Arquivos segurança de dados - Página 2 de 3 - Valor Agregado

A evolução da segurança na nuvem em meio à transformação digital

agosto 16, 2018 Por admin

Por Ghassan Dreibi, Diretor de Cibersegurança da Cisco do Brasil

O processo de transformação digital é um caminho sem volta. Se em nossas vidas privadas já somos pessoas completamente digitais, sempre conectadas por meio de nossos smartphones, tablets e até mesmo TVs, nas empresas este processo demanda mais tempo, investimento e, principalmente, precauções. Conforme a transição da estrutura de uma empresa para um ambiente conectado se acelera, mais necessária se torna a criação de uma arquitetura de segurança capaz de proteger dados próprios e de clientes.

O lado positivo disso é que boa parte da infraestrutura demandada pela maioria das empresas, sejam pequenas, médias ou grandes, já está à disposição em serviços de nuvem para redes corporativas. Nenhum sistema é perfeito e o escopo de brechas se expande cada vez mais, mas a proteção que é fornecida por serviços de nuvem corporativa tem tornado esta transição inevitável para companhias por conta de um fator fundamental: evolução constante, acompanhando transformações cada vez mais rápidas e impactantes em ambientes virtuais, se contrapondo a ameaças que evoluem na mesma velocidade.

Segundo dados do Relatório Anual de Cibersegurança da Cisco, divulgado em fevereiro deste ano, 27% dos profissionais de segurança disseram que estão usando nuvens privadas off-premises, em comparação com 20% em 2016. Dentre eles, 57% disseram que hospedam redes na nuvem pelo motivo de uma segurança de dados melhor; 48%, devido à escalabilidade; e 46%, por causa da facilidade de uso. A razão por conta desta tendência pode ser vista em outro dado. De acordo com os entrevistados no relatório, mais da metade de todos os ataques sofridos resultaram em danos financeiros superiores à U$ 500.000.

Os desafios, contudo, continuam a aumentar. A quantidade de dispositivos acessando redes corporativas cresce a cada dia. Se antes elas estavam restritas ao ambiente físico das empresas e seus desktops, hoje estes cenários parecem uma antiguidade. Smartphones e tablets transformam qualquer ambiente com uma conexão Wi-Fi em um local de trabalho e, muitas vezes, esta conexão não é segura. Lugares como aeroportos, cafés e hotéis trazem comodidade, mas podem comprometer a segurança de uma rede. Isto ocorre, pois é cada vez mais difícil proteger dispositivos individualmente. Quando estes endpoints são contaminadas por meio de uma conexão insegura ou por falha ou brecha em uma senha pessoal, elas podem colocar em risco toda a rede corporativa.

Os avanços para solucionar estas brechas têm acontecido na nuvem. Novas soluções estão sendo desenvolvidas, e algumas já estão em prática. Serviços de nuvem já conseguem detectar dispositivos vazados, permitindo ou não seu acesso a redes corporativas e evitando assim uma contaminação geral do ambiente. Há ainda outras que fazem o threat hunting (caça de ameaças) e eliminação do problema de forma autônoma e rápida, o que minimiza os danos da forma mais eficiente possível. A Cisco, por exemplo, registrou um TTD (tempo de detecção) de ameaças de 4,6 horas no período entre novembro de 2016 e outubro de 2017. Em 2015, este tempo era de 39 horas. A evolução só foi possível através do uso de tecnologia de segurança baseada em nuvem.

Mesmo que o investimento para migrar a estrutura de segurança de uma empresa para um serviço de nuvem confiável e eficaz pode parecer custoso em um primeiro momento, o retorno é cada vez mais certo, não só em relação a perdas financeiras, mas também garantindo a privacidade dos dados de funcionários e clientes. Com soluções mais completas e rápidas na detecção e contenção de ameaças, agora cabe às empresas se educarem e buscarem as alternativas que melhor se adaptem aos seus negócios, qualquer que seja sua área de atuação.

Gerenciamento inteligente de dados: missão crítica na continuidade dos negócios

agosto 2, 2018 Por admin

Por Silnei Kravaski

Como consequência direta da crescente valorização da produção e análise de dados dentro das empresas, o mundo corporativo apresenta hoje certos desafios específicos relacionados ao manuseio deste enorme volume de informações, produzidas em formatos e ambientes distintos. Claro que bons indicadores são essenciais para que seja possível a entrega de resultados comerciais cada vez melhores. Mas as empresas também precisam entender e assimilar que problemas com segurança podem trazer impactos negativos significativos aos negócios, alguns até irreversíveis. Por essa razão, um gerenciamento de dados eficaz e inteligente é extremamente importante.

Estima-se que 40% das empresas sofrem violação e perda de dados sigilosos por negligência de uma boa estrutura de gerenciamento de dados. Esse é um estudo de 2017 do Relatório Global de Fraude e Risco, que também aponta que uma em cada quatro empresas sofreu pelo menos uma violação de sistema no último ano, resultando em perda de dados de clientes ou funcionários. O mais curioso dessas análises foi a identificação de que a maioria dos eventos de perda de informações se deu, justamente, por vulnerabilidade do software.

Dados são essenciais no dia a dia das empresas modernas. Diante dessa importância, as companhias precisam estar confiantes de que as transações digitais estão ocorrendo no ritmo desejado. Porém, ainda de acordo com o mesmo estudo, 30% das organizações não possuem um plano de resposta aos incidentes cibernéticos. Nesse contexto, vemos um duplo desafio: tanto é necessário um gerenciamento de dados produzidos, quanto garantir que a experiência digital esteja sempre disponível aos clientes.

Mas como realizar o gerenciamento de dados com inteligência? Nesta realidade de fácil dispersão das informações corporativas, através dos vários sistemas e nuvens, garantir que as informações estejam sempre disponíveis, de forma segura, é algo muito desafiador. Para isso, é necessária uma estrutura inteligente que antecipe automaticamente a demanda por infraestruturas de nuvens que atendam às expectativas móveis.

Um dos primeiros passos recomendados é contar com soluções que garantam que as informações possam ser recuperadas caso ocorra alguma adversidade e preservadas. Em destaque as soluções de backup, disaster recovery e alta disponibilidade, que poderão manter as funções essenciais, manter os dados em segurança e garantir que tudo volte à ativa o mais rápido possível.

Outro ponto importante são as novas regras sobre Proteção de Dados, que aguardam a sanção do Presidente da República aqui no Brasil. Inspirada na europeia, a Lei Geral de Proteção de Dados (LGPD) consiste em um conjunto de novas regras que estabelecem restrições a respeito de como as empresas têm que tratar os dados de seus usuários. Essa normativa rege todo e qualquer mercado que lide com dados dos brasileiros e não somente o online. E neste ponto, é muito importante que as empresas já comecem a se preparar para criar estes parâmetros de utilização e armazenamento, sem afetar os seus negócios.

Contar com um parceiro com uma visão 360° também são fatores decisivos para o gerenciamento de dados com inteligência, para que seja possível gerenciar, implementar soluções modulares e controlar as operações, sempre com uma visibilidade clara e unificada de todos os dados. A partir dessas estruturas inteligentes, é possível diminuir de maneira eficaz os riscos de que algo se perca.

Silnei Kravaski é Diretor Executivo da Planus Cloud, Networking & Services, empresa responsável pelo desenvolvimento do Planus IT 360°, portfólio que ajuda as empresas a prepararem-se para as novas demandas da transformação digital.

A proteção dos dados pessoais é o dever por trás da criptografia

julho 20, 2018 Por admin

A Câmara Brasileira de Comércio Eletrônico (camara-e.net) pretende iniciar, ainda este ano, um fórum permanente sobre “A segurança do cidadão na era digital”. Serão realizados seminários e palestras presenciais e digitais para disseminar a importância da assinatura digital, proteção de dados, respeito à privacidade e direito à proteção das informações pessoais. As conferências com especialistas da entidade e convidados serão divulgadas com antecedência e disponibilizadas no site da entidade e no Youtube. A camara-e.net pretende produzir filmes educativos para divulgação nas redes sociais. O objetivo da iniciativa é atingir o maior número de pessoas. A assinatura digital e a proteção de dados são assuntos de segurança nacional, que interessam a todos, tanto ao cidadão diretamente quanto às instâncias de segurança e inteligência do País.

Segundo o presidente da camara-e.net, Leonardo Palhares, um dos projetos prioritários da entidade é disseminar junto aos brasileiros a “cultura da cidadania digital”. Palhares considera fundamental que todos saibam que o compartilhamento, empréstimo, guarda ou qualquer forma de utilização das chaves privadas de certificados digitais por terceiros devem ser vedados. Tratam-se de formas que expõem os seus titulares aos riscos de utilização indevida, contratações e acessos não autorizados, podendo gerar prejuízos de ordem patrimonial e extrapatrimonial e, por fim, quebrar os requisitos mínimos necessários para suportar toda a criptografia e tecnologia empenhadas no processo de geração dos certificados digitais: o segredo e o controle das chaves privadas.

De acordo com Leonardo Palhares, “a identificação inequívoca de pessoas físicas ou jurídicas nas transações eletrônicas, tanto para os contratantes quanto para os contratados, se faz imprescindível para a confiabilidade de uma relação estabelecida em meio remoto. Como exemplo, cite-se que os consumidores se sentem muito mais confortáveis em contratar serviços e produtos de plataformas eletrônicas devidamente identificadas, com mecanismos de contato disponíveis para soluções de problemas e outras tantas informações necessárias para a segurança de uma contratação eletrônica. Portanto, o emprego de assinaturas digitais com certificação digital nos padrões da ICP-Brasil é um importante aliado para a confiabilidade mútua dos contratantes em meio remoto”.

Com o fórum permanente “A segurança do cidadão na era digital”, a camara-e.net objetiva construir uma cultura de cidadania digital. Percebe-se que há pouco conhecimento sobre os efeitos do uso do certificado digital e, principalmente, sobre a relevância da proteção de dados. No Brasil, dado pessoal é aquele “relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa” (Decreto nº 8.771, de 11 de maio de 2016). Logo, uma imensidão de dados pode ser considerada pessoal, desde que permita sua correlação a uma pessoa, sendo, portanto, objeto de proteção por parte daqueles que venham a utilizá-la. A identificação de uma pessoa pode se dar mediante apresentação de documentos de identificação civil, dados cadastrais, informações pessoais, características físicas, biométricas, estéticas ou até mesmo de opiniões. Em meio eletrônico, uma boa parte de dados pessoais são fornecidos voluntariamente pelas pessoas, como contrapartida para um serviço ou produto oferecido ou como mecanismo de atribuição de segurança às transações realizadas em meio eletrônico.

As assinaturas digitais (ou certificação digital) nos padrões da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil (instituída pela Medida Provisória nº 2.200-2/2001), são baseadas em chaves criptográficas (chaves públicas – de conhecimento público – e chave privada – de conhecimento e acesso exclusivos do cidadão), de modo que a chave privada, para que os atributos de integridade e autenticidade sejam garantidos, deve ser gerada e controlada exclusivamente por seus titulares. Portanto, a segurança das transações eletrônicas que se utilizam dos certificados digitais depende da manutenção dos atributos mínimos garantidores do não repúdio das assinaturas digitais. Estas, uma vez associadas a dados de identificação de pessoas físicas (ou jurídicas, muito embora as discussões sobre privacidade estejam atreladas às pessoas naturais) passam a ser enquadradas como dados pessoais e, por isto, merecem proteção absoluta, iniciando-se pela guarda, posse e uso exclusivo das mesmas por parte de seu titular.

A camara-e.net participa ativamente das discussões sobre proteção de dados no âmbito do Legislativo para regulamentação das medidas voltadas a proteção do cidadão. A garantia da privacidade e da autoria de atos eletrônicos dos cidadãos está sob avaliação do Congresso Nacional, que atualmente analisa o projeto de lei nº 7.316/2002. O novo regulamento visa substituição da Medida Provisória que instituiu a ICP-Brasil. A entidade considera que, sem prejuízo à apresentação de emendas que visam a defesa do cidadão compete à sociedade e aos parlamentares repisarem a importância do livre arbítrio sob controle dos seus titulares e jamais sob controle de terceiros. A criptografia, a chave privada e a segurança do cidadão em meio eletrônico dependem de sua manutenção no controle de seus atos e de sua vontade. Sem controle e guarda exclusivos das chaves privadas, não há proteção do cidadão contra as interferências de terceiros, de empresas e do Estado.

A camara-e.net vem se posicionando no âmbito do órgão regulador da ICP-Brasil, do qual participa como integrante do colegiado há mais de 10 anos. A entidade, que é a maior associação multissetorial da América Latina e com maior representatividade na economia digital no País, vem reiterando em seus votos, estudos e fundamentações a imprescindibilidade do controle e guarda exclusiva das chaves privadas por seus titulares, buscando a mais rigorosa e estrita confiabilidade das transações eletrônicas e da segurança técnica e jurídica dos titulares de certificados digitais da ICP-Brasil.

ABComm considera positiva aprovação da Lei Geral de Proteção de Dados

julho 16, 2018 Por admin

A Associação Brasileira de Comércio Eletrônico (ABComm) considerou positiva a aprovação do Projeto de Lei Complementar 53/2018, conhecido como Lei Geral de Proteção de Dados (LGPD), pelo Senado Federal. A nova legislação, que ainda precisa passar pela sanção presidencial, prevê maior controle dos cidadãos sobre suas informações pessoais, exigindo consentimento explícito para coleta e uso dos dados, tanto pelo poder público quanto pela iniciativa privada, e obriga a oferta de opções para o usuário visualizar, corrigir e excluir esses dados.

“Uma Lei Geral de Proteção de Dados era essencial para manter o Brasil em harmonia com uma tendência mundial”, afirma Mauricio Salvador, presidente da ABComm. “Não fazia sentido empresas brasileiras, sobretudo de comércio eletrônico, perderem oportunidades de negócios em razão do Brasil constar no mapa de risco da União Europeia e de outros países que já possuem legislação específica”, complementa.

A ABComm avalia que o maior efeito da nova lei é exigir de todas as pessoas, físicas ou jurídicas, de direito público ou privado, a demonstração da base legal sobre a qual realizam qualquer tipo de tratamento, coleta, armazenamento, transmissão e processamento de dados que identifiquem ou tornem identificável uma pessoa natural. “As bases legais estão descritas na lei, sendo a mais comum o consentimento do titular dos dados”, ressalta Salvador.

Após a sanção presidencial, a LGPD terá um prazo de 18 meses para que as suas regras sejam aplicadas aos setores público e privado. Dentre as punições pelo descumprimento da legislação estão multas de até 2% do faturamento da empresa, além da própria suspensão do funcionamento do banco de dados, e ainda a proibição total das atividades de tratamento de dados.

De acordo com a ABComm, os lojistas virtuais deverão agir em duas frentes: regularizar, quando possível, o banco de dados existentes e passar a tratar os novos dados de acordo com a legislação. Segundo Marcio Cots, Diretor Jurídico da entidade, a primeira frente é mais problemática, tendo em vista que há lojistas com dados pessoais que não conhecem a origem ou com origem irregular do ponto de vista da nova legislação. “Se o lojista passar a coletar dados pessoais de forma correta, mas incluí-lo no banco de dados ‘viciado’, todo o banco pode ser perdido”, alerta Cots.

A ABComm, enquanto associação que representa os interesses dos consumidores e dos lojistas virtuais, sobretudo de pequeno porte, fará esse trabalho de auxílio, ajudando os empresários a compreender e aplicar a nova legislação a fim de não comprometer o desempenho econômico do setor. A associação compreende que os comércios eletrônicos de menor porte tenham mais dificuldade para se adequar à legislação, com a eventual necessidade em realizar investimentos em ferramentas tecnológicas que auxiliem nesse processo.

A entidade entende, porém, que os empresários do setor, independente do porte, terão de se adaptar à nova legislação a partir de uma mudança de mentalidade. “A cultura anterior era a de usar indiscriminadamente os dados pessoais. Com a nova lei, tudo precisará mudar. Isso envolve os contratados, os fornecedores e os empregados em geral”, afirma o presidente da ABComm. “Todos vão precisar mudar o pensamento para poderem utilizar os dados de uma maneira mais adequada.”

A ABComm considera importante a clareza sobre como deve ser tratado o uso de dados pessoais, e não entende que a legislação possa servir como uma barreira para o setor. “Havendo regras claras sobre o tratamento de dados no Brasil, esse processo acontecerá de uma forma mais segura”, ressalta Salvador. “Então tanto startups do setor e comércios eletrônicos, como empresas em geral, vão poder atuar com muito mais segurança com relação ao que pode e o que não pode fazer.”

Congresso finalmente aprova lei de proteção de dados

julho 11, 2018 Por admin

O Senado Federal aprovou nesta terça-feira (10), em caráter de urgência, Projeto de Lei que define regras específicas de proteção à privacidade de dados pessoais coletados e gerados pelos meios digitais. “A nova lei de proteção de dados representa um necessário avanço e traz benefícios à sociedade e à economia do país”, afirma Leonardo Palhares, presidente da Câmara Brasileira de Comércio Eletrônico (camara-e.net) e sócio do Almeida Advogados.

Para o grupo de instituições acadêmicas, empresas, entidades representativas e cidadãos que discutiu e apoiou o texto do PLC 53/2018, a lei traz segurança jurídica para cidadãos e agentes econômicos, pois é clara e principiológica, equilibrando a posição central do indivíduo com o dinamismo econômico do Brasil.

De acordo com a nova lei, dados pessoais como nome, endereço, e-mail, idade, estado civil e situação patrimonial, só podem ser usados com o consentimento do titular. Isso quer dizer que eles não podem ser vendidos, divulgados ou repassados sem a autorização do usuário. Assim como os dados de menores de idade não podem ser mantidos nas bases de dados das empresas sem o consentimento dos pais. A lei também protege os dados relativos à saúde das pessoas, que só poderão ser usados para pesquisas.

Um ponto importante da lei é o que trata do vazamento de dados. As empresas são responsáveis pela segurança dos dados em suas bases ou nas de seus fornecedores e devem comunicar vazamentos imediatamente, sob pena de multa no valor de 2% do faturamento. A multa também vale para quem descumprir qualquer uma das regras.

A lei prevê, ainda, a criação da Autoridade Nacional de Proteção de Dados, autarquia cuja principal atribuição será fiscalizar o cumprimento da legislação e aplicar as sanções, e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, formado por 23 representantes titulares de diversos órgãos do governo e da sociedade civil e que será responsável pela disseminação do conhecimento sobre o tema, por meio de estudos, debate ou outras ações pertinentes.

O texto segue agora para sanção da Presidência da República.

Segurança deficiente nos roteadores está deixando os brasileiros vulneráveis a ataques cibernéticos

junho 28, 2018 Por admin

Nova pesquisa da Avast revela que 43% dos brasileiros nunca acessaram a interface administrativa web de seus roteadores para alterar as credenciais de login de fábrica. Dos brasileiros que acessaram a interface administrativa web, 72% nunca atualizaram o firmware do roteador.

Os consumidores brasileiros, que têm uma segurança deficiente em seus roteadores, estão sob alto risco de ataques cibernéticos projetados para assumir o controle de dispositivos conectados à rede Wi-Fi, roubar senhas e coletar outras informações pessoais confidenciais. Uma nova pesquisa da Avast, líder mundial em segurança digital, revela que 43% dos brasileiros nunca acessaram a interface administrativa web de seus roteadores para alterar as credenciais de login de fábrica. Outra constatação preocupante é que 14% dos brasileiros que usaram essa interface administrativa web, ainda mantêm as credenciais fornecidas com o roteador. Somente 42% dos brasileiros alteraram suas credenciais de login dos roteadores através da interface web. Além disso, dos brasileiros entrevistados que acessaram a interface administrativa web, 72% nunca atualizaram o firmware do roteador.

A pesquisa foi realizada para entender melhor o conhecimento do público com relação à segurança dos roteadores, que é frequentemente negligenciada quando as pessoas prestam mais atenção nos dispositivos que estão utilizando.

No início deste mês, cerca de 700.000 roteadores em todo o mundo foram diagnosticados como vulneráveis a um malware com recursos de decodificação SSL. Conhecido como VPNFilter, esse malware modular contém recursos de ataque MiTM (Man-in-The-Middle), criado para injetar cargas maliciosas no tráfego da internet. O malware tem a capacidade de escanear o tráfego web de entrada e saída na rede do usuário, com o objetivo de coletar senhas e outras informações confidenciais. Até hoje, roteadores de 54 países foram afetados, incluindo os modelos Linksys, NETGEAR, D-Link, Huawei e Asus.

Também foi relatado recentemente que a botnet Satori, uma botnet que infecta dispositivos IoT (Internet das Coisas) usando-os para realizar ataques DDoS e minerar criptomoedas, está se espalhando e explorando uma vulnerabilidade nos roteadores DSL da D-Link. O Brasil é atualmente o país mais afetado.

A pesquisa da Avast ilustra como os ataques podem tirar proveito da falta de compreensão das pessoas sobre a segurança dos roteadores. Exatamente metade dos consumidores brasileiros admitiu acessar a interface do roteador uma vez por ano ou menos, para verificar se há atualizações, enquanto um número similar (52%) disse que não tinha ideia de que seus roteadores tinham firmware – um software pré-programado, gravado em hardware que requer atualização para incorporar patches de segurança.

“Uma rede local do usuário é tão relevante e pode ser vista como o elo mais fraco de uma cadeia. Na maioria das vezes, o roteador é o maior ponto de vulnerabilidade”,disse Martin Hron, Pesquisador de Segurança da Avast.

“O roteador é freqüentemente mal compreendido ou ignorado, porém, é indiscutivelmente o dispositivo mais importante ao atuar como porta de entrada para a internet. Ao conectar vários dispositivos e permitir que compartilhem dados entre si, enquanto gerenciam o tráfego web de entrada e saída, o roteador é um alvo natural para cibercriminosos que desejam coletar informações pessoais confidenciais dos usuários, como detalhes de login do banco e explorar dispositivos conectados à rede como os de IoT. No mínimo, deve-se alterar o nome do usuário e a senha padrão de fábrica, assim que o roteador estiver instalado e verificar pró-ativamente se há atualizações de firmware”, finalizou.

Metodologia da pesquisa

A pesquisa foi realizada pela Avast em junho de 2018 e entrevistou 1.522 consumidores no Brasil.

Bossa Nova investimentos aposta em startups que promovem segurança de dados

junho 26, 2018 Por admin

A nova regulação sobre dados na Europa, o escândalo da Cambridge Analytica e a invasão do Banco Inter trouxeram à tona um assunto cada vez mais relevante: o controle sobre os dados coletados por empresas e startups.

Em um mundo cada vez mais digital, a cada minuto são coletados 2,5 quintilhões (são 19 casas decimais) de gigabytes, com dados sendo coletados de praticamente todo cidadão do planeta.

Com a monetização do big data, toda empresa busca coletar dados para que possa usar no futuro. Mas o quão protegida está essa informação?

“Isso se torna cada vez mais relevante, pois a valoração dos dados atrai hackers e outros criminosos cibernéticos que se aproveitam de vulnerabilidades para roubar e comercializar esses dados”, explica João Kepler, partner da BNI.

Pensando nisso, a Bossa Nova Investimentos, maior fundo de investimento em startups do país, vem fomentando startups que atuam com segurança de dados.

“No portfólio da Bossa Nova existem empresas que ajudam a proteger desde a infraestrutura de negócios online até a educar os funcionários das empresas que lidam com dados sensíveis”, revela Pierre Schurmann, partner da BNI.

Uma delas é a CleanCloud, que monitora diariamente o ambiente em nuvem de seus clientes, identifica problemas e gera recomendações de redução de custo e melhoria de segurança. Fundada em 2016, atende diversas outras startups e grandes clientes como Globo e B2W.

“A nuvem é segura, tão ou mais do que ter seus próprios servidores. Mas segurança deve continuar sendo uma preocupação ativa e constante. Vemos que muitas empresas, grandes e pequenas, não tomam alguns cuidados que podem evitar ataques, ou ao menos diminuir seu impacto”, afirma Henrique Vaz, CEO da Cleancloud.

Também atuando na proteção de sistemas online, porém no nível de aplicação, temos a GoCache, empresa nacional que oferece soluções de última geração em CDN, SSL, WAF e Firewall no formato SaaS. A GoCache tem foco no mercado brasileiro e diversos pontos de presença distribuídos geograficamente no Brasil, uma de suas principais vantagens perante os grandes players internacionais deste mercado.

“Nossa oferta tem como foco a simplicidade e rapidez na configuração, permitindo aos nossos clientes que acelerem e protejam seus sistemas online em menos de 15 minutos”, afirma Guilherme Eberhart, CEO da GoCache.

Segundo previsão do instituto Gartner, até 2020, 95% das falhas de segurança ocorridas em cloud serão causadas unicamente por falhas humanas e não da infraestrutura.

Já a PhishX, startup de cybersecurity global, líder na América Latina e países emergentes, com foco de atuação através da sua plataforma de segurança digital centrada em pessoas, mercado conhecido, globalmente, por PCS (People-Centric Security).

Atualmente, mais de 150 empresas utilizam a plataforma de mudança comportamental da PhishX, para estabelecer o hábito de segurança digital ao dia-a-dia de todos os colaboradores, fornecedores, parceiros e clientes, com a finalidade de reduzir a incidência de fraudes digitais que acometem as pessoas que interagem de alguma forma com os sistemas computacionais destas companhias.

“No mundo dos negócios ou na vida pessoal, a tecnologia está onipresente, mas o comportamento adequado frente ao uso destas tecnologias e o desconhecimento sobre os riscos a que elas estão sujeitas, ainda é o principal e maior desafio. Por isso que se observa o crescimento acentuado da demanda por plataformas e serviços on-line focados, escaláveis, acessíveis e que possuem como propósito, levar o conhecimento sobre cybersecurity para todas as pessoas, em qualquer lugar, momento e dispositivo”, afirma Pedro Ivo, CEO e cofundador da PhishX.

Proteção de Dados: responsabilidade das empresas e de todo seu ecossistema de terceiros

junho 26, 2018 Por admin

A GDPR – General Data Protection Regulation eleva o grau de exigência sobre as empresas e todo seu ecossistema de terceiros, em relação às estruturas, políticas, procedimentos e controles que promovem a adequada proteção de dados em seus negócios. O eventual descumprimento das novas regras sujeita empresas e seus terceiros a pesadas multas e sanções.

Para mitigar riscos e promover o compliance sobre a proteção de dados nas empresas e seus terceiros, a ICTS Outsourcing incorporou em seu serviço de Due Diligence de Terceiros (3rd Party Compliance), já amplamente empregado com enfoque Anticorrupção, uma nova camada de verificação.

A condução de due diligences sobre Proteção de Dados de forma rigorosa e periódica é um importante elemento para um programa efetivo de compliance nas organizações, permitindo a identificação e o tratamento de riscos no relacionamento entre a empresa e seus diversos terceiros (parceiros de negócio, prestadores de serviços, fornecedores, representantes, etc). Adicionalmente, possui um caráter construtivo muito interessante, pois estimula a assimilação de melhores práticas de negócio em toda a cadeia de valor da empresa, promovendo uma evolução gradual do mercado.

“Esta nova camada de diligência era necessária para permitir a avaliação do grau de maturidade dos parceiros, fornecedores e outros terceiros sob a ótica da proteção de dados, verificando seu grau de preparação e aplicação prática dos elementos de segurança, seja sobre dados pessoais, inclusive sob a ótica da GDPR, ou quaisquer outras informações da empresa às quais o terceiro tenha acesso.”, explica o sócio diretor da ICTS Outsourcing, Cassiano Machado, especialista em gestão de riscos, ética e compliance.

Empregando uma abordagem progressiva de análise, cuja complexidade aumenta conforme o nível de exposição aos riscos envolvido, o processo de Due Diligence possibilita às empresas uma ação preventiva sobre atos de corrupção e, agora, também sobre o tratamentamento inadequado e o vazamento de dados. E, especialmente nestes contextos, como comenta Cassiano, prevenir é melhor do que remediar: “A GDPR, por exemplo, prevê multas que variam de 2% a 4% do faturamento anual para empresas que não cumprirem suas regras, e a Lei anticorrupção brasileira é ainda mais rigorosa, com multas de até 20% do faturamento”, destaca. Ele ainda reforça a importância da execução das diligências preferencialmente antes da contratação do novo terceiro, ou, minimamente, nos momentos prévios a renovação dos contratos.

Dia Mundial da Senha Segura: como criar uma palavra chave eficiente?

maio 4, 2018 Por admin

Cada um seu modo, muitos fabricantes de soluções e entidades envolvidas com a segurança digital têm divulgado os dias 4, 5 e 7 de maio como sendo o Dia Mundial da Senha Segura. No entanto, uma coisa é certa: todo dia é necessário usar uma palavra chave forte para impedir o acesso indesejado a qualquer um dos serviços na Internet e sistemas computacionais.

Em média, Cada usuário acessa 26 serviços online que exigem uma senha. A maioria delas, por exemplo, em redes sociais ou lojas online é um elemento importante na proteção destas contas para evitar a ação de criminosos cibernéticos. O especialista Bruno Lucio Maciel Pinheiro, da FirstSecurity, empresa que distribui as soluções antivírus da G Data no Brasil, comenta que durante anos os especialistas em segurança de TI vêm trabalhando para chegar a conclusões que nos permitem estabelecer com clareza quais elementos devem incorporar uma senha tornando-a realmente robusta. “Anteriormente, analistas e pesquisadores concordavam que uma senha deveria conter pelo menos oito caracteres aleatórios, sem formar palavras que pudessem ser encontradas em qualquer dicionário. Ainda hoje, estas ainda são as diretrizes de gigantes como o Google. No entanto, o cenário atual exige mais que senhas fortes, além da atenção redobrada dos usuários para novos tipos de ameaças criadas diariamente pelos invasores mal-intencionados”.

Para este Dia Mundial da Senha Segura, o especialista oferece algumas dicas para aumentar a segurança dos serviços online:

– Use um gerenciador de senhas: Esta é a maneira muito fácil de controlar muitas senhas complexas e também os serviços online: redes sociais, compras online, serviços bancários, e-mail. No mercado existem boas ferramentas antivírus que oferecem este recurso;

– Use senhas longas: Uma nova abordagem aponta que senhas longas são melhores do que as complexas, especialmente se estas são muito curtas. Uma senha que combina caracteres alfanuméricos, maiúsculos e minúsculos não será efetiva se for muito pequena. Uma senha complexa com seis caracteres reúne 309 milhões de combinações, nada que um programa moderno não consiga resolver em poucos segundos. No entanto, se elevarmos esse número de caracteres para doze, o programa levará vários anos para decifrar a chave, mesmo com a capacidade computacional atual;

– Use frases-chave: Senhas como “1234”, “password” ou qualquer palavra que você pode encontrar no dicionário são muito fáceis de serem quebradas. Se você usar uma frase, por exemplo, ela não deve ser muito curta ou óbvia. Os cyber criminosos usam ferramentas avançadas que permitem gerar combinações de palavras estatisticamente prováveis e que revelam rapidamente as senhas geradas a partir de frases simples. Um exemplo é transformar uma frase (uso contra senhas fortes, por exemplo) em uma combinação aleatória de caracteres “US0 c0ntr @ s @ S3N f0rt3s.” Aproveite os espaços entre as palavras para torná-la ainda mais complexa e robusta: Muitos usuários não sabem que podem usá-los ao criar uma boa senha e este é um truque muito interessante;

– Mude suas senhas regularmente: Quando você alterar uma senha, a nova nunca deve ser uma derivação do original (há muitos usuários que usam esta regra de má reputação e adicionam um número ou letra à primeira palavra chave criada). Geralmente, uma única mudança vale a pena quando o serviço web exige ou quando temos suspeita que o provedor do serviço tenha sofrido uma invasão cibernética. Você pode verificar se um banco de dados (e, consequentemente, sua própria segurança) foi violado em sites como ” Have I been Pwned em https://haveibeenpwned.com/NotifyMe”;

– Autenticação de dois fatores: Logon em duas etapas é uma ótima maneira de se acessar a qualquer serviço na Internet. Facebook, LinkedIn, Dropbox, Google, PayPal e, em geral, os provedores de serviços mais reconhecidos, já oferecem essa opção. Na empresa em que você trabalha, ou na sua escola, verifique se existe esta funcionalidade disponível;

Outras recomendações importantes para proteção no ambiente digital

– Atualizações constantes. O sistema operacional, programas de computador e aplicativos instalados em seu computador e celular devem ser constantemente atualizados;

– Instalar uma solução de segurança: a recomendação é estendida a todos os dispositivos. Desktops, smartphone, tablets e servidores;
– Spam, direto para a lixeira. O spam deve ser excluído imediatamente e, é claro, nunca clicar em links ou anexos;

– Controle Parental: ajude as crianças a navegarem na Internet com elevada segurança. Ensine-as a desconfiar e a ofertas enganosas, mensagens de pessoas desconhecidas e a saber o que compartilhar nas redes sociais. Os controles parentais incluídos nas soluções de segurança impedem o acesso a sites inadequados para menores e limitam o tempo de uso da Internet;

– Links curtos – Eles podem levar a sites falsos. Então, tenha cuidado ao clicar neles. As soluções de segurança incluem filtros capazes de bloquear o acesso às páginas mal-intencionadas que se escondem atrás desses URLs curtos;

– Redes Sociais: pense duas vezes antes de compartilhar informações pessoais, como endereços postais, números de telefone ou certas fotos. Também controle quem você aceita em seu círculo de amigos.

Por que a segurança de dados deveria ser uma prioridade – e o que podemos aprender com as outras empresas

abril 27, 2018 Por admin

Por Ricardo Rodrigues, CEO da Social Miner

Não teve como fugir das manchetes: você com certeza ouviu falar sobre o escândalo envolvendo o Facebook e a Cambridge Analytica – organização especializada na extração e análise de dados, aplicada a estratégias de comunicação em processos eleitorais. Mais de 87 milhões de usuários da rede social tiveram suas informações pessoais coletadas e identificadas pela empresa de consultoria política.

O acontecimento tomou grandes proporções, especialmente pelos indícios de que esse material teria sido usado para manipular o processo eleitoral americano de 2016 e garantir a vitória do empresário e atual presidente dos Estados Unidos, Donald Trump. Além disso, as atividades da Cambridge Analytica teriam influenciado também a polêmica saída do Reino Unido da União Europeia (Brexit).

Isso acontece não é de hoje

Por mais que esses acontecimentos sejam graves e as notícias de quebra de privacidade ganhem as manchetes dos grandes jornais pelo mundo, esta não é a primeira e, provavelmente, não será a última vez que incidentes como esse acontecem. Tome os exemplos da Uber, Equifax, Yahoo. O que eles têm em comum? Bilhões de usuários desses serviços tiveram seus dados pessoais vazados e, em alguns casos até vendidos, na internet.

Muitos desses casos só vêm à tona porque a justiça americana obriga que as empresas tragam os vazamentos a público. O Congresso dos Estados Unidos, aliás, discute uma possível lei federal que proteja os cidadãos contra esses incidentes. Já no Brasil ainda não existe uma lei que exija essa transparência. Ainda assim, veículos de comunicação e autoridades têm se manifestado e estudado formas para prevenir incidentes como esses.

A raiz do problema

Há quem diga que falta rigidez nas regulamentações que garantam a privacidade dos usuários na internet. E, se num cenário mundial esse quadro já é precário, aqui no Brasil não é diferente. Uma pesquisa da PSafe aponta que o país está em segundo lugar no ranking de ataques e vazamentos de dados na deepweb, atrás apenas dos EUA.

No entanto, o problema vai muito além das regulamentações. O caso é que hoje as empresas, em geral, têm dificuldade de acompanhar a ‘criatividade’ e rapidez com que novos mecanismos de invasão são desenvolvidos. Ou seja, a fragilidade é operacional. As equipes de tecnologia não têm tempo ou recursos para investir em estratégias mais eficientes para prevenção de vazamento de dados e passam muito tempo corrigindo e gerindo falhas de segurança.

Quebra de confiança

Quando falamos da relação entre as empresas de tecnologia e seus clientes, não são apenas as implicações legais que saltam aos olhos das empresas, mas também a saúde das relações entre organizações e pessoas. Quando usuários escolhem confiar seus dados a uma companhia, existe um contrato de confiança entre as duas partes, e a parte mais frágil é sempre o cliente.

Isso nos leva a um segundo ponto de atenção: muito da sobrevivência e sucesso dessas empresas que operam nos ambientes virtuais depende da confiança desses usuários. Uma quebra nessa relação de confiança pode, inclusive, custar muito caro para as empresas. Quer um exemplo? Depois de levar a público o vazamento de dados dos seus usuários, a gigante da internet Yahoo perdeu 350 milhões de dólares na venda para Verizon. Mais um motivo para que a segurança dos dados seja uma prioridade dentro das companhias.

O futuro da segurança dos dados

Hoje, nenhum país pode dizer que está 100% seguro contra o risco de vazamentos de dados e as consequências ressoam mundialmente: nações aceleraram a implementação de medidas e tentam acalmar a população, enquanto gerem os escândalos. A União Europeia (UE), por exemplo, se viu nessa situação recentemente diante do caso da britânica Cambridge Analytica.

A resposta? A implementação de novas regras para coleta e troca de dados entre empresas que operem nos países do grupo, a fim de proteger seus cidadãos. Chamada de GDPR – General Data Protection Regulation (ou Regulamento Geral de Proteção de Dados, em tradução livre), a medida deve entrar em vigor em 25 de maio e exige que as empresas protejam as informações pessoais e a privacidade dos cidadãos da UE para transações que ocorram dentro do grupo.

E no Brasil?

Por aqui, a resposta para esses inúmeros escândalos também veio na forma de novas leis e decretos. O Ministério da Justiça, por exemplo, discute aplicar penas administrativas e obrigar empresas a trazer a público casos de vazamentos e já corre no Congresso a aprovação da Lei Geral de Proteção de Dados Pessoais. No entanto, hoje o Brasil já conta com cerca de 30 leis que tratam do tema direta ou indiretamente. Ainda assim, o resultado é pouco eficiente.

E então, o que fazer para oferecer um ambiente seguro hoje

Do ponto de vista corporativo, empresas que prezam a proteção dos dados dos seus consumidores se destacam no mercado e ganham a confiança do público. Portanto, é essencial acompanhar e estar de acordo com as regulamentações de privacidade e utilizar a tecnologia a seu favor, aplicando recursos de criptografia, dupla autenticação – que usa mais de um canal e código para login – entre outros.

Outra alternativa é aplicar metodologias de diagnóstico de segurança do seu site, como a Privacy Impact Assessments (PIA). A partir desses resultados, é possível implementar programas de privacidade que atendam e tratem os pontos que oferecem risco. Desse modo fica mais fácil cuidar da manutenção do site e garantir a segurança da sua empresa.

Mas é possível – e muito recomendável – que as organizações vão além e sigam alguns protocolos de segurança mais sofisticados, a fim de garantir um ambiente seguro de navegação para seus visitantes. Um exemplo? Se sua empresa trabalha com outros parceiros de tecnologia, que instalam ferramentas através de scripts no seu site, é bom ficar atento. Sem dúvida eles vão extrair dados dos seus usuários e, até aqui, isso não é um problema.

O importante é saber exatamente o que essas empresas vão fazer com as informações. Existe o risco de que esses parceiros vendam ou compartilhem os dados dos seus clientes com outras companhias? O compartilhamento de bases, sem autorização específica dos usuários cadastrados, é chamada de cookie pool. Um artifício infelizmente ainda muito comum, que fere a confiança dos visitantes do seu site que escolhem compartilhar com a sua empresa – e somente com a sua empresa – informações de grau pessoal.

Você compartilha os dados dos seus visitantes com outras empresas? Ou, pior, você compra base de dados de terceiros? Práticas como estas pouco se diferem do que foi feito pela própria Cambridge Analytica, que acessou e explorou informações sensíveis de usuários do Facebook, sem a autorização dessas pessoas. Por isso, é muito importante se assegurar de que as empresas parceiras sejam confiáveis, ter documentado tudo o que as ferramentas poderão extrair e saber exatamente como pretendem usar esses dados.

Na Social Miner, por exemplo, cada um dos nossos clientes cria sua própria base de usuários – pessoas que deram permissão de acesso aos dados por um canal opt-in – e nenhuma dessas informações é compartilhada entre eles. Dessa forma, garantimos a segurança e a qualidade da experiência online dos consumidores. Afinal, se você se cadastrou em um site de ofertas de passagem, qual é a chance de gostar de receber mil e uma promoções de carros, por exemplo? Se você se interessou pelo tema, nós listamos uma série de boas práticas para seleção e instalação de scripts parceiros no nosso blog. Vale a leitura.

Ricardo Rodrigues, 31 anos, é engenheiro de computação com mestrado em inteligência artificial pelo Instituto Tecnológico de Aeronáutica (ITA). Trabalhou em centros de pesquisa no Brasil e França, foi professor universitário e data scientist no Peixe Urbano e selecionado para o programa Techmission no Silicon Valley (EUA) em 2014 como empreendedor de alto potencial. Hoje é cofundador e CEO da Social Miner, startup de tecnologia que usa inteligência artificial para humanizar a automação de marketing.

CERT.br registra aumento de ataques de negação de serviço originados por dispositivos IoT

março 20, 2018 Por admin

Em 2017, os incidentes de segurança reportados voluntariamente por usuários de Internet ao Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) do Núcleo de Informação e Coordenação do Ponto BR (NIC.br) somaram 833.775 (número 29% maior que o total de 2016), sendo 220.188 relacionados a dispositivos que participaram de ataques de negação de serviço (DoS – Denial of Service). Este número foi quase quatro vezes maior que as notificações de ataques DoS recebidas em 2016, que totalizaram 60.432.

Dispositivos IoT
Os ataques de negação de serviço (DoS ou DDoS) têm o objetivo de tirar de operação um serviço, um computador ou uma rede conectada à Internet. Em 2017, a maioria das notificações foi do tipo distribuído (DDoS – Distributed Denial of Service), quando um conjunto de equipamentos é utilizado no ataque. Em particular, muitos dos ataques reportados foram disparados a partir de dispositivos de Internet das Coisas (IoT na sigla em inglês) infectados e fazendo parte de botnets. Parte dos ataques DDoS também foi originada por roteadores e modems de banda larga no Brasil, seja porque estavam comprometidos ou porque possuíam serviços mal configurados, permitindo amplificação de tráfego.

O CERT.br também observou que ataques de força bruta a serviços como SSH (22/TCP) e TELNET (23/TCP) continuam muito frequentes e englobam tentativas de comprometer dispositivos IoT e equipamentos de rede alocados às residências, tais como modems ADSL e cabo, roteadores Wi-Fi, entre outros. Esse tipo de ataque visa adivinhar, por tentativa e erro, as suas senhas de administração e, assim, comprometer os dispositivos. “Essa atividade está fortemente relacionada com o aumento nos ataques DDoS a partir de dispositivos IoT, pois faz parte do processo de propagação dos códigos maliciosos que os infectam”, alerta Cristine Hoepers, gerente do CERT.br.

“Configurar os equipamentos corretamente, possuir boas políticas de senhas, mantê-los atualizados e tratar infecções são algumas dicas fundamentais para melhorar esse cenário. A cooperação dos diversos atores, incluindo desenvolvedores, fabricantes, profissionais de segurança, acadêmicos e os usuários é essencial para um ecossistema saudável”, complementa Hoepers. Frederico Neves, Diretor de Serviços e de Tecnologia do NIC.br, destaca que “todas essas ações fazem parte dos objetivos do programa ‘Para fazermos uma Internet mais segura’, uma iniciativa do NIC.br que agrega vários atores da cadeia de serviço de Internet em torno dos desafios para a promoção de uma Internet mais segura no País”. O programa foi lançado pelo CGI.br em dezembro de 2017, durante a VII Semana de Infraestrutura da Internet no Brasil.

Para melhorar esse cenário, é essencial implementar as boas práticas presentes no Portal de boas práticas para a Internet no Brasil, principalmente as relativas à Implementação de Antispoofing para Redução de DDoS, e as Recomendações para Melhorar o Cenário de Ataques Distribuídos de Negação de Serviço (DDoS).

Varreduras e propagação de códigos maliciosos
As notificações sobre varreduras, técnica que tem o objetivo de identificar computadores ativos e coletar informações sobre eles, somaram 443.258 em 2017, correspondendo a um aumento de 15% com relação a 2016. Notificações sobre o serviço de SSH (22/TCP) equivale a 47% das notificações de varreduras, TELNET (23/TCP) com 9%, RDP (3389/TCP) com 2% e FTP (21/TCP) com 1% das notificações em 2017. O CERT.br também registrou um aumento de 60% em comparação a 2016 das notificações de atividades relacionadas à propagação de worms e bots (processo automatizado de propagação de códigos maliciosos na rede), que totalizaram 45.101 em 2017.

Ataques a servidores Web
Ataques a servidores Web reportados ao CERT.br em 2017 tiveram um aumento de 10% em relação a 2016, totalizando 60.766 notificações. Os atacantes exploram vulnerabilidades em aplicações Web para comprometer sistemas e realizar as mais diversas ações, como hospedar páginas falsas de instituições financeiras; armazenar ferramentas utilizadas em ataques; e propagar spam. Assim como nos anos anteriores, persistem as notificações de ataques de força bruta contra sistemas de gerenciamento de conteúdo (Content Management System – CMS), como WordPress e Joomla. Estes ataques foram, em sua maioria, tentativas de adivinhação das senhas das contas de administração destes sistemas.

Tentativas de Fraude
Já as notificações de tentativas de fraude diminuíram em 2017, somando 59.319 incidentes, uma queda de 42% em relação a 2016. Os casos de páginas falsas de bancos e sítios de comércio eletrônico (phishing) caíram 46% na comparação com o ano anterior. Já as notificações de casos de páginas falsas que não envolvem bancos e sites de comércio eletrônico, como serviços de webmail e redes sociais, por exemplo, tiveram um aumento de 6% em relação ao ano anterior.

Desde 1999, o CERT.br mantém estatísticas sobre notificações de incidentes a ele reportados. Para ter acesso aos gráficos e dados estatísticos completos das notificações de incidentes de segurança recebidas pelo CERT.br no ano de 2017 e períodos anteriores, visite: www.cert.br/stats/incidentes/. Conheça também a Cartilha de Segurança para Internet e o glossário.

Oito tendências da Segurança Digital para 2018

fevereiro 16, 2018 Por admin

Por Bruno Prado

O ano de 2018 começou em ebulição no mundo da Tecnologia com a descoberta das falhas Meltdown e Spectre, que afetaram quase todos os processadores produzidos e utilizados nos últimos dez anos. O fato é que esse foi só um aperitivo do que ainda pode vir nos próximos doze meses. Mas o novo ciclo não traz só ameaças, novas alternativas e soluções de segurança da informação estão surgindo, que permitirão com que os usuários e empresas se defendam dos hackers em condições mais justas. Veja a seguir sete tendências:

Falhas e correções

Os gigantes da Tecnologia provavelmente continuarão sendo expostos após identificações de falhas em seus produtos e serviços. Isso provavelmente acontecerá devido a uma crescente guerra cibernética que surge, em que hackers dedicam todo o tempo – muitas vezes, apoiados por governos – em busca de brechas que impliquem em ofensivas que tragam consequências em escalas cada vez maiores e impactem a vida dos cidadãos comuns, como fez o WannaCry em 2017. O lado bom é que as empresas também têm investido nos “hackers do bem”, os pentesters, que são contratados para investigar a infraestrutura da própria organização, a fim de corrigir eventuais erros antes que os mesmos cheguem ao público.

Tentativas de golpes

Lojas virtuais clonadas, aplicativos falsos, promoções enganosas. O usuário comum estará em contato com práticas fraudulentas cada vez mais elaboradas, que visam a interceptar dados pessoais e financeiros. Portanto, o cuidado terá que ser redobrado antes de baixar um app, instalar um jogo ou acessar um site ou link, especialmente no WhatsApp, onde golpes estão sendo viralizados em forma de promoções ou promessas de facilitação de transações bancárias. Outro costume do cidadão conectado é a utilização de wi-fi e tomadas em locais públicos, que estão sendo hackeadas por gangues especializadas. Especialmente para hóspedes de hotéis, um modem portátil e um power bank poderão evitar transtornos.

Fake News

Em ano de eleições, o surgimento de novas mídias independentes e o aumento do consumo de conteúdo e de notícias pelas redes sociais deve proporcionar debates ainda mais acalorados e polarizados entre os eleitores. Diante disso, partidos e candidatos vão investir pesado em ações de marketing de guerrilha por meio da viralização de informações duvidosas através robôs (bots) com perfis falsos, que poderão gerar ainda mais polêmica entre os usuários. Nessas horas, não há defesa melhor do que a cautela, a razão e o bom senso antes de acreditar em tudo o que se lê, para evitar desgastes com amigos, parentes e seguidores.

Compra de engajamento

Com a popularização das redes sociais, cresceu o número de “fazendas de cliques”, empresas prestadoras de serviço que contam com funcionários em tempo integral clicando em determinado link ou postagem, a fim de alavancar sua relevância. Embora seja cada vez mais comum, esta atividade passa a ser criminosa a partir do momento em que blogueiros e influenciadores descobriram as redes sociais como fonte de renda, ganhando uma boa quantia de dinheiro proporcionalmente ao número de seguidores/inscritos, curtidas (likes) ou visualizações de um vídeo. Até mesmo as plataformas de streaming têm tido prejuízos com fraudes decorrentes de um número alto de reproduções de músicas de artistas falsos, por meio da compra de cliques.

Indústria de Bitcoins e o Blockchain

O ano de 2017 iniciou uma corrida pelas criptomoedas, especialmente pelo Bitcoin, que deve explodir em 2018 ao se consolidar como alternativa de investimento e ser aceito em lojas virtuais. Como as transações nesse mercado são ainda nebulosas, 2018 terá a popularização do uso de Blockchain, tecnologia que disponibiliza registros e bancos de dados de forma compartilhada pelas instituições. O aumento da oferta e da procura pelo Bitcoin também tem chamado a atenção de criminosos, que tentam furtar valores e também infectam computadores de usuários para a mineração de mais moedas sem consentimento do usuário, o que pode ser evitado com o uso de bons antivírus e firewalls. Surgirão novos players que atuarão como “bancos” ou “carteiras” para armazenamento de criptomoedas e disputarão clientes, portanto, todo cuidado em relação a quem confiar é pouco.

Ataques massivos

Os ataques de negação de serviço estão cada vez mais contundentes. Conhecidos pela sigla “DDoS” (de Denial Distribution of Service, em inglês), utilizam milhares de dispositivos infectados para o acesso simultâneo a um mesmo endereço, a fim de sobrecarregá-lo. Em 12 meses, o tamanho médio das ameaças aumentou de 32 Gigabytes por segundos (Gbps) para 100 Gigabytes por segundo, o equivalente a 200%, havendo registros de ocorrências massivas de até 1,1 Terabyte por segundo. A tendência é que, na era da Internet das Coisas, mais dispositivos estejam conectados, servindo de insumo para o fortalecimento do volume das ofensivas. Por isso, usuários domésticos devem trocar senhas de seus aparelhos, enquanto empresas vão adotar soluções preventivas de mitigação de ataques tão logo um tráfego suspeito seja identificado.

CISOs – Chief Information Security Officers

Algumas iniciativas devem se consolidar no mercado corporativo, no que diz respeito à governança. A principal delas é a criação do cargo de Chief Information Security Officer (CISO), responsável pela implementação de uma central de operações de segurança (SOC, no inglês). Esse núcleo é composto por profissionais dedicados ao uso de ferramentas especializadas para monitoramento de ameaças e ações preventivas, como uma forma de agir sempre um passo à frente dos cibercriminosos.

Orquestração de soluções de segurança

Antivírus, Firewalls em diferentes camadas da web, aplicações que realizam a varredura de palavras, monitoramento de tráfego, dispositivos antifraude, entre outras ferramentas de terceiros (third party vendors) passam a ser indispensáveis diante de tantas ameaças à espreita. Com isso, os departamentos de TI e seus gestores têm aderido à tendência de soluções orquestradoras que gerenciam softwares de diferentes fornecedores, formando um ecossistema de segurança digital integrado e em sintonia para a atuação em 360 graus.

Bruno Prado é CEO da UPX Technologies, empresa especializada em performance e segurança digital.

A segurança corporativa na era dos devices corporativos

fevereiro 15, 2018 Por admin

Por Mário Rachid, Diretor Executivo de Soluções Digitais da Embratel

O mercado de dispositivos apresentará crescimento na casa de milhões de unidades em todo o mundo nos próximos anos. Essa afirmação é apoiada por estudos que indicam a escalada da venda e utilização desses devices, tanto em casa quanto no trabalho. No Brasil, por exemplo, terminamos 2017 com a média de um smartphone por habitante, milhares deles sendo utilizados inclusive para atividades profissionais. Com esse cenário, uma tendência se firma cada vez mais: profissionais seguirão levando os seus dispositivos pessoais para o ambiente corporativo, consolidando a era do Bring Your Own Device (BYOD).

O crescimento exponencial do número de sistemas, máquinas e devices móveis trocando informações entre si, e do uso de aparelhos próprios no ambiente profissional, é alavancada pelo avanço da adoção de tecnologias como Cloud Computing. A Nuvem tornou-se uma das responsáveis por gerar novas maneiras de trabalhar, que derrubam as paredes dos escritórios convencionais e eliminam as limitações de tempo. Ao mesmo tempo em que as jornadas se tornam mais flexíveis, com profissionais acessíveis o tempo todo e em qualquer lugar, o uso de dispositivos pessoais no trabalho leva às corporações um novo desafio: com tantos devices conectados acessando redes corporativas, como garantir a segurança dos dados e sistemas, e mitigar o risco de ataques cibernéticos?

Antes de adotarem a chamada política do BYOD, é imperativo que as empresas façam a lição de casa e conheçam as vulnerabilidades que surgem com o novo modelo de trabalho. Soluções de TI já são capazes de realizar uma varredura e identificar possíveis falhas na segurança das organizações. Com a visibilidade dos possíveis riscos dessa tendência, é possível fazer um planejamento de ações que evite sérios danos como roubo ou sequestro de dados e vazamento de informações sigilosas. Esse planejamento é complexo e envolve o mapeamento de todas as áreas da empresa, além de uma equipe técnica especializada e dedicada.

Da mesma forma como as tecnologias evoluíram, o cybercrime também está mais sofisticado. Para ter um ambiente seguro é necessário implementar um plano de ações completo, que inclua desde soluções mais simples até as preditivas e mais complexas, com o monitoramento prévio de movimentos suspeitos, fornecendo subsídios para o planejamento de reação da empresa em caso de ataques.

O aumento da conscientização sobre cybersecurity faz com que parte das organizações já nasçam com recursos de segurança perimetral implantadas, como firewall, IPS, antivírus e anti-spam, que analisam o tráfego de dados e bloqueiam as tentativas de acessos não autorizados. Tais iniciativas devem ser somadas a soluções que mitigam os riscos de ataques de negação de serviço (Anti-DDoS), os mais usuais, e que incluem proteção de aplicações, técnicas preditivas e criptografia.

Outro ponto é a elaboração e disseminação de uma política de segurança corporativa clara e objetiva para os colaboradores. Ela deve abranger temas como a permissão de acessos a sistemas e aplicações da empresa, a autenticação de usuários, a política de confidencialidade e a validação de senhas, que precisam ser complexas e modificadas com frequência. Funcionários conscientes e alinhados as melhores práticas tornam-se mais vigilantes e atentos a possíveis falhas.

Pensando na expansão cada vez maior da política de BYOD, soluções estão sendo constantemente aprimoradas para o gerenciamento de dispositivos móveis, como a chamada MDM (Mobile Device Management). Com ela, as empresas garantem que os aparelhos e as informações trocadas entre eles seguirão a política de segurança determinada pela organização. Para garantir a privacidade e a proteção dos dados corporativos, a empresa é responsável pelo controle de acesso, determinando os itens disponíveis para uso. As aplicações corporativas são instaladas e atualizadas remotamente, garantindo que os colaboradores tenham à disposição a versão mais moderna de suas ferramentas de trabalho, assim como da proteção delas.

O BYOD tem se tornado tão comum nas empresas que, na Europa e nos Estados Unidos, até escolas começaram a implementar essa política como forma de introduzir, desde cedo, a tecnologia na rotina das crianças, além de usá-la no engajamento nas salas de aula. Isso mostra a tendência de expansão da prática, considerando as novas gerações de colaboradores que estão por vir, e, consequentemente, o aumento do número de dispositivos móveis conectados a redes corporativas. Por isso, o plano de segurança precisa ser prioridade nas organizações, se tornando tão importante quanto o planejamento de vendas de uma companhia.

Projeções do Gartner indicam que, este ano, empresas de todo o planeta gastarão mais de 95 bilhões de dólares em soluções de segurança, cerca de 10% a mais do que em 2017. Dentro desse universo, a terceirização da segurança é um dos segmentos que deve registrar maior crescimento até o fim da década, deixando essa árdua tarefa para companhias e profissionais especialistas no assunto. Esse é o caminho certo para organizações que desejam adotar o BYOD sem abrir brechas de segurança. As grandes corporações que tiveram perdas significativas nos últimos anos com ciberataques de proporções mundiais provaram que, no quesito segurança, prevenir é o melhor remédio!

Três motivos para que os CIOs considerem o GDPR enquanto o prazo se aproxima

fevereiro 8, 2018 Por admin

Por Aruna Ravichandran, VP de Product Marketing da CA Technologies

Com o prazo de adaptação ao Regulamento Geral de Proteção de Dados (GDPR – General Data Protection Regulation) da União Europeia chegando ao fim, os CIOs estão correndo para mitigar riscos de multa por não cumprirem com as exigências. GDPR é uma regulamentação que exige que as empresas protegam os dados pessoais e a privacidade dos cidadão europeus para todas as transações realizadas entre membros da União Europeia.

Este é um exercício tático necessário, mas os CIOs não devem pensar sobre o GDPR apenas por este viés. Na verdade, existem três razões importantes para que todos os CIOs vejam o GDPR também de forma estratégica.

Razão nº 1: A responsabilidade futura pelo uso de dados pessoais irá além do GDPR

O prazo final para adaptação ao GDPR (25 de maio de 2018) é uma data importante. Porém, não será a última.

À medida que as organizações acumulam mais dados do cliente, exploram e monetizam esses dados das mais diversas formas, e considerando possíveis usos inadequados dessas informações que expõe os clientes a maiores riscos, é importante que as agências reguladoras e os formuladores de políticas tomem medidas apropriadas.

O GDPR pode ser a resposta atual de maior destaque às preocupações relacionadas aos dados dos clientes, mas é apenas um indicativo das mudanças que estão por vir. Uma nova evolução da economia digital global inevitavelmente levará a outras regulamentações relacionadas à gestão de dados, e não apenas na União Europeia e nos Estados Unidos, mas em todo o mundo. Na verdade, o GDPR foi amplamente discutido em vários fóruns legislativos e regulatórios em Washington DC, inclusive quando Julie Brill, da Comissão Federal de Comércio dos Estados Unidos, escreveu: “O GDPR terá efeitos abrangentes sobre todos nós… [e] parte do seu objetivo foi definir um padrão global.”

Esta é uma mudança estratégica, não apenas tática. Historicamente, os CIOs consideravam os dados armazenados na infraestrutura corporativa como propriedade corporativa. O modelo tradicional considera os dados como uma propriedade de quem os coleta.

O GDPR sinaliza uma mudança radical neste modelo. No futuro, as empresas apenas pegarão “emprestado” os dados dos seus proprietários (leia-se, dos cidadãos), que terão os direitos específicos relacionados ao ciclo de vida dos mesmos. Os CIOs devem repensar todos os aspectos da empresa digital neste contexto.

Razão nº 2: A conformidade com o GDPR é mais do que apenas a governança de dados

A visão simplista do GDPR é a de que você estará em conformidade se gastar dinheiro com ferramentas de governança de dados e encontrar um agente de dados suficientemente engajado para impor as políticas internas de governança de dados de uma organização.

Mas isso é apenas parcialmente correto. Para cumprir com o GDPR e outros regulamentos relacionados, você precisa da tecnologia certa e das pessoas certas para ficarem de olho nos dados em toda a empresa.

Mas existem muitas outras fontes de dados na empresa digital atual além dos aplicativos e bancos de dados em produção. A pressão para colocar rapidamente novos recursos digitais inovadores no mercado, por exemplo, está fazendo com que muitas equipes de DevOps acelerem e não analisem bem os dados de teste que elas usam para realizar o trabalho. Às vezes, esses dados são enviados para fora da empresa para contratar desenvolvedores e QA shops sem qualquer mascaramento.

Por outro lado, muitas empresas recebem dados de terceiros sem investigar suficientemente as práticas de limpeza dessas informações. Essas ações podem expor uma companhia a responsabilidades graves relacionadas a dados, independente de se achar segura ou em conformidade.

Os CIOs devem considerar a conformidade como uma regra empresarial estratégica. São necessárias políticas fortes, transparentes e eficazes de descoberta, de coleta, de teste, de gerenciamento e remoção de dados, não apenas para garantir o cumprimento, mas também como parte integral da construção de relações digitais confiáveis e duradouras com os clientes.

Razão nº 3: O GDPR é uma oportunidade para a marca, não apenas uma carga imposta externamente.

Quando surge um regulamento complexo e de alto impacto, como o GDPR, é comum vê-lo um fardo. Afinal, para se adaptar ao GDPR, as organizações geralmente usam recursos de outras iniciativas e a atenção do CIO é desviada de outros assuntos urgentes.

Então, por que não considerar transformar os custos que você não pode evitar em investimentos que compensam no longo prazo? Uma boa administração de dados não deve ser apenas algo que fazemos porque somos obrigados. Deve ser algo que fazemos porque é ético e de valor para nossos clientes. Além disso, o GDPR oferece um campo de atuação igual entre as empresas internacionais, incentivando o desenvolvimento de tecnologias inovadoras que podem beneficiar a todos.

Muitas empresas usam a responsabilidade corporativa a seu favor. A rede varejista Whole Foods e a fabricante de roupas e acessórios esportivos Patagonia são exemplos clássicos de empresas que elevam suas marcas e o envolvimento de clientes ao contextualizar as compras como mais do que meras transações financeiras. Quem pode dizer que a administração de dados não pode se tornar um equivalente digital da proteção ambiental ou impacto social do tipo “na compra de um produto, doamos outro para caridade”?

Além disso, a administração insuficiente pode trazer consequências estratégicas além das multas por descumprimento. Se os clientes não acham que podem confiar em você com seus dados, eles provavelmente não confiarão em você com seu dinheiro.

Mas isso sugere que os CIOs que consideram a administração de dados de forma estratégica serão superiores aos que não colocam isso em prática. Então, por que não se juntar a eles?

Exposição de falhas dos gigantes da tecnologia continuará em 2018, avalia especialista

janeiro 19, 2018 Por admin

O ano de 2018 já começou a todo o vapor no que tange ao tema segurança cibernética. Vulnerabilidades foram descobertas em todos os processadores utilizados no planeta. Profissionais de segurança revelaram a existência de duas falhas gravíssimas de segurança, que afetam inúmeros processadores fabricados ou que embarcam tecnologias da Intel, AMD e ARM nos últimos 20 anos. As falhas foram identificadas como Meltdown e Spectre

“O ano mudou, mas o panorama continua o mesmo”, avalia Bruno Prado, especialista em segurança digital e CEO da UPX Technologies, empresa especializada no combate e prevenção a ciberataques. “O ano de 2017 foi marcado por grandes ataques em massa que afetaram o mundo inteiro e deixaram as empresas em alerta com ameaças como o WannaCry – ransomware que sequestrou os dados de organizações em todos os continentes”, relembra o executivo.

Em 2018, segundo estimativa da consultoria Gartner, o investimento global na segurança da informação deverá ser de US$ 93 bilhões, o que representa um aumento de 12% em relação ao ano passado. “Mesmo com as altas cifras, o setor se mostra vulnerável e coloca em risco os dados dos usuários, sejam eles empresariais ou não, por meio de falhas como a Meltdown e a Spectre”, relata Prado.

As duas falhas foram capazes de atingir os principais fabricantes de processadores, Intel, AMD e ARM, envolvendo sistemas operacionais da Microsoft, Apple e Google. O primeiro, Meltdown, é uma lacuna de segurança em hardware de chips Intel que explora a comunicação entre os núcleos de processamento para interceptar as informações que ali trafegam. Essa brecha não possibilita que ocorram alterações ou a exclusão dos dados, porém coloca em risco a integridade de itens tais como nomes de usuário, senha e informações bancárias.

O Spectre, por sua vez, é uma vulnerabilidade capaz de atacar diversos modelos e marcas de processadores. Pode ser executado por meio dos navegadores web com a execução de um código em Java, o que coloca em risco os usuários de todos os tipos de dispositivos que possuam acesso à rede mundial de computadores.

Além dessa falha identificada nos processadores, Prado faz alerta para outras ameaças. Uma delas, diz o especialista, é um botnet chamado Reaper, que tem se propagado rapidamente e já infecta diversas organizações por meio de dispositivos IoT (Internet das Coisas), computadores e roteadores desprotegidos. “A qualquer momento, poderá haver um ataque de negação de serviço (DDoS) em larga escala, provavelmente o maior já registrado, superando o Mirai, que tirou do ar diversos servidores em 2016”, alerta o especialista.

Assim como na maioria dos ataques, diz Prado os danos são provenientes de atrasos em atualizações. “Ao utilizar softwares desatualizados, os usuários se expõem aos riscos de brechas de segurança, que são aproveitadas pelos cibercriminosos como forma de abrir caminho para o roubo de informações”, alerta ele.

As empresas, por sua vez, são testadas em tempo integral por criminosos virtuais, que buscam por oportunidades de realizar malfeitos. “Para equilibrar a balança, é fundamental atuar em conjunto com um PenTest – método cuja finalidade é avaliar a segurança de um sistema de computador, tanto desktop quanto mobile, seus softwares, redes, sites, servidores, aplicativos e até hardwares, simulando um ataque malicioso para identificar possíveis vulnerabilidades nos sistemas”, afirma o especialista.

Desse modo, afirma Prado, os gestores ficam cientes de quais são os pontos frágeis que podem ser explorados e conseguem realizar um investimento mais preciso e garantir sua proteção contra toda a diversidade de ameaças presentes na rede, mitigando a exposição e, consequentemente, os riscos corporativos.

Mesmo que o tenha ano começado movimentado na segurança digital, o especialista em segurança digital, diz que há pontos positivos nesse cenário. “O início de um novo ciclo é o melhor momento para que haja a conscientização, planejamento e execução de ações em prol da proteção das informações”, diz Prado. “Com os riscos, exposições e recuperações de 2017, é essencial que os gestores aumentem o foco e a importância na defesa de suas instituições, afinal, os criminosos e as ameaças não esperam”, complementa.

Ataques virtuais: ESET explica as principais ameaças

janeiro 16, 2018 Por admin

Muito comuns em ambientes digitais, golpes e fraudes são hoje grandes preocupações para usuários do mundo todo. Quando ocorrem, informações pessoais como senhas, números de documentos e cartões podem ser expostas ou clonadas. De acordo com dados do indicador Serasa Experian, de janeiro a setembro de 2017, o Brasil registrou 1,478 milhão de tentativas de fraude, ou seja, uma a cada 16 segundos. O número, 10,7% maior em relação ao mesmo período de 2016, pode ser considerado um efeito colateral indireto da recuperação econômica do País, já que os golpes aumentam conforme crescem as transações, momento no qual os consumidores costumam conceder seus dados pessoais.

Quando são disponibilizadas online, estas informações ficam suscetíveis a golpes virtuais dos mais diferentes tipos. Para preveni-los, existem ferramentas de segurança da informação, baseadas em metodologias, normas, técnicas, estruturas organizacionais, tecnologias e outros elementos, que vão desde soluções mais simples como o uso de um antivírus a técnicas avançadas de criptografia.

A ESET, empresa de segurança da informação e líder em detecção proativa de ameaças, explica os golpes mais comuns aplicados no Brasil e como não ser vítima.

Malware: é um software destinado a se infiltrar em um computador de forma ilícita, com o intuito de causar algum dano ou roubar informações. De acordo com pesquisas divulgadas por especialistas no 4º Fórum ESET de Segurança Informática, um em cada cinco malwares no Brasil é bancário. Os ataques costumam acontecer no computador, com o programa malicioso se instalando a partir de um clique em um link que chega por e-mail, por exemplo.

Já vulnerável, o usuário então acessa os serviços online, como a página do banco, fornece suas informações pessoais e então tem suas credenciais roubadas. De posse dos dados, os atacantes conseguem fazer compras e transações financeiras se passando pelo titular da conta ou do cartão.

Para se proteger, é importante verificar se os arquivos recebidos não estão contaminados ou se os links acessados condizem com o site correto. Normalmente, as páginas das grandes empresas têm endereços simples e são facilmente localizadas nos buscadores. Uma boa dica para identificar sites fraudulentos é se atentar a erros gramaticais. Se mesmo assim o usuário ainda tiver dúvidas sobre a autenticidade do site, uma simples ligação para a instituição pode salvar suas informações sigilosas.

Ransomware: é uma variação de malware, que sequestra o computador da vítima e cobra um valor pelo resgate, geralmente usando moedas virtuais, o que torna quase impossível rastrear o criminoso. Este tipo de vírus age codificando os dados do sistema operacional de forma que o usuário não tenha mais acesso a eles. Exemplo mais recente, o Bad Rabbit, se espalhou para países da Europa em 2017 e causou transtornos em aeroportos e sistemas de infraestrutura. Ter o sistema operacional sempre atualizado e uma solução antivírus instalada são boas formas de se proteger desta ameaça.

Phishing: é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir informações sigilosas. Geralmente os ataques são enviados em aplicativos de mensagens e disfarçados em forma de produtos grátis ou cupons promocionais que, para serem acessados, exigem o preenchimento de cadastro com dados como número do cartão de crédito, senhas e outros. Após o envio das informações, o usuário não recebe o que foi prometido inicialmente e pode ter informações roubadas.

Os recentes golpes do FGTS e do Burger King no aplicativo WhatsApp podem ser considerados phishing. Por isso, nunca clique em links para ofertas milagrosas ou boas demais para serem verdade, e sempre que receber mensagens de promoções em redes sociais, verifique sua veracidade antes de clicar, pois é possível que não sejam legítimas.

Segundo Camillo Di Jorge, country manager da ESET, cada tipo de ataque conta com sua particularidade, mas a maioria tem o mesmo objetivo: obter algum tipo de benefício, geralmente financeiro. “Independentemente de ser online ou off-line, a informação requer medidas de proteção adequadas, de acordo com a importância daqueles dados. Para informações mais sensíveis, mais camadas de proteção podem ser inseridas para dificultar a ação dos criminosos. Mesmo assim, o bom senso continua sendo a melhor forma de se proteger”.

Cinco passos para ter uma vida digital mais segura

janeiro 5, 2018 Por admin

Por Rafael Abdo , gerente de segurança da informação da Locaweb

Ao mesmo tempo em que a navegação na Internet está cada vez mais facilitada e difundida na sociedade, as ameaças e os ataques virtuais não param de crescer. Os cibercriminosos, pessoas que cometem crimes virtuais, parecem estar sempre um passo à frente das autoridades.

Além disso, os usuários não estão fazendo sua parte para terem uma vida digital mais segura: pesquisa da Kaspersky Lab, especialista em antivírus, divulgada em 2017, aponta que 51% das pessoas entrevistadas afirmaram usar métodos inseguros para lembrar senhas, enquanto 22% já revelaram dados confidenciais por acidente. Sendo assim, confira cinco passos para se prevenir da ação dos criminosos na web:

Fortaleça suas senhas: seja do banco, e-mail ou redes sociais, o furto de senhas sempre foi o objetivo principal dos criminosos virtuais. Para não ser mais uma vítima, é preciso ter uma combinação forte que dificulte a ação dos bandidos. O ideal é utilizar a criatividade e fugir de informações óbvias, como datas de aniversários e sequências numéricas simples (como 123456). A recomendação é usar, pelo menos, 16 caracteres no código – além de manter uma senha para cada site. Também é importante incluir entre as boas práticas a troca periódica de senhas e a utilização de cofres de senha como lastpass ou 1password.

Atenção ao tipo de informação compartilhada nas redes sociais: a grande maioria dos usuários disponibiliza em seus perfis dados pessoais que podem facilitar a aplicação de ataques de engenharia social, termo utilizado para descrever situações onde alguém faz uso da persuasão, abusando da ingenuidade e confiança do usuário, para obter informações sigilosas. Recomenda-se diminuir a quantidade de informações compartilhadas, sobretudo check-in/check-out, números de documentos, endereços e telefones. Além disso, é importante limitar sempre a visualização do conteúdo apenas para amigos.

Cuidado com redes públicas: o avanço dos dispositivos móveis fez explodir a rede Wi-Fi. A internet sem fio está praticamente em todo o lugar, inclusive por meio de redes públicas em pontos turísticos e lugares com grande fluxo de pessoas. Porém, elas são mais vulneráveis, o que faz um ataque ser mais propenso. A recomendação é nunca utilizar redes sem fio de terceiros. Caso não tenha outra alternativa, antes de enviar informações pessoais ao usar redes públicas, gratuitas ou compartilhadas, certifique-se de que o ambiente online está protegido com o ícone do cadeado ao lado da barra de navegação. Uma alternativa é utilizar uma rede virtual privada (VPN), garantindo a segurança dos seus dados.

Confira as solicitações de acesso de aplicativos e serviços: aplicativos e serviços gratuitos na Internet utilizam seus dados pessoais para comercializarem publicidade personalizada de acordo com hábitos e comportamentos. Se você deseja limitar isso, é preciso conferir as permissões e os termos de uso antes de realizar o download do app.

Preste atenção nos e-mails: os e-mails ainda são a principal arma dos cibercriminosos para roubar informações e senhas. A tática mais frequente é o phishing, que atrai a atenção do usuário e o estimula a clicar em links e aplicações. Desconfie de mensagens duvidosas que receber, mesmo que o remetente seja uma pessoa de confiança – afinal, elas também podem ter sido vítimas de ataques virtuais.

Como proteger a rede da empresa sem interferir na mobilidade dos colaboradores?

dezembro 14, 2017 Por admin

Por Bill Hogan, vice-presidente da Fortinet

Os profissionais de segurança de TI de grandes empresas em todas as indústrias enfrentam a tarefa diária de ter que proteger uma superfície de ataque em expansão. Os pontos vulneráveis de entrada costumavam estar dentro dos muros da organização, onde firewalls e ferramentas de segurança on-line podiam protegê-los, mas as redes agora se tornaram um ambiente sem fronteiras, em constante evolução, graças ao uso de nuvem, a Internet das coisas (IoT) e uma força de trabalho cada vez mais móvel.

Os avanços tecnológicos, combinados com uma onda de funcionários digitalmente inteligentes inundando o local de trabalho, levaram mais pessoas a trabalhar de suas casas ou outros locais fora do escritório. Além disso, trabalhar em uma variedade cada vez mais diversificada de dispositivos. E, embora possa ser uma surpresa, esse aumento na força de trabalho móvel tornou-se comum mesmo nas indústrias mais altamente regulamentadas.

De acordo com um estudo recente, 65% das organizações permitem a conexão de dispositivos pessoais às redes corporativas. Na América Latina e no Caribe, estima-se que o número de empregos móveis foi de 740.000 em 2016, com outros 980 mil empregos indiretamente suportados por tecnologias móveis.

Em todos os setores, as empresas estão adotando os esquemas de trabalho móvel devido aos seus vários benefícios de redução de custos, aumento da produtividade e eficiência dos funcionários e maior retenção de colaboradores. Mas estes esquemas também envolvem riscos ao permitir que dispositivos e aplicativos não gerenciados pelas organizações, acessem suas redes corporativas e seus recursos digitais.

A segurança da rede continua sendo uma prioridade. 95% dos CIOs relatam sua preocupação com os e-mails armazenados em dispositivos pessoais e 94% deles se preocupam com informações corporativas armazenadas em aplicativos móveis. O objetivo das empresas é encontrar um equilíbrio entre o benefício do BYOD e BYOA e a mitigação dos fatores de risco à cibersegurança.

Problemas de segurança em ambientes móveis

Para se beneficiar das capacidades do trabalho móvel sem comprometer a segurança da rede ou perder a visibilidade do uso de dados classificados, as organizações devem considerar três aspectos principais:

Shadow IT

Políticas rigorosas sobre aplicativos e serviços que os funcionários estão autorizados a usar em seus dispositivos podem fazer com que os funcionários contornem este protocolo de segurança para adquirir soluções que os ajudarão a tornar seu trabalho mais eficiente. Isso pode ser um grande risco à segurança, já que as equipes de TI não conseguem proteger dados em aplicativos que não conhecem, e nem podem garantir que esses aplicativos serão atualizados com as correções mais recentes. E se esses dados forem violados, é improvável que as equipes de TI percebam isso e consigam implementar protocolos adequados de resposta a incidentes.

Vazamento de dados

O vazamento de dados se refere ao fluxo não autorizado de dados corporativos do datacenter seguro para um dispositivo ou local não autorizado. Isso geralmente ocorre quando os funcionários transferem arquivos entre dispositivos corporativos e pessoais ou quando funcionários não relacionados têm acesso a dados privilegiados. Com o uso cada vez mais comum de ambientes na nuvem e de aplicativos SaaS, e o número maior de dispositivos de usuários conectados, as equipes de TI geralmente perdem visibilidade do uso e fluxo dos dados.

Segurança de aplicativos

Com a mobilidade laboral, surge um número cada vez maior de aplicativos, independentemente de estarem sendo usados nos negócios ou não. Em média, as organizações têm 216 aplicativos executados em sua organização, sem falar nos aplicativos pessoais armazenados nos dispositivos dos funcionários. Quando esses dispositivos de usuários e aplicativos se conectam à rede, é necessária uma segurança forte para o aplicativo. Isto é válido principalmente para aplicativos na nuvem, onde pode ser difícil para as equipes de TI aplicar as políticas de segurança padrão de suas organizações.

Em resumo

Para aproveitar ao máximo os benefícios da força de trabalho móvel que faz uso de seus dispositivos pessoais, as organizações precisam implementar controles de segurança adicionais que protejam e monitorem os dados sem serem muito rigorosos, pois isso pode inibir a mobilidade. As equipes de TI devem adotar uma abordagem em camadas para a segurança, fornecendo visibilidade do fluxo dos dados em toda a rede. Especificamente, este protocolo de segurança deve oferecer segurança de aplicativos, segurança de dispositivos de usuários, segmentação de rede e segurança dos ambientes na nuvem, além de defesas no perímetro da rede padrão. Tudo isso em um quadro de segurança integrado e abrangente, poderoso e automatizado para poder responder às ameaças atuais e futuras.