Não há dúvidas que a pandemia do Coronavírus afetou e continuará impactando a maneira como vivemos e trabalhamos. As empresas foram obrigadas a se adaptar e, com isso, uma quantidade significativa de operações adotaram o home office sem estarem 100% preparadas para esse cenário. No entanto, aquelas que já tinham implementado uma governança do Programa de Segurança da Informação certamente absorveram melhor os impactos causados durante as adaptações forçadas pelo cenário da pandemia.
Nos primeiros meses, muitas orientações foram disponibilizadas a fim de ajudar as empresas que não estavam preparadas a tomarem ações mínimas de segurança nesse cenário de trabalho à distância. Porém, a implementação isolada desses controles disponibilizados não significa que as operações estejam seguras. Afinal, maturidade em Segurança da Informação não se cria do dia para a noite.
Os controles ajudam na mitigação de possíveis riscos, mas essas e outras medidas foram tomadas para “apagar o fogo”, ou seja, resolver alguns problemas específicos que, antes da pandemia, nunca haviam sido priorizados ou até identificados pelas empresas. Isso porque, os desafios da cibersegurança não são novos, eles apenas recebem suas roupagens de acordo com a ocasião. Neste caso, o Coronavírus trouxe um cenário de urgência para as empresas que ainda não enxergavam a Segurança da Informação como uma área crítica. Porém, as ameaças de segurança já existiam há anos.
Então, como as organizações poderiam estar melhor preparadas para esse cenário sem precedentes? Antes de tudo, é necessário avaliar seus processos e ativos a fim de identificar os investimentos e os controles que precisam ser priorizados para que a área de Segurança passe do comportamento reativo ao proativo. Para atingir esse objetivo, há a importância de estruturar o Programa de Segurança, que pode ser dividido em quatro grandes etapas, são elas: planejamento e organização; implementação; operação e manutenção; e monitoramento e avaliação.
Na etapa de planejamento e organização é importante o comprometimento dos líderes da empresa com o tema. Neste sentido, é possível dizer que o cenário pandêmico foi um impulsionador, mas além do Coronavírus, quais os outros grandes motivadores, internos e externos, da Segurança da Informação? Um exemplo que também está em pauta é a vigência da Lei Geral de Proteção de Dados. Além disso, nesta etapa, é importante a definição do perfil de ameaça, bem como a realização de uma avaliação de riscos de segurança a fim de identificar seus gargalos e suas ameaças.
Para a etapa de implementação, algumas atividades essenciais são o desenvolvimento de políticas, normas e procedimentos que suportem o tema de segurança na empresa e, com base na avaliação de riscos, o desenvolvimento e a implementação de blueprints necessários para atender suas necessidades.
Na próxima etapa, de operação e de manutenção, é importante que auditorias internas e externas sejam realizadas visando garantir que os requisitos, as linhas de base e os controles de segurança estejam, de fato, implementadas de maneira efetiva. Por fim, o monitoramento e a avaliação envolve o acompanhamento e a revisão de métricas e de indicadores, além de propostas de melhorias para o próximo ciclo do programa.
Ou seja, não existe uma “receita de bolo” que garanta segurança. Cada empresa deve cumprir suas etapas para entender como a área de Segurança da Informação pode se tornar uma parceira estratégica do negócio. Lembrando que, nenhuma organização estava totalmente preparada para a pandemia do Coronavírus, mas aquelas que já possuíam um programa implementado conseguiram se beneficiar da resiliência e da adaptabilidade que ele proporciona.
Carlos Araujo Jr. é gerente de Cyber Security na ICTS Protiviti
Um golpe envolvendo o Pix, novo modelo para pagamentos eletrônicos do Banco Central, tomou as redes nesta semana em que foi liberado o cadastro para a chave do novo serviço. Criminosos se aproveitaram da adesão por bancos em todo o Brasil, para aplicar golpes de phishing e roubar dados pessoais de vítimas.
Engenheiros da ISH Tecnologia, que está há 24 anos no mercado de segurança de dados brasileiro, detectaram domínios falsos com o termo “pix”, o que mostra a intenção de cibercriminosos de usar a novidade como isca para aplicar golpes. Site assim, criados para ataques cibernéticos, muitas vezes são compartilhados pelas pessoas como se fossem confiáveis, o que é o mais preocupante, comenta o diretor de Inovação da ISH Tecnologia e especialista em segurança de dados, Allan Costa.
“Na maioria das vezes, os golpes acontecem no compartilhamento de algum link, com nosso próprio consentimento, por e-mail ou por WhatsApp”, diz Allan. O WhatsApp está presente em 99% dos smartphones do país. “O brasileiro confia no WhatsApp. O que chega por mensagem, as pessoas tendem a acreditar que é legítimo”, explica o diretor de inovação da ISH.
Aumento ataques
Durante a pandemia, os golpes cibernéticos cresceram significativamente. Com o Pix, haverá mais uma onda de ataques. “A gente tem observado, nos nossos centros de operação de segurança, um aumento de 300% nos incidentes de segurança nos meses de pandemia. Sempre usando palavras de assuntos do momento. Antes, COVID e coronavírus, e agora o pix”.
O Gartner, Inc., líder mundial em pesquisa e aconselhamento para empresas, alerta que, no ambiente atual de incertezas, os líderes de segurança e gestão de risco devem se concentrar em equilibrar risco, confiança e oportunidade em suas tomadas de decisão para ajudar a manter a capacidade de suas organizações de atuar como um participante confiável na economia digital.
“Ao longo da primeira metade de 2020, definir o apetite pelo risco se tornou um desafio ainda maior para os líderes de segurança”, diz Jeffrey Wheatman, Vice-Presidente de Pesquisa do Gartner. “A capacidade de comunicar os impactos reais da mudança e do caos ou, em outras palavras, de atingir o nível certo de equilíbrio, é fundamental para trabalhar com as partes interessadas de negócios na definição e gestão do apetite de risco organizacional e capitalização de oportunidades”.
Neste contexto, os analistas do Gartner avaliam que é importante que os líderes dos processos de segurança e gestão de risco consigam atuar de forma equilibrada, balanceando os riscos, a confiança e as oportunidades presentes em suas tomadas de decisão.
Riscos – “Durante a pandemia de COVID-19, a segurança foi essencial. Ao longo da fase de resposta inicial, por exemplo, as equipes de segurança e risco identificaram riscos novos e ainda mais impactantes, atribuíram recursos e mudaram os investimentos para atender às iniciativas de negócios das organizações”, explica Wheatman. “Agora que as organizações fizeram seus investimentos iniciais em tecnologia, no entanto, os diretores de segurança da informação (Chief Information Security Officers – CISOs) e os líderes de gestão de risco têm a oportunidade de fortalecer suas companhias, à medida que avançam nas fases de recuperação e renovação. Para as equipes de segurança, a fase de recuperação é uma oportunidade de detectar e mitigar novos riscos que podem surgir como resultado da resposta inicial”.
De acordo com o analista, a pandemia também reforçou a necessidade crítica de programas de segurança ágeis o suficiente para reagir a choques externos – sejam eles menores ou maiores. Conforme as empresas avancem às fases de recuperação e renovação, elas devem reprojetar seus programas para atingir a agilidade necessária em suas operações.
Oportunidades – Uma pesquisa recente do Gartner descobriu que 90% dos CISOs acreditam que os negócios digitais gerarão novos tipos e níveis de risco. No entanto, 70% dos entrevistados disseram que o investimento em gestão de risco não está acompanhando esses novos níveis mais elevados de ameaças. Essas descobertas combinadas oferecem uma grande oportunidade para os líderes do setor se anteciparem às demandas.
“Os executivos de negócios continuam se concentrando na segurança como uma iniciativa estratégica. As organizações estão explorando como a tecnologia pode ajudá-las a transformar seus modelos operacionais. Isso significa que os profissionais de segurança e gestão de risco têm um papel fundamental a desempenhar, ajudando suas organizações durante essa transformação, evitando riscos desnecessários”, diz Wheatman. “Os CISOs têm uma capacidade única de fornecer aos líderes de negócios as percepções e ferramentas para ajudá-los a equilibrar o risco com a oportunidade potencial de transformação digital”.
Confiança – A adoção acelerada de recursos de transformação digital significa que a interação cada vez maior entre sistemas e clientes reforçará rapidamente a necessidade de as empresas estabelecerem equipes digitais dedicadas à gestão da confiança e da segurança em suas organizações. Essas equipes têm a tarefa de avaliar e gerenciar os riscos resultantes do número cada vez maior de pontos de contato e da necessidade de abordar uma visão estratégica de ameaças ao cliente e redução de danos.
Equilíbrio – Encontrar o equilíbrio certo entre a necessidade de os negócios aproveitarem novas oportunidades para obter vantagem competitiva e a exigência de se desenvolver políticas de segurança adequadas, que mitiguem os riscos em toda a operação, deve ser uma área de foco principal para os líderes de segurança e risco até 2021.
“Assim que o caos da recuperação começar a se estabelecer, as empresas viverão o novo normal. Nesta fase, o futuro começa a se tornar mais planejável”, afirma Wheatman. “Esta fase de renovação oferece aos líderes de segurança e risco uma grande oportunidade de apoiar os objetivos de negócios de suas organizações, ao mesmo tempo em que permite uma postura mais proativa na para a identificação e gerenciamento de riscos, o que fornece resiliência para as empresas seguirem em frente”.
Ao longo dos últimos anos presenciamos a crescente mescla do uso de dispositivos tecnológicos pessoais com os profissionais. Isso porque, acessamos o e-mail da empresa no celular pessoal, respondemos mensagens no WhatsApp na sua versão web diretamente do computador corporativo, realizamos videoconferências em notebooks que são nossos e por aí vai.
Quando se fala em segurança da informação, o bem mais precioso é a informação em si e, por isso, sua localização serve, em muitos casos, para definir o senso de propriedade e responsabilidade sobre o meio que a contém. Ou seja, se uma informação – de propriedade da empresa – está contida num dispositivo móvel pertencente a um colaborador, pode-se inferir que há um senso de propriedade e responsabilidade parcial da empresa com esse equipamento em questão, pelo menos no que tange ao controle de configurações e a possibilidade de monitoramento.
Obviamente deve existir um limite razoável no controle da corporação sobre esse dispositivo para que não haja abusos e invasões na privacidade do colaborador. Isso significa que a empresa precisa definir seu monitoramento exclusivamente para fins de proteção da sua informação e nada mais.
Com o advento da pandemia do Coronavírus, o home office se tornou padrão na maioria das empresas e o uso – por parte dos colaboradores – de dispositivos pessoais para execução de suas funções cresceu exponencialmente, tornando essa problemática ainda mais latente. Portanto, é cada vez mais relevante que as regras dessa modalidade estejam escritas de forma clara e objetiva para que ambas as partes – empresa e colaborador – estejam em harmonia, evitando situações constrangedoras que, em alguns casos, podem até resultar em consequências legais.
O principal meio de definição dessas regras é através de normativos, tais como políticas, normas e procedimentos, juntamente com inciativas de treinamento e conscientização por meio de cursos online, webinars e e-mails internos, entre outros.
Mas um aspecto que deve ser levado em consideração é a razoabilidade das regras que serão definidas. Em outras palavras, o fato das empresas definirem e escreverem as normas não as dá total liberdade para avançar sobre a privacidade do equipamento do colaborador. Tenha em mente: se o colaborador achar que as regras são abusivas, ele simplesmente vai optar por não utilizar seus dispositivos pessoais.
Em relação ao conteúdo específico das normas, sugere-se que alguns aspectos estejam definidos e citados, como a responsabilidade por manter o dispositivo atualizado e seguro; as consequências do descumprimento das orientações de segurança; a possibilidade de investigações no conteúdo do equipamento em casos suspeitos; o suporte oferecido ao usuário em caso de problemas técnicos; e as ações que podem ser tomadas em casos de perda ou roubo.
É importante lembrar que a liberdade de uso de dispositivos pessoais tem seus prós e contras. Isso porque, por um lado, a empresa economiza na compra de equipamentos tecnológicos para cada colaborador e dá mais flexibilidade de trabalho. Por outro, cria-se uma maior complexidade de manutenção da segurança de informações e ocasiona um consequente aumento da superfície de ataque. Tendo isso em mente, a empresa deve avaliar se os benefícios compensam ou não, podendo optar até por uma abordagem mista, na qual apenas determinados sistemas e informações podem ser acessados via dispositivos pessoais.
Igor Buess, consultor de Segurança da Informação na ICTS Protiviti
A responsabilidade por incidentes de segurança ciberfísica deixará de ser um tema simplesmente corporativo para se tornar uma questão pessoal para 75% dos CEOs até 2024. Esse é um dos destaques da mais recente pesquisa divulgada pelo Gartner, Inc., líder mundial em pesquisa e aconselhamento para empresas.
De acordo com o levantamento, isso acontecerá devido à natureza e importância dos sistemas ciberfísicos (CPSs – Cyber-Physical Systems em inglês). Segundo o Gartner, CPS são os sistemas e recursos projetados para orquestrar o relacionamento e análise de toda a interação do digital com o mundo físico (incluindo humanos), permitindo o controle, detecção e dimensionamento dos potenciais eventos, assim como acompanhamento das consequências dessa relação.
Em outras palavras, essas soluções sustentam todos os esforços de conexão do ambiente de TI com estruturas operacionais e dispositivos de Internet das Coisas (IoT), nas quais as considerações de segurança abrangem os mundos cibernético e físico, como infraestrutura crítica e intensiva em ativos e ambientes de saúde clínica. Como consequência, todos os possíveis incidentes relativos à infraestrutura ciberfísica pode provocar uma série de impactos graves, incluindo danos físicos a pessoas, propriedades ou ainda causar desastres ambientais.
Neste cenário, os analistas do Gartner estimam que o número de incidentes aumentará rapidamente nos próximos anos, devido à falta de foco em segurança e à ausência de investimentos alinhados a esses ativos.
“Órgãos reguladores e governos reagirão prontamente a um aumento de incidentes graves causados por falhas de proteção dos CPSs, aumentando drasticamente as regras e regulamentos que os regem”, afirma Katell Thielemann, Vice-Presidente de Pesquisa do Gartner. “Nos Estados Unidos, por exemplo, o FBI, a NSA e a Agência de Segurança Cibernética e de Infraestrutura (CISA) já ampliaram a frequ& ecirc;ncia e os detalhes a respeito de ameaças a sistemas relacionados à infraestrutura crítica, sendo que a maioria é de propriedade do setor privado. Em breve, os CEOs não serão capazes de alegar não conhecimento nem de se esconder atrás de suas apólices de seguro”.
O Gartner prevê que o impacto financeiro dos ataques aos CPS resultando em perdas fatais atingirá cerca de 50 bilhões de dólares até 2023. Mesmo sem considerar o valor atual de uma vida humana na equação, os custos para as organizações em termos de compensação, litígio, seguro, multas regulatórias e perda de reputação será significativa.
“Os líderes de Tecnologia precisam ajudar os CEOs a compreender os riscos que os CPSs representam e a necessidade de dedicar foco e orçamento da organização para protegê-los”, diz a analista do Gartner. “Quanto mais CPSs conectados existem, maior a probabilidade de ocorrer um incidente”.
Com a Tecnologia Operacional, edifícios e cidades inteligentes, carros conectados e veículos autônomos, os incidentes no mundo digital terão um efeito muito maior no mundo físico, uma vez que agora existem riscos, ameaças e vulnerabilidades em um espectro ciberfísico bidirecional. No entanto, muitas empresas não estão cientes dos CPSs já implantados em suas organizações, seja por sistemas legados conectados a redes corporativas por equipes fora de TI ou em decorrência de novos investimentos em automação e modernização voltados para negócios.
“Um foco em Gerenciamento de Resiliência Operacional (ORM – de Operational Resilience Management, em inglês) além da segurança cibernética centrada em informações é extremamente necessário”, afirma Thielemann.
Com a pandemia do novo coronavírus, criminosos estão aproveitando o maior tempo online das pessoas e o aumento das transações digitais devido ao isolamento social para aplicar golpes financeiros. Mensagens de ofertas tentadoras e atrativas que, na verdade, direcionam para sites falsos, ou ainda o uso de avisos para que a pessoa recadastre urgentemente seus dados junto a uma instituição, escondem crimes que levam muita dor de cabeça e causam grande prejuízo financeiro para o consumidor.
Levantamentos feitos pela FEBRABAN (Federação Brasileira de Bancos) mostram o crescimento de tentativas de várias modalidades de fraudes financeiras contra os brasileiros durante a crise da Covid-19. No período de quarentena, as instituições registraram aumento de 80% nas tentativas de ataques de phishing – que se inicia por meio de recebimento de e-mails que carregam vírus ou links e que direcionam o usuário a sites falsos, que, normalmente, possuem remetentes desconhecidos ou falsos.
O golpe do falso motoboy teve aumento de 65% durante o período de isolamento social. Já os golpes do falso funcionário e falsas centrais telefônica cresceram 70%. Recentemente, a FEBRABAN também revelou que no período da quarentena houve alta de 60% em tentativas de golpes financeiros contra idosos, o que resultou em uma campanha de alerta com o apoio da Secretaria Nacional de Promoção e Defesa dos Direitos da Pessoa Idosa, vinculada ao Ministério da Mulher, da Família e dos Direitos Humanos, e do Banco Central.
A FEBRABAN e seus bancos investem constantemente em campanhas e ações de conscientização em seus canais de comunicação com os clientes para orientar a população a se prevenir de fraudes. “Queremos contribuir para o desenvolvimento de uma cultura de prevenção a fraudes e do uso seguro dos canais digitais no país”, afirma Isaac Sidney, presidente da FEBRABAN.
Ele ressalta que os bancos investem cerca de R﹩ 2 bilhões por ano em sistemas de tecnologia da informação (TI) voltados para segurança – valor que corresponde a cerca de 10% dos gastos totais do setor com TI para garantir a tranquilidade de seus clientes em suas transações financeiras cotidianas.
Atualmente, 70% das fraudes estão vinculadas à engenharia social, que consiste na manipulação psicológica do usuário para que ele lhe forneça informações confidenciais, como senhas e números de cartões para os criminosos. “Seja pelo telefone, por e-mail, pelas mídias sociais, SMS, o fraudador solicita dados pessoais do cliente, como números de cartões e senhas, em troca de algo, ou ainda induz o usuário a ter medo de alguma situação”, alerta Adriano Volpini, diretor da Comissão Executiva de Prevenção a Fraudes da FEBRABAN. “Os dados pessoais do cliente jamais são solicitados ativamente pelas instituições financeiras. Na dúvida, sempre procure seu banco para obter esclarecimentos.”
Entretanto, adverte que a população tem um comportamento de segurança no mundo digital diferente do mundo físico, em que as pessoas já se acostumaram a tomar cuidados com carteiras, pertences e celulares, quando estão em locais públicos e de grande movimentação. Conscientemente, as pessoas sabem o que podem ou não podem fazer, discernimento não tão comum no mundo digital.
Outro ponto que merece atenção no combate aos golpes financeiros é a ausência de uma lei federal que tipifique os crimes cometidos pelos meios digitais, o que gera grande prejuízo para toda a população brasileira, empresas privadas e o setor público. Atualmente, três projetos tramitam no Congresso, entre eles, o 2.638, que dispõe sobre a tipificação criminal de furto mediante fraude eletrônica, do deputado Marcelo Ramos (PR/AM).
“A certeza da impunidade gera um incentivo e um impulso ainda maior para que o crime aconteça. Caso o PL seja aprovado, existirá muito mais subsídios e condições de gerar uma punição mais efetiva contra os criminosos”, afirma Volpini.
Conheça os principais golpes aplicados e como eles devem ser evitados
Golpe do Falso Funcionário do banco
O que é: O fraudador entra em contato com a vítima se passando por um falso funcionário do banco ou empresa com a qual o cliente tem um relacionamento ativo. O criminoso informa que há irregularidades na conta ou que os dados cadastrados estão incorretos. A partir daí, solicita os dados pessoais e financeiros da vítima. Com os dados em mãos, o fraudador realiza transações fraudulentas em nome do cliente.
Como evitar: O cliente deve sempre verificar a origem das ligações e mensagens recebidas contendo solicitações de dados. É importante ressaltar que o banco nunca liga para o cliente pedindo senha nem o número do cartão e também nunca liga para pedir para realizar uma transferência ou qualquer tipo de pagamento. Ao receber uma ligação suspeita, o cliente deve desligar, pegar o número de telefone que está no cartão e ligar de outro telefone para tirar a limpo essa história.
Phishing (pescaria digital)
O que é: O phishing, ou pescaria digital, é uma fraude eletrônica cometida pelos engenheiros sociais que visa obter dados pessoais do usuário. A forma mais comum de um ataque de phishing são as mensagens e e-mails falsos que induzem o usuário a clicar em links suspeitos. Também existem páginas falsas na internet que induzem a pessoa a revelar dados pessoais. Os casos mais comuns de phishing são e-mails recebidos de supostos bancos com mensagens que afirmam que a conta do cliente está irregular, ou o cartão ultrapassou o limite, ou que necessita revalidar seus pontos nos programas de fidelidade, atualizar token ou, ainda, que existe um novo software de segurança do banco que precisa ser instalado imediatamente pelo usuário.
Como evitar: Sempre verifique se o endereço da página de internet é o correto. Para garantir, não clique em links: digite o endereço no navegador. Além disso, nunca acesse links ou anexos de e-mails suspeitos. Mantenha seu sistema operacional e antivírus sempre atualizados. Sempre prefira comprar em sites conhecidos, e nunca use computadores públicos para comprar algo no comércio virtual. Não repasse a outra pessoa nenhum código fornecido por SMS ou imagem de um QR Code enviado para autenticar alguma operação. Na dúvida, fale com seu banco.
Golpe do falso motoboy
O que é: O golpe começa com uma ligação ao cliente, de uma pessoa que se passa por funcionário do banco, e diz que o cartão foi clonado, informando que é preciso bloqueá-lo. Para isso, diz o golpista, bastaria cortá-lo ao meio e pedir um novo pelo atendimento eletrônico. O falso funcionário pede que a senha seja digitada no telefone, e fala que, por segurança, um motoboy irá buscar o cartão para uma perícia. O que o cliente não sabe é que, com o cartão cortado ao meio, o chip permanece intacto, e é possível realizar diversas transações.
Como evitar: Fique atento! Nenhum banco pede o cartão de volta ou envia qualquer pessoa ou portador para retirar o cartão na casa dos clientes. Então, desligue o telefone e ligue, de outro aparelho, para o banco, para verificar se realmente houve alguma irregularidade.
Golpe do falso leilão
O que é: O fraudador envia um link à vítima que simula um falso leilão. Para que possa ser dado um lance, a vítima tem que preencher formulários com seus dados pessoais e financeiros ou depositar um valor na conta do fraudador. Com dados como senha, número do cartão e CPF, o fraudador consegue fazer transações fraudulentas em nome do cliente.
Como evitar: O cliente nunca deve enviar dados, senhas e acessos a ninguém. É necessário sempre verificar a origem dos links recebidos antes de clicá-los. Além disso, deve-se verificar a veracidade do site de leilão e avaliações de outros usuários.
Golpe do WhatsApp
O que é: Os golpistas descobrem o número do celular e o nome da vítima de quem pretendem clonar a conta de WhatsApp. Com essas informações em mãos, os criminosos tentam cadastrar o WhatsApp da vítima nos aparelhos deles. Para concluir a operação, é preciso inserir o código de segurança que o aplicativo envia por SMS sempre que é instalado em um novo dispositivo. Os fraudadores enviam uma mensagem pelo WhatsApp fingindo ser do Serviço de Atendimento ao Cliente do site de vendas ou da empresa em que a vítima tem cadastro. Eles solicitam o código de segurança, que já foi enviado por SMS pelo aplicativo, afirmando se tratar de uma atualização, manutenção ou confirmação de cadastro. Com o código, os bandidos conseguem replicar a conta de WhatsApp em outro celular. A partir daí, os criminosos enviam mensagens para os contatos da pessoa, fazendo-se passar por ela, pedindo dinheiro emprestado.
Como evitar: Uma medida simples para evitar que o WhatsApp seja clonado é habilitar, no aplicativo, a opção “Verificação em duas etapas” Configurações/Ajustes > Conta > Verificação em duas etapas). Desta forma, é possível cadastrar uma senha que será solicitada periodicamente pelo app. Essa senha não deve ser enviada para outras pessoas ou digitadas em links recebidos.
Golpe do extravio do cartão
Como é: No trâmite de entrega do cartão até a vítima, fraudadores furtam a correspondência contendo este cartão. Depois, ligam para a vítima se passando por um funcionário do respectivo banco informando que houve problemas na entrega do cartão. Para a resolução deste suposto problema, solicitam à vítima a senha deste cartão. Com os dados descobertos, fazem transações em nome da vítima.
Como evitar: O cliente nunca deve enviar dados, senhas e acessos a ninguém. Também nunca deve preencher formulários na internet com dados pessoais e financeiros sem verificar a origem. Caso o prazo de entrega do cartão se esgote, é preciso informar o gerente sobre o atraso.
Golpe do delivery
Como é: O cliente faz seu pedido via aplicativo. O entregador apresenta uma maquininha com o visor danificado ou de uma forma que impossibilite a visualização do preço cobrado na tela, sendo um valor acima do real cobrado. Só depois de algum tempo, a vítima percebe que efetuou um pagamento elevado.
Como evitar: O cliente deve sempre checar o preço cobrado no visor da maquininha e nunca deve aceitar maquininhas onde os valores que são cobrados não estejam visíveis. De preferência em fazer o pagamento via aplicativo e não no momento da entrega.
IBM Security anunciou os resultados de um estudo global que examina o impacto financeiro das violações de dados, revelando que uma violação custa, na média global, US$ 3,8 milhões para as companhias, e contas comprometidas de funcionários foram a causa mais cara. Ao analisar as violações de dados sofridas por mais de 500 organizações pelo mundo, 80% dos incidentes estudados resultaram na exposição das informações de identificação pessoal de clientes (PII). Entre todos os tipos de dados expostos nessas violações, as informações pessoais de cliente também foram as mais caras para as empresas.
O relatório aponta as perdas financeiras que as organizações podem sofrer caso dados sejam comprometidos, à medida que companhias acessam cada vez mais dados sensíveis por meio do trabalho remoto e operações de negócios na nuvem. Um outro estudo da IBM descobriu que mais da metade dos funcionários que começaram a trabalhar em casa devido à pandemia não recebeu novas orientações sobre como lidar com as informações pessoais de cliente.
Patrocinado por IBM Security e conduzido pelo Instituto Ponemon, o Relátorio de Custo da Violação de Dados 2020 (Cost of Data Breach 2020) é baseado em entrevistas realizadas com mais de 3.200 profissionais de segurança em organizações que sofreram alguma violação de dados durantes o último ano.[1] Algumas das principais descobertas do relatório incluem:
· Tecnologia inteligente reduz custo de violações pela metade: empresas que implementaram tecnologias de automação de segurança (que utilizam IA, análise de dados e orquestração automatizada para identificar e responder aos eventos de segurança) tiveram menos da metade dos custos de violação de dados quando comparadas às que não implementaram essas ferramentas – US$2,45 milhões vs US$6,03 milhões, em média.
· Pagamento pelas credenciais comprometidas: em incidentes nos quais atacantes acessam a rede das corporações usando credenciais comprometidas ou roubadas, as empresas viram o custo de violação de dados ser quase US$1 milhão mais alto em comparação à média global, chegando a US$4,77 milhões por violação. Ataques maliciosos, que exploram a vulnerabilidade de terceiros, foi a segunda origem com maior custo (US$4,5 milhões) para esse grupo.
· Custo de mega violações aumenta aos milhões: os custos das chamadas mega violações, nas quais mais de 50 milhões de registros são comprometidos, subiram de US$388 milhões para US$392 milhões. Violações nas quais 40 – 50 milhões de registros foram expostos custaram para as empresas US$364 milhões em média, um aumento de US$19 milhões comparado ao relatório de 2019.
· Ataques de estado-nação (nation-state) – a violação mais prejudicial: as violações de dados que possam ter sido originadas dos ataques de estado-nação foram as mais caras em comparação com outros atores de ameaças examinados no relatório. Conhecidos como “state-sponsored attacks”, esses ataques tiveram uma média de U$4,43 milhões em custo de violação de dados, superando os cibercriminosos financeiramente motivados e os hackativistas.
“Quando se trata da capacidade de mitigar o impacto de uma violação de dados, estamos começando a ver uma clara vantagem de empresas que investiram em tecnologias automatizadas”, disse Wendi Whitmore, vice-presidente de IBM X-Force Threat Intelligence. “Em um momento em que as empresas estão expandindo sua presença digital a um ritmo acelerado e a falta de skills no setor de segurança persiste, as equipes podem ficar sobrecarregadas ao proteger mais dispositivos, sistemas e dados. A automação da segurança cibernética pode ajudar a resolver essa carga, permitindo uma resposta mais rápida à violação e significativamente mais econômica.”
Credenciais de funcionários e nuvens configuradas incorretamente: ponto de entrada preferido dos atacantes
Credenciais roubadas ou comprometidas e nuvens com configurações incorretas foram as causas mais comuns de violações maliciosas para as companhias que participaram do estudo, representando aproximadamente 40% dos incidentes. Com mais de 8,5 bilhões de registros expostos em 2019 e atacantes usando emails e senhas previamente expostos em uma a cada cinco violações estudadas, as empresas estão repensando sua estratégia de segurança pela adoção da abordagem de confiança-zero (zero trust) – reexaminado como eles autenticam os usuários e como a extensão de acesso aos usuários são concedidos.
Similarmente, a luta das empresas com a complexidade da segurança – o principal fator de custo de violações – está contribuindo para que as configurações incorretas de nuvem se tornem um desafio de segurança crescente. O relatório de 2020 revelou que os atacantes usaram as configurações incorretas de nuvem para violar as redes em 20% do tempo, aumentando o custo de violações para US$4,41 milhão em média.
Tecnologias avançadas de segurança ajudam os negócios
O relatório destaca a crescente divisão no custo de violações entre empresas que implementaram tecnologias avançadas de segurança e aquelas que estão atrasadas, revelando uma diferença de economia de US$3,58 milhões para companhias com automação de segurança totalmente implementada versus aquelas que ainda não implementaram este tipo de solução.
As empresas participantes do estudo que contavam com automação de segurança totalmente implementada também relataram um tempo de resposta significativamente mais curto às violações, outro fator-chave mostrado para reduzir os custos de violação na análise. O relatório constatou que inteligência artificial, machine learning, análise de dados e outras formas de automação de segurança permitiram às empresas responder a violações até 27% mais rápido do que as empresas que ainda não implantaram a automação de segurança.
A preparação para resposta a incidentes também continua influenciando fortemente as consequências financeiras de uma violação. Empresas que não possuem uma equipe designada ou testes de planos de resposta a incidentes sofrem em média com um custo de US$5,29 milhões em violação, enquanto as empresas que possuem equipes dedicados, testes e simulações sofrem menos de US$2 milhões em custo de violações. Isso reafirma que a preparação e a prontidão geram um ROI significativo em segurança cibernética.
Alguns itens adicionais do relatório desse ano incluem:
· Riscos do trabalho remoto têm um preço – Com modelos de trabalho híbrido criando ambientes menos controlados, o relatório descobriu que 70% das empresas que adotaram o teletrabalho em meio à pandemia esperam que os custo de violações de dados se agravem.
· CISOs culpados pelas falhas por violações, apesar do poder limitado de tomada de decisão: 46% dos entrevistados disseram que o CISO/CSO é responsabilizado pelas violações, apesar de apenas 27% afirmarem a tomada de decisão sobre a política de segurança e tecnologia vem do CISO/CSO. O relatório concluiu que a nomeação de um CISO foi associada com uma de economia de US$145.000 versus a média de custo por violação.
Tendências regionais e por indústria
· O estudo analisou o custo de violações de dados em diferentes indústrias e regiões, descobrindo que as violações de dados nos Estados Unidos são muito mais caras, custando US$8,64 milhões em média.
· No Brasil, o custo médio da violação de dados é de R$5,88 milhões (cerca de US$1,12 milhão), um aumento de 10,5% em relação ao ano anterior comparando o valor em reais (R$ 5,32 milhões em 2019). O estudo também observou um aumento no número de dias para identificar a violação de dados, que subiu de 250 para 265, e para conter a violação, que cresceu de 111 para 115 dias, em comparação a 2019.
· Globalmente, a indústria de saúde continua apresentando os mais altos custos médios de violação, com US$ 7,13 milhões – um aumento de mais de 10% em comparação com o estudo de 2019.
Sobre o Estudo
O Relatório de Custo da Violação de Dados anual é baseado em análises profundas de violação de dados reais, que ocorreram entre agosto de 2019 e abril de 2020, levando em conta centenas de fatores incluindo atividades legais, regulatórias e técnicas para a perda do valor de marca, consumidores, e produtividade dos funcionários.
Para baixar uma cópia do Relatório de Custo da Violação de Dados 2020, visite: ibm.com/databreach
IBM Security anunciou os resultados de um estudo global que examina o impacto financeiro das violações de dados, revelando que uma violação custa, na média global, US$ 3,8 milhões para as companhias, e contas comprometidas de funcionários foram a causa mais cara. Ao analisar as violações de dados sofridas por mais de 500 organizações pelo mundo, 80% dos incidentes estudados resultaram na exposição das informações de identificação pessoal de clientes (PII). Entre todos os tipos de dados expostos nessas violações, as informações pessoais de cliente também foram as mais caras para as empresas.
O relatório aponta as perdas financeiras que as organizações podem sofrer caso dados sejam comprometidos, à medida que companhias acessam cada vez mais dados sensíveis por meio do trabalho remoto e operações de negócios na nuvem. Um outro estudo da IBM descobriu que mais da metade dos funcionários que começaram a trabalhar em casa devido à pandemia não recebeu novas orientações sobre como lidar com as informações pessoais de cliente.
Patrocinado por IBM Security e conduzido pelo Instituto Ponemon, o Relátorio de Custo da Violação de Dados 2020 (Cost of Data Breach 2020) é baseado em entrevistas realizadas com mais de 3.200 profissionais de segurança em organizações que sofreram alguma violação de dados durantes o último ano.[1] Algumas das principais descobertas do relatório incluem:
· Tecnologia inteligente reduz custo de violações pela metade: empresas que implementaram tecnologias de automação de segurança (que utilizam IA, análise de dados e orquestração automatizada para identificar e responder aos eventos de segurança) tiveram menos da metade dos custos de violação de dados quando comparadas às que não implementaram essas ferramentas – US$2,45 milhões vs US$6,03 milhões, em média.
· Pagamento pelas credenciais comprometidas: em incidentes nos quais atacantes acessam a rede das corporações usando credenciais comprometidas ou roubadas, as empresas viram o custo de violação de dados ser quase US$1 milhão mais alto em comparação à média global, chegando a US$4,77 milhões por violação. Ataques maliciosos, que exploram a vulnerabilidade de terceiros, foi a segunda origem com maior custo (US$4,5 milhões) para esse grupo.
· Custo de mega violações aumenta aos milhões: os custos das chamadas mega violações, nas quais mais de 50 milhões de registros são comprometidos, subiram de US$388 milhões para US$392 milhões. Violações nas quais 40 – 50 milhões de registros foram expostos custaram para as empresas US$364 milhões em média, um aumento de US$19 milhões comparado ao relatório de 2019.
· Ataques de estado-nação (nation-state) – a violação mais prejudicial: as violações de dados que possam ter sido originadas dos ataques de estado-nação foram as mais caras em comparação com outros atores de ameaças examinados no relatório. Conhecidos como “state-sponsored attacks”, esses ataques tiveram uma média de U$4,43 milhões em custo de violação de dados, superando os cibercriminosos financeiramente motivados e os hackativistas.
“Quando se trata da capacidade de mitigar o impacto de uma violação de dados, estamos começando a ver uma clara vantagem de empresas que investiram em tecnologias automatizadas”, disse Wendi Whitmore, vice-presidente de IBM X-Force Threat Intelligence. “Em um momento em que as empresas estão expandindo sua presença digital a um ritmo acelerado e a falta de skills no setor de segurança persiste, as equipes podem ficar sobrecarregadas ao proteger mais dispositivos, sistemas e dados. A automação da segurança cibernética pode ajudar a resolver essa carga, permitindo uma resposta mais rápida à violação e significativamente mais econômica.”
Credenciais de funcionários e nuvens configuradas incorretamente: ponto de entrada preferido dos atacantes
Credenciais roubadas ou comprometidas e nuvens com configurações incorretas foram as causas mais comuns de violações maliciosas para as companhias que participaram do estudo, representando aproximadamente 40% dos incidentes. Com mais de 8,5 bilhões de registros expostos em 2019 e atacantes usando emails e senhas previamente expostos em uma a cada cinco violações estudadas, as empresas estão repensando sua estratégia de segurança pela adoção da abordagem de confiança-zero (zero trust) – reexaminado como eles autenticam os usuários e como a extensão de acesso aos usuários são concedidos.
Similarmente, a luta das empresas com a complexidade da segurança – o principal fator de custo de violações – está contribuindo para que as configurações incorretas de nuvem se tornem um desafio de segurança crescente. O relatório de 2020 revelou que os atacantes usaram as configurações incorretas de nuvem para violar as redes em 20% do tempo, aumentando o custo de violações para US$4,41 milhão em média.
Tecnologias avançadas de segurança ajudam os negócios
O relatório destaca a crescente divisão no custo de violações entre empresas que implementaram tecnologias avançadas de segurança e aquelas que estão atrasadas, revelando uma diferença de economia de US$3,58 milhões para companhias com automação de segurança totalmente implementada versus aquelas que ainda não implementaram este tipo de solução.
As empresas participantes do estudo que contavam com automação de segurança totalmente implementada também relataram um tempo de resposta significativamente mais curto às violações, outro fator-chave mostrado para reduzir os custos de violação na análise. O relatório constatou que inteligência artificial, machine learning, análise de dados e outras formas de automação de segurança permitiram às empresas responder a violações até 27% mais rápido do que as empresas que ainda não implantaram a automação de segurança.
A preparação para resposta a incidentes também continua influenciando fortemente as consequências financeiras de uma violação. Empresas que não possuem uma equipe designada ou testes de planos de resposta a incidentes sofrem em média com um custo de US$5,29 milhões em violação, enquanto as empresas que possuem equipes dedicados, testes e simulações sofrem menos de US$2 milhões em custo de violações. Isso reafirma que a preparação e a prontidão geram um ROI significativo em segurança cibernética.
Alguns itens adicionais do relatório desse ano incluem:
· Riscos do trabalho remoto têm um preço – Com modelos de trabalho híbrido criando ambientes menos controlados, o relatório descobriu que 70% das empresas que adotaram o teletrabalho em meio à pandemia esperam que os custo de violações de dados se agravem.
· CISOs culpados pelas falhas por violações, apesar do poder limitado de tomada de decisão: 46% dos entrevistados disseram que o CISO/CSO é responsabilizado pelas violações, apesar de apenas 27% afirmarem a tomada de decisão sobre a política de segurança e tecnologia vem do CISO/CSO. O relatório concluiu que a nomeação de um CISO foi associada com uma de economia de US$145.000 versus a média de custo por violação.
Tendências regionais e por indústria
· O estudo analisou o custo de violações de dados em diferentes indústrias e regiões, descobrindo que as violações de dados nos Estados Unidos são muito mais caras, custando US$8,64 milhões em média.
· No Brasil, o custo médio da violação de dados é de R$5,88 milhões (cerca de US$1,12 milhão), um aumento de 10,5% em relação ao ano anterior comparando o valor em reais (R$ 5,32 milhões em 2019). O estudo também observou um aumento no número de dias para identificar a violação de dados, que subiu de 250 para 265, e para conter a violação, que cresceu de 111 para 115 dias, em comparação a 2019.
· Globalmente, a indústria de saúde continua apresentando os mais altos custos médios de violação, com US$ 7,13 milhões – um aumento de mais de 10% em comparação com o estudo de 2019.
Sobre o Estudo
O Relatório de Custo da Violação de Dados anual é baseado em análises profundas de violação de dados reais, que ocorreram entre agosto de 2019 e abril de 2020, levando em conta centenas de fatores incluindo atividades legais, regulatórias e técnicas para a perda do valor de marca, consumidores, e produtividade dos funcionários.
Para baixar uma cópia do Relatório de Custo da Violação de Dados 2020, visite: ibm.com/databreach
Por Alexis Aguirre, Diretor de Segurança da Informação da Unisys para a América Latina
A adoção de nuvem por empresas Latino-americanas segue crescendo e, em meio ao momento delicado que estamos vivendo, não há tecnologia mais útil que essa para garantir a continuidade de operações com agilidade e produtividade. Para além disso, quem já utilizava recursos de nuvem sabe que eles geram inovação e, ao mesmo tempo, redução de custos, já que é possível prever os gastos envolvidos em cada projeto. Certo, Cloud agora é uma premissa, um caminho sem volta. O próprio Gartner já chama a nuvem de “o novo normal da TI corporativa” (the new normal for enterprise IT). Nesse cenário, a discussão urgente que estamos perdendo não deveria ser sobre adoção da nuvem e sim sobre um melhor entendimento das mudanças fundamentais de paradigma que chegam com o uso da nuvem. As companhias estão atrasadas para perceber que, com a nuvem, a superfície de ataques hackers muda de lugar. Então, vamos a pontos práticos e críticos sobre como criar uma consciência corporativa para evitar ameaças de segurança da informação na nuvem.
Tenha clareza sobre os responsáveis de cada parte do projeto Um desafio que vem com a nuvem é a falta de clareza sobre quem é responsável pelo quê. A dica é se organizar e aderir a operações do DevSecOps para obter integração,implementação e melhorias contínuas após a migração inicial para a nuvem.
Não subestime a complexidade dos ambientes em nuvem As organizações tendem a subestimar as complexidades dos ambientes em nuvem — e sua proteção. A maior flexibilidade e poder dos serviços em nuvem resultam em maior complexidade de governança e operações, aumentando a possibilidade de vulnerabilidades devido a configurações incorretas. A flexibilidade e o poder inigualáveis dos microsserviços em contêiner e do Kubernetes também resultam em complexidade adicional, aumentando o número de interfaces que podem ficar expostas. Não compreender ou investir nas ferramentas e nos conhecimentos necessários para gerenciar essa complexidade resulta em configurações abaixo do ideal, levando a explorações e vazamentos de dados.
Um novo DNA pede um novo processo de monitoramento Algumas organizações acreditam que podem usar tecnologias de segurança locais em ambientes dinâmicos de nuvem. As abordagens tradicionais simplesmente não funcionam porque estamos falando de um novo DNA. Na nuvem, você precisa ter um processo automatizado para proteção da carga de trabalho remoto. Você não tem o tempo ou o luxo de alguém monitorar isso diariamente.
Crie novas políticas, práticas e procedimentos de segurança A nuvem consolidou infraestruturas, sistemas e recursos de computação. Agora, as organizações precisam preparar suas políticas de proteção de dados para funcionar quando não têm controle da infraestrutura na qual seus dados residem.
Como lidar com microsserviços Fornecedores de software oferecem microsserviços em contêineres, que podem ser aproveitados como componentes por aplicativos. Eles vêm com uma variedade de opções de licenciamento comercial e de código aberto, com diferentes níveis de suporte ou nenhum outro suporte que não seja uma comunidade online. Algumas licenças de código aberto, como a GPL, podem tornar o software inadequado para alguns usos de produção. As implicações legais e de custo do licenciamento de microsserviço são um aspecto importante desse novo cenário de aplicativos. É recomendável considerá-las durante o desenvolvimento do aplicativo antes da transição para a produção.
A importância do acesso seguro O acesso seguro pressupõe que aplicativos, rotas ou sistemas de comunicação sejam utilizados apenas por quem possui credenciais apropriadas para tal. Os relacionamentos e limites de confiança precisam ser gerenciados de acordo com os objetivos de negócios e as restrições legais. Além da autenticação robusta que usa rotação de credenciais e autenticação multifator, os acessos precisam ser definidos em termos de funções baseadas do menor ao maior privilégio.
Limite e proteja sua superfície de ataque A eficácia em minimizar a superfície de ataque implica em limitar o acesso externo e interno (por exemplo, portas abertas) ao que é absolutamente necessário. Implica também em desabilitar funções e infraestrutura desnecessárias de software. Isso reduz o número de itens que podem ser comprometidos. A superfície de ataque não só deve ser limitada, mas também precisa ser protegida por meio de uma estrutura automatizada e que detecte inteligentemente o tráfego anormal ou o comportamento do software. Isso deve resultar nas ações de quarentena e notificação orientadas por políticas apropriadas, limitando assim o impacto de violações.
A jornada na nuvem tem nos guiado ao futuro. Se feita corretamente, pode trazer muitos benefícios para as empresas. Só não podemos nos esquecer de que nuvem e segurança devem caminhar juntas. Não é improvável que companhias corram riscos de violações de dados, mas aquelas que estiverem preparadas para corrigir e isolar ataques em segundos ou minutos serão mais bem-sucedidas.
A importância dos equipamentos de proteção individual (EPIs) nunca esteve tão clara quanto neste momento de combate à pandemia. A falta de certos itens, de produção nacional escassa, tende a intensificar as discussões sobre mudanças no setor – algumas em curso mesmo antes da eclosão do novo coronavírus. Esse pano de fundo aumenta as expectativas em torno da 23ª edição da FISP – Feira Internacional de Segurança e Proteção, a ocorrer entre os dias 20 e 22 de outubro no São Paulo Expo.
Promovida pela Cipa Fiera Milano, a FISP é a principal feira do gênero na América Latina e a segunda maior do mundo, atrás apenas da alemã A+A. Conta com realização da Animaseg (Associação Nacional da Indústria de Material de Segurança e Proteção no Trabalho), da Abraseg (Associação Brasileira dos Distribuidores e Importadores de Equipamentos e Produtos de Segurança e Proteção ao Trabalho) e do Sindiseg (Sindicato da Indústria de Material de Segurança), acontecendo simultaneamente à 14ª Fire Show – International Fire Fair. Juntas, as feiras devem atrair um público de mais de 50 mil visitantes e 700 empresas expositoras.
“Como muitos sabem, diversos EPIs que estão em falta na área hospitalar são importados. Eles poderiam estar sendo fabricados aqui se houvesse, há anos, uma política de apoio à produção nacional”, observa Raul Casanova Junior, Diretor Executivo da Animaseg e da Abraseg. Das quase 1,3 mil empresas que compõem a nata do setor, apenas 5% trabalham com equipamentos de proteção respiratória. Outros 5% fornecem luvas hospitalares. “O setor está disposto a ouvir, propor e agir para o alinhamento de mudanças estratégicas”, afirma o porta-voz.
Novo registro de informações
A abertura ao debate tem pautado a conduta da indústria de saúde e segurança do trabalhador no tocante à Medida Provisória 905, instituída em novembro de 2019. Entre outras ações, a MP visa instituir um novo modelo de certificação para os EPIs, em substituição ao Certificado de Aprovação (CA) – instrumento utilizado há mais de 40 anos no Brasil.
AAnimaseg, por exemplo, criou o RA, registro voluntário para centralizar informações do EPI como laudos, certificados, indicações de uso, restrições e validade atestados por laboratórios ou Organismos de Certificação de Produto (OCPs). “O RA fornece dados e garantias a mais do que o CA, assegurando ao consumidor que o produto adquirido seja idêntico ao ensaiado”, afirma Casanova Junior.
A conversão da MP 905 em Lei segue em curso. O texto foi aprovado pelo Congresso em 14 de abril e agora depende do aval do Senado. O prazo para o término de todo o processo é 20 de abril. “A tendência é de aprovação. Por isso, estamos atentos e também mantendo o governo a par das nossas iniciativas”, diz o executivo da Animaseg e da Abraseg.
Os organizadores e realizadores da FISP confiam em medidas para aprimorar a proteção laboral no Brasil. De acordo com o Observatório Digital de Segurança e Saúde do Trabalho, de 2012 a 2018 o país registrou 4,7 milhões de acidentes de trabalho, ou um a cada 49 segundos. No mesmo período houve 17,2 mil mortes em razão de incidentes ou doenças ligados ao ofício (um falecimento a cada 3 horas e 40 minutos).
Assim como muitas indústrias, a de equipamentos de proteção individual (EPIs) vinha se recuperando após um recuo no conturbado biênio 2015-2016. A Animaseg pretende divulgar o balanço de 2019 durante a 23ª FISP, mas antecipa que o ano passado manteve a tendência de retomada. Em 2018, as associadas da entidade, que representam 85% do mercado nacional, movimentaram R$ 4,36 bilhões, com destaques para os segmentos de vestimentas e luvas de segurança.
“A FISP vai novamente apresentar o que existe de mais moderno e inovador em trajes especiais, proteção da face, luvas, calçados e cintas, entre outros itens de segurança”, afirma Rimantas Sipas, Diretor Comercial da Cipa Fiera Milano. “E, como em edições anteriores, o evento também promoverá a capacitação de quem atua no setor. No Techshow, por exemplo, o público poderá participar de palestras gratuitas dos expositores, atualizando-se quanto a informações e tecnologias”.
Sipas pontua que, apesar de consolidada como o maior encontro de profissionais do setor de saúde e segurança do trabalho (engenheiros, médicos do trabalho, inspetores de risco, técnicos, cipeiros e bombeiros), a FISP também representa uma oportunidade importante para empresários e compradores em geral. “Números apontam que mais de 98% das empresas brasileiras são pequenas e não contam com alguém dedicado à prevenção. Conhecer o assunto é importante para todos”.
O laboratório da ESET, empresa líder em detecção proativa de ameaças, analisou recentemente novas ameaças de ciberataques e golpes para evitar que usuários sejam enganados na internet.
O novo golpe é feito por meio do WhatsApp e tem o objetivo de sequestrar contas de usuários do aplicativo. Tudo começa com uma mensagem através do app ou de um SMS por meio do qual um contato (também vítima do golpe) menciona que, sem querer, um código de verificação de seis dígitos (que, supostamente, não era dirigido a ela) foi enviado para o seu telefone e solicita que a mensagem seja reenviada com o código.
Neste caso, como a vítima não solicitou a recuperação de nenhum código, pode pensar que a mensagem, de fato, foi enviada por um contato que precisa recuperar o acesso a sua conta. O que, na realidade, estão fazendo os criminosos por trás desse golpe é entregar o código de verificação para registrar sua conta de WhatsApp em outro dispositivo.
Uma vez que se reenvia a mensagem com o código de verificação de seis dígitos: o cibercriminoso registrará o WhatsApp em outro celular com a combinação numérica (o número telefônico aparece no cabeçalho da mensagem recebida), enquanto a vítima apenas verá em sua tela uma mensagem que a informa ter perdido o acesso à sua conta, ainda que momentaneamente.
Nestes casos, geralmente, o cibercriminoso ativa a verificação em duas etapas dentro do WhatsApp, fazendo com que o usuário original da conta não consiga recuperá-la.
“A educação é um ponto-chave para evitar cair em golpes, já que a conscientização permite que, ao conhecer os riscos, se tomem as medidas necessárias para evitar ser vítimas de golpes. Ironicamente, o recurso de dupla verificação que leva adiante o cibercriminoso é (se já estiver implementado) o melhor aliado que os usuários têm para evitar cair nesse tipo de golpe que busca tomar o controle do serviço de mensagem mais utilizado atualmente”, comenta Luis Lubeck, especialista em Segurança Informática da ESET na América Latina.
Para ativar o recurso, primeiro é necessário acessar os Ajustes na parte superior direita da tela do dispositivo.
Neste momento, o usuário deve escolher uma senha de seis dígitos, que será solicitada na próxima vez que queira registrar o WhatsApp em qualquer dispositivo. É possível que, por segurança, a aplicação solicite a senha, de tempos em tempos, para evitar leituras não autorizadas das mensagens.
“Desta forma, a conta fica protegida ao estar associada não apenas ao número telefônico que fez a instalação, mas também a uma chave numérica e a um e-mail. Com essas medidas adicionais, se por algum motivo o usuário entrega a chave de registro do WhatsApp, as outras camadas de segurança impediriam que um terceiro se registrasse em outro celular”, menciona Luis Lubeck.
“A verificação em duas etapas segue sendo o método mais seguro para evitar acessos não autorizados às contas. Este tipo de camada de segurança se encontram, atualmente, na maioria das redes sociais, assim como nos sistemas de e-mail mais utilizados”.
As empresas têm apenas seis meses para se adequarem à nova Lei Geral de Proteção de Dados (LGPD). Promulgada em agosto de 2018, a legislação entra em vigor em agosto deste ano, e traz uma série de exigências que promovem mudanças em praticamente todos os setores. Por esse motivo, o tema vai mobilizar as atenções durante o Congresso ESS Segurança em Hospitalidade, que será realizado simultaneamente à 23ª Exposec — Feira Internacional de Segurança que acontece de 14 a 16 de abril, no São Paulo Expo.
De acordo com especialistas, o avanço da tecnologia trouxe mais preocupação com a privacidade e a finalidade do uso de informações obtidas por parte das empresas. Com o surgimento das redes sociais e uma sociedade integrada à internet e suas utilidades, tornou-se imprescindível uma legislação capaz de disciplinar o manuseio dos dados. E isso implicará em uma nova visão empresarial para lidar com essas informações.
Todo serviço ou produto que colete e transfira dados tem que estar adequado aos princípios da nova lei. Desta forma, o indivíduo passa agora a ter direito ao acesso às suas informações que uma empresa detém, tendo que autorizar o uso delas, podendo pedir exclusão, portabilidade e até mesmo restringindo sua aplicação.
Diante desta realidade, as empresas terão que tomar alguns cuidados. No momento da captação dos dados de um cliente, por exemplo, ela terá que incluir uma autorização para utilizá-los para um fim específico. O melhor caminho para evitar problemas futuros é a organização consultar um advogado, caso não tenha um departamento jurídico. Há uma grande complexidade e o certo é buscar a assessoria de profissionais.
Empresa envolve todos os funcionários
Criada para “descomplicar o mercado de pagamentos”, a Juno, uma das expositoras da Exposec 2020, já se prepara há meses para cumprir a nova Lei Geral de Proteção de Dados. Segundo Adriano Henrique Pereira, coordenador de segurança da informação na empresa, o primeiro passo foi ouvir o departamento jurídico. “Tomamos o cuidado de estudar a legislação e verificar o que se aplica a nós”, explica. “Depois envolvemos todos os setores da empresa na discussão sobre a LGPD e a própria questão da proteção dos dados de nossos clientes”.
O processo ainda está em andamento, mas Pereira afirma que a Juno já avançou bastante e acredita que estarão prontos quando a LGPD entrar em vigor. “Atualmente, temos uma pessoa de cada setor ligada ao cumprimento da nova legislação que, além de fiscalizar, também replica as informações sobre como a empresa deve agir diante desta nova realidade”, explica Pereira.
Exposec — 23ª Feira Internacional de Segurança
Data: 14 a 16 de abril de 2020 Horário: 13h às 20h Local: São Paulo Expo Exhibition & Convention Center Rodovia dos Imigrantes, Km 1,5 — São Paulo/SP www.exposec.com.br
O surgimento de novas tecnologias como 5G, Internet das Coisas (IoT), veículos autônomos e indústria 4.0 está levando ao aumento da demanda de profissionais de cibersegurança. Segundo estimativas da Cybersecurity Venture, líder mundial em pesquisas de cibereconomia global, o setor deverá gerar de 3,5 milhões postos de trabalho até 2021. Somado a esses fatores, a entrada em vigor em agosto da lei 13.709/18, conhecida por Lei Geral de Proteção de Dados (LGPD), contribuirá para o aumento da demanda no Brasil. Diante deste cenário, os engenheiros Marcos Simplicio e Raul Colcher, membros do IEEE, maior organização profissional dedicada ao avanço da tecnologia em benefício da humanidade, acreditam na urgência da formação de profissionais neste setor para resolver problemas de segurança e privacidade de tecnologias existentes e emergentes.
Professor do Departamento de Engenharia de Computação e Sistemas da Escola Politécnica da Universidade de São Paulo (Poli-USP), Marcos Simplicio defende que haja profissionais cobrindo todo o ciclo e etapas de um sistema de segurança. “É importante ter um designer para criar um sistema robusto; um programador de segurança para evitar vulnerabilidades e um administrador de sistema para elaborar um ambiente seguro. Todas essas funções estão conectadas e a falha de uma delas pode prejudicar o sistema inteiro”, afirma.
Para Raul Colcher, sócio e presidente da Questera Consulting, as habilidades necessárias para um profissional de cibersegurança são multidisciplinares e compreendem técnicas específicas do setor, como conhecimentos e treinamentos básicos sobre tecnologias e soluções emergentes que caracterizam o novo ambiente de redes, sistemas e serviços. Ademais precisam estar familiarizados com os problemas e as características dos setores e aplicativos que irão proteger. “Por fim, eles precisam de um entendimento sólido dos problemas administrativos, comportamentais e regulatórios que normalmente estão presentes em incidentes e ameaças de segurança e privacidade”, conclui.
São Paulo sedia, nos próximos dias 6 e 7 de novembro, o 2º Congresso Internacional de Proteção de Dados, que irá discutir as ações que as organizações precisam tomar a respeito da coleta, gestão e tratamento de dados pessoais, promovendo um profundo debate com autoridades e com os maiores especialistas do setor.
Realizado pela LEC Legal, Ethics & Compliance e pela Opice Blum Academy, o evento começa no dia 6, com o Workshop Day, inteiramente dedicado à abordagem prática sobre como lidar com os novos desafios da LGPD. Com três salas com conteúdos simultâneos, o evento permitirá aos congressistas escolher apenas os temas de seu interesse, criando uma experiência personalizada.
O segundo dia será dedicado às palestras, com a abertura feita pelo keynote Trevor Hughes, Presidente e CEO do IAPP (International Association of Privacy Professionals ), maior organização mundial na área de privacidade de dados pessoais. Anna Zeiter, Chief Privacy Officer na eBay; Steffen Augsberg, professor da Justus-Liebig-University; George de Lucena, advogado de privacidade para América Latina da Uber; além de demais especialistas do GDPR – regulamento europeu, que foi referência para a lei brasileira – também estarão presentes, proporcionando aos participantes o aprendizado com quem já enfrentou o mesmo desafio. Para ver a programação completa, acesse: http://www.congressodeprotecaodedados.com.br/agenda/.
“A entrada em vigor da Lei Geral de Proteção de Dados (LGPD), em agosto de 2020, torna urgente o debate nas empresas sobre o uso seguro e ético de dados pessoais sob várias perspectivas, incluindo jurídica, tecnológica, de compliance, gestão de riscos e negócios”, Rony Vainzof, sócio do Opice Blum, Bruno, Abrusio e Vainzof Advogados. A inconformidade com a lei implicará em multa de até R$ 50 milhões. Todas as empresas em operação no Brasil terão de se adequar, independentemente do porte e segmento.
Com a nova demanda de governança em proteção de dados e o risco de multas altíssimas, as principais empresas que mantém operações no Brasil estarão no Congresso, assim como os grandes players do mercado de privacidade e proteção de dados. O evento é a oportunidade para aumentar o networking, trocar experiências e fechar negócios.
Com a expectativa para receber 400 pessoas, o Congresso é direcionado à profissionais das mais diversas áreas de atuação, como advogados, profissionais de compliance, DPO`s, CFO’s, CEO’s, CIO’s, CTO’s, controllers, auditores, consultores, funcionários públicos, integrantes de RH, suprimentos, marketing, controles internos, que têm como interesse comum a privacidade e a proteção de dados sob as mais diversas perspectivas, jurídica, de compliance, tecnologia, gestão, negócios, entre outras.
Qual é o papel dos líderes de TI e Negócios diante dos novos desafios de cibersegurança? Essa e muitas outras perguntas serão respondidas durante a Conferência Gartner Segurança e Gestão de Risco 2019, que acontece nos dias 13 e 14 de agosto, em São Paulo. No evento, analistas do Gartner, Inc., líder mundial em pesquisa e aconselhamento para empresas, apresentarão insights e novidades sobre a área de segurança e como os executivos de tecnologia e business podem se preparar para o futuro de suas operações.
“Hoje, os riscos cibernéticos são um dos três maiores inibidores do progresso das iniciativas de negócios digitais em todo o mundo. Esse cenário exige que os líderes de TI e negócios descubram e desenvolvam novas habilidades para atender as exigências de cibersegurança e resiliência dentro das organizações. São esses pontos que abordaremos nestes dois dias de atividade em São Paulo”, explica Augusto Barros, Chairman da Conferência e Vice-Presidente de Pesquisas do Gartner.
Dividida em quatro vertentes de conteúdo (Liderança e Estratégia; Tendências e Competências; Gestão de Risco e Resiliência; e Arquitetura e Operações), a Conferência discutirá as principais tendências e demandas da área de segurança, privacidade e gestão de riscos. Durante a programação, o público terá acesso às apresentações de analistas do Gartner, workshops, casos de sucesso e oportunidades para troca de experiências.
Com expectativa de reunir mais de 700 especialistas, o evento apresentará em dezenas de painéis o cenário de segurança digital e indicará como os líderes podem avançar em suas estratégias de proteção em uma era marcada pela expansão de soluções Cloud, escassez de profissionais qualificados e grandes desafios de compliance. “Ao todo serão apresentadas mais de 30 novas pesquisas e análises exclusivas sobre os mais importantes e relevantes assuntos”, diz Barros.
De acordo com pesquisas do Gartner, 95% dos líderes de dados acreditam que as ameaças de cibersegurança vão aumentar e impactar o dia a dia de diferentes partes e processos de uma organização. “Estamos em um momento que é preciso estabelecer novos padrões de liderança e comunicação para mudar o mindset organizacional no que diz respeito à proteção das informações e a inovação”, explica Barros, ressaltando que o objetivo da Conferência é apresentar insights e dados que estimulem o aprimoramento dos gestores de diferentes áreas em relação à segurança.
Um dos destaques do evento deste ano é a realização do CISO Circle, criado exclusivamente para Chief Information Security Officers (CISOs), Chief Risk Officers (CROs) e executivos com poder de decisão nas áreas de segurança e risco dentro das organizações. A meta é proporcionar uma experiência diferenciada por meio de sessões únicas e relevantes ao permitir acesso a conteúdos relevantes para os negócios.
Durante a Conferência, os participantes que desejarem recomendações específicas para os desafios de suas empresas poderão agendar reuniões particulares com analistas do Gartner. Nesses encontros, os executivos participantes receberão dicas sobre como preparar seus negócios para incorporar assertivamente tecnologias como Internet das Coisas (IoT), Inteligência Artificial, Aprendizado de Máquina e Analytics. Entre os temas discutidos estão Blockchain e cibersegurança.
Um grupo de startups demonstrará tecnologias inovadoras na 14ª Feira e Conferência Internacional de Segurança (ISC Brasil), que acontece entre os dias 25 e 27 de junho, no Expo Center Norte, em São Paulo. A expectativa é que o evento receba mais de 18 mil visitantes, movimentando cerca de R$ 800 milhões em negócios. Neste ano, o evento conta com um crescimento de 31% no tamanho e volume de marcas presentes em relação ao ano anterior.
Entre as empresas presentes na “ilha” montada especialmente para startups está a Findme, originária de Natal (RN), que desenvolveu um software de gestão inteligente para ajudar empresas de segurança patrimonial no maior controle, eficiência e qualidade em seus serviços, possibilitando maior força de mercado e evolução em todo o setor. Em 11 meses de aceleração, a Findme saltou de uma carteira de um para 100 clientes, transferindo a sede para a São Paulo.
Outro destaque é a Aeroscan, uma startup que utiliza drones para fazer ronda de empresas e condomínios. A solução envolve uma plataforma de gerenciamento de múltiplos drones que permitem a criação de missões e rondas automatizadas, enviando as coordenadas e transmitindo a imagem para uma central de controle em tempo real. Além disso, a plataforma trabalha com APIs, o que possibilita a integração com qualquer central de monitoramento.
Os visitantes também podem ver o aplicativo desenvolvido pela startup sueca Sectech, que é voltada para empresas e tem como foco a comunicação em momentos de emergência. Por meio do aplicativo em smartphones, é possível alertar sobre qualquer incidente como assaltos, tiroteios, enchentes ou incêndios.
Congresso ISC Brasil
A 14ª edição da ISC Brasil traz em sua programação o Congresso ISC Brasil. Com uma grade focada na atualização profissional e capacitação técnica, o evento apresentará conceitos inovadores, tecnologias e recursos da indústria do segmento para aplicação de soluções integradas de segurança eletrônica, patrimonial e privada, pública e digital. No total, serão mais de 150 horas de conteúdo de alta qualidade e impacto no mercado de segurança brasileiro.
14ª edição ISC Brasil
Mais de 18 mil visitantes são esperados na 14ª ISC Brasil. Com a presença de mais de 150 expositores, a feira deve movimentar mais de R$ 800 milhões em negócios.
Até 2020 o mercado mundial de tecnologia e serviços de segurança deverá gerar US$ 240 bilhões, segundo estimativa da consultoria alemã de pesquisa independente Statista. De olho neste faturamento, 150 expositores e mais de 18 mil visitantes se encontram para apresentar e negociar as novidades que devem movimentar cerca de R$ 800 milhões na 14ª Feira e Conferência Internacional de Segurança (ISC Brasil), de 25 a 27 de junho.
O Brasil está com este setor superaquecido, crescendo cerca de 8% a cada ano e, em 2019, não será diferente. A ISC Brasil conta com um incremento de 31% no tamanho e volume de marcas presentes em relação ao ano anterior. De acordo com a organização, essa evolução demonstra a pujança do setor de segurança.
Abertura
A cerimônia de abertura acontece às 12h, e contará com a presença de autoridades como o governador do Estado de São Paulo, João Dória; do senador da República por São Paulo, Major Olímpio; do secretário da Administração Penitenciária do Estado de São Paulo, Coronel Nivaldo Cesar Restivo; e do secretário Municipal de Segurança Urbana de São Paulo, Coronel José Roberto Rodrigues de Oliveira; além de representantes de entidades do setor.
Reunião de Comandantes
Logo após a cerimônia acontece a Reunião Extraordinária do Conselho Nacional de Comandantes das Polícias e Corpos de Bombeiros Militares do Brasil (CNCG), que contará com a presença do presidente do Conselho Nacional de Comandantes Gerais (CNCG), Coronel Carlos Alberto de Araujo Gomes Junior. Mais de 40 líderes de todo país estarão presentes durante os três dias de ISC Brasil para discutir temas relacionados à segurança pública e a atuação das forças militares estaduais.
Ainda no primeiro dia, das 16h às 17h, a feira recebe Antonio Alfonso, para apresentar o case Tolerância Zero. Alfonso, oficial aposentado do Departamento de Polícia de Nova Iorque e presidente na Arona Executive Services, explicará como uma das cidades mais violentas dos Estados Unidos se tornou uma das mais seguras.
14ª edição ISC Brasil
Com o objetivo de apresentar soluções integradas, tecnologia e projetos inovadores para o mercado de segurança brasileiro, a ISC Brasil acontece no Expo Center Norte, em São Paulo. O pré-credenciamento para visitantes ainda está aberto e os interessados devem fazer sua inscrição, que é gratuita, no www.iscbrasil.com.br/Credenciamento/.
O setor de segurança eletrônica deve passar por uma revolução com a apropriação do blockchain, que foi criado para gerenciar criptomoedas (como por exemplo o bitcoin), mas ganha cada vez mais espaço nos diversos segmentos do mercado. A opinião é do especialista em segurança e privacidade, Emílio Nakamura, que acredita ser este um dos assuntos que estarão em evidência durante a Exposec 2019 – Feira Internacional de Segurança, que acontece em maio, em São Paulo.
O processo ainda está no início, mas já configura uma tendência. “No Brasil não há nenhuma empresa de segurança eletrônica usando o blockchain”, acredita. “Mas tenho visto algumas implementando sua utilização no exterior e isso chegará aqui com certeza”, afirma o especialista, responsável por seminários promovidos pela Abese (Associação Brasileira das Empresas de Sistemas Eletrônicos de Segurança), realizadora da Exposec 2019, tema difundido pelo país, alertando os associados para a nova realidade.
Os dados que as empresas de segurança eletrônica manipulam, sejam na parte de identificação, autenticação, controle de acesso, ou mesmo imagens de circuitos fechados estão muito mais protegidos no blockchain, acredita Nakamura. Bem diferente da situação atual, em que as informações são armazenadas em um servidor central e uma pessoa detém seu controle.
Em linhas gerais, pode-se dizer que se trata de um sistema de base de dados distribuído em algoritmo, mantido e gerido de forma compartilhada e descentralizada por meio de uma rede ponto a ponto (P2P), que se assemelha a blocos encadeados, cada um com uma impressão digital. Todos os participantes são responsáveis por armazenar e manter a base de dados. A tecnologia foi construída tendo em mente quatro principais características: segurança das operações, descentralização de armazenamento/computação, integridade de dados e imutabilidade de transações.
O grande foco do blockchain é a possibilidade de gerenciar dados de forma segura. “Os dados que você utiliza dentro do blockchain têm característica de imutável, não consegue alterar isso, mexer em sua integridade”, afirma Nakamura, lembrando que o sistema não foca na confidencialidade de dados. “As informações são disponíveis, mas ninguém pode mudá-la”.
Para o especialista, outra vantagem do blockchain é que “adiciona uma camada de segurança quanto à integridade e a disponibilidade dos dados. E o fato de ser distribuído e descentralizado também atende à lei de proteção de dados (LPD). “O sistema em si não é suficiente, mas se for misturado à criptografia ajuda com certeza as empresas a atenderem à LPD”, garante.
Exposec – 22ª Feira Internacional de Segurança
Data: 21 a 23 de maio de 2019
Horário: 13h às 20h
Local: São Paulo Expo Exhibition & Convention Center
