A FEBRABAN – Federação Brasileira de Bancos e mais 28 bancos associados realizam entre os dias 25 e 31 de outubro a 2ª edição da Semana da Segurança Digital com o objetivo de promover a conscientização da sociedade para o uso da internet e os serviços digitais de forma segura.
Durante este período, os participantes divulgarão dicas de como se prevenir dos principais golpes e fraudes digitais. Cada participante desenvolverá livremente suas ações de conscientização para seus clientes, usando as hashtags #SegurançaDigital, #SemanadaSegurançaDigital e #CompartilheSegurançaDigital.
Participam da Semana da Segurança Digital os bancos: Agibank, Banco ABC, Banco de Brasília (BRB), Banco do Brasil, Banco do Nordeste, Banco Fibra, Banese, Banestes, Banpará, Banrisul, BMG, Bradesco, BS2, BTG Pactual, BV, C6 Bank, Daycoval, Inter, Itaú, Mercantil, Original, Pan, Pine, Rendimento, Safra, Santander, Sicoob e Sicredi.
Na FEBRABAN, as informações estarão disponíveis no site http://antifraudes.febraban.org.br/ e nas redes sociais da Federação – Youtube, Facebook, Twitter, Linkedln e Instagram. No site antifraudes, também será publicada a Cartilha de Engenharia Social (técnica que manipula o usuário para que ele forneça informações confidenciais) com dicas de como se proteger dos principais golpes.
No próximo dia 30, a entidade também promoverá a live “Aumento dos crimes cibernéticos e a Educação Digital” pela plataforma noomis (http://noomis.febraban.org.br), às 14h30. Participarão Adriano Volpini, diretor da Comissão Executiva de Prevenção a Fraudes da FEBRABAN; Erik Siqueira, agente da Polícia Federal; e Aldo Albuquerque, sócio-diretor da Tempest Security Intelligence.
“Mais uma vez, o setor bancário brasileiro se alinha a ações similares desenvolvidas durante todo o mês de outubro tanto nos Estados Unidos, desde 2003, como na Europa, desde 2012, e que envolvem vários setores da economia”, afirma Isaac Sidney, presidente da FEBRABAN. “Com a nossa ação de conscientização, queremos ajudar o consumidor a usar cada vez mais suas informações de modo seguro no ambiente digital”, acrescenta.
Neste ano, os participantes irão divulgar dicas de como se prevenir dos principais golpes e fraudes digitais nos seguintes temas:
• Home Office
• E-mails Falsos e Páginas Falsas (Phishing)
• Rede Sociais e Privacidade de Dados
• Senhas e Autenticação Segura
• Pix- Sistema de Pagamento Instantâneo
Adriano Volpini, da Comissão Executiva de Prevenção a Fraudes da FEBRABAN, afirma que um dos grandes objetivos da Semana da Segurança Digital também é ajudar a criar uma forte cultura de proteção de dados no Brasil.
“A população tem um comportamento de segurança no mundo digital diferente do mundo físico, em que as pessoas já se acostumaram a tomar cuidados com carteiras, pertences e celulares, quando estão em locais públicos e de grande movimentação. É preciso ter a mesma conduta para o mundo digital”, afirma.
Além de ações de conscientização como a Semana da Segurança Digital, os bancos brasileiros atuam em várias frentes com o objetivo de contribuir para o combate aos golpes e fraudes. As instituições investem cerca de R﹩ 2 bilhões em sistemas de tecnologia da informação voltados para segurança, valor que corresponde a cerca de 10% dos gastos totais do setor com tecnologia.
Entre as tecnologias de ponta usadas pelos bancos voltadas à segurança das transações bancárias e a prevenção a fraudes, Volpini destaca as aplicações de biometria, aliadas à análise de dados, e o uso da inteligência artificial, que contribuem para processos seguros de validação de usuários, controle de ações e monitoramento de compras.
Entretanto, adverte que atualmente 70% das fraudes estão vinculadas à engenharia social. “A educação digital é fundamental para combater este tipo de crime e deve estar presente cotidianamente em nossa vida financeira”, afirma Volpini.
Ao longo dos últimos anos presenciamos a crescente mescla do uso de dispositivos tecnológicos pessoais com os profissionais. Isso porque, acessamos o e-mail da empresa no celular pessoal, respondemos mensagens no WhatsApp na sua versão web diretamente do computador corporativo, realizamos videoconferências em notebooks que são nossos e por aí vai.
Quando se fala em segurança da informação, o bem mais precioso é a informação em si e, por isso, sua localização serve, em muitos casos, para definir o senso de propriedade e responsabilidade sobre o meio que a contém. Ou seja, se uma informação – de propriedade da empresa – está contida num dispositivo móvel pertencente a um colaborador, pode-se inferir que há um senso de propriedade e responsabilidade parcial da empresa com esse equipamento em questão, pelo menos no que tange ao controle de configurações e a possibilidade de monitoramento.
Obviamente deve existir um limite razoável no controle da corporação sobre esse dispositivo para que não haja abusos e invasões na privacidade do colaborador. Isso significa que a empresa precisa definir seu monitoramento exclusivamente para fins de proteção da sua informação e nada mais.
Com o advento da pandemia do Coronavírus, o home office se tornou padrão na maioria das empresas e o uso – por parte dos colaboradores – de dispositivos pessoais para execução de suas funções cresceu exponencialmente, tornando essa problemática ainda mais latente. Portanto, é cada vez mais relevante que as regras dessa modalidade estejam escritas de forma clara e objetiva para que ambas as partes – empresa e colaborador – estejam em harmonia, evitando situações constrangedoras que, em alguns casos, podem até resultar em consequências legais.
O principal meio de definição dessas regras é através de normativos, tais como políticas, normas e procedimentos, juntamente com inciativas de treinamento e conscientização por meio de cursos online, webinars e e-mails internos, entre outros.
Mas um aspecto que deve ser levado em consideração é a razoabilidade das regras que serão definidas. Em outras palavras, o fato das empresas definirem e escreverem as normas não as dá total liberdade para avançar sobre a privacidade do equipamento do colaborador. Tenha em mente: se o colaborador achar que as regras são abusivas, ele simplesmente vai optar por não utilizar seus dispositivos pessoais.
Em relação ao conteúdo específico das normas, sugere-se que alguns aspectos estejam definidos e citados, como a responsabilidade por manter o dispositivo atualizado e seguro; as consequências do descumprimento das orientações de segurança; a possibilidade de investigações no conteúdo do equipamento em casos suspeitos; o suporte oferecido ao usuário em caso de problemas técnicos; e as ações que podem ser tomadas em casos de perda ou roubo.
É importante lembrar que a liberdade de uso de dispositivos pessoais tem seus prós e contras. Isso porque, por um lado, a empresa economiza na compra de equipamentos tecnológicos para cada colaborador e dá mais flexibilidade de trabalho. Por outro, cria-se uma maior complexidade de manutenção da segurança de informações e ocasiona um consequente aumento da superfície de ataque. Tendo isso em mente, a empresa deve avaliar se os benefícios compensam ou não, podendo optar até por uma abordagem mista, na qual apenas determinados sistemas e informações podem ser acessados via dispositivos pessoais.
Igor Buess, consultor de Segurança da Informação na ICTS Protiviti
IBM Security anunciou os resultados de um estudo global que examina o impacto financeiro das violações de dados, revelando que uma violação custa, na média global, US$ 3,8 milhões para as companhias, e contas comprometidas de funcionários foram a causa mais cara. Ao analisar as violações de dados sofridas por mais de 500 organizações pelo mundo, 80% dos incidentes estudados resultaram na exposição das informações de identificação pessoal de clientes (PII). Entre todos os tipos de dados expostos nessas violações, as informações pessoais de cliente também foram as mais caras para as empresas.
O relatório aponta as perdas financeiras que as organizações podem sofrer caso dados sejam comprometidos, à medida que companhias acessam cada vez mais dados sensíveis por meio do trabalho remoto e operações de negócios na nuvem. Um outro estudo da IBM descobriu que mais da metade dos funcionários que começaram a trabalhar em casa devido à pandemia não recebeu novas orientações sobre como lidar com as informações pessoais de cliente.
Patrocinado por IBM Security e conduzido pelo Instituto Ponemon, o Relátorio de Custo da Violação de Dados 2020 (Cost of Data Breach 2020) é baseado em entrevistas realizadas com mais de 3.200 profissionais de segurança em organizações que sofreram alguma violação de dados durantes o último ano.[1] Algumas das principais descobertas do relatório incluem:
· Tecnologia inteligente reduz custo de violações pela metade: empresas que implementaram tecnologias de automação de segurança (que utilizam IA, análise de dados e orquestração automatizada para identificar e responder aos eventos de segurança) tiveram menos da metade dos custos de violação de dados quando comparadas às que não implementaram essas ferramentas – US$2,45 milhões vs US$6,03 milhões, em média.
· Pagamento pelas credenciais comprometidas: em incidentes nos quais atacantes acessam a rede das corporações usando credenciais comprometidas ou roubadas, as empresas viram o custo de violação de dados ser quase US$1 milhão mais alto em comparação à média global, chegando a US$4,77 milhões por violação. Ataques maliciosos, que exploram a vulnerabilidade de terceiros, foi a segunda origem com maior custo (US$4,5 milhões) para esse grupo.
· Custo de mega violações aumenta aos milhões: os custos das chamadas mega violações, nas quais mais de 50 milhões de registros são comprometidos, subiram de US$388 milhões para US$392 milhões. Violações nas quais 40 – 50 milhões de registros foram expostos custaram para as empresas US$364 milhões em média, um aumento de US$19 milhões comparado ao relatório de 2019.
· Ataques de estado-nação (nation-state) – a violação mais prejudicial: as violações de dados que possam ter sido originadas dos ataques de estado-nação foram as mais caras em comparação com outros atores de ameaças examinados no relatório. Conhecidos como “state-sponsored attacks”, esses ataques tiveram uma média de U$4,43 milhões em custo de violação de dados, superando os cibercriminosos financeiramente motivados e os hackativistas.
“Quando se trata da capacidade de mitigar o impacto de uma violação de dados, estamos começando a ver uma clara vantagem de empresas que investiram em tecnologias automatizadas”, disse Wendi Whitmore, vice-presidente de IBM X-Force Threat Intelligence. “Em um momento em que as empresas estão expandindo sua presença digital a um ritmo acelerado e a falta de skills no setor de segurança persiste, as equipes podem ficar sobrecarregadas ao proteger mais dispositivos, sistemas e dados. A automação da segurança cibernética pode ajudar a resolver essa carga, permitindo uma resposta mais rápida à violação e significativamente mais econômica.”
Credenciais de funcionários e nuvens configuradas incorretamente: ponto de entrada preferido dos atacantes
Credenciais roubadas ou comprometidas e nuvens com configurações incorretas foram as causas mais comuns de violações maliciosas para as companhias que participaram do estudo, representando aproximadamente 40% dos incidentes. Com mais de 8,5 bilhões de registros expostos em 2019 e atacantes usando emails e senhas previamente expostos em uma a cada cinco violações estudadas, as empresas estão repensando sua estratégia de segurança pela adoção da abordagem de confiança-zero (zero trust) – reexaminado como eles autenticam os usuários e como a extensão de acesso aos usuários são concedidos.
Similarmente, a luta das empresas com a complexidade da segurança – o principal fator de custo de violações – está contribuindo para que as configurações incorretas de nuvem se tornem um desafio de segurança crescente. O relatório de 2020 revelou que os atacantes usaram as configurações incorretas de nuvem para violar as redes em 20% do tempo, aumentando o custo de violações para US$4,41 milhão em média.
Tecnologias avançadas de segurança ajudam os negócios
O relatório destaca a crescente divisão no custo de violações entre empresas que implementaram tecnologias avançadas de segurança e aquelas que estão atrasadas, revelando uma diferença de economia de US$3,58 milhões para companhias com automação de segurança totalmente implementada versus aquelas que ainda não implementaram este tipo de solução.
As empresas participantes do estudo que contavam com automação de segurança totalmente implementada também relataram um tempo de resposta significativamente mais curto às violações, outro fator-chave mostrado para reduzir os custos de violação na análise. O relatório constatou que inteligência artificial, machine learning, análise de dados e outras formas de automação de segurança permitiram às empresas responder a violações até 27% mais rápido do que as empresas que ainda não implantaram a automação de segurança.
A preparação para resposta a incidentes também continua influenciando fortemente as consequências financeiras de uma violação. Empresas que não possuem uma equipe designada ou testes de planos de resposta a incidentes sofrem em média com um custo de US$5,29 milhões em violação, enquanto as empresas que possuem equipes dedicados, testes e simulações sofrem menos de US$2 milhões em custo de violações. Isso reafirma que a preparação e a prontidão geram um ROI significativo em segurança cibernética.
Alguns itens adicionais do relatório desse ano incluem:
· Riscos do trabalho remoto têm um preço – Com modelos de trabalho híbrido criando ambientes menos controlados, o relatório descobriu que 70% das empresas que adotaram o teletrabalho em meio à pandemia esperam que os custo de violações de dados se agravem.
· CISOs culpados pelas falhas por violações, apesar do poder limitado de tomada de decisão: 46% dos entrevistados disseram que o CISO/CSO é responsabilizado pelas violações, apesar de apenas 27% afirmarem a tomada de decisão sobre a política de segurança e tecnologia vem do CISO/CSO. O relatório concluiu que a nomeação de um CISO foi associada com uma de economia de US$145.000 versus a média de custo por violação.
Tendências regionais e por indústria
· O estudo analisou o custo de violações de dados em diferentes indústrias e regiões, descobrindo que as violações de dados nos Estados Unidos são muito mais caras, custando US$8,64 milhões em média.
· No Brasil, o custo médio da violação de dados é de R$5,88 milhões (cerca de US$1,12 milhão), um aumento de 10,5% em relação ao ano anterior comparando o valor em reais (R$ 5,32 milhões em 2019). O estudo também observou um aumento no número de dias para identificar a violação de dados, que subiu de 250 para 265, e para conter a violação, que cresceu de 111 para 115 dias, em comparação a 2019.
· Globalmente, a indústria de saúde continua apresentando os mais altos custos médios de violação, com US$ 7,13 milhões – um aumento de mais de 10% em comparação com o estudo de 2019.
Sobre o Estudo
O Relatório de Custo da Violação de Dados anual é baseado em análises profundas de violação de dados reais, que ocorreram entre agosto de 2019 e abril de 2020, levando em conta centenas de fatores incluindo atividades legais, regulatórias e técnicas para a perda do valor de marca, consumidores, e produtividade dos funcionários.
Para baixar uma cópia do Relatório de Custo da Violação de Dados 2020, visite: ibm.com/databreach
Por Alexis Aguirre, Diretor de Segurança da Informação da Unisys para a América Latina
A adoção de nuvem por empresas Latino-americanas segue crescendo e, em meio ao momento delicado que estamos vivendo, não há tecnologia mais útil que essa para garantir a continuidade de operações com agilidade e produtividade. Para além disso, quem já utilizava recursos de nuvem sabe que eles geram inovação e, ao mesmo tempo, redução de custos, já que é possível prever os gastos envolvidos em cada projeto. Certo, Cloud agora é uma premissa, um caminho sem volta. O próprio Gartner já chama a nuvem de “o novo normal da TI corporativa” (the new normal for enterprise IT). Nesse cenário, a discussão urgente que estamos perdendo não deveria ser sobre adoção da nuvem e sim sobre um melhor entendimento das mudanças fundamentais de paradigma que chegam com o uso da nuvem. As companhias estão atrasadas para perceber que, com a nuvem, a superfície de ataques hackers muda de lugar. Então, vamos a pontos práticos e críticos sobre como criar uma consciência corporativa para evitar ameaças de segurança da informação na nuvem.
Tenha clareza sobre os responsáveis de cada parte do projeto Um desafio que vem com a nuvem é a falta de clareza sobre quem é responsável pelo quê. A dica é se organizar e aderir a operações do DevSecOps para obter integração,implementação e melhorias contínuas após a migração inicial para a nuvem.
Não subestime a complexidade dos ambientes em nuvem As organizações tendem a subestimar as complexidades dos ambientes em nuvem — e sua proteção. A maior flexibilidade e poder dos serviços em nuvem resultam em maior complexidade de governança e operações, aumentando a possibilidade de vulnerabilidades devido a configurações incorretas. A flexibilidade e o poder inigualáveis dos microsserviços em contêiner e do Kubernetes também resultam em complexidade adicional, aumentando o número de interfaces que podem ficar expostas. Não compreender ou investir nas ferramentas e nos conhecimentos necessários para gerenciar essa complexidade resulta em configurações abaixo do ideal, levando a explorações e vazamentos de dados.
Um novo DNA pede um novo processo de monitoramento Algumas organizações acreditam que podem usar tecnologias de segurança locais em ambientes dinâmicos de nuvem. As abordagens tradicionais simplesmente não funcionam porque estamos falando de um novo DNA. Na nuvem, você precisa ter um processo automatizado para proteção da carga de trabalho remoto. Você não tem o tempo ou o luxo de alguém monitorar isso diariamente.
Crie novas políticas, práticas e procedimentos de segurança A nuvem consolidou infraestruturas, sistemas e recursos de computação. Agora, as organizações precisam preparar suas políticas de proteção de dados para funcionar quando não têm controle da infraestrutura na qual seus dados residem.
Como lidar com microsserviços Fornecedores de software oferecem microsserviços em contêineres, que podem ser aproveitados como componentes por aplicativos. Eles vêm com uma variedade de opções de licenciamento comercial e de código aberto, com diferentes níveis de suporte ou nenhum outro suporte que não seja uma comunidade online. Algumas licenças de código aberto, como a GPL, podem tornar o software inadequado para alguns usos de produção. As implicações legais e de custo do licenciamento de microsserviço são um aspecto importante desse novo cenário de aplicativos. É recomendável considerá-las durante o desenvolvimento do aplicativo antes da transição para a produção.
A importância do acesso seguro O acesso seguro pressupõe que aplicativos, rotas ou sistemas de comunicação sejam utilizados apenas por quem possui credenciais apropriadas para tal. Os relacionamentos e limites de confiança precisam ser gerenciados de acordo com os objetivos de negócios e as restrições legais. Além da autenticação robusta que usa rotação de credenciais e autenticação multifator, os acessos precisam ser definidos em termos de funções baseadas do menor ao maior privilégio.
Limite e proteja sua superfície de ataque A eficácia em minimizar a superfície de ataque implica em limitar o acesso externo e interno (por exemplo, portas abertas) ao que é absolutamente necessário. Implica também em desabilitar funções e infraestrutura desnecessárias de software. Isso reduz o número de itens que podem ser comprometidos. A superfície de ataque não só deve ser limitada, mas também precisa ser protegida por meio de uma estrutura automatizada e que detecte inteligentemente o tráfego anormal ou o comportamento do software. Isso deve resultar nas ações de quarentena e notificação orientadas por políticas apropriadas, limitando assim o impacto de violações.
A jornada na nuvem tem nos guiado ao futuro. Se feita corretamente, pode trazer muitos benefícios para as empresas. Só não podemos nos esquecer de que nuvem e segurança devem caminhar juntas. Não é improvável que companhias corram riscos de violações de dados, mas aquelas que estiverem preparadas para corrigir e isolar ataques em segundos ou minutos serão mais bem-sucedidas.
Os ataques de phishing têm sido uma das ameaças mais utilizadas pelos cibercriminosos para fazer vítimas e conseguir informações pessoais e acesso a dados bancários dos usuários da internet. Pensando na prevenção deste tipo de ataque, a ESET, empresa líder na detecção proativa de ameaças, compartilha algumas dicas feitas pelo especialista em segurança da informação, Daniel Cunha Barbosa, sobre como evitar ser vítima dessa ameaça digital.
“Sempre nos preocupamos em trazer informações diversas para que nossos leitores possam ficar atentos aos diferentes ataques e formas de proteção contra cada um deles”, explica Barbosa.
Focadas em casos de engenharia social, as dicas contextualizam a realidade atual, trazendo situações que têm sido mais recorrentes nos conteúdos produzidos pelos criminosos. Confira as situações e como resolver, com segurança, cada uma delas:
Situação 1: Você recebe um e-mail informando que sua compra foi aprovada e que agora deve acompanhar a entrega de seu produto, mas você não se lembra de ter efetuado nenhuma compra.
A dica, neste caso, é desconfiar. Não importa quão urgente um e-mail ou mensagem pareçam, é sempre possível validá-los de outra forma que não a sugerida em seu conteúdo, seja acessando o site oficial da empresa vinculada à informação ou ligando diretamente para a marca citada na mensagem.
Situação 2: Você recebe outro e-mail, agora contendo uma ameaça. Desta vez, o criminoso informa que possui suas senhas e diversas imagens íntimas. Para não divulgar as informações, ele exige que um pagamento em bitcoins seja feito.
A melhor atitude é fazer a alteração imediata das suas senhas em todas as páginas e serviços nos quais a combinação estava sendo utilizada, substituí-la por uma chave única e robusta, habilitando o duplo fator de autenticação para um acesso mais seguro.
Situação 3: Você recebe um link encurtado de um de seus amigos no WhatsApp, informando sobre uma promoção imperdível de um produto que já estava querendo comprar. Ao acessar a página, ela parece lenta, mas acaba abrindo.
Conforme a ESET, muitas páginas hospedam scripts que rodam sem o consentimento do usuário e podem trazer sérios riscos à segurança. É importante possuir soluções de proteção instaladas em todos os smartphones, computadores e tablets para minimizar as ameaças de navegação.
Situação 4: Você recebe uma ligação de alguém que diz ser do seu banco. Essa pessoa diz que precisa da confirmação de seus dados cadastrais completos, como nome e sobrenome, CPF, RG e telefone, para uma atualização do sistema.
Apesar de parecer uma situação urgente, é preciso ter calma. Isso porque, quando empresas sérias entram em contato, sempre fazem validações de dados menos sensíveis, como data de aniversário, e sempre informando uma parcela dos dados antes de pedir que os clientes informem o restante. Por isso, nunca forneça seus dados completos.
Situação 5: Alguém entra em contato via telefone para informar que você ganhou um prêmio. Mas, para poder recebê-lo, você precisa informar o código que será enviado ao seu celular. Você nota que o código acabou de chegar em seu telefone.
Essa é uma das situações mais comuns de ataque utilizada pelos cibercriminosos. A atitude mais adequada é realmente não fornecer o código. Os criminosos normalmente tentam clonar contas dessa forma e, se analisarmos o código da promoção que eles estão pedindo, normalmente é a validação de algum serviço online. É possível ver isso lendo por completo o SMS recebido, que quase sempre dá indicativos de quais serviços os criminosos estão querendo se apossar.
“A principal dica, para todos os casos, é a atenção do usuário quanto às situações que se apresentam. É importante sempre checar a veracidade de mensagens e e-mails e ter certeza de que quem está do outro lado da linha é alguém confiável. Assim, é possível aproveitar as facilidades da tecnologia sempre mantendo a segurança dos dados e a privacidade dos usuários”, finaliza o especialista da ESET.
Com o mundo se acostumando a ficar em casa, a internet se tornou o principal meio para o trabalho, as compras e a comunicação. Essa situação criou um novo ambiente, vulnerável a ataques.
Agentes de ameaças que se especializam em spam e phishing sempre tomam vantagem de situações que podem reforçar seus esforços. De acordo com o último IBM X Force Threat Intelligence Index, o phishing foi um vetor de infecção inicial bem-sucedido em 31% dos incidentes observados em 2019.
Agora, os agentes de ameaças continuam sua busca para espalhar softwares mal-intencionados, phishing, e outros ataques informáticos. Sua capacidade de criar e-mails que parecem autênticos com logos críveis, banners, textos e tópicos de interesse para o público-alvo pode enganar até os funcionários mais experientes em segurança, fazendo com que abram arquivos anexos ou clicando em links mal-intencionados.
O phishing pode ser um grande adversário, mas alguns pontos podem ajudar a mantê-los afastados na sua empresa:
· Os funcionários estão compartilhando mais do que deveriam online? Pessoas trabalhando para sua organização podem estar compartilhando informações demais na internet, do ponto de vista organizacional e pessoal. Informe aos funcionários sobre o risco associado com essas atitudes. Os atacantes mais bem-sucedidos gastam um tempo significativo pesquisando seus alvos, olhando seus rastros online e usando essa informação para criar mensagens muito bem customizadas.
· Mantenha o controle de seus domínios com erros de digitação. Um erro de digitação é muito similar ao domínio usado pelas organizações, mas eles são levemente alterados trocando caracteres, por exemplo, mudando o “L” minúsculo em um “i” maiúsculo. Algumas vezes as vogais mudam de lugar, os caracteres são omitidos e outros truques são usados para fazer nossos olhos lerem um nome de domínio crível. A maioria das pessoas deixa passar essas pequenas mudanças, e os atacantes sabem disso. Se o domínio com erro de digitação já estiver registrado por outra pessoa, é recomendado bloquear esse domínio para não se comunicar com a sua rede.
· Forneça educação constante aos funcionários com exemplos baseados nas atualizações técnicas de phishing por atacantes. Avise os funcionários que eles devem prestar atenção aos e-mails que criam um senso de urgência ou enviados por um endereço externo, além de orientá-los para não clicarem em links estranhos ou abrirem anexos de remetentes desconhecidos.
· Teste seus funcionários regularmente. Além de treinar os funcionários em como detectar e-mails de phishing, as equipes de segurança devem providenciar a oportunidade de detectar e reportar e-mails suspeitos através de campanhas e teste regulares.
· Utilize banners nos e-mails que irão sinalizar mensagens vindas de fora da organização e que permitam identificar potenciais falsos.
· Use controles de segurança de e-mails para sinalizar potenciais e-mails mal-intencionados vindos de uma lista negra de domínios, e-mails contendo anexos desativados ou e-mails de domínios com erro de digitação proposital.
· Use uma abordagem em camadas para segurança e considere incluir uma análise comportamental. Uma abordagem em camadas ajuda a detectar ameaças como o malware de “dia zero”. Adicionar componentes comportamentais é fácil com uma solução avançada de análise de comportamento do usuário (UBA), que ajudar a detectar atividades internas suspeitas por meios da informação de segurança e soluções de gerenciamento de eventos (SIEM) da sua companhia. Os antivirus também ajudam a evitar malwares de forma geral e é essencial manter todos os sistemas atualizados.
A implementação de um plano de continuidade de negócios e o suporte a funcionários que trabalham remotamente é essencial para garantir que as empresas sejam capazes de manter as operações frente a adversidades, como inundações, furacões, epidemias e falta de energia.
Os trabalhadores em home office tendem a usar seus próprios dispositivos para suas tarefas, o que implica riscos potenciais à segurança. Ter um alto número de dispositivos compatíveis com a rede comercial facilita a conexão de equipamentos não autorizados. Os funcionários também podem acessar páginas da Web inseguras ou baixar inadvertidamente aplicativos comprometidos, favorecendo a introdução de malware na rede de suas empresas. Por não ter uma interação regular, o trabalho remoto impede a supervisão e o controle da segurança cibernética nesses dispositivos.
A Fortinet, empresa líder global em soluções de segurança cibernética, oferece algumas recomendações para mitigar os riscos associados ao home office:
Garantir conectividade confiável:Apesar dos crescentes desafios, muitas tecnologias modernas, como a Rede Privada Virtual (VPN), protegem as informações por meio de criptografia e estabelecem conexões seguras. As VPNs permitem a conexão segura de todos os dispositivos, mesmo quando acessados a partir de pontos públicos de acesso Wi-Fi, um recurso muito desejável para os empregadores que praticam o trabalho remoto e nem sempre sabem de onde seus colaboradores se conectam.
Contar com filtragem de conteúdo, visibilidade de aplicativos e configuração de tráfego:trata-se de outras tecnologias de segurança cibernética que complementam o home office, principalmente porque filtram conteúdo não seguro, como sites e links de lazer, que podem comprometer dispositivos e informação.
Implementar soluções robustas de autenticação:essas soluções podem garantir que apenas usuários autorizados tenham acesso a informações confidenciais da empresa.
Promover uma cultura de cibersegurança:embora as medidas tecnológicas implementadas ajudem a mitigar os riscos, o principal aliado para o trabalho são os colaboradores da empresa. É necessário treiná-los continuamente sobre os riscos cibernéticos e envolvê-los ativamente na proteção do negócio. Da mesma forma, é essencial que os líderes sejam o exemplo e incorporem a liderança também na cibersegurança. Medidas simples, como bloquear a tela ao sair, podem levar outro trabalhador a replicar o comportamento.
Considerar o erro humano:as empresas devem ter em conta a possibilidade de erro humano ao planejar e implantar suas soluções de segurança. Embora o treinamento adequado possa reduzir erros, é necessário entender que eles não desaparecerão completamente. As equipes de TI devem levar isso em consideração ao projetar e implantar redes da empresa.
Os benefícios do home office são evidentes e, embora possam surgir alguns desafios de cibersegurança, a implementação oportuna de soluções apropriadas pode permitir práticas produtivas e seguras para garantir a continuidade dos negócios. Para oferecer o benefício da flexibilidade a seus funcionários ou no caso de um desastre natural ou outro evento que perturbe as operações comerciais normais, toda organização deve ser capaz de fazer uma transição rápida para uma força de trabalho remota.
Por Bruno Maia, head de Inovação do SAS América Latina
O receio sobre o coronavírus ocasionou um aumento exponencial na prática de trabalho remoto — a Ásia está liderando o que é o maior experimento de home office já visto no mundo. De fato, quem ainda achava que era impossível produzir trabalhando longe do escritório não teve outra opção a não ser aceitar que essa era a nova forma de operar. Antes mesmo da epidemia se instalar, a evolução do work from home/work from anywhere, em que colaboradores podem viver e trabalhar onde quiserem, desde que façam suas entregas, já era uma realidade.
Refletindo sobre as implicações relativas aos dados no contexto do aumento do remote working, o que tem atrapalhado é o trânsito entre o trabalho feito localmente, ou seja, nos nossos computadores, e a fonte: muita tecnologia ainda precisa ser envolvida para apresentar ou salvar o conteúdo com o qual precisamos trabalhar. A conectividade torna-se fundamental — e o 5G virará a chave nesse jogo, mas isso ainda é um cenário futuro.
Considerando as coisas como são atualmente, um ponto a ser levado em conta é a segurança. Quando se está usando dados no escritório, normalmente assume-se uma rede contida da empresa, com um guarda-chuva de segurança da estrutura fixa. Em um contexto de home office, como é possível garantir a integridade dos dados corporativos?
Em empresas que sabem que dados são seu ativo de maior valor, se um descuido no trato de dados sensíveis ficar evidente, isso chega na mesa da gestão. Empresas que permitem o home office responsável empregam toda a sorte de ferramentas como bitlocker, criptografia no computador e até nos pendrives. E, se você o mesmo computador para trabalhar e para suas atividades pessoais, terá que abrir mão de alguma privacidade, pois a empresa vai monitorar tudo: as suas coisas pessoais e as que dizem respeito à empresa.
Portanto, empresas que flexibilizarem suas rotinas de trabalho no escritório, com funcionários longe dos recursos tecnológicos que forçam a aderência a políticas de segurança, precisam rever como tratam seus dados. Sem uma evolução do padrão de tecnologia, segurança e políticas associadas, vazamentos de dados e prejuízo para o cliente final se tornarão cada vez mais frequentes com o aumento do trabalho remoto. Epidemias à parte, este é um risco certamente real.
O Coronavírus colocou o mundo inteiro em estado de alerta máximo. Motivos, de fato, não faltam: a contaminação que se espalha pela China e que atinge diversos países de todo o planeta tem mostrado que o vírus é mais veloz e letal do que poderíamos imaginar. O que pouca gente sabe, porém, é que o Coronavírus tem representado cada vez mais uma ameaça digital.
Os cibercriminosos estão se aproveitando do estado de alerta da população mundial, principalmente nos países que têm maior risco de contaminação, para enviarem mensagens com conteúdos falsos que disseminam diversos agentes maliciosos especialmente criados para roubar dados bancários e ter acesso irrestrito aos arquivos (corporativos e pessoais).
Por meio de e-mails com links falsos ou de arquivos anexos perigosos que, aparentemente, trazem apenas as instruções de proteção e identificação do novo vírus, os criminosos estão atacando eletronicamente a população. Ao clicar no conteúdo de uma mensagem, os usuários têm seus computadores invadidos e seus dispositivos infectados com malwares, como o Trojan Emotet (eficaz em ataques a governos e instituições financeiras); Cavalo de Troia (capaz de espionar e roubar dados confidenciais, além de obter acesso ao sistema do dispositivo); e os Ransomwares (cuja função é restringir o acesso ao sistema e cobrar seu resgate em criptomoedas).
Vale destacar, porém, que não estamos diante de nenhuma grande novidade, pois hackers sempre enviam e-mails e conteúdos falsos para ‘fisgar’ os dados das pessoas. Porém, o que causa surpresa é a quantidade de ataques e a sofisticação das armadilhas.
Por isso, é importante ter em mente que estamos em uma era hiperconectada, na qual grande parte da população se informa e comunica pela Internet. Em outras palavras, estamos sujeitos a ser alvo desses ataques a cada clique que damos. A questão estratégica é o que podemos fazer para mitigar essas ameaças?
A primeira resposta é trabalhar a cautela. As empresas podem começar suas ações, limitando o acesso a links estranhos e orientando seus funcionários a não abrirem anexos de desconhecidos. É importante repensar de forma contínua os índices e as medidas de segurança a partir de planos específicos para capacitar e qualificar todos os colaboradores, como um mantra a ser seguido por todos. É preciso compartilhar melhores práticas de proteção na Web – inclusive em aplicativos de mensagens instantâneas. Os líderes devem acompanhar essa jornada de perto, buscando caminhos para orientar as equipes e alertar continuamente sobre a importância de parar e pensar antes de abrir links estranhos ou arquivos anexos suspeitos.
Além da formação de uma cultura orientada à cibersegurança, é preciso investir no uso de tecnologias capazes de identificar vulnerabilidades e prevenir os ataques, com filtros de conteúdo e firewalls que limitem o acesso de informações e mantenham todos os dispositivos protegidos, usando antivírus e, também, por programas certificados de proteção e detecção de ataques.
Outra forma de se proteger é ter soluções específicas para cada equipamento. Utilizar ferramentas adequadas e sempre atualizadas ajuda a evitar o roubo de dados, espionagem, exposições indevidas ou a danificação de bases de dados estratégicas para o negócio. Contar com soluções de última geração – que permitam uma análise inteligente, proativa e em tempo real – é importante para impedir que vírus atualizados entrem na rede corporativa, causando danos irreparáveis. Essa proteção deve estar presente em PC, servidores e em smartphones, pois esses aparelhos estão entre os mais usados pelos brasileiros.
Além da mudança de hábito do usuário, que deve desconfiar sempre do remetente desconhecido e não abrir qualquer arquivo recebido, a tecnologia de proteção já está disponível no Brasil e pode ser encarada como um fator imprescindível para aumentar a segurança digital das empresas. O Coronavírus tem nos mostrado que combater epidemias exige trabalho conjunto, coordenação e muito controle. Hoje, todos nós queremos ter informação rápida e global, mas vale a pergunta: sua organização está realmente preparada para trabalhar com segurança? A resposta começa pela tecnologia que utiliza e pelas políticas de cibersegurança. Manualmente é impossível proteger os ataques.
O laboratório da ESET, empresa líder em detecção proativa de ameaças, analisou recentemente novas ameaças de ciberataques e golpes para evitar que usuários sejam enganados na internet.
O novo golpe é feito por meio do WhatsApp e tem o objetivo de sequestrar contas de usuários do aplicativo. Tudo começa com uma mensagem através do app ou de um SMS por meio do qual um contato (também vítima do golpe) menciona que, sem querer, um código de verificação de seis dígitos (que, supostamente, não era dirigido a ela) foi enviado para o seu telefone e solicita que a mensagem seja reenviada com o código.
Neste caso, como a vítima não solicitou a recuperação de nenhum código, pode pensar que a mensagem, de fato, foi enviada por um contato que precisa recuperar o acesso a sua conta. O que, na realidade, estão fazendo os criminosos por trás desse golpe é entregar o código de verificação para registrar sua conta de WhatsApp em outro dispositivo.
Uma vez que se reenvia a mensagem com o código de verificação de seis dígitos: o cibercriminoso registrará o WhatsApp em outro celular com a combinação numérica (o número telefônico aparece no cabeçalho da mensagem recebida), enquanto a vítima apenas verá em sua tela uma mensagem que a informa ter perdido o acesso à sua conta, ainda que momentaneamente.
Nestes casos, geralmente, o cibercriminoso ativa a verificação em duas etapas dentro do WhatsApp, fazendo com que o usuário original da conta não consiga recuperá-la.
“A educação é um ponto-chave para evitar cair em golpes, já que a conscientização permite que, ao conhecer os riscos, se tomem as medidas necessárias para evitar ser vítimas de golpes. Ironicamente, o recurso de dupla verificação que leva adiante o cibercriminoso é (se já estiver implementado) o melhor aliado que os usuários têm para evitar cair nesse tipo de golpe que busca tomar o controle do serviço de mensagem mais utilizado atualmente”, comenta Luis Lubeck, especialista em Segurança Informática da ESET na América Latina.
Para ativar o recurso, primeiro é necessário acessar os Ajustes na parte superior direita da tela do dispositivo.
Neste momento, o usuário deve escolher uma senha de seis dígitos, que será solicitada na próxima vez que queira registrar o WhatsApp em qualquer dispositivo. É possível que, por segurança, a aplicação solicite a senha, de tempos em tempos, para evitar leituras não autorizadas das mensagens.
“Desta forma, a conta fica protegida ao estar associada não apenas ao número telefônico que fez a instalação, mas também a uma chave numérica e a um e-mail. Com essas medidas adicionais, se por algum motivo o usuário entrega a chave de registro do WhatsApp, as outras camadas de segurança impediriam que um terceiro se registrasse em outro celular”, menciona Luis Lubeck.
“A verificação em duas etapas segue sendo o método mais seguro para evitar acessos não autorizados às contas. Este tipo de camada de segurança se encontram, atualmente, na maioria das redes sociais, assim como nos sistemas de e-mail mais utilizados”.
O surgimento de novas tecnologias como 5G, Internet das Coisas (IoT), veículos autônomos e indústria 4.0 está levando ao aumento da demanda de profissionais de cibersegurança. Segundo estimativas da Cybersecurity Venture, líder mundial em pesquisas de cibereconomia global, o setor deverá gerar de 3,5 milhões postos de trabalho até 2021. Somado a esses fatores, a entrada em vigor em agosto da lei 13.709/18, conhecida por Lei Geral de Proteção de Dados (LGPD), contribuirá para o aumento da demanda no Brasil. Diante deste cenário, os engenheiros Marcos Simplicio e Raul Colcher, membros do IEEE, maior organização profissional dedicada ao avanço da tecnologia em benefício da humanidade, acreditam na urgência da formação de profissionais neste setor para resolver problemas de segurança e privacidade de tecnologias existentes e emergentes.
Professor do Departamento de Engenharia de Computação e Sistemas da Escola Politécnica da Universidade de São Paulo (Poli-USP), Marcos Simplicio defende que haja profissionais cobrindo todo o ciclo e etapas de um sistema de segurança. “É importante ter um designer para criar um sistema robusto; um programador de segurança para evitar vulnerabilidades e um administrador de sistema para elaborar um ambiente seguro. Todas essas funções estão conectadas e a falha de uma delas pode prejudicar o sistema inteiro”, afirma.
Para Raul Colcher, sócio e presidente da Questera Consulting, as habilidades necessárias para um profissional de cibersegurança são multidisciplinares e compreendem técnicas específicas do setor, como conhecimentos e treinamentos básicos sobre tecnologias e soluções emergentes que caracterizam o novo ambiente de redes, sistemas e serviços. Ademais precisam estar familiarizados com os problemas e as características dos setores e aplicativos que irão proteger. “Por fim, eles precisam de um entendimento sólido dos problemas administrativos, comportamentais e regulatórios que normalmente estão presentes em incidentes e ameaças de segurança e privacidade”, conclui.
Por Marcel Mathias, Diretor de Pesquisa & Desenvolvimento da BLOCKBIT
Quem acompanha o noticiário certamente já percebeu que os casos de vazamento de dados estão cada vez mais constantes e perigosos. São milhares de ataques todos os dias, provocando perdas de bilhões de dólares anualmente às economias de todo o planeta. Com isso, a proteção de dados tem se transformado em uma questão essencial para as organizações, com inúmeras soluções surgindo diariamente. Mas como nós, os usuários, podemos proteger nossa privacidade e evitar o roubo de fotos, vídeos e arquivos pessoais?
Essa é uma tarefa que requer atenção contínua. A boa notícia é tornar nossa rotina digital mais segura é possível com passos simples. Para mostrar como, selecionamos oito dicas para melhorar a segurança on-line de forma efetiva e prática. Confira:
1. Aplique as opções de autenticação de identidade com duplo fator de controle – A maior parte das aplicações e serviços, hoje, oferecem opções de autenticação e identificação com várias etapas e processos. Essa dupla verificação para o acesso às contas permite que o consumidor combine diferentes formas de checagem (com senha e padrão visual, por exemplo), o que pode elevar o nível de controle de acesso às informações.
2. Adote uma senha diferente para cada conta – Buscando mais praticidade, muitas pessoas acabam adotando a mesma senha para várias contas. Mas o que esses usuários não sabem é que esse pode ser um dos maiores perigos a se correr no ambiente on-line. Afinal de contas, se alguém roubar seu acesso a uma conta, todas as outras estarão vulneráveis a vazamentos e roubos. Para evitar esse risco e não deixar de lado a praticidade das senhas, uma dica é criar senhas únicas. Uma forma simples de fazer isso é adotar um bom gerenciador de senhas, capaz de criar sequências de senhas aleatórias, com dados baseados em padrões de segurança.
3. Sempre utilize uma VPN, principalmente em conexões públicas – Bastante populares nas empresas, as VPNs (Redes Privadas Virtuais) permitem o acesso seguro a dados armazenados em servidores, mesmo para quem está fora do escritório. Não são apenas as companhias, no entanto, que podem ganhar com essas soluções: as VPNs são uma das melhores maneiras de garantir a privacidade digital em nossos tempos, sobretudo quando utilizamos redes públicas ou compartilhamos acessos. É preciso destacar, contudo, que as soluções gratuitas não são recomendadas. Quando o assunto é segurança, o melhor é buscar serviços mais consolidados e com melhor custo-benefício.
4. Veja se o site é confiável – Ao acessar um site, verifique a procedência e o nível de segurança da conexão. Para isso, confira se a página foi assinada por uma autoridade conhecida e está com um certificado válido. O lado positivo dessa questão é que está cada vez mais fácil de encontrar essa informação: atualmente, os principais navegadores e soluções de segurança do mercado oferecem essa informação de forma automática, junto ao endereço digitado e com alta confiabilidade. Evite sempre endereços com falhas de segurança e certificados inválidos.
5. Cuidado com promoções (não existe nada grátis na Internet) – Você já ouviu falar que, quando a esmola é muita, o santo desconfia? É exatamente assim que você deve enxergar a Internet. Seja cético e desconfie de ofertas “gratuitas”. Pesquise sempre antes de fechar uma compra e cheque as condições. Além disso, algumas dicas interessantes para fugir de riscos são: sempre configure uma conta de e-mail específica para compras e assinaturas de ofertas gratuitas; invista em um antivírus de alta qualidade e o mantenha atualizado.
6. Confira se seus dados estão comprometidos – Assim como verificamos nossa conta bancária e faturas do cartão de crédito, é importante que você também analise regularmente se os seus dados foram comprometidos ou roubados por terceiros. Hoje, é possível encontrar vários sites capazes de verificar rapidamente se o seu e-mail, contas e senhas foram vazados ou sofreram algum tipo de invasão. Entre os mais utilizados atualmente estão Haveibeenpwned e BreachAlarm.
7. Seja cauteloso ao interagir com e-mails não solicitados – No mundo atual, o phishing é a principal ameaça para suas informações. Basta uma simples examinada em sua caixa de entrada, por exemplo, para encontrar inúmeras tentativas de fraude que podem ser fontes de ataques para o roubo de dados. Por isso, tenha sempre atenção aos contatos e e-mails – especialmente às mensagens que você não solicitou. Antes de acessar um link, cheque a procedência e a legitimidade da mensagem. Em caso de dúvidas, nunca clique.
8. Cubra ou desconecte a webcam e o microfone – Sabe a sensação de estar sendo vigiado? Se um hacker conseguir invadir seu computador, ele poderá acessar todos os seus dados e, também, sua webcam e seu microfone. Para evitar que algum hacker assista ou escute suas conversas, é importante desabilitar a câmera e a gravação de áudio quando não estiverem em uso. Se não puderem ser desconectados, cubra-os com fitas. Ainda assim, é essencial que os usuários controlem o acesso real das aplicações dentro do sistema. Hoje, soluções inteligentes podem ajudar a coibir o monitoramento indesejado, protegendo as informações contra roubos e espionagens.
Investir tempo e cuidados na proteção de seus dados é algo que apenas você pode fazer e que certamente evitará muitos problemas no futuro. Vivemos uma era de conectividade e disputa acirrada de empresas por dados de possíveis clientes e, nesse cenário, suas informações pessoais são ativos muito valiosos. O que você está esperando para proteger esse patrimônio?
Casos de vazamentos de dados estão cada vez mais frequentes. Analisando apenas os últimos meses, tivemos alguns episódios que colocaram em alerta tanto usuários da internet quanto empresas cujas informações estão armazenadas na nuvem.
Dias atrás, por exemplo, foi descoberto, pelo pesquisador de segurança australiano Troy Hunt, o maior vazamento de e-mails e senhas da história. Segundo o especialista, mais de 772 milhões de e-mails e cerca de 21 milhões de senhas diferentes foram vazadas. Outro fato recente foi a apresentação da ONG austríaca Noyb de uma queixa contra oito empresas digitais internacionais, entre elas gigantes da tecnologia, por suposta “violação estrutural” do Regulamento Geral de Proteção de Dados europeu (RGPD) ao não respeitar o denominado “direito ao acesso” aos dados pessoais.
Seja numa busca rápida na internet por preços mais em conta de produtos, baixando apps que pedem acesso a suas fotos e lista de contatos ou, até mesmo, usando a mesma senha para serviços variados na web, usuários da internet estão sempre deixando “rastros” em plataformas e sites, que indicam que seus dados podem não estar tão seguros assim.
Além de todas as precauções básicas que as pessoas precisam tomar, torna-se cada vez mais fundamental que as empresas também desenvolvam políticas de proteção de dados que garantam a privacidade de seus clientes. Neste sentido, a Lei Geral de Proteção de Dados, aprovada em maio de 2018 no Brasil, pode ser considerada um marco importante para garantir maiores mecanismos de controle e segurança sobre a forma com que as empresas colhem, armazenam e tratam dados.
A LGPD será aplicada a empresas de todos os setores da economia e possui aplicação extraterritorial, ou seja, toda companhia que tiver negócios no país deve se adequar a ela. A lei ainda estabelece como condição o consentimento do usuário para que as empresas coletem informações pessoais, sendo que os titulares podem retificar, cancelar ou até solicitar a exclusão desses dados a qualquer momento. As empresas ainda estão obrigadas a fazer uma notificação ágil de qualquer incidente com estas informações.
Daniel Galante, Managing Director da Claranet Brasil, que é uma provedora de serviços gerenciáveis de TI, afirma que “a LGPD irá mudar o funcionamento e operação das organizações ao estabelecer regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo um padrão mais elevado de proteção e penalidades significativas para o não cumprimento da norma”.
Como a lei entra em vigor apenas em 2020, até lá as empresas terão que passar por uma série de adaptações para se adequar a estas novas regras. Neste processo, será fundamental encontrar parceiros confiáveis que tenham expertise e auxiliem nesta transformação. A Claranet, por exemplo, reúne um dos times de segurança mais qualificados do mundo, com mais de 17 anos de mercado em serviços de cybersecurity e treinamento para as maiores marcas.
Dia 06 de fevereiro é dia da segurança na internet e sabemos que a Internet proporciona acesso a uma infinidade de informação mas, durante a navegação, todas pessoas e, principalmente empresas, estão sujeitas a diversos tipos de ameaças. Podemos ver os mais diversos truques, que vão de fraudes à contaminação do computador, distribuição de conteúdos em vídeos e até furto com dados bancários para compras. Com isso, é fundamental que os usuários se mantenham alertas para não cair em eventuais armadilhas.
Pensando nisso, reunimos algumas dicas de especialista que falam sobre os cuidados que os internautas devem ter ao se conectar com a internet e apostar em soluções inovadoras.
Como se proteger no mercado de vídeos online?
Segundo uma pesquisa realizada pela Federação Internacional da Indústria Fonográfica (IFPI), o Brasil é o segundo país que mais pratica pirataria. De todos os CDs, DVDs e softwares comercializados, 52% são piratas, enquanto a média mundial é de mais ou menos 34%. Uma das grandes preocupações dos produtores de conteúdo (desde professores autônomos até as grandes instituições) é essa questão, pois ninguém quer ter o seu material baixado ou compartilhado irregularmente.
Em uma pesquisa realizada recentemente pela Samba Tech, empresa líder na distribuição de vídeos online na América Latina, entre os produtores de vídeos que já sofreram pirataria, 46% atribuem o problema às falhas da plataforma utilizada e 18% aos sites que hospedam vídeos. Segundo Pedro Filizzola, CMO da Samba Tech, uma forma estratégica de evitar a pirataria é dificultar a distribuição dos conteúdos de forma ilegal é por meio da proteção por domínio. “Com ela, o produtor configura em qual domínio ele quer que seus vídeos sejam exibidos e então, mesmo que alguém consiga baixar, não poderá distribuí-los e revendê-los, já que ele só funcionará no domínio configurado”, explica.
Invista em segurança para o seu e-commerce
Segundo Alfredo Soares, fundador da Xtech Commerce, plataforma de e-commerce para PME´s, sem a segurança necessária para criptografar as informações fornecidas pelos clientes, além de um reforço no acesso a elas, a loja passa a ser um ambiente vulnerável a ataques de ladrões virtuais. Essas invasões podem resultar em diversas fraudes, como, por exemplo, a substituição do endereço de entrega das últimas compras realizadas e novas compras feitas com dados de terceiros. “Em um ambiente virtual que lida com transações financeiras, como um e-commerce, é preciso receber todo o investimento necessário para proporcionar segurança aos seus consumidores. Sem a segurança das transações financeiras, o cliente passa a desconfiar da loja on-line” revela Alfredo.
Invista em criptomoedas com segurança
Segundo recente relatório divulgado pela McAfee, empresa americana de informática e software de segurança, tivemos um aumento de 600% no número de ameaças de malwares criptos, apenas no primeiro trimestre de 2018. Tais dados nos mostram o quanto o quesito segurança tem se tornado essencial para usuários e investidores de criptomoedas.
Segundo Fernando Bresslau, Head of Operation and Finance da Ripio, carteira digital mobile para serviços financeiros, é importante tomar alguns cuidados na hora de realizar operações com moedas digitais. “Tenha excesso de atenção com as senhas, deixando-as mais extensas e complexas, use todos os sistemas de autenticação que a corretora ou carteira virtual oferecer e, principalmente, pesquise muito sobre a reputação da carteira que pretende usar, pois quanto mais lastro positivo ela tiver, mais confiança ela gera”, afirma Bresslau.
Compre na internet com segurança
Os consumidores estão cada vez mais propensos a realizarem compras no ambiente on-line, mas é preciso muito cuidado para não cair em ciladas. Um dos principais cuidados de segurança é verificar quais as formas de pagamento que são aceitas no e-commerce: mais especificamente se a loja aceita cartão de crédito.
“Uma empresa, para poder receber pagamentos via cartão, precisa apresentar uma extensa documentação – e isso, por si só, já cria uma grande barreira para um fraudador oportunista. O cliente não precisa necessariamente escolher pagar no cartão, mas só de o fato de o estabelecimento oferecer esta opção já significa muita coisa”, ressalta Tom Canabarro, co-fundador da Konduto.
Muitas pessoas acreditam erroneamente que o boleto bancário é a maneira mais segura, mas existem vários tipos de golpes envolvendo esse tipo de pagamento e o banco não se responsabiliza. Já nos pagamentos via cartão, por contrato, o consumidor sempre está protegido.
A biometria a serviço da segurança
A biometria, aos poucos, está se tornando parte do nosso dia a dia, principalmente quando o assunto é segurança. As instituições bancárias já estão implementando soluções do tipo para saque e consulta de dados. Uma câmera de celular, tablet ou notebook e um software. Isso é o suficiente para a utilização da biometria facial, uma nova tecnologia que tem se tornado tendência na identificação de pessoas em diversos setores.
Segundo Danny Kabiljo, CEO fundador da FullFace, startup brasileira que criou um sistema de reconhecimento facial que facilmente se integra a hardwares e softwares facilitando processos de autenticação biométrica facial web e mobile.
“Para contextualizar, a biometria facial pode ser utilizada em qualquer segmento onde seja necessário a identificação, ou seja, bancos em processos de autenticação, sistemas de saúde e laboratórios para reconhecer o cliente, qualquer empresa que necessite identificar o funcionário (controle de acesso e controle de ponto), aeroportos e empresas aéreas, segurança pública, no setor varejista que necessita saber quem é o cliente para fidelizá-lo, entre outros”.
Consultório Virtual 100% criptografado
O mercado de novos aparelhos e soluções de diagnóstico remoto só cresce, tornando-se hoje uma nova área da Medicina e Saúde que traz uma revolução na própria forma de se atender e entender o paciente através dos dados que se pode coletar dele por meio do teleatendimento online.
Para Lucas Arthur de Souza, Co-fundador e Diretor de Operações da TelaVita, marketplace de saúde digital, segurança sempre foi importante no desenvolvimento da plataforma que tem como objetivo conectar psicólogos e pacientes de todo país. “Mesmo sem existir um padrão universal de segurança no Brasil, nosso sistema já está próximo e de acordo com a maioria dos padrões internacionais, como padrão norte americano, HIPPAA, por exemplo. Possuímos várias camadas de segurança com diversas abordagens. Primeiramente o sistema possui certificação SSL (HTTPS) que garante que todas as transações e informações são criptografadas”.
No Brasil não temos a cultura de analisar ampla e detalhadamente o impacto dos regulamentos governamentais. O que se passa é que os diversos Órgãos públicos geram normas, sem analisar todos os aspetos, e em seguida vemos que os consumidores pagam a conta, como aconteceu, por exemplo, com as tomadas de três pinos, em que não se provou que a inovação melhoraria de fato a segurança elétrica de consumidores, e muitos outros exemplos.
A Análise do Impacto Regulatório deveria ser uma norma obrigatória para qualquer órgão que crie regulamentos, impondo restrições e punições que podem afetar a segurança jurídica e tributária do país.
Mesmo no Legislativo, que leva muito a sério a confecção de leis regulamentadoras, realizando Audiências Públicas, passando os Projetos de Lei por várias comissões, e finalmente aprovando-as, em um processo transparente, passam aspectos não previstos antecipadamente.
Foi isto o que aconteceu com a Lei Geral de Proteção de Dados, baseada no complexo modelo europeu do GDPR.
Por se tratar de um assunto muito recente, de um problema extremamente complexo, que tem impacto na maioria das empresas brasileiras e grande parte da população, é importante trazer à luz detalhes que acabam sendo muito importantes e, às vezes, passam desapercebidos.
A segurança da informação e a proteção de dados foi e continua sendo o calcanhar de Aquiles da nossa sociedade, apoiada cada vez mais em tecnologias digitais e no uso de dados.
Praticamente tudo está armazenado virtualmente, desde fotos em redes sociais até documentos corporativos sigilosos, o que instiga a voracidade de criminosos em burlar essas tecnologias de segurança para obter vantagens, sejam econômicas ou de outra natureza.
Agora, com as novas regulamentações de proteção e privacidade de dados, como a europeia GDPR e a nova LGPD brasileira, a segurança ficou muito mais complexa, pois os invasores terão novos e sérios argumentos para convencerem as empresas a pagarem o preço da chantagem.
Antes das regulamentações, as empresas, vítimas de piratas, que ameaçavam publicar os dados roubados, temiam o dano à sua imagem e o custo dos processos que teriam eventualmente que enfrentar.
Com a nova regulamentação, apareceram as multas pesadas para as empresas vítimas de ataques bem-sucedidos. As penalidades mais incisivas, custos por danos à imagem e indenizações tendem a ser mais altas, pois se as multas são grandes, juridicamente as punições de processo têm que ser equivalentes, o que pode fazer com que a companhia opte por negociar com os piratas, a fim de não permitir que os dados sejam divulgados e o prejuízo seja ainda maior. E isso será um grande estimulo para novos ataques.
Recentemente o Facebook admitiu que 50 milhões de contas foram hackeadas. Imaginem se eles, que investem milhões de dólares em segurança de dados, são vítimas de pirataria, o que aconteceria com empresas menores, no Brasil? É um caso sui generis, em que a lei condena a vítima, e seu agressor pode escapar impune.
A alegação da rede social de Mark Zuckerberg foi que os invasores exploraram uma vulnerabilidade em seu código que permite roubar geradores de senhas de acesso quando os usuários mudam para a visualização dos perfis de “privado” para “público”, por meio do recurso “Visualizar como”.
Seja como for, o vazamento de dados pessoais nunca foi tão desafiador para organizações de todos os portes, o que requer tecnologia avançada, serviços especializados e mudança cultural, dentro e fora das empresas.
Mais do que isso, as regulações vão mudar a forma como se coletam dados (RG, CPF, endereço, renda etc.), com a inclusão de ferramentas contra vazamentos e inclusão de meios que expliquem aos clientes o porquê precisam de determinadas informações, como elas serão usadas e quando serão descartadas. O consentimento tem que ser explícito. Assim, a indicação para que as empresas brasileiras estejam em conformidade com a lei tendo soluções de segurança isoladas não basta. É preciso integrar sistemas com as mais diversas finalidades, o que requer integradores e consultores com apoio técnico de primeira linha e conhecimentos consolidados para entregar projetos que vão ao encontro das novas demandas.
O desafio é grande. Soluções para proteção de dados, criptografia, gerenciamento de logs, firewalls de aplicativo da web, prevenção e detecção de intrusos, sistemas de análise de big data, etc., talvez não bastem.
Com a ascensão dos métodos e tecnologias que utilizam a inteligência artificial, uma das saídas possa ser justamente investir em técnicas de análise de comportamento dos usuários das plataformas digitais das empresas. Com o passar do tempo, os dados coletados poderão prever ações e identificar potenciais riscos à segurança, que podem abrir brechas para ataques passíveis das temidas punições.
Francisco Camargo, Presidente da Abes (Associação Brasileira das Empresas de Software)
Por Derek Manky, Estrategista de Segurança Global da Fortinet
A força de trabalho atual tem cada vez mais pessoas da geração do milênio e outras com alto conhecimento de tecnologia, acostumadas a usar a tecnologia para tudo na vida. Com o surgimento de novas tecnologias, esse grupo de funcionários espera ter uma experiência de usuário perfeita em todos os dispositivos e locais, usando aplicativos e dispositivos pessoais no trabalho e vice-versa. Porém, muitas vezes esses funcionários não levam em conta os riscos digitais que acompanham a adoção de novas tecnologias no ambiente corporativo. Com isso, os desafios de segurança se tornaram um grande problema para os CISOs (diretores de segurança da informação).
Além de proteger o perímetro de rede, monitorar a inteligência de ameaças e exercer outras responsabilidades diárias necessárias para impedir que os cibercriminosos acessem a rede por meio de ameaças de dia zero e outras vulnerabilidades, os CISOs agora também devem avaliar todas as formas utilizadas pelos cibercriminosos para explorar as ferramentas e os comportamentos dos funcionários e obter acesso à rede.
Manter a privacidade e segurança com a adoção de tecnologias emergentes
Em particular, existem cinco tecnologias, tendências e comportamentos comuns e emergentes aos quais os CISOs devem dedicar mais atenção:
1. Senhas repetidas
As pessoas geralmente têm contas em diferentes plataformas e aplicativos e muitas vezes repetem as senhas de acesso nessas contas pessoais ou corporativas. Este é um problema que precisa ser discutido. Se uma conta for invadida, os cibercriminosos podem aproveitar a senha repetida e acessar outras contas. O problema se agrava principalmente na nuvem, pois se a mesma senha for usada em todas as contas na nuvem, então, quando uma conta for invadida, todas as outras também serão.
Para combater isso, as equipes de segurança devem promover o uso de senhas diferentes, principalmente em contas corporativas, e ao mesmo tempo limitar o acesso às áreas da rede que o funcionário não precisa acessar. Isso pode ser feito com soluções de gerenciamento de identidade e acesso que utilizam autenticação de dois fatores, software de gerenciamento de senhas para que os usuários adotem senhas mais sofisticadas sem perdê-las e firewalls de segmentação interna que restringem o acesso a partes confidenciais da rede.
2. Shadow IT (TI invisível)
Quando os funcionários usam uma tecnologia não analisada pelas equipes de TI, isso pode levar a vazamentos de dados, vulnerabilidades e não conformidade, como resultado da transferência de informações corporativas confidenciais para programas e redes não aprovados. Os CISOs e as equipes de segurança devem saber, o tempo todo, quais dispositivos e aplicativos estão sendo usados na rede. O uso de proteção dos dispositivos de usuários e firewalls de aplicativos da web permite que as equipes de segurança minimizem o risco causado por esses funcionários, descobrindo quais dispositivos de usuários e aplicativos na rede e, em seguida, identificando e segmentando os que estão em risco.
3. Conexões remotas
O trabalho remoto está cada vez mais comum, com os funcionários se conectando por meio da rede residencial, de lanchonetes ou no trânsito. Embora isso possa ajudar a aumentar a produtividade e a eficiência, os CISOs devem ter certeza de que esses dispositivos estão se conectando a pontos de acesso seguros. Durante o uso de uma rede de WIFI pública, os cibercriminosos podem interceptar dados que estão sendo transferidos ou executados entre o usuário final e a empresa. Os CISOs podem minimizar esse risco, incentivando o uso de VPNs e adotando soluções de gerenciamento de rede sem fio.
4. Golpes por e-mail e phishing
Esses golpes não são novos, mas ainda são uma das formas mais comuns de ciberataques, já que quase todos usam e-mails regularmente. No caso de phishing, o usuário recebe um e-mail de uma fonte aparentemente confiável, por ex. do banco, de um colega de trabalho etc. Esse tipo de e-mail geralmente pede que o usuário envie seus dados de acesso ou pedem para clicar em um link, o que resulta em roubo de senha e/ou download de malware que infecta o dispositivo. Para minimizar as chances de um ataque de phishing causar danos na rede, os CISOs devem implementar controles, como gateway de e-mail seguro.
5. Redes sociais
As contas em redes sociais são uma forma comum utilizada pelos cibercriminosos para o envio de links maliciosos ou coleta de dados pessoais que podem ser usados para criar ataques mais direcionados. Os CISOs devem implementar uma forte política de rede social e alertar os funcionários para que não aceitem solicitações de amizade e mensagens de estranhos, principalmente se tiverem que clicar em um link enquanto conectados à rede corporativa. As equipes de segurança devem garantir a adoção de soluções de antimalware e firewall. Além disso, devem treinar os funcionários para que possam reconhecer esquemas de engenharia social que tentam roubar seus dados de acesso à rede e conta corporativa.
Os CISOs geralmente já possuem muitas das ferramentas necessárias para minimizar o risco dessas tendências, porém é importante usá-las de maneira unificada, ao invés de adotar soluções isoladas e distintas. A integração e automação entre gateways de e-mail seguros, firewalls, proteções de dispositivos de usuários, WAFs, gerenciamento de acesso e outros recursos fornecem uma visão holística da atividade em toda a rede, permitindo que as equipes detectem rapidamente comportamentos estranhos e respondam de maneira coordenada e holística.
As tecnologias adotadas pelos funcionários e trazidas para a rede corporativa estão deixando as equipes de segurança e os CISOs alertas em termos de proteção da rede. Essas tecnologias emergentes exigem a adoção de novas soluções e processos para impedir que comportamentos aparentemente inofensivos acabem comprometendo a rede com violações de dados. Para isso, é importante estar por dentro das tendências de tecnologias emergentes e implementar soluções de segurança integradas para minimizar os riscos.
O Gartner, Inc., líder mundial em pesquisa e aconselhamento imparcial em tecnologia, divulga os motivos porque muitos CEOs serão demitidos por causa de ciberataques e como eles podem se manter em seus cargos.
“Tendências no âmbito regulatório indicam um aumento da responsabilidade para conselhos de administração e executivos na comunicação e prevenção de ciberataques”, diz Tom Scholtz, Vice-Presidente de Pesquisa do Gartner. “Embora você não possa controlar a ocorrência de ataques, é possível supervisionar o nível de preparo das organizações para responder e enfrentar a tempestade”, afirma o analista. “Fomente o engajamento de seus executivos – o risco é deles.”
Segundo o Gartner, o roubo de dados privados de 143 de milhões de norte-americanos fez do caso envolvendo o ciberataque da Equifax um dos maiores da história. A maneira como a companhia lidou com a situação foi acompanhada de diversas análises, resultando na saída do CEO Richard Smith em meio à crise, em 2017. Trata-se de um sério lembrete para qualquer CEO dos perigos envolvidos na violação de dados, diz o especialista.
Para o Gartner, muitos CEOs serão demitidos por causa de ciberataques. Vejas sete razões das demissões de altos executivos por erros de segurança, e como eles devem fazer para manter seus cargos:
1. Responsabilidade fragmentada – Mais CEOs serão tidos como os “responsáveis”. Sem um bom esforço de engajamento contra os risco não há como responsabilizar – “Eu apenas fiz o que o pessoal da segurança me mandou fazer”. Ofereça aos seus executivos condições para decisões adequadas, não proteção. Modelos fortemente baseados em responsabilidade, nos quais os riscos estão a cargo de quem tem autoridade para cuidar deles, garantem que problemas de segurança não se agravem.
2. Desconexão cultural – Muitos Conselhos de Administração acreditam que cibersegurança é um problema técnico resolvido por pessoas técnicas, escondidas em TI. Ao contratar as pessoas certas com conhecimento técnico, é possível diminuir as chances de ser atacado e manter distância das manchetes.
3. Servidor que nunca sofre correções – Embora haja uma legítima razão corporativa, muitas organizações possuem servidores completos sem nunca terem sido atualizados ou corrigidos. Decisões de negócios conscientes precisam ser tomadas levando em consideração o que será feito, mas, mais importante, o que não será feito para se proteger.
4. Seu executivo de segurança é o defensor da sua organização – Equipes de segurança são contratadas por serem especialistas e seu trabalho é proteger a organização. Esses silos são a questão, colocar pessoas na função de proteger os resultados de negócios que não entendem. Fomente o engajamento de seus executivos – esse é o risco deles.
5. Jogar dinheiro no problema – Você não pode comprar sua saída – você ainda não estará perfeitamente protegido. Evite resultados negativamente impactantes devido a elevação de custos operacionais existentes prejudicar potencialmente a habilidade de a organização funcionar.
6. Tolerância ao risco e apetite brando – Organizações criam declarações genéricas de alto nível sobre seu apetite por risco que não suportam a tomada de boas decisões. Evite prometer para apenas engajar em atividades de baixo risco. Essa prática é contrária aos bons negócios e cria outras boas razões para demissão se você está envolvido em atividades de risco.
7. Pressão social – Culpar uma organização por sofrer um ataque de hacker é como culpar um banco por ser roubado. A diferença é que bancos são defensáveis – a maior parte das organizações não é. O primeiro passo para se recuperar é admitir que você tem um problema. Suas ações reforçam como as pessoas percebem a dificuldade. “CEOs precisam redefinir a maneira como lidam com risco e segurança para evitar serem demitidos”, acrescenta Scholtz. “O propósito do programa de segurança é criar um equilíbrio entre a necessidade de proteger e a exigência de conduzir os negócios”, diz o especialista do Gartner.
A Câmara Brasileira de Comércio Eletrônico (camara-e.net) pretende iniciar, ainda este ano, um fórum permanente sobre “A segurança do cidadão na era digital”. Serão realizados seminários e palestras presenciais e digitais para disseminar a importância da assinatura digital, proteção de dados, respeito à privacidade e direito à proteção das informações pessoais. As conferências com especialistas da entidade e convidados serão divulgadas com antecedência e disponibilizadas no site da entidade e no Youtube. A camara-e.net pretende produzir filmes educativos para divulgação nas redes sociais. O objetivo da iniciativa é atingir o maior número de pessoas. A assinatura digital e a proteção de dados são assuntos de segurança nacional, que interessam a todos, tanto ao cidadão diretamente quanto às instâncias de segurança e inteligência do País.
Segundo o presidente da camara-e.net, Leonardo Palhares, um dos projetos prioritários da entidade é disseminar junto aos brasileiros a “cultura da cidadania digital”. Palhares considera fundamental que todos saibam que o compartilhamento, empréstimo, guarda ou qualquer forma de utilização das chaves privadas de certificados digitais por terceiros devem ser vedados. Tratam-se de formas que expõem os seus titulares aos riscos de utilização indevida, contratações e acessos não autorizados, podendo gerar prejuízos de ordem patrimonial e extrapatrimonial e, por fim, quebrar os requisitos mínimos necessários para suportar toda a criptografia e tecnologia empenhadas no processo de geração dos certificados digitais: o segredo e o controle das chaves privadas.
De acordo com Leonardo Palhares, “a identificação inequívoca de pessoas físicas ou jurídicas nas transações eletrônicas, tanto para os contratantes quanto para os contratados, se faz imprescindível para a confiabilidade de uma relação estabelecida em meio remoto. Como exemplo, cite-se que os consumidores se sentem muito mais confortáveis em contratar serviços e produtos de plataformas eletrônicas devidamente identificadas, com mecanismos de contato disponíveis para soluções de problemas e outras tantas informações necessárias para a segurança de uma contratação eletrônica. Portanto, o emprego de assinaturas digitais com certificação digital nos padrões da ICP-Brasil é um importante aliado para a confiabilidade mútua dos contratantes em meio remoto”.
Com o fórum permanente “A segurança do cidadão na era digital”, a camara-e.net objetiva construir uma cultura de cidadania digital. Percebe-se que há pouco conhecimento sobre os efeitos do uso do certificado digital e, principalmente, sobre a relevância da proteção de dados. No Brasil, dado pessoal é aquele “relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa” (Decreto nº 8.771, de 11 de maio de 2016). Logo, uma imensidão de dados pode ser considerada pessoal, desde que permita sua correlação a uma pessoa, sendo, portanto, objeto de proteção por parte daqueles que venham a utilizá-la. A identificação de uma pessoa pode se dar mediante apresentação de documentos de identificação civil, dados cadastrais, informações pessoais, características físicas, biométricas, estéticas ou até mesmo de opiniões. Em meio eletrônico, uma boa parte de dados pessoais são fornecidos voluntariamente pelas pessoas, como contrapartida para um serviço ou produto oferecido ou como mecanismo de atribuição de segurança às transações realizadas em meio eletrônico.
As assinaturas digitais (ou certificação digital) nos padrões da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil (instituída pela Medida Provisória nº 2.200-2/2001), são baseadas em chaves criptográficas (chaves públicas – de conhecimento público – e chave privada – de conhecimento e acesso exclusivos do cidadão), de modo que a chave privada, para que os atributos de integridade e autenticidade sejam garantidos, deve ser gerada e controlada exclusivamente por seus titulares. Portanto, a segurança das transações eletrônicas que se utilizam dos certificados digitais depende da manutenção dos atributos mínimos garantidores do não repúdio das assinaturas digitais. Estas, uma vez associadas a dados de identificação de pessoas físicas (ou jurídicas, muito embora as discussões sobre privacidade estejam atreladas às pessoas naturais) passam a ser enquadradas como dados pessoais e, por isto, merecem proteção absoluta, iniciando-se pela guarda, posse e uso exclusivo das mesmas por parte de seu titular.
A camara-e.net participa ativamente das discussões sobre proteção de dados no âmbito do Legislativo para regulamentação das medidas voltadas a proteção do cidadão. A garantia da privacidade e da autoria de atos eletrônicos dos cidadãos está sob avaliação do Congresso Nacional, que atualmente analisa o projeto de lei nº 7.316/2002. O novo regulamento visa substituição da Medida Provisória que instituiu a ICP-Brasil. A entidade considera que, sem prejuízo à apresentação de emendas que visam a defesa do cidadão compete à sociedade e aos parlamentares repisarem a importância do livre arbítrio sob controle dos seus titulares e jamais sob controle de terceiros. A criptografia, a chave privada e a segurança do cidadão em meio eletrônico dependem de sua manutenção no controle de seus atos e de sua vontade. Sem controle e guarda exclusivos das chaves privadas, não há proteção do cidadão contra as interferências de terceiros, de empresas e do Estado.
A camara-e.net vem se posicionando no âmbito do órgão regulador da ICP-Brasil, do qual participa como integrante do colegiado há mais de 10 anos. A entidade, que é a maior associação multissetorial da América Latina e com maior representatividade na economia digital no País, vem reiterando em seus votos, estudos e fundamentações a imprescindibilidade do controle e guarda exclusiva das chaves privadas por seus titulares, buscando a mais rigorosa e estrita confiabilidade das transações eletrônicas e da segurança técnica e jurídica dos titulares de certificados digitais da ICP-Brasil.
