TI realize simulações para mostrar aos gestores da empresa o efeito prático de tais vulnerabilidades. Só desta maneira eles conseguirão perceber que os riscos podem comprometer os seus ganhos e, com isso, aprovar os projetos de segurança necessários”, afirma.
Alexandre mencionou que a falta de profissionais especializados em segurança da informação também impede que o Brasil se desenvolva mais nesse quesito. “No Brasil, não temos nenhum curso de graduação voltado exclusivamente à segurança cibernética”, lembrou.
Por fim, Marco acrescentou que a vulnerabilidade na segurança da informação pode ser encarada como uma oportunidade de negócio. “Uma rede de farmácias que mostrar aos seus clientes o cuidado tomado com os dados pessoais coletados por eles, certamente, ganhará a confiança e a fidelidade do seu público”, exemplifica. Ele também lembrou que o profissional de TI é um dos mais cobiçados atualmente. “Resta, agora, levar essa cultura para o restante da gestão nas empresas”, conclui.
O Brasil está em quarto lugar entre os países mais afetados por ataques cibernéticos direcionados – atrás de Taiwan, Japão e EUA. Também estão na lista China, Israel e Turquia. No total mundial, cresceram os ataques a instituições governamentais. No primeiro trimestre de 2014, representavam 76% dos ataques, já no segundo, 81%. Os dados são do relatório abrangente de segurança “Virando a mesa no Cibercrime: respondendo à evolução das táticas do cibercrime”, da Trend Micro.
Essas e mais informações serão debatidas nos dias 22 e 23 de outubro, em São Paulo, durante o Security Leaders – Congresso, Exposição e Premiação de Líderes e Profissionais de Segurança da Informação e Risco, que será realizado no Centro Fecomércio de Eventos, na Federação do Comércio.
Raphael Mandarino (Chefe da Divisão de Segurança da Presidência da República), Carlos Sobral (delegado de Crimes Eletrônicos da Polícia Federal) e Coriolano Camargo (diretor da Comissão de Direito Eletrônico e Crimes de Alta Tecnologia da OAB), estarão na coletiva de imprensa, que começa às 11 horas, logo depois da cerimônia de abertura do evento.
Os três representantes das estâncias máximas de formulação de políticas de combate ao crime cibernético falarão sobre integração das políticas, dos esforços de repressão, do nível de ataques e tentativas de fraude, além dos crimes “emergentes” como a morte e o sequestro digital.
Mais especialistas A quinta edição anual do Security Leaders, que deve receber cerca de cinco mil pessoas, também atrai palestrantes e conferencistas internacionais, como são os casos dos vice-presidentes globais da CA Technologies, Alex Mosher e Jeff Ginter e do vice-presidente da Palo Alto Networks, Alfred Lee. A Cisco, por sua vez, enviou o especialista internacional Jason Wright e também registra-se palestras ministradas por Jim Mcneill (da Vanguard) e Ken Spinner (da Varonis).
O congresso tem o patrocínio das companhias CA, Cisco, HP, Telefonica, Palo Alto Networks e Varonis; além das empresas especializadas em segurança corporativa como Trend Micro, Proof, Blue Coat e 3CON
Security Leaders Realizado pela Conteúdo Editorial, o Security Leaders debate Segurança da Informação que desafia as diretrizes de proteção corporativa. A quarta edição do evento, em 2013, reuniu 1.500 participantes entre público presencial e on-line para acompanhar 10 painéis de debates, seis apresentações de case de sucesso e cinco keynote speakers, além da exposição e networking.
Um dos pontos mais importantes do evento é a presença dos profissionais C’Levels de segurança. Foram 80 painelistas de empresas de diversos segmentos de negócio, como finanças, varejo, indústria e governo. O Security Leaders 2013 contou com a participação de 29 empresas expositoras. Entre os patrocinadores destaque para 3CON, CA Technologies, IBM, Dell, Módulo, Oracle, Palo Alto, Proof, Trend Micro, Varonis, Centrify, Contacta, Firemon, Leadcomm, McAfee, RSA, Secure 1 Technology, Thales, GC Security, SafeNet, Tivit e TRTEC. No espaço inovação, o evento contou com a presença das empresas Clavis, e-trust, Qualitek e SafeWay.
Também pelo quarto ano consecutivo, o Prêmio Security Leaders valorizou o trabalho dos profissionais e líderes de Segurança e Risco de todas as empresas com sede no Brasil. A edição de 2013 premiou 16 líderes de Segurança da Informação e reconheceu os melhores cases de sucesso nessa área.
SERVIÇO Security Leaders 2014 22 e 23 de outubro de 2014 A partir 8h30 – Centro Fecomércio de Eventos – São Paulo (SP) www.securityleaders.com.br
Dados preliminares de uma pesquisa com empresas brasileiras, realizada pela Alvarez & Marsal, consultoria global especializada em recuperação, gestão interina, melhoria de desempenho e cibersegurança, mostram que para 66% dos entrevistados, o caso NSA/Snowden, que revelou espionagem dos Estados Unidos ao governo brasileiro, tem impactado o nível de segurança das organizações em transações pela internet.
Na avaliação do sócio da Alvarez & Marsal, William Beer, a segurança da informação é um dos principais riscos enfrentados por corporações de todos os portes, sendo que a maioria das empresas brasileiras carece de uma estratégia focada em cibersegurança.
Pesquisa do IBGE (Instituto Brasileiro de Geografia e Estatística) realizada em 2012 aponta que o Brasil possui 83 milhões de pessoas conectadas à internet, um aumento de 6,8% em relação a 2011 (77,7 milhões). Ou seja, o acesso à rede cresce a cada ano, enquanto o debate sobre segurança da informação ainda enfrenta alguma resistência dentro das corporações nacionais.
Nesse cenário, a Alvarez & Marsal propõe uma abordagem inteligente sobre o investimento na segurança da informação. Beer destaca a importância da participação dos CEOs e COOs nesse processo, assim como a maioria dos entrevistados (52%), que consideram a cibersegurança como preocupação prioritária dos líderes empresariais.
“A internet e a maneira como é utilizada estão mudando, assim como a abordagem à cibersegurança também precisa mudar. Este é um movimento que foi observado há alguns anos em outros países e é uma oportunidade para que os executivos mudem a postura da organização em relação ao tema e se envolvam cada vez, entendendo não apenas dos riscos do negócio, mas também dos riscos de tecnologia”, afirma o executivo.
Mas como fazer com que os CEOs e COOs participem ativamente do processo de cibersegurança da empresa? Beer alerta para o cargo de Chief Information Security Officer (CISO), profissional responsável por intermediar assuntos relacionados à TI e negócios. “O CISO deve entender a linguagem e os desafios de ambas as áreas e utilizar o seu conhecimento para dar suporte ao diretor executivo da empresa”.
A pesquisa ainda relevou que 74% das organizações brasileiras afirmam que o aumento do orçamento irá reduzir o seu nível de risco em segurança da informação. No entanto, 60% delas acreditam não ter os recursos necessários para se proteger e para responder a um ataque. “Uma vez que a base de uma política eficaz em cibersegurança é realizada corretamente, a organização tem a oportunidade de avaliar as melhorias, que podem ser atingidas a partir de um novo investimento adicional”, comenta o diretor da Alvarez & Marsal. A pesquisa completa e os resultados globais serão lançados no início de 2014.
