Arquivos segurança da informação - Página 2 de 13 - Valor Agregado

Oito dicas para proteger a privacidade de dados on-line

agosto 6, 2019 Por admin

Por Marcel Mathias, Diretor de Pesquisa & Desenvolvimento da BLOCKBIT

Quem acompanha o noticiário certamente já percebeu que os casos de vazamento de dados estão cada vez mais constantes e perigosos. São milhares de ataques todos os dias, provocando perdas de bilhões de dólares anualmente às economias de todo o planeta. Com isso, a proteção de dados tem se transformado em uma questão essencial para as organizações, com inúmeras soluções surgindo diariamente. Mas como nós, os usuários, podemos proteger nossa privacidade e evitar o roubo de fotos, vídeos e arquivos pessoais?

Essa é uma tarefa que requer atenção contínua. A boa notícia é tornar nossa rotina digital mais segura é possível com passos simples. Para mostrar como, selecionamos oito dicas para melhorar a segurança on-line de forma efetiva e prática. Confira:

1. Aplique as opções de autenticação de identidade com duplo fator de controle – A maior parte das aplicações e serviços, hoje, oferecem opções de autenticação e identificação com várias etapas e processos. Essa dupla verificação para o acesso às contas permite que o consumidor combine diferentes formas de checagem (com senha e padrão visual, por exemplo), o que pode elevar o nível de controle de acesso às informações.

2. Adote uma senha diferente para cada conta – Buscando mais praticidade, muitas pessoas acabam adotando a mesma senha para várias contas. Mas o que esses usuários não sabem é que esse pode ser um dos maiores perigos a se correr no ambiente on-line. Afinal de contas, se alguém roubar seu acesso a uma conta, todas as outras estarão vulneráveis a vazamentos e roubos. Para evitar esse risco e não deixar de lado a praticidade das senhas, uma dica é criar senhas únicas. Uma forma simples de fazer isso é adotar um bom gerenciador de senhas, capaz de criar sequências de senhas aleatórias, com dados baseados em padrões de segurança.

3. Sempre utilize uma VPN, principalmente em conexões públicas – Bastante populares nas empresas, as VPNs (Redes Privadas Virtuais) permitem o acesso seguro a dados armazenados em servidores, mesmo para quem está fora do escritório. Não são apenas as companhias, no entanto, que podem ganhar com essas soluções: as VPNs são uma das melhores maneiras de garantir a privacidade digital em nossos tempos, sobretudo quando utilizamos redes públicas ou compartilhamos acessos. É preciso destacar, contudo, que as soluções gratuitas não são recomendadas. Quando o assunto é segurança, o melhor é buscar serviços mais consolidados e com melhor custo-benefício.

4. Veja se o site é confiável – Ao acessar um site, verifique a procedência e o nível de segurança da conexão. Para isso, confira se a página foi assinada por uma autoridade conhecida e está com um certificado válido. O lado positivo dessa questão é que está cada vez mais fácil de encontrar essa informação: atualmente, os principais navegadores e soluções de segurança do mercado oferecem essa informação de forma automática, junto ao endereço digitado e com alta confiabilidade. Evite sempre endereços com falhas de segurança e certificados inválidos.

5. Cuidado com promoções (não existe nada grátis na Internet) – Você já ouviu falar que, quando a esmola é muita, o santo desconfia? É exatamente assim que você deve enxergar a Internet. Seja cético e desconfie de ofertas “gratuitas”. Pesquise sempre antes de fechar uma compra e cheque as condições. Além disso, algumas dicas interessantes para fugir de riscos são: sempre configure uma conta de e-mail específica para compras e assinaturas de ofertas gratuitas; invista em um antivírus de alta qualidade e o mantenha atualizado.

6. Confira se seus dados estão comprometidos – Assim como verificamos nossa conta bancária e faturas do cartão de crédito, é importante que você também analise regularmente se os seus dados foram comprometidos ou roubados por terceiros. Hoje, é possível encontrar vários sites capazes de verificar rapidamente se o seu e-mail, contas e senhas foram vazados ou sofreram algum tipo de invasão. Entre os mais utilizados atualmente estão Haveibeenpwned e BreachAlarm.

7. Seja cauteloso ao interagir com e-mails não solicitados – No mundo atual, o phishing é a principal ameaça para suas informações. Basta uma simples examinada em sua caixa de entrada, por exemplo, para encontrar inúmeras tentativas de fraude que podem ser fontes de ataques para o roubo de dados. Por isso, tenha sempre atenção aos contatos e e-mails – especialmente às mensagens que você não solicitou. Antes de acessar um link, cheque a procedência e a legitimidade da mensagem. Em caso de dúvidas, nunca clique.

8. Cubra ou desconecte a webcam e o microfone – Sabe a sensação de estar sendo vigiado? Se um hacker conseguir invadir seu computador, ele poderá acessar todos os seus dados e, também, sua webcam e seu microfone. Para evitar que algum hacker assista ou escute suas conversas, é importante desabilitar a câmera e a gravação de áudio quando não estiverem em uso. Se não puderem ser desconectados, cubra-os com fitas. Ainda assim, é essencial que os usuários controlem o acesso real das aplicações dentro do sistema. Hoje, soluções inteligentes podem ajudar a coibir o monitoramento indesejado, protegendo as informações contra roubos e espionagens.

Investir tempo e cuidados na proteção de seus dados é algo que apenas você pode fazer e que certamente evitará muitos problemas no futuro. Vivemos uma era de conectividade e disputa acirrada de empresas por dados de possíveis clientes e, nesse cenário, suas informações pessoais são ativos muito valiosos. O que você está esperando para proteger esse patrimônio?

(ISC)² recebe inscrições para o Programa de Bolsas de Estudos em Segurança da Informação para Mulheres

fevereiro 11, 2019 Por admin

O (ISC)², principal instituto do mundo focado em educação e certificações profissionais em Segurança da Informação e Cibersegurança recebe, até o dia 15 de abril, inscrições para seu programa de bolsas de estudos para graduação e pós-graduação direcionado exclusivamente para mulheres. Criado para inspirar mulheres a ingressarem na área de Segurança da Informação, o (ISC)² Women’s Cybersecurity Scholarship Program oferece bolsas de até US$ 6.000 (seis mil dólares) para estudantes de todo o mundo.

“A desigualdade de gênero na área de segurança da informação ainda é uma realidade. Por meio da profissionalização, queremos incentivar e aumentar a presença feminina nesse mercado em alto crescimento”, explica Gina van Dijk, Diretora Regional do (ISC)² América Latina. Segundo o 2018 (ISC)² Cybersecurity Workforce Study, as mulheres representam 24% da força de trabalho da área de cibersegurança em todo o mundo.

As bolsas de estudo serão distribuídas para as candidatas que se qualificarem dentro dos critérios de seleção dos cursos, que incluem itens como rendimento escolar, avaliação de currículo e necessidade financeira, entre outros.

Administradas pelo Center for Cyber Safety and Education, fundação beneficente do (ISC)² voltada para pesquisa e educação em cibersegurança, as bolsas de estudo são abertas para cursos presenciais ou a distância, sendo disponíveis para estudantes de todos os países. Os valores das bolsas serão repassados diretamente às instituições de ensino para custos de mensalidade, taxas e material didático.

Vale destacar, também, que as inscrições para o programa de bolsas para graduação, destinadas a homens e mulheres, estão abertas e vão até o dia 1º de março. O (ISC)² oferece ajuda especial, com cobertura de custos de até US$ 5.000 (cinco mil dólares) por candidato que planeje cursar ou já esteja matriculado em cursos relacionados à Segurança da Informação ou Cibersegurança. Para concorrer as vagas é preciso encaminhar comprovante de rendimento escolar, carta de recomendação, currículo atualizado e uma dissertação sobre o que faz o candidato se destacar e merecer a bolsa de estudos.

Para mais informações sobre as ações, visite o site: http://iamcybersafe.org/scholarships/womens-scholarships/.

Você tem certeza que seus dados estão seguros na internet?

fevereiro 10, 2019 Por admin

Casos de vazamentos de dados estão cada vez mais frequentes. Analisando apenas os últimos meses, tivemos alguns episódios que colocaram em alerta tanto usuários da internet quanto empresas cujas informações estão armazenadas na nuvem.

Dias atrás, por exemplo, foi descoberto, pelo pesquisador de segurança australiano Troy Hunt, o maior vazamento de e-mails e senhas da história. Segundo o especialista, mais de 772 milhões de e-mails e cerca de 21 milhões de senhas diferentes foram vazadas. Outro fato recente foi a apresentação da ONG austríaca Noyb de uma queixa contra oito empresas digitais internacionais, entre elas gigantes da tecnologia, por suposta “violação estrutural” do Regulamento Geral de Proteção de Dados europeu (RGPD) ao não respeitar o denominado “direito ao acesso” aos dados pessoais.

Seja numa busca rápida na internet por preços mais em conta de produtos, baixando apps que pedem acesso a suas fotos e lista de contatos ou, até mesmo, usando a mesma senha para serviços variados na web, usuários da internet estão sempre deixando “rastros” em plataformas e sites, que indicam que seus dados podem não estar tão seguros assim.

Além de todas as precauções básicas que as pessoas precisam tomar, torna-se cada vez mais fundamental que as empresas também desenvolvam políticas de proteção de dados que garantam a privacidade de seus clientes. Neste sentido, a Lei Geral de Proteção de Dados, aprovada em maio de 2018 no Brasil, pode ser considerada um marco importante para garantir maiores mecanismos de controle e segurança sobre a forma com que as empresas colhem, armazenam e tratam dados.

A LGPD será aplicada a empresas de todos os setores da economia e possui aplicação extraterritorial, ou seja, toda companhia que tiver negócios no país deve se adequar a ela. A lei ainda estabelece como condição o consentimento do usuário para que as empresas coletem informações pessoais, sendo que os titulares podem retificar, cancelar ou até solicitar a exclusão desses dados a qualquer momento. As empresas ainda estão obrigadas a fazer uma notificação ágil de qualquer incidente com estas informações.

Daniel Galante, Managing Director da Claranet Brasil, que é uma provedora de serviços gerenciáveis de TI, afirma que “a LGPD irá mudar o funcionamento e operação das organizações ao estabelecer regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo um padrão mais elevado de proteção e penalidades significativas para o não cumprimento da norma”.

Como a lei entra em vigor apenas em 2020, até lá as empresas terão que passar por uma série de adaptações para se adequar a estas novas regras. Neste processo, será fundamental encontrar parceiros confiáveis que tenham expertise e auxiliem nesta transformação. A Claranet, por exemplo, reúne um dos times de segurança mais qualificados do mundo, com mais de 17 anos de mercado em serviços de cybersecurity e treinamento para as maiores marcas.

Para saber mais, acesse http://br.claranet.com/cybersecurity

Dia da Segurança na Internet: Como não ficar refém da conectividade?

fevereiro 6, 2019 Por admin

Dia 06 de fevereiro é dia da segurança na internet e sabemos que a Internet proporciona acesso a uma infinidade de informação mas, durante a navegação, todas pessoas e, principalmente empresas, estão sujeitas a diversos tipos de ameaças. Podemos ver os mais diversos truques, que vão de fraudes à contaminação do computador, distribuição de conteúdos em vídeos e até furto com dados bancários para compras. Com isso, é fundamental que os usuários se mantenham alertas para não cair em eventuais armadilhas.

Pensando nisso, reunimos algumas dicas de especialista que falam sobre os cuidados que os internautas devem ter ao se conectar com a internet e apostar em soluções inovadoras.

Como se proteger no mercado de vídeos online?

Segundo uma pesquisa realizada pela Federação Internacional da Indústria Fonográfica (IFPI), o Brasil é o segundo país que mais pratica pirataria. De todos os CDs, DVDs e softwares comercializados, 52% são piratas, enquanto a média mundial é de mais ou menos 34%. Uma das grandes preocupações dos produtores de conteúdo (desde professores autônomos até as grandes instituições) é essa questão, pois ninguém quer ter o seu material baixado ou compartilhado irregularmente.

Em uma pesquisa realizada recentemente pela Samba Tech, empresa líder na distribuição de vídeos online na América Latina, entre os produtores de vídeos que já sofreram pirataria, 46% atribuem o problema às falhas da plataforma utilizada e 18% aos sites que hospedam vídeos. Segundo Pedro Filizzola, CMO da Samba Tech, uma forma estratégica de evitar a pirataria é dificultar a distribuição dos conteúdos de forma ilegal é por meio da proteção por domínio. “Com ela, o produtor configura em qual domínio ele quer que seus vídeos sejam exibidos e então, mesmo que alguém consiga baixar, não poderá distribuí-los e revendê-los, já que ele só funcionará no domínio configurado”, explica.

Invista em segurança para o seu e-commerce

Segundo Alfredo Soares, fundador da Xtech Commerce, plataforma de e-commerce para PME´s, sem a segurança necessária para criptografar as informações fornecidas pelos clientes, além de um reforço no acesso a elas, a loja passa a ser um ambiente vulnerável a ataques de ladrões virtuais. Essas invasões podem resultar em diversas fraudes, como, por exemplo, a substituição do endereço de entrega das últimas compras realizadas e novas compras feitas com dados de terceiros. “Em um ambiente virtual que lida com transações financeiras, como um e-commerce, é preciso receber todo o investimento necessário para proporcionar segurança aos seus consumidores. Sem a segurança das transações financeiras, o cliente passa a desconfiar da loja on-line” revela Alfredo.

Invista em criptomoedas com segurança

Segundo recente relatório divulgado pela McAfee, empresa americana de informática e software de segurança, tivemos um aumento de 600% no número de ameaças de malwares criptos, apenas no primeiro trimestre de 2018. Tais dados nos mostram o quanto o quesito segurança tem se tornado essencial para usuários e investidores de criptomoedas.

Segundo Fernando Bresslau, Head of Operation and Finance da Ripio, carteira digital mobile para serviços financeiros, é importante tomar alguns cuidados na hora de realizar operações com moedas digitais. “Tenha excesso de atenção com as senhas, deixando-as mais extensas e complexas, use todos os sistemas de autenticação que a corretora ou carteira virtual oferecer e, principalmente, pesquise muito sobre a reputação da carteira que pretende usar, pois quanto mais lastro positivo ela tiver, mais confiança ela gera”, afirma Bresslau.

Compre na internet com segurança

Os consumidores estão cada vez mais propensos a realizarem compras no ambiente on-line, mas é preciso muito cuidado para não cair em ciladas. Um dos principais cuidados de segurança é verificar quais as formas de pagamento que são aceitas no e-commerce: mais especificamente se a loja aceita cartão de crédito.

“Uma empresa, para poder receber pagamentos via cartão, precisa apresentar uma extensa documentação – e isso, por si só, já cria uma grande barreira para um fraudador oportunista. O cliente não precisa necessariamente escolher pagar no cartão, mas só de o fato de o estabelecimento oferecer esta opção já significa muita coisa”, ressalta Tom Canabarro, co-fundador da Konduto.

Muitas pessoas acreditam erroneamente que o boleto bancário é a maneira mais segura, mas existem vários tipos de golpes envolvendo esse tipo de pagamento e o banco não se responsabiliza. Já nos pagamentos via cartão, por contrato, o consumidor sempre está protegido.

A biometria a serviço da segurança

A biometria, aos poucos, está se tornando parte do nosso dia a dia, principalmente quando o assunto é segurança. As instituições bancárias já estão implementando soluções do tipo para saque e consulta de dados. Uma câmera de celular, tablet ou notebook e um software. Isso é o suficiente para a utilização da biometria facial, uma nova tecnologia que tem se tornado tendência na identificação de pessoas em diversos setores.

Segundo Danny Kabiljo, CEO fundador da FullFace, startup brasileira que criou um sistema de reconhecimento facial que facilmente se integra a hardwares e softwares facilitando processos de autenticação biométrica facial web e mobile.

“Para contextualizar, a biometria facial pode ser utilizada em qualquer segmento onde seja necessário a identificação, ou seja, bancos em processos de autenticação, sistemas de saúde e laboratórios para reconhecer o cliente, qualquer empresa que necessite identificar o funcionário (controle de acesso e controle de ponto), aeroportos e empresas aéreas, segurança pública, no setor varejista que necessita saber quem é o cliente para fidelizá-lo, entre outros”.

Consultório Virtual 100% criptografado

O mercado de novos aparelhos e soluções de diagnóstico remoto só cresce, tornando-se hoje uma nova área da Medicina e Saúde que traz uma revolução na própria forma de se atender e entender o paciente através dos dados que se pode coletar dele por meio do teleatendimento online.

Para Lucas Arthur de Souza, Co-fundador e Diretor de Operações da TelaVita, marketplace de saúde digital, segurança sempre foi importante no desenvolvimento da plataforma que tem como objetivo conectar psicólogos e pacientes de todo país. “Mesmo sem existir um padrão universal de segurança no Brasil, nosso sistema já está próximo e de acordo com a maioria dos padrões internacionais, como padrão norte americano, HIPPAA, por exemplo. Possuímos várias camadas de segurança com diversas abordagens. Primeiramente o sistema possui certificação SSL (HTTPS) que garante que todas as transações e informações são criptografadas”.

LGPD: bom para a privacidade, melhor para os hackers

janeiro 30, 2019 Por admin

Por Francisco Camargo

No Brasil não temos a cultura de analisar ampla e detalhadamente o impacto dos regulamentos governamentais. O que se passa é que os diversos Órgãos públicos geram normas, sem analisar todos os aspetos, e em seguida vemos que os consumidores pagam a conta, como aconteceu, por exemplo, com as tomadas de três pinos, em que não se provou que a inovação melhoraria de fato a segurança elétrica de consumidores, e muitos outros exemplos.

A Análise do Impacto Regulatório deveria ser uma norma obrigatória para qualquer órgão que crie regulamentos, impondo restrições e punições que podem afetar a segurança jurídica e tributária do país.

Mesmo no Legislativo, que leva muito a sério a confecção de leis regulamentadoras, realizando Audiências Públicas, passando os Projetos de Lei por várias comissões, e finalmente aprovando-as, em um processo transparente, passam aspectos não previstos antecipadamente.

Foi isto o que aconteceu com a Lei Geral de Proteção de Dados, baseada no complexo modelo europeu do GDPR.

Por se tratar de um assunto muito recente, de um problema extremamente complexo, que tem impacto na maioria das empresas brasileiras e grande parte da população, é importante trazer à luz detalhes que acabam sendo muito importantes e, às vezes, passam desapercebidos.

A segurança da informação e a proteção de dados foi e continua sendo o calcanhar de Aquiles da nossa sociedade, apoiada cada vez mais em tecnologias digitais e no uso de dados.

Praticamente tudo está armazenado virtualmente, desde fotos em redes sociais até documentos corporativos sigilosos, o que instiga a voracidade de criminosos em burlar essas tecnologias de segurança para obter vantagens, sejam econômicas ou de outra natureza.

Agora, com as novas regulamentações de proteção e privacidade de dados, como a europeia GDPR e a nova LGPD brasileira, a segurança ficou muito mais complexa, pois os invasores terão novos e sérios argumentos para convencerem as empresas a pagarem o preço da chantagem.

Antes das regulamentações, as empresas, vítimas de piratas, que ameaçavam publicar os dados roubados, temiam o dano à sua imagem e o custo dos processos que teriam eventualmente que enfrentar.

Com a nova regulamentação, apareceram as multas pesadas para as empresas vítimas de ataques bem-sucedidos. As penalidades mais incisivas, custos por danos à imagem e indenizações tendem a ser mais altas, pois se as multas são grandes, juridicamente as punições de processo têm que ser equivalentes, o que pode fazer com que a companhia opte por negociar com os piratas, a fim de não permitir que os dados sejam divulgados e o prejuízo seja ainda maior. E isso será um grande estimulo para novos ataques.

Recentemente o Facebook admitiu que 50 milhões de contas foram hackeadas. Imaginem se eles, que investem milhões de dólares em segurança de dados, são vítimas de pirataria, o que aconteceria com empresas menores, no Brasil? É um caso sui generis, em que a lei condena a vítima, e seu agressor pode escapar impune.

A alegação da rede social de Mark Zuckerberg foi que os invasores exploraram uma vulnerabilidade em seu código que permite roubar geradores de senhas de acesso quando os usuários mudam para a visualização dos perfis de “privado” para “público”, por meio do recurso “Visualizar como”.

Seja como for, o vazamento de dados pessoais nunca foi tão desafiador para organizações de todos os portes, o que requer tecnologia avançada, serviços especializados e mudança cultural, dentro e fora das empresas.

Mais do que isso, as regulações vão mudar a forma como se coletam dados (RG, CPF, endereço, renda etc.), com a inclusão de ferramentas contra vazamentos e inclusão de meios que expliquem aos clientes o porquê precisam de determinadas informações, como elas serão usadas e quando serão descartadas. O consentimento tem que ser explícito. Assim, a indicação para que as empresas brasileiras estejam em conformidade com a lei tendo soluções de segurança isoladas não basta. É preciso integrar sistemas com as mais diversas finalidades, o que requer integradores e consultores com apoio técnico de primeira linha e conhecimentos consolidados para entregar projetos que vão ao encontro das novas demandas.

O desafio é grande. Soluções para proteção de dados, criptografia, gerenciamento de logs, firewalls de aplicativo da web, prevenção e detecção de intrusos, sistemas de análise de big data, etc., talvez não bastem.

Com a ascensão dos métodos e tecnologias que utilizam a inteligência artificial, uma das saídas possa ser justamente investir em técnicas de análise de comportamento dos usuários das plataformas digitais das empresas. Com o passar do tempo, os dados coletados poderão prever ações e identificar potenciais riscos à segurança, que podem abrir brechas para ataques passíveis das temidas punições.

Francisco Camargo, Presidente da Abes (Associação Brasileira das Empresas de Software)

Reconhecimento visual de phishing

janeiro 28, 2019 Por admin

Por Tomas Trnka, investigador de Inteligência Artificial da Avast

O phishing continua sendo um meio importante de ataque, porque permite que os cibercriminosos atinjam um grande número de pessoas. Em geral, os cibercriminosos distribuem golpes de phishing fingindo representar empresas confiáveis, nas quais os usuários têm uma alguma conta.

Os sites de phishing podem ser difíceis de identificar. É por isso que, na Avast, usamos inteligência artificial (IA) para detectar golpes de phishing e proteger os nossos usuários contra malware e sites maliciosos.

Sites falsos

Para melhorar os nossos recursos de detecção de phishing, tivemos que seguir a linha de pensamento de um cibercriminoso. Ele cria sites de phishing muito semelhantes aos sites legítimos, para enganar as pessoas com sucesso. As semelhanças visuais são geralmente suficientes para induzir os usuários a inserir as suas credenciais de login e informações sigilosas solicitadas pelo site malicioso.

Embora os nossos mecanismos de detecção marquem sites de phishing com base no conteúdo HTML, os métodos mais sofisticados usados pelos cibercriminosos para criar suas páginas de phishing podem impedir as detecções de antivírus.

Detectando phishing com AI

A vida útil da maioria dos sites de phishing é muito curta, para que os mecanismos de pesquisa os indexem. Isso se reflete na qualificação de um domínio. A popularidade e o histórico de um domínio também podem ser indicadores iniciais de uma página ser segura ou maliciosa. Ao analisar isso e comparar as características visuais do site, podemos decidir se o site é confiável ou malicioso.

O próximo passo é verificar o design do site. Nós tentamos outra abordagem, usando hashes de imagem: um método para compactar dados de imagens (mas ainda assim expressivas) em um espaço menor, como um vetor de tamanho fixo em bytes e com uma métrica simples. Estes métodos ajudam a transmitir as imagens para a nossa inteligência artificial, observando de forma muito detalhada os pixels particulares, bem como os pixels que os rodeiam. Os pixels selecionados pelo nosso algoritmo são chamados de pontos interessantes.

Um problema comum, na detecção desses pontos interessantes em uma imagem, acontece quando ela contém texto. Há muitas variações no texto e nas letras que, por design, criam muitas bordas. Quando uma imagem contém muitas letras, há vários pontos interessantes em uma área pequena, o que pode resultar em falsos positivos, apesar da verificação espacial.

Por esse motivo, criamos um software que pode classificar os patches dentro das imagens e decidir se ele contém texto. Neste caso, a nossa IA evitaria usar pontos de correção como parte do processo de comparação. Todo esse procedimento é automático e, em 99% das vezes, reconhecerá um site de phishing em menos de dez segundos, o que, por sua vez, nos permite bloquear o site malicioso e proteger melhor os nossos usuários.

Sites de phishing identificados

Os sites de phishing evoluíram muito ao longo dos anos, para se tornarem falsificações tão convincentes. Alguns até usam HTTPS, dando aos usuários uma falsa sensação de segurança quando veem o cadeado.

Falhas pequenas em um site de phishing podem parecer óbvias, quando colocadas ao lado de uma página legítima, mas não são tão notórias por si mesmas. Pense na última vez que viu uma página de login de um serviço que você usa com frequência. Você provavelmente tem dificuldade em lembrar de todos os detalhes, que é exatamente o que os golpistas de phishing esperam quando projetam as suas páginas maliciosas.

Como a ameaça se espalha?

Historicamente, a maneira mais comum de espalhar sites de phishing é através de e-mails, mas também são distribuídos por meio de anúncios pagos que aparecem nos resultados de pesquisa. Outros vetores de ataque incluem uma técnica chamada clickbait. Os cibercriminosos costumam usar clickbait nas redes sociais prometendo algo, como um número gratuito, para incentivar os usuários a clicar em links maliciosos.

O que acontece quando um phisher é bem sucedido?

Como acontece em quase todos os ataques cibernéticos, o phishing é usado para ganhos financeiros. Quando os usuários enviam credenciais de login para um site de phishing, os cibercriminosos podem abusar delas de diferentes maneiras, dependendo do tipo de site de phishing. Muitos ataques imitam instituições financeiras, como bancos ou empresas como o PayPal, que podem gerar recompensas financeiras significativas para os cibercriminosos.

Como se proteger

Ao longo de 2018, testemunhamos e-mails maliciosos enviados e incluindo contas comprometidas do MailChimp, golpes de extorsão sexual e campanhas de phishing relacionadas a GDPR (Regulamentos Gerais de Proteção de Dados), entre muitos outros. No futuro, podemos esperar que os ataques de phishing cresçam, tanto em volume quanto com relação às novas técnicas para camuflar os esforços dos cibercriminosos, que desejam roubar dados sigilosos dos usuários.

Abaixo está uma breve lista de verificações que, se seguidas, vão ajudar as pessoas a evitar que sejam vítimas de uma das formas mais bem-sucedidas de ataque cibernético, o pishing:

• Primeiro, instale uma solução antivírus em todos os seus dispositivos, seja PC, smartphone ou Mac. O software antivírus atua como uma rede de segurança, que protege os usuários on-line;

• Não clique em links, nem baixe arquivos de e-mails suspeitos. Evite respondê-los, mesmo que encaminhados por alguém de confiança. Ao invés disso, entre em contato com a empresa, por meio de um canal a parte e verifique se a mensagem realmente foi enviada por ela;

• Insira diretamente a URL de um site no seu navegador sempre que possível, para visitar o site que deseja e, assim, não correr o risco de visitar uma versão falsa;

• Não confie apenas no HTTPS e no cadeado. Embora esses elementos confirmem que a conexão é criptografada, o site ainda pode ser falso. Os cibercriminosos criptografam seus sites de phishing, para enganar ainda mais os usuários, por isso, é importante verificar se o site que você está visitando é, de fato, o verdadeiro.

FICO: Dicas valiosas para não cair em fraudes em pagamentos durante a Black Friday

novembro 23, 2018 Por admin

A Black Friday acontece nesta semana e milhares de pessoas aguardam a data para aproveitar descontos e comprar produtos sonhados ao longo de todo o ano. Apesar da euforia, este é um bom momento para ficar atento às fraudes mais comuns nesta época do ano, já que a Black Friday entrou oficialmente para o calendário varejista no País.

Foi pensando nisso que a FICO, empresa pioneira no uso de análises preditivas e ciência de dados para melhorar as decisões operacionais, divulga algumas dicas valiosas para o período e destaca que há dois caminhos principais que abrem espaço para vulnerabilidades as fraudes em pagamentos de compras feitas on-line e o saque de dinheiro em caixa eletrônico. “A Black Friday e a Cyber Monday são um período que historicamente apresentam um aumento de fraudes de pagamentos. Com isso em mente, indicamos algumas maneiras simples para os compradores se protegerem enquanto aproveitam os descontos”, afirma Fabricio Ikeda, diretor de fraudes para América Latina da FICO.

Mantenha a segurança on-line

Se verificar algo estranho em um site, procure outro lugar para fazer compras. Se você já efetuou o pagamento e depois suspeitar da compra, informe imediatamente seu banco;

Cuidado com e-mails prometendo descontos incríveis. Ao invés de clicar em um link diretamente do e-mail ou de um SMS, acesse diretamente o site do varejista. Os hackers podem falsificar websites, por isso certifique-se que você está comprando no site oficial;

Se estiver criando uma nova conta em um site, defina uma senha forte e que não tenha sido utilizada antes.

Verifique suas compras

Sempre verifique as transações feitas em seu cartão de crédito por meio do extrato bancário e pelo site do banco.

O emissor do seu cartão é seu parceiro

Caso suspeite que seu cartão possa ter sido comprometido ou clonado, peça imediatamente ao banco um novo cartão. É importante alterar também a senha sempre que houver uma suspeita de roubo de informações pessoais;

Verifique se o emissor do cartão oferece tecnologia de alerta de comunicações por SMS ou e-mails para o caso de suspeita de atividade fraudulenta em seu cartão;
Atualize suas informações de endereço e telefone celular para cada cartão. Isso permitirá que você seja rapidamente localizado em caso de uma situação crítica que exija sua atenção imediatamente.

Cuidado com a engenharia social

O banco nunca pede sua senha em contatos telefônicos. Por isso, se você receber uma ligação suspeita em que uma pessoa diz ser do seu banco, desligue e ligue diretamente para a central de atendimento.

Tome cuidado em caixas eletrônicos:

Se um caixa eletrônico parecer estranho ou o cartão não entrar na máquina, tente ir a outro local para sacar seu dinheiro;

Nunca se aproxime de um caixa eletrônico se houver uma pessoa estranha por perto. Nunca se envolva em conversas com outras pessoas em um caixa eletrônico e, no caso de caixas eletrônicos de rua, permaneça em seu automóvel até que outros usuários deixem o local;

Se por acaso seu cartão ficar preso no caixa eletrônico, informe ao emissor do cartão imediatamente. O usuário pode achar que o cartão foi capturado pelo caixa eletrônico, quando na realidade foi uma ação forjada por um criminoso próximo ao local.

Em geral, se algo parecer bom demais para ser verdade, pare por um momento e desconfie!

Como os CISOs podem manter a privacidade corporativa mesmo com a adoção de tecnologias emergentes

outubro 23, 2018 Por admin

Por Derek Manky, Estrategista de Segurança Global da Fortinet

A força de trabalho atual tem cada vez mais pessoas da geração do milênio e outras com alto conhecimento de tecnologia, acostumadas a usar a tecnologia para tudo na vida. Com o surgimento de novas tecnologias, esse grupo de funcionários espera ter uma experiência de usuário perfeita em todos os dispositivos e locais, usando aplicativos e dispositivos pessoais no trabalho e vice-versa. Porém, muitas vezes esses funcionários não levam em conta os riscos digitais que acompanham a adoção de novas tecnologias no ambiente corporativo. Com isso, os desafios de segurança se tornaram um grande problema para os CISOs (diretores de segurança da informação).

Além de proteger o perímetro de rede, monitorar a inteligência de ameaças e exercer outras responsabilidades diárias necessárias para impedir que os cibercriminosos acessem a rede por meio de ameaças de dia zero e outras vulnerabilidades, os CISOs agora também devem avaliar todas as formas utilizadas pelos cibercriminosos para explorar as ferramentas e os comportamentos dos funcionários e obter acesso à rede.

Manter a privacidade e segurança com a adoção de tecnologias emergentes

Em particular, existem cinco tecnologias, tendências e comportamentos comuns e emergentes aos quais os CISOs devem dedicar mais atenção:

1. Senhas repetidas

As pessoas geralmente têm contas em diferentes plataformas e aplicativos e muitas vezes repetem as senhas de acesso nessas contas pessoais ou corporativas. Este é um problema que precisa ser discutido. Se uma conta for invadida, os cibercriminosos podem aproveitar a senha repetida e acessar outras contas. O problema se agrava principalmente na nuvem, pois se a mesma senha for usada em todas as contas na nuvem, então, quando uma conta for invadida, todas as outras também serão.

Para combater isso, as equipes de segurança devem promover o uso de senhas diferentes, principalmente em contas corporativas, e ao mesmo tempo limitar o acesso às áreas da rede que o funcionário não precisa acessar. Isso pode ser feito com soluções de gerenciamento de identidade e acesso que utilizam autenticação de dois fatores, software de gerenciamento de senhas para que os usuários adotem senhas mais sofisticadas sem perdê-las e firewalls de segmentação interna que restringem o acesso a partes confidenciais da rede.

2. Shadow IT (TI invisível)

Quando os funcionários usam uma tecnologia não analisada pelas equipes de TI, isso pode levar a vazamentos de dados, vulnerabilidades e não conformidade, como resultado da transferência de informações corporativas confidenciais para programas e redes não aprovados. Os CISOs e as equipes de segurança devem saber, o tempo todo, quais dispositivos e aplicativos estão sendo usados na rede. O uso de proteção dos dispositivos de usuários e firewalls de aplicativos da web permite que as equipes de segurança minimizem o risco causado por esses funcionários, descobrindo quais dispositivos de usuários e aplicativos na rede e, em seguida, identificando e segmentando os que estão em risco.

3. Conexões remotas

O trabalho remoto está cada vez mais comum, com os funcionários se conectando por meio da rede residencial, de lanchonetes ou no trânsito. Embora isso possa ajudar a aumentar a produtividade e a eficiência, os CISOs devem ter certeza de que esses dispositivos estão se conectando a pontos de acesso seguros. Durante o uso de uma rede de WIFI pública, os cibercriminosos podem interceptar dados que estão sendo transferidos ou executados entre o usuário final e a empresa. Os CISOs podem minimizar esse risco, incentivando o uso de VPNs e adotando soluções de gerenciamento de rede sem fio.

4. Golpes por e-mail e phishing

Esses golpes não são novos, mas ainda são uma das formas mais comuns de ciberataques, já que quase todos usam e-mails regularmente. No caso de phishing, o usuário recebe um e-mail de uma fonte aparentemente confiável, por ex. do banco, de um colega de trabalho etc. Esse tipo de e-mail geralmente pede que o usuário envie seus dados de acesso ou pedem para clicar em um link, o que resulta em roubo de senha e/ou download de malware que infecta o dispositivo. Para minimizar as chances de um ataque de phishing causar danos na rede, os CISOs devem implementar controles, como gateway de e-mail seguro.

5. Redes sociais

As contas em redes sociais são uma forma comum utilizada pelos cibercriminosos para o envio de links maliciosos ou coleta de dados pessoais que podem ser usados para criar ataques mais direcionados. Os CISOs devem implementar uma forte política de rede social e alertar os funcionários para que não aceitem solicitações de amizade e mensagens de estranhos, principalmente se tiverem que clicar em um link enquanto conectados à rede corporativa. As equipes de segurança devem garantir a adoção de soluções de antimalware e firewall. Além disso, devem treinar os funcionários para que possam reconhecer esquemas de engenharia social que tentam roubar seus dados de acesso à rede e conta corporativa.

Os CISOs geralmente já possuem muitas das ferramentas necessárias para minimizar o risco dessas tendências, porém é importante usá-las de maneira unificada, ao invés de adotar soluções isoladas e distintas. A integração e automação entre gateways de e-mail seguros, firewalls, proteções de dispositivos de usuários, WAFs, gerenciamento de acesso e outros recursos fornecem uma visão holística da atividade em toda a rede, permitindo que as equipes detectem rapidamente comportamentos estranhos e respondam de maneira coordenada e holística.

As tecnologias adotadas pelos funcionários e trazidas para a rede corporativa estão deixando as equipes de segurança e os CISOs alertas em termos de proteção da rede. Essas tecnologias emergentes exigem a adoção de novas soluções e processos para impedir que comportamentos aparentemente inofensivos acabem comprometendo a rede com violações de dados. Para isso, é importante estar por dentro das tendências de tecnologias emergentes e implementar soluções de segurança integradas para minimizar os riscos.

Quais os tipos de fraudes mais frequentes contra lojas on-line?

setembro 21, 2018 Por admin

Não é de hoje que ouvimos falar que as fraudes têm se tornado cada vez mais frequentes no comércio eletrônico, e, infelizmente, o Brasil é figura recorrente nas primeiras colocações em rankings mundiais de crimes cibernéticos. Um levantamento feito pela Konduto, empresa de antifraude que analisa o risco de transações on-line, aponta que a cada 5 segundos um e-commerce sofre uma tentativa de golpe com cartão de crédito clonado. O estudo usou como base mais de 40 milhões de pedidos processados pela empresa em 2017.

Pensando em minimizar o problema, as operadoras de cartões criaram uma ferramenta chamada chargeback (cancelamento de uma compra realizada por meio do cartão de crédito ou débito), que dá mais segurança ao consumidor nas transações on-line. Quando um consumidor não reconhece determinado lançamento em sua fatura, tem por contrato o direito solicitar o estorno daquele valor. Caberá ao lojista, por sua vez, arcar com este prejuízo.

Além da fraude dos cartões clonados, há outros tipos de golpes que ameaçam o setor – práticas como phishing e ataques DDoS. Com o intuito de ajudar os empreendedores no e-commerce nacional, que deve crescer até 15% em 2018 segundo estimativa da Associação Brasileira de Comércio Eletrônico (ABComm), a Konduto listou os seis tipos de golpes mais comuns. Confira:

1. Fraude deliberada: Acontece quando o cliente tem seus dados roubados, e as compras são feitas em seu nome. Neste caso, o pedido é entregue a um criminoso e a loja tem prejuízo financeiro.

2. Autofraude: Ela é feita pelo próprio titular do cartão, de forma proposital. O fraudador age após o recebimento do produto, afirma não reconhecer o valor cobrado e solicita o chargeback.

3. Sequestro de estoque: Ocorre no momento que um e-commerce concorrente adquire uma quantidade significativa de produtos em promoção na loja, utilizando como meio de pagamento o boleto bancário. Dessa forma, os produtos ficam reservados para este suposto “cliente”, que não faz o pagamento do título e impossibilita que consumidores legítimos adquiram o produto.

4. Phishing corporativo: O criminoso, neste caso, precisa fazer com que um colaborador da empresa caia no golpe, para que ele possa ter acesso a diversas informações sigilosas da companhia. Essa fraude ocorre da seguinte forma: o hacker envia um e-mail de phishing para um funcionário, que cai no golpe e clica em algum link malicioso. Assim, o fraudador consegue acesso à máquina deste funcionário, inclusive à conta de e-mails, e a partir de então envia e-mails maliciosos para outros colaboradores, com outros níveis de acesso a informações sigilosas, até que algum integrante do alto escalão da empresa “morda a isca”.

5. Ataque DDoS: O objetivo deste golpe é tirar um e-commerce ou site do ar. Um ataque como esse pode simplesmente reiniciar os servidores ou travar totalmente o sistema do site. Para evitar que isso ocorra é preciso definir alguns filtros que possam determinar os IPs que podem acessar o site ou quais deles são maliciosos.

6. Vazamento de dados: Essa é uma das fraudes mais comuns que acontecem, principalmente porque causam não só um prejuízo financeiro, como também operacional no e-commerce. Isso ocorre porque muitas empresas não têm preocupação com segurança da informação, armazenamento de dados e utilização de servidores externos. Para evitar que isso ocorra, as lojas virtuais precisam armazenar apenas o essencial para as suas operações e investir em práticas fundamentais de segurança da informação.

Agricultura de precisão e segurança da informação: aliança fundamental para o sucesso do negócio

setembro 20, 2018 Por admin

Por Arley Brogiato, country manager da SonicWall Brasil

O campo é, hoje, a vanguarda da economia e da inteligência brasileira. Responsável por 23,5% do PIB em 2017, o agronegócio é rentável, produtivo e não para de crescer. Esse setor vive uma evolução silenciosa: a busca pela gestão plenamente automatizada. Segundo pesquisa realizada em 2017 pela ESALQ (Escola Superior de Agricultura Luiz de Queiroz), 45% do setor rural brasileiro já usa métodos e tecnologias de agricultura de precisão em suas lavouras. Isso equivale a 9 milhões de hectares cultivados a partir desse conceito. A agricultura de precisão permite uma exploração mais racional dos processos produtivos, promovendo a otimização do uso dos insumos, o aumento da lucratividade e a minimização dos impactos ambientais. É a agricultura de precisão que, acredita a FAO (Organização das Nações Unidas para Alimentação e Agricultura), permitirá que o mundo produza 70% a mais de alimentos até 2050.

Uma meta como essa só é atingida por meio de disrupções: a digitalização do agronegócio é um caminho sem volta, que exige que o empresário compreenda tanto os benefícios como os desafios deste salto.

Um dos pontos críticos é garantir a segurança da informação que dinamiza este setor.

O alvo do criminoso digital são ativos de informação ou, então, vulnerabilidades da infraestrutura de rede. O resultado da ação criminosa pode ser o roubo de propriedade intelectual ou a indisponibilidade dos ativos físicos do agribusiness.

Entre os ativos de informação destacam-se aplicações de gestão empresarial que percorrem todos os processos do agronegócio. Essa visão inclui, também, dados extraídos de sensores IoT (Internet das Coisas); outro ponto estratégico é o ambiente de colaboração e correio eletrônico. O agronegócio já conta, também, com sofisticadas plataformas de BigData, Analytics e Inteligência Artificial. As empresas do setor utilizam, também, aplicações de robótica presentes em drones, entre outros dispositivos.

A agricultura de precisão demanda um ambiente de TI em que, quanto maior a quantidade de dados coletados, processados e analisados, mais acertado será o diagnóstico sobre como aumentar a produtividade e a rentabilidade do negócio.

Esse tesouro de informações é, também, o alvo de criminosos digitais.

O Brasil está na rota de um número sem precedentes de ataques originados de qualquer parte do mundo. É o que aponta o SonicWall Security Center, plataforma mantida pela SonicWall que monitora em tempo real ciberataques em todo o mundo. O papel econômico do agronegócio no Brasil coloca as empresas do setor no radar dos cibercriminosos.

Ransomware

O SonicWall Security Center mostrou que, em março de 2018, apenas no Estado de São Paulo, foram registrados mais de 3 milhões de ataques de ransomware direcionados para empresas neste Estado. É bom lembrar que, em 2016, 19,3% do faturamento do setor nacional de agronegócios veio de corporações localizadas no Estado de São Paulo. Fica claro, portanto, que se São Paulo é uma região sob o ataque de criminosos virtuais, isso pode atingir grandes players do agribusiness. Se assumirmos que outros Estados se valem dos centros de dados localizados em São Paulo, é possível que esse cenário tenha alcance nacional.

Uma resposta objetiva a esse desafio é adotar firewalls de próxima geração que integrem diferentes camadas de proteção. Isso inclui técnicas avançadas como sandbox – solução que protege a empresa do campo contra ataques avançados e persistentes e chega a bloquear ataques contra processadores. Esse tipo de plataforma tem de ser capaz de ser atualizado online, em tempo real, além de oferecer recursos de implementação e gerenciamento que reduzam os custos de propriedade desse ambiente.

Indisponibilidade

O agronegócio brasileiro realiza negócios via Web – e isso pode ser, também, um alvo para os criminosos digitais. Os ataques muitas vezes visam a indisponibilidade não apenas de centros de dados ou servidores, mas, também, de dispositivos inteligentes (IoT) ou dispositivos móveis como smartphones e tablets. Esses dispositivos móveis são usados no campo para captura de dados.

As grandes extensões geográficas das maiores empresas do setor tornam essencial que o usuário em movimento consiga, com desempenho e com segurança, acessar, por meio de dispositivos móveis, as aplicações que fazem o negócio girar. Dentro deste quadro, passa a ser fundamental centralizar a gestão dos recursos de segurança: estas tecnologias devem ser implementadas e gerenciadas com o menor esforço e custo o possível e sem demandar o deslocamento de especialistas de TI e segurança a locais remotos da propriedade.

Violação de dados

As empresas do agronegócio no Brasil competem na arena global e a inteligência de suas aplicações e os dados produzidos são fortes diferenciais. Por meio de violações de dados, cibercriminosos podem roubar essa propriedade intelectual.

A luta contra esse tipo de ataque exige que se utilizem soluções com diversas camadas de segurança. Levando-se em conta que, hoje, mais de 70% do tráfego seja criptografado, não ter recursos ativos para inspecionar este tipo de tráfego é fechar os olhos para um abismo de pragas eletrônicas e códigos maliciosos. Essas ameaças usam criptografia para se camuflar e invadir, às vezes durante meses, recursos computacionais (redes e sistemas).

Phishing

Profissionais de empresas de agribusiness usam como base de suas interações plataformas de correio eletrônico. Os dados colhidos e analisados pelo SonicWall Security Center indicam que o Brasil figura entre os países com maior incidência de Spam e Phishing. A estratégia de operação dos criminosos digitais é gerar e-mails carregados de códigos maliciosos. No caso de Phishing, a resposta é aliar tecnologias como soluções de proteção de e-mail e acesso remoto seguro a inovadoras estratégias de treinamento dos usuários.

O setor de agronegócios é estratégico para o Brasil e para o mundo. A transformação trazida pela agricultura de precisão vai muito além da tecnologia – profundas mudanças culturais têm de acontecer para essa transição ser feita. Ainda assim, na era da digitalização da economia, não há como fugir do fato de que TI e segurança de TI são insumos essenciais para o sucesso do agribusiness.

É possível diminuir os riscos de fraude das urnas eletrônicas?

setembro 19, 2018 Por admin

Por Matheus Jacyntho

Estamos em ano de eleições para a presidência da república, período em que percebemos com mais ênfase o cenário de acirramento político que vem desde o pleito de 2014. Após a última eleição, quando a diferença entre os candidatos foi relativamente pequena, alguns setores da sociedade questionaram a legitimidade e a segurança das urnas eletrônicas utilizadas no processo eleitoral.

O Tribunal Superior Eleitoral (TSE) realiza, desde 2009, Testes Públicos de Segurança do Sistema Eletrônico de Votação (Urnas Eletrônicas), porém em um ambiente muito controlado, de difícil utilização de ferramentas e com prazo limitado para conclusão. Ainda assim, os participantes dos testes conseguiram identificar vulnerabilidades que possibilitariam a um atacante fraudar uma eleição[1].

Para reduzir os riscos de fraude, o TSE recomendou a inserção de um processo de auditoria do Sistema Eletrônico por meio da impressão do voto. Assim, o eleitor conseguiria verificar se o voto impresso corresponde ao realizado na urna e a impressão cairia automaticamente em um compartimento lacrado sem intervenção humana. Caso alguma suspeita de fraude fosse levantada, seria possível recontar os votos impressos e conferir com o boletim da Urna enviado ao TSE.

A discussão sobre a adoção do voto impresso chegou até o Supremo Tribunal Federal (STF), que decidiu que a versão impressa viola a garantia constitucional do segredo do voto, já que seria possível identificar o eleitor. Por fim, o Tribunal afirmou que estudos constataram o custo relativamente mais alto do voto impresso por eleitor.[2]

Sendo assim, em curto prazo, para as eleições de 2018, não será possível implementar a auditoria do voto eletrônico a partir de sua impressão. Talvez nem mesmo em cenário de médio prazo será possível. É importante ressaltar que este controle é considerado reativo, ou seja, caso seja comprovada uma fraude pela auditoria do voto impresso, teremos impactos, por exemplo, na política e economia, visto que seria necessária uma nova eleição.

Quando comparamos esse processo a outros setores, podemos analisar os testes realizados pelos bancos em suas aplicações de Internet Banking. Estes sistemas são testados praticamente de forma ininterrupta, provendo um alto nível de segurança da informação. Caso alguma vulnerabilidade seja implementada involuntariamente em ambiente de produção, é bem provável que os testes internos identifiquem a falha antes que um atacante externo consiga explorá-la.

Partindo da premissa que não existem sistemas 100% seguros e que a auditoria pelo voto impresso não está autorizada, é razoável considerar uma mudança no foco da segurança do voto eletrônico para a realização de mais testes periódicos do Sistema Eletrônico de Votação e da flexibilização do modo como os atuais testes são permitidos.

Os pesquisadores ou empresas contratadas poderiam ter acesso às Urnas Eletrônicas por mais tempo e condições para elaborar testes mais precisos e direcionados para o ambiente do Sistema Eletrônico de Votação. Desta maneira, seria possível identificar proativamente as vulnerabilidades, bem como o TSE providenciar as correções necessárias e os pesquisadores testarem novamente para comprovar que a remediação foi efetiva.

Portanto, na contramão do atual cenário que preconiza a adoção do voto impresso, a realização de mais testes periódicos e de maior duração, poderia diminuir significativamente o risco de fraudes no Sistema Eletrônico de Votação.

Matheus Jacyntho, gerente da área de cybersecurity da Protiviti, consultoria global especializada em finanças, tecnologia, operações, governança, risco e auditoria interna.

[1] http://www.researchgate.net/publication/323470546?channel=doi&linkId=5a9761de0f7e9ba42974d0c9&showFulltext=true

2 Portal do STF – http://www2.stf.jus.br/portalStfInternacional/cms/destaquesNewsletter.php?sigla=newsletterPortalInternacionalJurisprudencia&idConteudo=291605

Gartner mostra como executivos conseguem manter seus empregos após ciberataques

agosto 21, 2018 Por admin

O Gartner, Inc., líder mundial em pesquisa e aconselhamento imparcial em tecnologia, divulga os motivos porque muitos CEOs serão demitidos por causa de ciberataques e como eles podem se manter em seus cargos.

“Tendências no âmbito regulatório indicam um aumento da responsabilidade para conselhos de administração e executivos na comunicação e prevenção de ciberataques”, diz Tom Scholtz, Vice-Presidente de Pesquisa do Gartner. “Embora você não possa controlar a ocorrência de ataques, é possível supervisionar o nível de preparo das organizações para responder e enfrentar a tempestade”, afirma o analista. “Fomente o engajamento de seus executivos – o risco é deles.”

Segundo o Gartner, o roubo de dados privados de 143 de milhões de norte-americanos fez do caso envolvendo o ciberataque da Equifax um dos maiores da história. A maneira como a companhia lidou com a situação foi acompanhada de diversas análises, resultando na saída do CEO Richard Smith em meio à crise, em 2017. Trata-se de um sério lembrete para qualquer CEO dos perigos envolvidos na violação de dados, diz o especialista.

Para o Gartner, muitos CEOs serão demitidos por causa de ciberataques. Vejas sete razões das demissões de altos executivos por erros de segurança, e como eles devem fazer para manter seus cargos:

1. Responsabilidade fragmentada – Mais CEOs serão tidos como os “responsáveis”. Sem um bom esforço de engajamento contra os risco não há como responsabilizar – “Eu apenas fiz o que o pessoal da segurança me mandou fazer”. Ofereça aos seus executivos condições para decisões adequadas, não proteção. Modelos fortemente baseados em responsabilidade, nos quais os riscos estão a cargo de quem tem autoridade para cuidar deles, garantem que problemas de segurança não se agravem.

2. Desconexão cultural – Muitos Conselhos de Administração acreditam que cibersegurança é um problema técnico resolvido por pessoas técnicas, escondidas em TI. Ao contratar as pessoas certas com conhecimento técnico, é possível diminuir as chances de ser atacado e manter distância das manchetes.

3. Servidor que nunca sofre correções – Embora haja uma legítima razão corporativa, muitas organizações possuem servidores completos sem nunca terem sido atualizados ou corrigidos. Decisões de negócios conscientes precisam ser tomadas levando em consideração o que será feito, mas, mais importante, o que não será feito para se proteger.

4. Seu executivo de segurança é o defensor da sua organização – Equipes de segurança são contratadas por serem especialistas e seu trabalho é proteger a organização. Esses silos são a questão, colocar pessoas na função de proteger os resultados de negócios que não entendem. Fomente o engajamento de seus executivos – esse é o risco deles.

5. Jogar dinheiro no problema – Você não pode comprar sua saída – você ainda não estará perfeitamente protegido. Evite resultados negativamente impactantes devido a elevação de custos operacionais existentes prejudicar potencialmente a habilidade de a organização funcionar.

6. Tolerância ao risco e apetite brando – Organizações criam declarações genéricas de alto nível sobre seu apetite por risco que não suportam a tomada de boas decisões. Evite prometer para apenas engajar em atividades de baixo risco. Essa prática é contrária aos bons negócios e cria outras boas razões para demissão se você está envolvido em atividades de risco.

7. Pressão social – Culpar uma organização por sofrer um ataque de hacker é como culpar um banco por ser roubado. A diferença é que bancos são defensáveis – a maior parte das organizações não é. O primeiro passo para se recuperar é admitir que você tem um problema. Suas ações reforçam como as pessoas percebem a dificuldade. “CEOs precisam redefinir a maneira como lidam com risco e segurança para evitar serem demitidos”, acrescenta Scholtz. “O propósito do programa de segurança é criar um equilíbrio entre a necessidade de proteger e a exigência de conduzir os negócios”, diz o especialista do Gartner.

SearchInform traz ao Sul conferência sobre segurança da informação no Brasil

agosto 20, 2018 Por admin

Pela primeira vez na região Sul, a SearchInform irá reunir especialistas e profissionais de segurança da informação (SI) para falar sobre novas soluções, ameaças e tipos de fraudes praticadas na atualidade, em uma série de conferências gratuitas – o Road Show Brasil 2018. Tendo com tema, “Money Loss Prevention: a proteção do futuro”, a ação acontecerá em 21 de agosto, em Joinville (SC), das 9h às 12h, na Associação Empresarial de Joinville.

Baseado em exemplos de casos reais da prática de clientes, os especialistas da SearchInform abordarão os riscos explícitos e ocultos provocados pelo comportamento de funcionários, e ainda demonstrarão uma investigação dos incidentes passo a passo, com a ajuda de ferramentas habituais e complementares. Entre os palestrantes, destacam-se Serguey Ozhegov – CEO Global da SearchInform e Vladimir Prestes – Diretor Geral da SearchInform no Brasil.

A ação é uma grande oportunidade para que profissionais da área possam interagir com o objetivo de obter ferramentas que resolvam os problemas empresariais da atualidade. Além disso, a inciativa também serve como incentivo para a realização de pesquisas sobre o nível da segurança da informação nas empresas brasileiras. “O novo paradigma da segurança da informação, abrangendo desde a proteção contra vazamentos até o combate a quaisquer riscos associados à fatores humanos, tornou-se o ponto de partida para uma comunicação ativa”, afirma o sócio-diretor da SearchInform no Brasil, Vladimir Prestes.

Anteriormente, a SearchInform já havia compartilhado sua experiência na América Latina. A primeira conferência na região ocorreu em agosto de 2017, na Argentina, e mostrou grande interesse das empresas locais pelo problema da segurança das informações. Desde 2012, a empresa tem realizado a ação em países da CEI e na Rússia. Este ano já reuniu especialistas, gestores e profissionais em TI e SI em países da África do Sul, Oriente Médio e África do Norte.

A evolução da segurança na nuvem em meio à transformação digital

agosto 16, 2018 Por admin

Por Ghassan Dreibi, Diretor de Cibersegurança da Cisco do Brasil

O processo de transformação digital é um caminho sem volta. Se em nossas vidas privadas já somos pessoas completamente digitais, sempre conectadas por meio de nossos smartphones, tablets e até mesmo TVs, nas empresas este processo demanda mais tempo, investimento e, principalmente, precauções. Conforme a transição da estrutura de uma empresa para um ambiente conectado se acelera, mais necessária se torna a criação de uma arquitetura de segurança capaz de proteger dados próprios e de clientes.

O lado positivo disso é que boa parte da infraestrutura demandada pela maioria das empresas, sejam pequenas, médias ou grandes, já está à disposição em serviços de nuvem para redes corporativas. Nenhum sistema é perfeito e o escopo de brechas se expande cada vez mais, mas a proteção que é fornecida por serviços de nuvem corporativa tem tornado esta transição inevitável para companhias por conta de um fator fundamental: evolução constante, acompanhando transformações cada vez mais rápidas e impactantes em ambientes virtuais, se contrapondo a ameaças que evoluem na mesma velocidade.

Segundo dados do Relatório Anual de Cibersegurança da Cisco, divulgado em fevereiro deste ano, 27% dos profissionais de segurança disseram que estão usando nuvens privadas off-premises, em comparação com 20% em 2016. Dentre eles, 57% disseram que hospedam redes na nuvem pelo motivo de uma segurança de dados melhor; 48%, devido à escalabilidade; e 46%, por causa da facilidade de uso. A razão por conta desta tendência pode ser vista em outro dado. De acordo com os entrevistados no relatório, mais da metade de todos os ataques sofridos resultaram em danos financeiros superiores à U$ 500.000.

Os desafios, contudo, continuam a aumentar. A quantidade de dispositivos acessando redes corporativas cresce a cada dia. Se antes elas estavam restritas ao ambiente físico das empresas e seus desktops, hoje estes cenários parecem uma antiguidade. Smartphones e tablets transformam qualquer ambiente com uma conexão Wi-Fi em um local de trabalho e, muitas vezes, esta conexão não é segura. Lugares como aeroportos, cafés e hotéis trazem comodidade, mas podem comprometer a segurança de uma rede. Isto ocorre, pois é cada vez mais difícil proteger dispositivos individualmente. Quando estes endpoints são contaminadas por meio de uma conexão insegura ou por falha ou brecha em uma senha pessoal, elas podem colocar em risco toda a rede corporativa.

Os avanços para solucionar estas brechas têm acontecido na nuvem. Novas soluções estão sendo desenvolvidas, e algumas já estão em prática. Serviços de nuvem já conseguem detectar dispositivos vazados, permitindo ou não seu acesso a redes corporativas e evitando assim uma contaminação geral do ambiente. Há ainda outras que fazem o threat hunting (caça de ameaças) e eliminação do problema de forma autônoma e rápida, o que minimiza os danos da forma mais eficiente possível. A Cisco, por exemplo, registrou um TTD (tempo de detecção) de ameaças de 4,6 horas no período entre novembro de 2016 e outubro de 2017. Em 2015, este tempo era de 39 horas. A evolução só foi possível através do uso de tecnologia de segurança baseada em nuvem.

Mesmo que o investimento para migrar a estrutura de segurança de uma empresa para um serviço de nuvem confiável e eficaz pode parecer custoso em um primeiro momento, o retorno é cada vez mais certo, não só em relação a perdas financeiras, mas também garantindo a privacidade dos dados de funcionários e clientes. Com soluções mais completas e rápidas na detecção e contenção de ameaças, agora cabe às empresas se educarem e buscarem as alternativas que melhor se adaptem aos seus negócios, qualquer que seja sua área de atuação.

A proteção dos dados pessoais é o dever por trás da criptografia

julho 20, 2018 Por admin

A Câmara Brasileira de Comércio Eletrônico (camara-e.net) pretende iniciar, ainda este ano, um fórum permanente sobre “A segurança do cidadão na era digital”. Serão realizados seminários e palestras presenciais e digitais para disseminar a importância da assinatura digital, proteção de dados, respeito à privacidade e direito à proteção das informações pessoais. As conferências com especialistas da entidade e convidados serão divulgadas com antecedência e disponibilizadas no site da entidade e no Youtube. A camara-e.net pretende produzir filmes educativos para divulgação nas redes sociais. O objetivo da iniciativa é atingir o maior número de pessoas. A assinatura digital e a proteção de dados são assuntos de segurança nacional, que interessam a todos, tanto ao cidadão diretamente quanto às instâncias de segurança e inteligência do País.

Segundo o presidente da camara-e.net, Leonardo Palhares, um dos projetos prioritários da entidade é disseminar junto aos brasileiros a “cultura da cidadania digital”. Palhares considera fundamental que todos saibam que o compartilhamento, empréstimo, guarda ou qualquer forma de utilização das chaves privadas de certificados digitais por terceiros devem ser vedados. Tratam-se de formas que expõem os seus titulares aos riscos de utilização indevida, contratações e acessos não autorizados, podendo gerar prejuízos de ordem patrimonial e extrapatrimonial e, por fim, quebrar os requisitos mínimos necessários para suportar toda a criptografia e tecnologia empenhadas no processo de geração dos certificados digitais: o segredo e o controle das chaves privadas.

De acordo com Leonardo Palhares, “a identificação inequívoca de pessoas físicas ou jurídicas nas transações eletrônicas, tanto para os contratantes quanto para os contratados, se faz imprescindível para a confiabilidade de uma relação estabelecida em meio remoto. Como exemplo, cite-se que os consumidores se sentem muito mais confortáveis em contratar serviços e produtos de plataformas eletrônicas devidamente identificadas, com mecanismos de contato disponíveis para soluções de problemas e outras tantas informações necessárias para a segurança de uma contratação eletrônica. Portanto, o emprego de assinaturas digitais com certificação digital nos padrões da ICP-Brasil é um importante aliado para a confiabilidade mútua dos contratantes em meio remoto”.

Com o fórum permanente “A segurança do cidadão na era digital”, a camara-e.net objetiva construir uma cultura de cidadania digital. Percebe-se que há pouco conhecimento sobre os efeitos do uso do certificado digital e, principalmente, sobre a relevância da proteção de dados. No Brasil, dado pessoal é aquele “relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa” (Decreto nº 8.771, de 11 de maio de 2016). Logo, uma imensidão de dados pode ser considerada pessoal, desde que permita sua correlação a uma pessoa, sendo, portanto, objeto de proteção por parte daqueles que venham a utilizá-la. A identificação de uma pessoa pode se dar mediante apresentação de documentos de identificação civil, dados cadastrais, informações pessoais, características físicas, biométricas, estéticas ou até mesmo de opiniões. Em meio eletrônico, uma boa parte de dados pessoais são fornecidos voluntariamente pelas pessoas, como contrapartida para um serviço ou produto oferecido ou como mecanismo de atribuição de segurança às transações realizadas em meio eletrônico.

As assinaturas digitais (ou certificação digital) nos padrões da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil (instituída pela Medida Provisória nº 2.200-2/2001), são baseadas em chaves criptográficas (chaves públicas – de conhecimento público – e chave privada – de conhecimento e acesso exclusivos do cidadão), de modo que a chave privada, para que os atributos de integridade e autenticidade sejam garantidos, deve ser gerada e controlada exclusivamente por seus titulares. Portanto, a segurança das transações eletrônicas que se utilizam dos certificados digitais depende da manutenção dos atributos mínimos garantidores do não repúdio das assinaturas digitais. Estas, uma vez associadas a dados de identificação de pessoas físicas (ou jurídicas, muito embora as discussões sobre privacidade estejam atreladas às pessoas naturais) passam a ser enquadradas como dados pessoais e, por isto, merecem proteção absoluta, iniciando-se pela guarda, posse e uso exclusivo das mesmas por parte de seu titular.

A camara-e.net participa ativamente das discussões sobre proteção de dados no âmbito do Legislativo para regulamentação das medidas voltadas a proteção do cidadão. A garantia da privacidade e da autoria de atos eletrônicos dos cidadãos está sob avaliação do Congresso Nacional, que atualmente analisa o projeto de lei nº 7.316/2002. O novo regulamento visa substituição da Medida Provisória que instituiu a ICP-Brasil. A entidade considera que, sem prejuízo à apresentação de emendas que visam a defesa do cidadão compete à sociedade e aos parlamentares repisarem a importância do livre arbítrio sob controle dos seus titulares e jamais sob controle de terceiros. A criptografia, a chave privada e a segurança do cidadão em meio eletrônico dependem de sua manutenção no controle de seus atos e de sua vontade. Sem controle e guarda exclusivos das chaves privadas, não há proteção do cidadão contra as interferências de terceiros, de empresas e do Estado.

A camara-e.net vem se posicionando no âmbito do órgão regulador da ICP-Brasil, do qual participa como integrante do colegiado há mais de 10 anos. A entidade, que é a maior associação multissetorial da América Latina e com maior representatividade na economia digital no País, vem reiterando em seus votos, estudos e fundamentações a imprescindibilidade do controle e guarda exclusiva das chaves privadas por seus titulares, buscando a mais rigorosa e estrita confiabilidade das transações eletrônicas e da segurança técnica e jurídica dos titulares de certificados digitais da ICP-Brasil.

Consumidores devem reforçar a segurança de suas contas bancárias

julho 19, 2018 Por admin

Há poucas semanas, autoridades oficiais no México alertaram os bancos para que reforçassem seus sistemas de segurança, diante de potenciais ataques cibernéticos no setor financeiro. No entanto, esses ataques nem sempre miram os bancos, mas têm como foco seus clientes. Por isso, a Avast (LSE: AVST), líder global em produtos de segurança digital, alerta para que os consumidores de todo o mundo – inclusive do Brasil –, fortaleçam seus hábitos online para garantir que seu dinheiro esteja protegido contra possíveis ciberataques.

Os cibercriminosos têm como alvo os consumidores porque sabem que a maioria das pessoas armazena informações confidenciais em seus dispositivos, além de usar smartphones e computadores para realizar compras e transações bancárias online. Os cibercriminosos também sabem que os usuários são um elo fraco e muitas vezes desconhecem as práticas recomendadas de segurança. Luis Corrons, Evangelista em Segurança da Avast, traz dicas importantes sobre a melhor maneira dos consumidores combaterem os cibercriminosos.

Atenção para Trojans bancários em dispositivos móveis

Trojans bancários em dispositivos móveis estão em ascensão. São aplicativos que tentam enganar o usuário a fornecer os seus dados bancários, fingindo ser um aplicativo bancário legítimo. Geralmente, imitam a tela de login ou oferecem uma tela de login genérica, com o logotipo do respectivo banco.

Recentemente a Avast realizou uma pesquisa, pedindo que os consumidores comparassem a autenticidade de interfaces de aplicativos bancários oficiais e fraudulentos. No Brasil, os resultados revelaram que 68% dos entrevistados foram capazes de detectar a interface fraudulenta, enquanto 30% confundiram a falsa com a verdadeira. Estes resultados são alarmantes e mostram que os consumidores podem facilmente ser vítimas de Trojans bancários.

“Estamos observando um aumento constante do número de aplicativos maliciosos para dispositivos Android, capazes de contornar as verificações de segurança em lojas de aplicativos populares e atingir os smartphones dos consumidores. Esses aplicativos geralmente se apresentam como apps de jogos e de estilo de vida, utilizando táticas de engenharia social para enganar os usuários a fazer o download”.

“Os consumidores podem confiar em lojas de apps como o Google Play e a App Store da Apple, para fazer o download com frequência de aplicativos bancários. No entanto, é recomendado uma vigilância extra. Os usuários devem confirmar se o aplicativo bancário que utilizam, é a versão verificada. Caso a interface pareça ser estranha ou estar fora do lugar, é preciso fazer uma nova verificação com a equipe de atendimento ao cliente do banco. Também é importante que os usuários utilizem a autenticação de dois fatores, se disponível, além de terem um antivírus forte para Android instalado, para detectar e protegê-los contra malwares maliciosos”, disse Luis Corrons.

Evitando armadilhas de phishing

Os usuários precisam ainda estar atentos ao phishing, que é uma técnica de engenharia social usada por cibercriminosos para enganar as pessoas a fornecer informações confidenciais, como detalhes do cartão de crédito e credenciais de login. Os golpes de phishing geralmente vêm na forma de email, criado para parecer que veio de uma fonte legítima, dificultando o reconhecimento e incluindo um link ou anexo. Links em e-mails de phishing direcionam o usuário para sites maliciosos, quase idênticos ao site que imitam e pedem às pessoas que insiram suas informações pessoais.

“Os anexos em e-mails de phishing ou o uso de engenharia social são utilizados, por exemplo, para ajustar as configurações a fazer o download do malware. Se um e-mail que afirma ser de uma instituição bancária pareça suspeito, pode ser uma tentativa de phishing. Neste caso, os usuários devem verificar diretamente com o banco a sua legitimidade, para garantir que o e-mail seja realmente da instituição financeira”, disse Luis Corrons.

Senhas são a chave do cofre

Usar senhas fortes e exclusivas para cada conta online, e alterá-las regularmente são medidas importante que devem ser adotadas pelos usuários para que mantenham seguras suas contas online, especialmente as contas bancárias.

“Recomendamos o uso de um gerenciador de senhas, como o Avast Passwords, já que a maioria dos usuários pode ter mais de 20 contas online, dificultando a criação e o registro de senhas fortes, bem como exclusivas para cada uma delas”, disse Luis Corrons.

Os gerenciadores fazem uso de criptografia e geram senhas altamente seguras para todas as contas. Isso não significa que os usuários não precisem se lembrar de senhas longas, mas podem alterá-las facilmente com frequência. Alterar as senhas das contas regularmente é extremamente importante, já que as violações de dados nem sempre são detectadas de imediato pelas empresas, o que significa que os cibercriminosos podem colocar as mãos nas credenciais de login sem que ninguém perceba e, assim, comecem a cometer fraudes.

Instalando uma rede de segurança

A instalação de um programa antivírus é obrigatório em qualquer dispositivo, seja um Mac, Windows ou Android. O Antivírus protege os usuários contra uma infinidade de ameaças, incluindo spyware, ransomware, keyloggers e Trojans.

“Independentemente de quão cuidadosas as pessoas sejam, os cibercriminosos estão sempre descobrindo novas maneiras de entrar nas contas dos usuários. O antivírus atua como uma rede de segurança, protegendo em segundo plano e em todos os momentos até mesmo os usuários mais cautelosos, para que possam utilizar seus dispositivos sem preocupações”.

Mantenha o banco online em seus próprios dispositivos

“Os usuários nunca devem realizar transações financeiras de um computador ou de um dispositivo móvel que não pertença a eles, já que nunca pode-se saber com certeza quem o utilizou pela última vez e que tipo de software está sendo executado no dispositivo. O mesmo vale para as redes Wi-Fi. É extremamente necessário usar uma VPN para realizar transações financeiras, quando o usuário está conectado com redes Wi-Fi públicas. Sem uma VPN, os cibercriminosos podem espiar suas atividades”.

Avast Antivirus e Avast SecureLine VPN para PC, Mac, iOS e Android podem ser baixados em www.avast.com/pt-br

Segurança deficiente nos roteadores está deixando os brasileiros vulneráveis a ataques cibernéticos

junho 28, 2018 Por admin

Nova pesquisa da Avast revela que 43% dos brasileiros nunca acessaram a interface administrativa web de seus roteadores para alterar as credenciais de login de fábrica. Dos brasileiros que acessaram a interface administrativa web, 72% nunca atualizaram o firmware do roteador.

Os consumidores brasileiros, que têm uma segurança deficiente em seus roteadores, estão sob alto risco de ataques cibernéticos projetados para assumir o controle de dispositivos conectados à rede Wi-Fi, roubar senhas e coletar outras informações pessoais confidenciais. Uma nova pesquisa da Avast, líder mundial em segurança digital, revela que 43% dos brasileiros nunca acessaram a interface administrativa web de seus roteadores para alterar as credenciais de login de fábrica. Outra constatação preocupante é que 14% dos brasileiros que usaram essa interface administrativa web, ainda mantêm as credenciais fornecidas com o roteador. Somente 42% dos brasileiros alteraram suas credenciais de login dos roteadores através da interface web. Além disso, dos brasileiros entrevistados que acessaram a interface administrativa web, 72% nunca atualizaram o firmware do roteador.

A pesquisa foi realizada para entender melhor o conhecimento do público com relação à segurança dos roteadores, que é frequentemente negligenciada quando as pessoas prestam mais atenção nos dispositivos que estão utilizando.

No início deste mês, cerca de 700.000 roteadores em todo o mundo foram diagnosticados como vulneráveis a um malware com recursos de decodificação SSL. Conhecido como VPNFilter, esse malware modular contém recursos de ataque MiTM (Man-in-The-Middle), criado para injetar cargas maliciosas no tráfego da internet. O malware tem a capacidade de escanear o tráfego web de entrada e saída na rede do usuário, com o objetivo de coletar senhas e outras informações confidenciais. Até hoje, roteadores de 54 países foram afetados, incluindo os modelos Linksys, NETGEAR, D-Link, Huawei e Asus.

Também foi relatado recentemente que a botnet Satori, uma botnet que infecta dispositivos IoT (Internet das Coisas) usando-os para realizar ataques DDoS e minerar criptomoedas, está se espalhando e explorando uma vulnerabilidade nos roteadores DSL da D-Link. O Brasil é atualmente o país mais afetado.

A pesquisa da Avast ilustra como os ataques podem tirar proveito da falta de compreensão das pessoas sobre a segurança dos roteadores. Exatamente metade dos consumidores brasileiros admitiu acessar a interface do roteador uma vez por ano ou menos, para verificar se há atualizações, enquanto um número similar (52%) disse que não tinha ideia de que seus roteadores tinham firmware – um software pré-programado, gravado em hardware que requer atualização para incorporar patches de segurança.

“Uma rede local do usuário é tão relevante e pode ser vista como o elo mais fraco de uma cadeia. Na maioria das vezes, o roteador é o maior ponto de vulnerabilidade”,disse Martin Hron, Pesquisador de Segurança da Avast.

“O roteador é freqüentemente mal compreendido ou ignorado, porém, é indiscutivelmente o dispositivo mais importante ao atuar como porta de entrada para a internet. Ao conectar vários dispositivos e permitir que compartilhem dados entre si, enquanto gerenciam o tráfego web de entrada e saída, o roteador é um alvo natural para cibercriminosos que desejam coletar informações pessoais confidenciais dos usuários, como detalhes de login do banco e explorar dispositivos conectados à rede como os de IoT. No mínimo, deve-se alterar o nome do usuário e a senha padrão de fábrica, assim que o roteador estiver instalado e verificar pró-ativamente se há atualizações de firmware”, finalizou.

Metodologia da pesquisa

A pesquisa foi realizada pela Avast em junho de 2018 e entrevistou 1.522 consumidores no Brasil.

Proteção de Dados: responsabilidade das empresas e de todo seu ecossistema de terceiros

junho 26, 2018 Por admin

A GDPR – General Data Protection Regulation eleva o grau de exigência sobre as empresas e todo seu ecossistema de terceiros, em relação às estruturas, políticas, procedimentos e controles que promovem a adequada proteção de dados em seus negócios. O eventual descumprimento das novas regras sujeita empresas e seus terceiros a pesadas multas e sanções.

Para mitigar riscos e promover o compliance sobre a proteção de dados nas empresas e seus terceiros, a ICTS Outsourcing incorporou em seu serviço de Due Diligence de Terceiros (3rd Party Compliance), já amplamente empregado com enfoque Anticorrupção, uma nova camada de verificação.

A condução de due diligences sobre Proteção de Dados de forma rigorosa e periódica é um importante elemento para um programa efetivo de compliance nas organizações, permitindo a identificação e o tratamento de riscos no relacionamento entre a empresa e seus diversos terceiros (parceiros de negócio, prestadores de serviços, fornecedores, representantes, etc). Adicionalmente, possui um caráter construtivo muito interessante, pois estimula a assimilação de melhores práticas de negócio em toda a cadeia de valor da empresa, promovendo uma evolução gradual do mercado.

“Esta nova camada de diligência era necessária para permitir a avaliação do grau de maturidade dos parceiros, fornecedores e outros terceiros sob a ótica da proteção de dados, verificando seu grau de preparação e aplicação prática dos elementos de segurança, seja sobre dados pessoais, inclusive sob a ótica da GDPR, ou quaisquer outras informações da empresa às quais o terceiro tenha acesso.”, explica o sócio diretor da ICTS Outsourcing, Cassiano Machado, especialista em gestão de riscos, ética e compliance.

Empregando uma abordagem progressiva de análise, cuja complexidade aumenta conforme o nível de exposição aos riscos envolvido, o processo de Due Diligence possibilita às empresas uma ação preventiva sobre atos de corrupção e, agora, também sobre o tratamentamento inadequado e o vazamento de dados. E, especialmente nestes contextos, como comenta Cassiano, prevenir é melhor do que remediar: “A GDPR, por exemplo, prevê multas que variam de 2% a 4% do faturamento anual para empresas que não cumprirem suas regras, e a Lei anticorrupção brasileira é ainda mais rigorosa, com multas de até 20% do faturamento”, destaca. Ele ainda reforça a importância da execução das diligências preferencialmente antes da contratação do novo terceiro, ou, minimamente, nos momentos prévios a renovação dos contratos.

Oito dicas para proteger a privacidade de dados on-line

Curtir isso:

(ISC)² recebe inscrições para o Programa de Bolsas de Estudos em Segurança da Informação para Mulheres

Curtir isso:

Você tem certeza que seus dados estão seguros na internet?

Curtir isso:

Dia da Segurança na Internet: Como não ficar refém da conectividade?

Curtir isso:

LGPD: bom para a privacidade, melhor para os hackers

Curtir isso:

Reconhecimento visual de phishing

Curtir isso:

FICO: Dicas valiosas para não cair em fraudes em pagamentos durante a Black Friday

Curtir isso:

Como os CISOs podem manter a privacidade corporativa mesmo com a adoção de tecnologias emergentes

Curtir isso:

Quais os tipos de fraudes mais frequentes contra lojas on-line?

Curtir isso:

Agricultura de precisão e segurança da informação: aliança fundamental para o sucesso do negócio

Curtir isso:

É possível diminuir os riscos de fraude das urnas eletrônicas?

Curtir isso:

Gartner mostra como executivos conseguem manter seus empregos após ciberataques

Curtir isso:

SearchInform traz ao Sul conferência sobre segurança da informação no Brasil

Curtir isso:

A evolução da segurança na nuvem em meio à transformação digital

Curtir isso:

A proteção dos dados pessoais é o dever por trás da criptografia

Curtir isso:

Consumidores devem reforçar a segurança de suas contas bancárias

Curtir isso:

Segurança deficiente nos roteadores está deixando os brasileiros vulneráveis a ataques cibernéticos

Curtir isso:

Compartilhar

Curtir isso:

Compartilhar

Curtir isso:

Compartilhar

Curtir isso:

Compartilhar

Curtir isso:

Compartilhar

Curtir isso:

Compartilhar

Curtir isso:

Compartilhar

Curtir isso:

Compartilhar

Curtir isso:

Compartilhar

Curtir isso:

Compartilhar

Curtir isso:

Compartilhar

Curtir isso:

Compartilhar

Curtir isso:

Compartilhar

Curtir isso:

Compartilhar

Curtir isso:

Compartilhar

Curtir isso:

Compartilhar

Curtir isso:

Compartilhar

Curtir isso:

Compartilhar

Curtir isso: