Tag segurança digital

FEBRABAN e 28 bancos promovem 2ª Semana da Segurança Digital

A FEBRABAN – Federação Brasileira de Bancos e mais 28 bancos associados realizam entre os dias 25 e 31 de outubro a 2ª edição da Semana da Segurança Digital com o objetivo de promover a conscientização da sociedade para o uso da internet e os serviços digitais de forma segura.

Durante este período, os participantes divulgarão dicas de como se prevenir dos principais golpes e fraudes digitais. Cada participante desenvolverá livremente suas ações de conscientização para seus clientes, usando as hashtags #SegurançaDigital, #SemanadaSegurançaDigital e #CompartilheSegurançaDigital.

Participam da Semana da Segurança Digital os bancos: Agibank, Banco ABC, Banco de Brasília (BRB), Banco do Brasil, Banco do Nordeste, Banco Fibra, Banese, Banestes, Banpará, Banrisul, BMG, Bradesco, BS2, BTG Pactual, BV, C6 Bank, Daycoval, Inter, Itaú, Mercantil, Original, Pan, Pine, Rendimento, Safra, Santander, Sicoob e Sicredi.

Na FEBRABAN, as informações estarão disponíveis no site http://antifraudes.febraban.org.br/ e nas redes sociais da Federação – Youtube, Facebook, Twitter, Linkedln e Instagram. No site antifraudes, também será publicada a Cartilha de Engenharia Social (técnica que manipula o usuário para que ele forneça informações confidenciais) com dicas de como se proteger dos principais golpes.

No próximo dia 30, a entidade também promoverá a live “Aumento dos crimes cibernéticos e a Educação Digital” pela plataforma noomis (http://noomis.febraban.org.br), às 14h30. Participarão Adriano Volpini, diretor da Comissão Executiva de Prevenção a Fraudes da FEBRABAN; Erik Siqueira, agente da Polícia Federal; e Aldo Albuquerque, sócio-diretor da Tempest Security Intelligence.

“Mais uma vez, o setor bancário brasileiro se alinha a ações similares desenvolvidas durante todo o mês de outubro tanto nos Estados Unidos, desde 2003, como na Europa, desde 2012, e que envolvem vários setores da economia”, afirma Isaac Sidney, presidente da FEBRABAN. “Com a nossa ação de conscientização, queremos ajudar o consumidor a usar cada vez mais suas informações de modo seguro no ambiente digital”, acrescenta.

Neste ano, os participantes irão divulgar dicas de como se prevenir dos principais golpes e fraudes digitais nos seguintes temas:

• Home Office

• E-mails Falsos e Páginas Falsas (Phishing)

• Rede Sociais e Privacidade de Dados

• Senhas e Autenticação Segura

• Pix- Sistema de Pagamento Instantâneo

Adriano Volpini, da Comissão Executiva de Prevenção a Fraudes da FEBRABAN, afirma que um dos grandes objetivos da Semana da Segurança Digital também é ajudar a criar uma forte cultura de proteção de dados no Brasil.

“A população tem um comportamento de segurança no mundo digital diferente do mundo físico, em que as pessoas já se acostumaram a tomar cuidados com carteiras, pertences e celulares, quando estão em locais públicos e de grande movimentação. É preciso ter a mesma conduta para o mundo digital”, afirma.

Além de ações de conscientização como a Semana da Segurança Digital, os bancos brasileiros atuam em várias frentes com o objetivo de contribuir para o combate aos golpes e fraudes. As instituições investem cerca de R﹩ 2 bilhões em sistemas de tecnologia da informação voltados para segurança, valor que corresponde a cerca de 10% dos gastos totais do setor com tecnologia.

Entre as tecnologias de ponta usadas pelos bancos voltadas à segurança das transações bancárias e a prevenção a fraudes, Volpini destaca as aplicações de biometria, aliadas à análise de dados, e o uso da inteligência artificial, que contribuem para processos seguros de validação de usuários, controle de ações e monitoramento de compras.

Entretanto, adverte que atualmente 70% das fraudes estão vinculadas à engenharia social. “A educação digital é fundamental para combater este tipo de crime e deve estar presente cotidianamente em nossa vida financeira”, afirma Volpini.

Saiba mais sobre a participação da FEBRABAN na 2ª Semana da nas redes sociais da entidade e pelo site http://antifraudes.febraban.org.br/

Tags, , ,

Ciberataques: 4 etapas para criar um programa de Segurança da Informação

Por Carlos Araujo Jr.


Não há dúvidas que a pandemia do Coronavírus afetou e continuará impactando a maneira como vivemos e trabalhamos. As empresas foram obrigadas a se adaptar e, com isso, uma quantidade significativa de operações adotaram o home office sem estarem 100% preparadas para esse cenário. No entanto, aquelas que já tinham implementado uma governança do Programa de Segurança da Informação certamente absorveram melhor os impactos causados durante as adaptações forçadas pelo cenário da pandemia.

Nos primeiros meses, muitas orientações foram disponibilizadas a fim de ajudar as empresas que não estavam preparadas a tomarem ações mínimas de segurança nesse cenário de trabalho à distância. Porém, a implementação isolada desses controles disponibilizados não significa que as operações estejam seguras. Afinal, maturidade em Segurança da Informação não se cria do dia para a noite.

Os controles ajudam na mitigação de possíveis riscos, mas essas e outras medidas foram tomadas para “apagar o fogo”, ou seja, resolver alguns problemas específicos que, antes da pandemia, nunca haviam sido priorizados ou até identificados pelas empresas. Isso porque, os desafios da cibersegurança não são novos, eles apenas recebem suas roupagens de acordo com a ocasião. Neste caso, o Coronavírus trouxe um cenário de urgência para as empresas que ainda não enxergavam a Segurança da Informação como uma área crítica. Porém, as ameaças de segurança já existiam há anos.

Então, como as organizações poderiam estar melhor preparadas para esse cenário sem precedentes? Antes de tudo, é necessário avaliar seus processos e ativos a fim de identificar os investimentos e os controles que precisam ser priorizados para que a área de Segurança passe do comportamento reativo ao proativo. Para atingir esse objetivo, há a importância de estruturar o Programa de Segurança, que pode ser dividido em quatro grandes etapas, são elas: planejamento e organização; implementação; operação e manutenção; e monitoramento e avaliação.

Na etapa de planejamento e organização é importante o comprometimento dos líderes da empresa com o tema. Neste sentido, é possível dizer que o cenário pandêmico foi um impulsionador, mas além do Coronavírus, quais os outros grandes motivadores, internos e externos, da Segurança da Informação? Um exemplo que também está em pauta é a vigência da Lei Geral de Proteção de Dados. Além disso, nesta etapa, é importante a definição do perfil de ameaça, bem como a realização de uma avaliação de riscos de segurança a fim de identificar seus gargalos e suas ameaças.

Para a etapa de implementação, algumas atividades essenciais são o desenvolvimento de políticas, normas e procedimentos que suportem o tema de segurança na empresa e, com base na avaliação de riscos, o desenvolvimento e a implementação de blueprints necessários para atender suas necessidades.

Na próxima etapa, de operação e de manutenção, é importante que auditorias internas e externas sejam realizadas visando garantir que os requisitos, as linhas de base e os controles de segurança estejam, de fato, implementadas de maneira efetiva. Por fim, o monitoramento e a avaliação envolve o acompanhamento e a revisão de métricas e de indicadores, além de propostas de melhorias para o próximo ciclo do programa.

Ou seja, não existe uma “receita de bolo” que garanta segurança. Cada empresa deve cumprir suas etapas para entender como a área de Segurança da Informação pode se tornar uma parceira estratégica do negócio. Lembrando que, nenhuma organização estava totalmente preparada para a pandemia do Coronavírus, mas aquelas que já possuíam um programa implementado conseguiram se beneficiar da resiliência e da adaptabilidade que ele proporciona.

Carlos Araujo Jr. é gerente de Cyber Security na ICTS Protiviti

Tags, , , ,

É possível diminuir os riscos de fraude das urnas eletrônicas?

Por Matheus Jacyntho

Estamos em ano de eleições para a presidência da república, período em que percebemos com mais ênfase o cenário de acirramento político que vem desde o pleito de 2014. Após a última eleição, quando a diferença entre os candidatos foi relativamente pequena, alguns setores da sociedade questionaram a legitimidade e a segurança das urnas eletrônicas utilizadas no processo eleitoral.

O Tribunal Superior Eleitoral (TSE) realiza, desde 2009, Testes Públicos de Segurança do Sistema Eletrônico de Votação (Urnas Eletrônicas), porém em um ambiente muito controlado, de difícil utilização de ferramentas e com prazo limitado para conclusão. Ainda assim, os participantes dos testes conseguiram identificar vulnerabilidades que possibilitariam a um atacante fraudar uma eleição[1].

Para reduzir os riscos de fraude, o TSE recomendou a inserção de um processo de auditoria do Sistema Eletrônico por meio da impressão do voto. Assim, o eleitor conseguiria verificar se o voto impresso corresponde ao realizado na urna e a impressão cairia automaticamente em um compartimento lacrado sem intervenção humana. Caso alguma suspeita de fraude fosse levantada, seria possível recontar os votos impressos e conferir com o boletim da Urna enviado ao TSE.

A discussão sobre a adoção do voto impresso chegou até o Supremo Tribunal Federal (STF), que decidiu que a versão impressa viola a garantia constitucional do segredo do voto, já que seria possível identificar o eleitor. Por fim, o Tribunal afirmou que estudos constataram o custo relativamente mais alto do voto impresso por eleitor.[2]

Sendo assim, em curto prazo, para as eleições de 2018, não será possível implementar a auditoria do voto eletrônico a partir de sua impressão. Talvez nem mesmo em cenário de médio prazo será possível. É importante ressaltar que este controle é considerado reativo, ou seja, caso seja comprovada uma fraude pela auditoria do voto impresso, teremos impactos, por exemplo, na política e economia, visto que seria necessária uma nova eleição.

Quando comparamos esse processo a outros setores, podemos analisar os testes realizados pelos bancos em suas aplicações de Internet Banking. Estes sistemas são testados praticamente de forma ininterrupta, provendo um alto nível de segurança da informação. Caso alguma vulnerabilidade seja implementada involuntariamente em ambiente de produção, é bem provável que os testes internos identifiquem a falha antes que um atacante externo consiga explorá-la.

Partindo da premissa que não existem sistemas 100% seguros e que a auditoria pelo voto impresso não está autorizada, é razoável considerar uma mudança no foco da segurança do voto eletrônico para a realização de mais testes periódicos do Sistema Eletrônico de Votação e da flexibilização do modo como os atuais testes são permitidos.

Os pesquisadores ou empresas contratadas poderiam ter acesso às Urnas Eletrônicas por mais tempo e condições para elaborar testes mais precisos e direcionados para o ambiente do Sistema Eletrônico de Votação. Desta maneira, seria possível identificar proativamente as vulnerabilidades, bem como o TSE providenciar as correções necessárias e os pesquisadores testarem novamente para comprovar que a remediação foi efetiva.

Portanto, na contramão do atual cenário que preconiza a adoção do voto impresso, a realização de mais testes periódicos e de maior duração, poderia diminuir significativamente o risco de fraudes no Sistema Eletrônico de Votação.

Matheus Jacyntho, gerente da área de cybersecurity da Protiviti, consultoria global especializada em finanças, tecnologia, operações, governança, risco e auditoria interna.

[1] http://www.researchgate.net/publication/323470546?channel=doi&linkId=5a9761de0f7e9ba42974d0c9&showFulltext=true

2 Portal do STF – http://www2.stf.jus.br/portalStfInternacional/cms/destaquesNewsletter.php?sigla=newsletterPortalInternacionalJurisprudencia&idConteudo=291605

Tags, , , , , , ,

Kaspersky Lab anuncia primeiro grande evento no Brasil

Há mais de 20 anos no mercado de segurança digital, a Kaspersky Lab realizará no dia 2 de outubro, em São Paulo, o seu primeiro grande evento voltado para cibersegurança no Brasil. Focado em ameaças para consumidores e empresas, o Kaspersky LIVE conta com especialistas que abordarão os motivos pelos quais a segurança deve ser pensada em primeiro lugar. Durante o evento serão abordados tópicos como segurança em nuvem, detecção e respostas às ameaças, tecnologias emergentes, gestão de ameaças e vulnerabilidades, segurança de dados, Indústrias 4.0, bem como demonstrações ao vivo sobre o funcionamento das soluções da empresa.

A Kaspersky Lab tem observado que as empresas têm sofrido um impasse devido ao receio do impacto e dos custos crescentes relacionados a violações associadas aos “dados em movimento”. Para se ter uma ideia, o custo médio para as PMEs de uma violação chegou a US$ 103 mil em 2018, um valor 61% maior do que em 2017 (US$ 64 mil). Já para as grandes empresas, o valor foi de 97%, com o impacto financeiro médio de uma violação chegando a US$ 1,14 milhão. “Segundo nossos dados, 65% das empresas acreditam que os riscos à segurança dos sistemas de controle industrial (ICS) são maiores com a Internet das Coisas”, destaca Roberto Rebouças, diretor-executivo da Kaspersky Lab no Brasil. “Mas nem tudo está perdido, já que vimos que cerca de 77% das empresas colocam cibersegurança como sua maior prioridade”, enfatiza.

No caso das indústrias, um relatório recente da empresa mostra que as dos setores de energia e industrial, bem como as empresas de transporte e logística, têm opiniões diferentes sobre os efeitos negativos dos ataques cibernéticos em suas redes industriais. Mas, quando se trata de questões que afetam sua capacidade de manter as redes seguras, há três principais preocupações com as quais eles podem concordar: falta de equipe, investimento da alta administração e do fator humano.

Além dos diferentes tipos de ataques que acontecem no País e no mundo, a Kaspersky Lab também fará demonstrações ao vivo de como funcionam os ataques à plantas industriais. “Estamos muito felizes em realizar esse evento aqui no Brasil. Afinal, não podemos ignorar a segurança online em um País que é campeão de ataques de phishing e foi um dos mais atacados pelo WannaCry no ano passado”, reforça Rebouças. “Cada vez mais, temos que falar sobre segurança digital e mostrar as tecnologias da próxima geração que estão disponíveis no mercado para consumidores e para empresas, bem como destacar quais atitudes online podem minimizar esses riscos de ataques”, conclui.

O Kaspersky LIVE também terá a presença de dois especialistas do mercado de cibersegurança: Alexandre Trentini, gestor de Segurança da Informação com mais de 19 anos de experiência na área, e Anchises Moraes, profissional de cibersegurança e com extensa experiência na coordenação e implantação de projetos de Segurança da Informação em empresas de médio e grande porte. O evento também contará com a participação de Thiago Marques, pesquisador de segurança e membro da Equipe de Análises e Pesquisa Global da Kaspersky Lab desde 2015.

Os interessados em participar do primeiro Kaspersky LIVE, que é gratuito, podem se inscrever pelo site: https://kas.pr/klive.

Kaspersky LIVE

Data: 02 de outubro de 2018
Horário: 9h30 às 18h30
Local: Centro de Convenções Frei Caneca
Endereço: R. Frei Caneca, 569 – Consolação
Inscrições gratuitas pelo site: https://kas.pr/klive

Tags, , , ,

Gartner mostra como executivos conseguem manter seus empregos após ciberataques

O Gartner, Inc., líder mundial em pesquisa e aconselhamento imparcial em tecnologia, divulga os motivos porque muitos CEOs serão demitidos por causa de ciberataques e como eles podem se manter em seus cargos.

“Tendências no âmbito regulatório indicam um aumento da responsabilidade para conselhos de administração e executivos na comunicação e prevenção de ciberataques”, diz Tom Scholtz, Vice-Presidente de Pesquisa do Gartner. “Embora você não possa controlar a ocorrência de ataques, é possível supervisionar o nível de preparo das organizações para responder e enfrentar a tempestade”, afirma o analista. “Fomente o engajamento de seus executivos – o risco é deles.”

Segundo o Gartner, o roubo de dados privados de 143 de milhões de norte-americanos fez do caso envolvendo o ciberataque da Equifax um dos maiores da história. A maneira como a companhia lidou com a situação foi acompanhada de diversas análises, resultando na saída do CEO Richard Smith em meio à crise, em 2017. Trata-se de um sério lembrete para qualquer CEO dos perigos envolvidos na violação de dados, diz o especialista.

Para o Gartner, muitos CEOs serão demitidos por causa de ciberataques. Vejas sete razões das demissões de altos executivos por erros de segurança, e como eles devem fazer para manter seus cargos:

1. Responsabilidade fragmentada – Mais CEOs serão tidos como os “responsáveis”. Sem um bom esforço de engajamento contra os risco não há como responsabilizar – “Eu apenas fiz o que o pessoal da segurança me mandou fazer”. Ofereça aos seus executivos condições para decisões adequadas, não proteção. Modelos fortemente baseados em responsabilidade, nos quais os riscos estão a cargo de quem tem autoridade para cuidar deles, garantem que problemas de segurança não se agravem.

2. Desconexão cultural – Muitos Conselhos de Administração acreditam que cibersegurança é um problema técnico resolvido por pessoas técnicas, escondidas em TI. Ao contratar as pessoas certas com conhecimento técnico, é possível diminuir as chances de ser atacado e manter distância das manchetes.

3. Servidor que nunca sofre correções – Embora haja uma legítima razão corporativa, muitas organizações possuem servidores completos sem nunca terem sido atualizados ou corrigidos. Decisões de negócios conscientes precisam ser tomadas levando em consideração o que será feito, mas, mais importante, o que não será feito para se proteger.

4. Seu executivo de segurança é o defensor da sua organização – Equipes de segurança são contratadas por serem especialistas e seu trabalho é proteger a organização. Esses silos são a questão, colocar pessoas na função de proteger os resultados de negócios que não entendem. Fomente o engajamento de seus executivos – esse é o risco deles.

5. Jogar dinheiro no problema – Você não pode comprar sua saída – você ainda não estará perfeitamente protegido. Evite resultados negativamente impactantes devido a elevação de custos operacionais existentes prejudicar potencialmente a habilidade de a organização funcionar.

6. Tolerância ao risco e apetite brando – Organizações criam declarações genéricas de alto nível sobre seu apetite por risco que não suportam a tomada de boas decisões. Evite prometer para apenas engajar em atividades de baixo risco. Essa prática é contrária aos bons negócios e cria outras boas razões para demissão se você está envolvido em atividades de risco.

7. Pressão social – Culpar uma organização por sofrer um ataque de hacker é como culpar um banco por ser roubado. A diferença é que bancos são defensáveis – a maior parte das organizações não é. O primeiro passo para se recuperar é admitir que você tem um problema. Suas ações reforçam como as pessoas percebem a dificuldade. “CEOs precisam redefinir a maneira como lidam com risco e segurança para evitar serem demitidos”, acrescenta Scholtz. “O propósito do programa de segurança é criar um equilíbrio entre a necessidade de proteger e a exigência de conduzir os negócios”, diz o especialista do Gartner.

Tags, , , , , , ,

Kaspersky Lab alerta: 65% dos usuários de Android no Brasil perdem seus dispositivos

As férias acabaram e milhões de pessoas fizeram viagens nacionais ou até mesmo internacionais. Durante esse período, muitos aproveitaram a oportunidade para registrar lembranças preciosas desse tempo longe de casa. Na verdade, segundo a pesquisa com consumidores da Kaspersky Lab, mais de 25% dos brasileiros disseram que as fotos e os vídeos de suas viagens são os dados mais importantes contidos em seus celulares.

De acordo com as estatísticas da Kaspersky Lab*, o recurso antirroubo incluído no Kaspersky Internet Security for Android é executado em média 1,5 vez a cada minuto, e são registrados em média 23.000 dispositivos Android perdidos ou roubados por mês no mundo. As fotos de viagens são classificadas pelos usuários como os dados mais importantes armazenados em seus dispositivos, superando todos os outros, e a Kaspersky Lab tem recomendado que eles cuidem bem de suas lembranças de férias, protegendo corretamente os dispositivos em que foram registradas e armazenadas durante todo o período. Caso contrário, suas fotos podem entrar para as estatísticas de perdas e roubos.

Um outro estudo** da Kaspersky Lab mostrou que, no geral, 4% das pessoas em todo o mundo já tiveram um dispositivo perdido ou roubado. No Brasil, por exemplo, mais da metade (65%) dos casos envolveu dispositivos Android, seguidos de laptops (19%) e iPhones da Apple (20%). Um grande problema para os consumidores é que a substituição de um dispositivo perdido ou roubado pode chegar, em média, até R$ 3 mil.

Com a disponibilidade de ferramentas antirroubo simples e eficazes, agora os consumidores podem ativar o alarme do dispositivo, caso ele seja perdido; podem bloquear e localizar o dispositivo remotamente ou até tirar um retrato oculto do criminoso, se o dispositivo for roubado. Apesar dos riscos e da disponibilidade dessas opções de segurança, a pesquisa da Kaspersky Lab mostra que apenas 21% dos usuários brasileiros tiram proveito dos recursos antirroubo para proteger seus dispositivos.

Dmitry Aleshin, vice-presidente de marketing de produtos da Kaspersky Lab, afirmou: “Esses números indicam a dimensão dos casos de perda de dispositivos; e os 23.000 se referem apenas aos dispositivos Android com o recurso antirroubo da Kaspersky Lab ativado no mundo! Nesta época do ano, é importante considerar a proteção dos dispositivos. A proteção antirroubo é muito simples de usar e acessar; por isso, recomendamos que todos os usuários protejam seus dispositivos para ter segurança e tranquilidade durante suas férias e qualquer outro período”.

O recurso antirroubo da Kaspersky Lab, incluído no Kaspersky Internet Security for Android, evita que os dados do usuário sejam acessados caso o dispositivo seja perdido ou roubado. Por exemplo, se o usuário perder o dispositivo, ele poderá bloqueá-lo e localizá-lo dispositivo remotamente. Também é possível ativar o alarme do dispositivo, mesmo que o som esteja em modo silencioso.

*Números calculados com base no número de comandos antirroubo enviados pelos usuários do Kaspersky Internet Security for Android de 13 de junho a 12 de julho de 2018.
**O estudo foi realizado online pela Kaspersky Lab e B2B International em janeiro de 2018. 17.418 de 31 países participaram da pesquisa. Os dados foram ponderados para serem representativos e consistentes em escala global. Os dados globais excluem resultados da China.

Tags, , , , , ,

Hackathon Unisys – Senai está com inscrições abertas até 20 de agosto

Terminam no dia 20 de agosto as inscrições para o 1º Hackathon da Unisys na América Latina. O evento é promovido em uma parceria inédita com o Senai-SP (Serviço Nacional de Aprendizagem Industrial). Com o tema “Segurança Digital na Era da Indústria 4.0”, o evento acontece no dia 15 de setembro na unidade do Senai em São Caetano do Sul (Grande São Paulo) e promete atrair mais de uma centena de participantes.

Os grupos interessados podem contar com 3 a 5 integrantes e devem se inscrever para a maratona tecnológica por meio do site (http://hackathonindustria40.com/). As premiações totalizam R$ 6 mil reais, sendo R$ 3 mil para o grupo primeiro colocado, R$ 2 mil para o segundo grupo e R$ 1 mil para o terceiro.

A competição é aberta a participantes de quaisquer cidades do Brasil e a qualquer pessoa com idade igual ou superior a 16 anos, sendo que menores de 18 anos devem apresentar termo de autorização assinado pelos pais ou responsáveis no dia do evento.

É recomendável que os candidatos tenham conhecimento técnico nas ferramentas de desenvolvimento de software, além de habilidades de comunicação para estruturar o projeto que será avaliado pela comissão julgadora, formada por representantes da Unisys, do Senai e de parceiros.

Na seleção dos candidatos, uma equipe de jurados avaliará informações técnicas, inovação dos projetos, cumprimento dos prazos e habilidade das equipes, a partir do documento fornecido para avaliação, além das atividades desenvolvidas no dia da maratona. O anúncio dos participantes selecionados será feito no site oficial do evento, no dia 04 de setembro.

1º Hackathon Unisys e Senai

Tema: Segurança Digital na Era da Indústria 4.0

Data: 15 de setembro de 2018

Local: Senai São Caetano do Sul (R. Santo André, 680 – Boa Vista, São Caetano do Sul – SP)

Inscrições e informações: http://hackathonindustria40.com/#

Tags, , , , , ,

Gerenciamento inteligente de dados: missão crítica na continuidade dos negócios

Por Silnei Kravaski

Como consequência direta da crescente valorização da produção e análise de dados dentro das empresas, o mundo corporativo apresenta hoje certos desafios específicos relacionados ao manuseio deste enorme volume de informações, produzidas em formatos e ambientes distintos. Claro que bons indicadores são essenciais para que seja possível a entrega de resultados comerciais cada vez melhores. Mas as empresas também precisam entender e assimilar que problemas com segurança podem trazer impactos negativos significativos aos negócios, alguns até irreversíveis. Por essa razão, um gerenciamento de dados eficaz e inteligente é extremamente importante.

Estima-se que 40% das empresas sofrem violação e perda de dados sigilosos por negligência de uma boa estrutura de gerenciamento de dados. Esse é um estudo de 2017 do Relatório Global de Fraude e Risco, que também aponta que uma em cada quatro empresas sofreu pelo menos uma violação de sistema no último ano, resultando em perda de dados de clientes ou funcionários. O mais curioso dessas análises foi a identificação de que a maioria dos eventos de perda de informações se deu, justamente, por vulnerabilidade do software.

Dados são essenciais no dia a dia das empresas modernas. Diante dessa importância, as companhias precisam estar confiantes de que as transações digitais estão ocorrendo no ritmo desejado. Porém, ainda de acordo com o mesmo estudo, 30% das organizações não possuem um plano de resposta aos incidentes cibernéticos. Nesse contexto, vemos um duplo desafio: tanto é necessário um gerenciamento de dados produzidos, quanto garantir que a experiência digital esteja sempre disponível aos clientes.

Mas como realizar o gerenciamento de dados com inteligência? Nesta realidade de fácil dispersão das informações corporativas, através dos vários sistemas e nuvens, garantir que as informações estejam sempre disponíveis, de forma segura, é algo muito desafiador. Para isso, é necessária uma estrutura inteligente que antecipe automaticamente a demanda por infraestruturas de nuvens que atendam às expectativas móveis.

Um dos primeiros passos recomendados é contar com soluções que garantam que as informações possam ser recuperadas caso ocorra alguma adversidade e preservadas. Em destaque as soluções de backup, disaster recovery e alta disponibilidade, que poderão manter as funções essenciais, manter os dados em segurança e garantir que tudo volte à ativa o mais rápido possível.

Outro ponto importante são as novas regras sobre Proteção de Dados, que aguardam a sanção do Presidente da República aqui no Brasil. Inspirada na europeia, a Lei Geral de Proteção de Dados (LGPD) consiste em um conjunto de novas regras que estabelecem restrições a respeito de como as empresas têm que tratar os dados de seus usuários. Essa normativa rege todo e qualquer mercado que lide com dados dos brasileiros e não somente o online. E neste ponto, é muito importante que as empresas já comecem a se preparar para criar estes parâmetros de utilização e armazenamento, sem afetar os seus negócios.

Contar com um parceiro com uma visão 360° também são fatores decisivos para o gerenciamento de dados com inteligência, para que seja possível gerenciar, implementar soluções modulares e controlar as operações, sempre com uma visibilidade clara e unificada de todos os dados. A partir dessas estruturas inteligentes, é possível diminuir de maneira eficaz os riscos de que algo se perca.

Silnei Kravaski é Diretor Executivo da Planus Cloud, Networking & Services, empresa responsável pelo desenvolvimento do Planus IT 360°, portfólio que ajuda as empresas a prepararem-se para as novas demandas da transformação digital.

Tags, , , , ,

A proteção dos dados pessoais é o dever por trás da criptografia

A Câmara Brasileira de Comércio Eletrônico (camara-e.net) pretende iniciar, ainda este ano, um fórum permanente sobre “A segurança do cidadão na era digital”. Serão realizados seminários e palestras presenciais e digitais para disseminar a importância da assinatura digital, proteção de dados, respeito à privacidade e direito à proteção das informações pessoais. As conferências com especialistas da entidade e convidados serão divulgadas com antecedência e disponibilizadas no site da entidade e no Youtube. A camara-e.net pretende produzir filmes educativos para divulgação nas redes sociais. O objetivo da iniciativa é atingir o maior número de pessoas. A assinatura digital e a proteção de dados são assuntos de segurança nacional, que interessam a todos, tanto ao cidadão diretamente quanto às instâncias de segurança e inteligência do País.

Segundo o presidente da camara-e.net, Leonardo Palhares, um dos projetos prioritários da entidade é disseminar junto aos brasileiros a “cultura da cidadania digital”. Palhares considera fundamental que todos saibam que o compartilhamento, empréstimo, guarda ou qualquer forma de utilização das chaves privadas de certificados digitais por terceiros devem ser vedados. Tratam-se de formas que expõem os seus titulares aos riscos de utilização indevida, contratações e acessos não autorizados, podendo gerar prejuízos de ordem patrimonial e extrapatrimonial e, por fim, quebrar os requisitos mínimos necessários para suportar toda a criptografia e tecnologia empenhadas no processo de geração dos certificados digitais: o segredo e o controle das chaves privadas.

De acordo com Leonardo Palhares, “a identificação inequívoca de pessoas físicas ou jurídicas nas transações eletrônicas, tanto para os contratantes quanto para os contratados, se faz imprescindível para a confiabilidade de uma relação estabelecida em meio remoto. Como exemplo, cite-se que os consumidores se sentem muito mais confortáveis em contratar serviços e produtos de plataformas eletrônicas devidamente identificadas, com mecanismos de contato disponíveis para soluções de problemas e outras tantas informações necessárias para a segurança de uma contratação eletrônica. Portanto, o emprego de assinaturas digitais com certificação digital nos padrões da ICP-Brasil é um importante aliado para a confiabilidade mútua dos contratantes em meio remoto”.

Com o fórum permanente “A segurança do cidadão na era digital”, a camara-e.net objetiva construir uma cultura de cidadania digital. Percebe-se que há pouco conhecimento sobre os efeitos do uso do certificado digital e, principalmente, sobre a relevância da proteção de dados. No Brasil, dado pessoal é aquele “relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa” (Decreto nº 8.771, de 11 de maio de 2016). Logo, uma imensidão de dados pode ser considerada pessoal, desde que permita sua correlação a uma pessoa, sendo, portanto, objeto de proteção por parte daqueles que venham a utilizá-la. A identificação de uma pessoa pode se dar mediante apresentação de documentos de identificação civil, dados cadastrais, informações pessoais, características físicas, biométricas, estéticas ou até mesmo de opiniões. Em meio eletrônico, uma boa parte de dados pessoais são fornecidos voluntariamente pelas pessoas, como contrapartida para um serviço ou produto oferecido ou como mecanismo de atribuição de segurança às transações realizadas em meio eletrônico.

As assinaturas digitais (ou certificação digital) nos padrões da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil (instituída pela Medida Provisória nº 2.200-2/2001), são baseadas em chaves criptográficas (chaves públicas – de conhecimento público – e chave privada – de conhecimento e acesso exclusivos do cidadão), de modo que a chave privada, para que os atributos de integridade e autenticidade sejam garantidos, deve ser gerada e controlada exclusivamente por seus titulares. Portanto, a segurança das transações eletrônicas que se utilizam dos certificados digitais depende da manutenção dos atributos mínimos garantidores do não repúdio das assinaturas digitais. Estas, uma vez associadas a dados de identificação de pessoas físicas (ou jurídicas, muito embora as discussões sobre privacidade estejam atreladas às pessoas naturais) passam a ser enquadradas como dados pessoais e, por isto, merecem proteção absoluta, iniciando-se pela guarda, posse e uso exclusivo das mesmas por parte de seu titular.

A camara-e.net participa ativamente das discussões sobre proteção de dados no âmbito do Legislativo para regulamentação das medidas voltadas a proteção do cidadão. A garantia da privacidade e da autoria de atos eletrônicos dos cidadãos está sob avaliação do Congresso Nacional, que atualmente analisa o projeto de lei nº 7.316/2002. O novo regulamento visa substituição da Medida Provisória que instituiu a ICP-Brasil. A entidade considera que, sem prejuízo à apresentação de emendas que visam a defesa do cidadão compete à sociedade e aos parlamentares repisarem a importância do livre arbítrio sob controle dos seus titulares e jamais sob controle de terceiros. A criptografia, a chave privada e a segurança do cidadão em meio eletrônico dependem de sua manutenção no controle de seus atos e de sua vontade. Sem controle e guarda exclusivos das chaves privadas, não há proteção do cidadão contra as interferências de terceiros, de empresas e do Estado.

A camara-e.net vem se posicionando no âmbito do órgão regulador da ICP-Brasil, do qual participa como integrante do colegiado há mais de 10 anos. A entidade, que é a maior associação multissetorial da América Latina e com maior representatividade na economia digital no País, vem reiterando em seus votos, estudos e fundamentações a imprescindibilidade do controle e guarda exclusiva das chaves privadas por seus titulares, buscando a mais rigorosa e estrita confiabilidade das transações eletrônicas e da segurança técnica e jurídica dos titulares de certificados digitais da ICP-Brasil.

Tags, , , , ,

Consumidores devem reforçar a segurança de suas contas bancárias

Há poucas semanas, autoridades oficiais no México alertaram os bancos para que reforçassem seus sistemas de segurança, diante de potenciais ataques cibernéticos no setor financeiro. No entanto, esses ataques nem sempre miram os bancos, mas têm como foco seus clientes. Por isso, a Avast (LSE: AVST), líder global em produtos de segurança digital, alerta para que os consumidores de todo o mundo – inclusive do Brasil –, fortaleçam seus hábitos online para garantir que seu dinheiro esteja protegido contra possíveis ciberataques.

Os cibercriminosos têm como alvo os consumidores porque sabem que a maioria das pessoas armazena informações confidenciais em seus dispositivos, além de usar smartphones e computadores para realizar compras e transações bancárias online. Os cibercriminosos também sabem que os usuários são um elo fraco e muitas vezes desconhecem as práticas recomendadas de segurança. Luis Corrons, Evangelista em Segurança da Avast, traz dicas importantes sobre a melhor maneira dos consumidores combaterem os cibercriminosos.

Atenção para Trojans bancários em dispositivos móveis

Trojans bancários em dispositivos móveis estão em ascensão. São aplicativos que tentam enganar o usuário a fornecer os seus dados bancários, fingindo ser um aplicativo bancário legítimo. Geralmente, imitam a tela de login ou oferecem uma tela de login genérica, com o logotipo do respectivo banco.

Recentemente a Avast realizou uma pesquisa, pedindo que os consumidores comparassem a autenticidade de interfaces de aplicativos bancários oficiais e fraudulentos. No Brasil, os resultados revelaram que 68% dos entrevistados foram capazes de detectar a interface fraudulenta, enquanto 30% confundiram a falsa com a verdadeira. Estes resultados são alarmantes e mostram que os consumidores podem facilmente ser vítimas de Trojans bancários.

“Estamos observando um aumento constante do número de aplicativos maliciosos para dispositivos Android, capazes de contornar as verificações de segurança em lojas de aplicativos populares e atingir os smartphones dos consumidores. Esses aplicativos geralmente se apresentam como apps de jogos e de estilo de vida, utilizando táticas de engenharia social para enganar os usuários a fazer o download”.

“Os consumidores podem confiar em lojas de apps como o Google Play e a App Store da Apple, para fazer o download com frequência de aplicativos bancários. No entanto, é recomendado uma vigilância extra. Os usuários devem confirmar se o aplicativo bancário que utilizam, é a versão verificada. Caso a interface pareça ser estranha ou estar fora do lugar, é preciso fazer uma nova verificação com a equipe de atendimento ao cliente do banco. Também é importante que os usuários utilizem a autenticação de dois fatores, se disponível, além de terem um antivírus forte para Android instalado, para detectar e protegê-los contra malwares maliciosos”, disse Luis Corrons.

Evitando armadilhas de phishing

Os usuários precisam ainda estar atentos ao phishing, que é uma técnica de engenharia social usada por cibercriminosos para enganar as pessoas a fornecer informações confidenciais, como detalhes do cartão de crédito e credenciais de login. Os golpes de phishing geralmente vêm na forma de email, criado para parecer que veio de uma fonte legítima, dificultando o reconhecimento e incluindo um link ou anexo. Links em e-mails de phishing direcionam o usuário para sites maliciosos, quase idênticos ao site que imitam e pedem às pessoas que insiram suas informações pessoais.

“Os anexos em e-mails de phishing ou o uso de engenharia social são utilizados, por exemplo, para ajustar as configurações a fazer o download do malware. Se um e-mail que afirma ser de uma instituição bancária pareça suspeito, pode ser uma tentativa de phishing. Neste caso, os usuários devem verificar diretamente com o banco a sua legitimidade, para garantir que o e-mail seja realmente da instituição financeira”, disse Luis Corrons.

Senhas são a chave do cofre

Usar senhas fortes e exclusivas para cada conta online, e alterá-las regularmente são medidas importante que devem ser adotadas pelos usuários para que mantenham seguras suas contas online, especialmente as contas bancárias.

“Recomendamos o uso de um gerenciador de senhas, como o Avast Passwords, já que a maioria dos usuários pode ter mais de 20 contas online, dificultando a criação e o registro de senhas fortes, bem como exclusivas para cada uma delas”, disse Luis Corrons.

Os gerenciadores fazem uso de criptografia e geram senhas altamente seguras para todas as contas. Isso não significa que os usuários não precisem se lembrar de senhas longas, mas podem alterá-las facilmente com frequência. Alterar as senhas das contas regularmente é extremamente importante, já que as violações de dados nem sempre são detectadas de imediato pelas empresas, o que significa que os cibercriminosos podem colocar as mãos nas credenciais de login sem que ninguém perceba e, assim, comecem a cometer fraudes.

Instalando uma rede de segurança

A instalação de um programa antivírus é obrigatório em qualquer dispositivo, seja um Mac, Windows ou Android. O Antivírus protege os usuários contra uma infinidade de ameaças, incluindo spyware, ransomware, keyloggers e Trojans.

“Independentemente de quão cuidadosas as pessoas sejam, os cibercriminosos estão sempre descobrindo novas maneiras de entrar nas contas dos usuários. O antivírus atua como uma rede de segurança, protegendo em segundo plano e em todos os momentos até mesmo os usuários mais cautelosos, para que possam utilizar seus dispositivos sem preocupações”.

Mantenha o banco online em seus próprios dispositivos

“Os usuários nunca devem realizar transações financeiras de um computador ou de um dispositivo móvel que não pertença a eles, já que nunca pode-se saber com certeza quem o utilizou pela última vez e que tipo de software está sendo executado no dispositivo. O mesmo vale para as redes Wi-Fi. É extremamente necessário usar uma VPN para realizar transações financeiras, quando o usuário está conectado com redes Wi-Fi públicas. Sem uma VPN, os cibercriminosos podem espiar suas atividades”.

Avast Antivirus e Avast SecureLine VPN para PC, Mac, iOS e Android podem ser baixados em www.avast.com/pt-br

Tags, , , , ,

ClearSale divulga dados inéditos sobre tentativas de fraude no mercado de aparelhos móveis

A ClearSale, empresa líder em soluções antifraude, divulgou um recorte inédito sobre os setores mais visados pelos fraudadores a partir do Mapa da Fraude, estudo elaborado pela empresa que contempla informações sobre tentativas de fraude no e-commerce brasileiro.

Um dos grandes desafios do lojista é identificar e diminuir as fraudes, impulsionando as boas compras e gerando relações de confiança com seus clientes. No último ano, a cada R$100 em compras online de celulares, R$9,47 foram tentativas de fraude, sendo este o setor mais visado pelos fraudadores. Enquanto isso, o mercado de smartphones segue em alta. Segundo estudo realizado pela Gartner, cerca de 1,9 bilhão de smartphones devem chegar aos consumidores em 2018, um crescimento de 1,6% em comparação com 2017.

A prevenção é uma das melhores alternativas para gerar mais confiança entre empresa e consumidor e prevenir atividades fraudulentas. “O fraudador se interessa por produtos de fácil revenda no mercado negro. Por isso, é necessário que, além dos varejistas, o consumidor também tome as devidas precauções para se prevenir de fraudes como, por exemplo, evitar compartilhar informações sensíveis como o número do cartão de crédito e dados pessoais.”, diz Omar Jarouche, gerente de Inteligência Estatística da ClearSale.

Uma das alternativas para a prevenção a fraude é o aplicativo Compre & Confie, iniciativa idealizada pela ClearSale que tem como objetivo consolidar um processo de compra seguro – evitando golpes e, ao mesmo tempo, proporcionando uma boa experiência de compra para consumidores.

Para saber mais sobre as tentativas de fraude que aconteceram no Brasil em 2017 acesse http://lp.br.clear.sale/mapa-da-fraude

Tags, , , , , ,

A prática de DevSecOps é tida como crítica por 89% dos líderes de TI no Brasil, aponta pesquisa

A CA Technologies apresentou os resultados da segunda fase de uma pesquisa global com mais de 1,2 mil líderes de TI sobre desenvolvimento de software seguro. Conduzido pela empresa de análise Freeform Dynamics, o novo relatório destaca a influência da cultura de uma organização em sua capacidade de incorporar práticas de segurança às iniciativas de desenvolvimento de software, uma prática e abordagem mais conhecida como DevSecOps.

Entre os resultados da pesquisa, destaca-que 86% dos gestores brasileiros já entendem a importância de não comprometer a qualidade ou a segurança para que o produto chegue logo ao mercado e afirmam que suas companhias já possuem processos consolidados para testar vulnerabilidades de segurança em seus aplicativos. Ainda assim, é necessário um esforço a respeito das novas metodologias e técnicas de desenvolvimento e gestão para garantir a qualidade do software. “Precisamos focar no desenvolvimento da cultura e políticas de proteção aos dados, porque sempre haverá novas ameaças e formas de ataque”, afirma Denyson Machado, VP de Cibersegurança e Gerenciamento de API na CA Technologies para a América Latina.

A importância de integração de práticas de segurança nos estágios iniciais da produção, DevSecOps, é considerada crítica para 89% dos entrevistados. E ainda que não seja incluída nos no início do desenvolvimento do software, a segurança é considerada essencial (59%) ou importante (34%) para profissionais de TI no Brasil, garantindo que a quase totalidade dos respondentes (97%) afirme que suas companhias são eficazes ou muito eficazes em segurança.

Por outro lado, um alarmante: 21% das companhias ainda trocam qualidade da segurança pelo time-to-market. “A pesquisa nos mostra que as empresas sabem que a segurança é um pilar essencial na construção do software, porém é crucial colocar as convicções em prática para que de fato o consumidor e as operações dessas organizações estejam protegidos. Outro ponto a destacar é o perfil das companhias brasileiras entrevistadas, todas grandes e com um nível de maturidade maior que a média do mercado local “, ressalta Denyson.

A decisão sobre a qualidade e segurança dos aplicativos está nas mãos dos profissionais de tecnologia. De acordo com o resultado da pesquisa, as ações de 68% dos CIOs e CTOs e 94% das equipes operacionais geram enorme impacto para segurança dos dados. Enquanto isso, menos da metade (48%) das atitudes de líderes e equipes de áreas jurídicas e de compliance causam o mesmo impacto.

“Buscar a qualidade da segurança é um desafio de todos os níveis das empresas e deve ser algo implantado na cultura de toda Moderna Fábrica de Software. A equipe de TI tem o conhecimento técnico da produção de um software, mas as áreas jurídica, financeira, marketing e vendas devem entender todo impacto negativo que pode ser causado por um software de qualidade indesejável”, completa Denyson.

No mundo

A maioria dos entrevistados confirmou que o desenvolvimento de software apoia o crescimento e a expansão e ajuda as empresas a competir e promover a transformação digital. Porém, os resultados mostram que, como o software se tornou fundamental para o sucesso da empresa na economia digital, as preocupações globais com a segurança aumentaram muito. Na verdade, 74% dos entrevistados concordaram que ameaças de segurança devido a problemas de software e código são uma preocupação crescente.

A maioria (58%) dos respondentes mencionou que a cultura e a falta de habilidades técnicas como obstáculos para incorporar testes e avaliação de segurança nos processos de desenvolvimento de software. Apenas 24% concordaram que a cultura e as práticas da organização apoiaram a colaboração durante o desenvolvimento, as operações e a segurança. Além das limitações culturais, menos de um quarto dos entrevistados concordou que a alta administração sacrificaria o tempo para chegar ao mercado para avaliar e reparar as vulnerabilidades de segurança do software.

O relatório apresenta as características do “Mestres de Segurança de Software” (34% dos entrevistados), que são as organizações capazes de integrar a segurança em seus ciclos de vida de desenvolvimento de software. Isso inclui a realização de testes iniciais e contínuos nos aplicativos para verificar vulnerabilidades de segurança, além de incluir a prática de DevSecOps.

Quando comparados ao restante, os Mestres de Segurança de Software apresentam as seguintes características:

– Aumento de 50% nos lucros;

– Aumento de 40% na receita;
– Estão 2,6 vezes mais propensos a realizar testes de segurança para acompanhar as frequentes atualizações de aplicativos, e

– Estão 2,5 vezes mais propensos a superar seus concorrentes.

“As organizações chamadas de Mestres da Segurança de Software são a esperança na economia digital atual. Elas não só ilustram e representam a mentalidade cultural necessária para se adaptar e prosperar no mercado dinâmico atual, como também estão influenciando mudanças na indústria ao moldar o local de trabalho do futuro”, conclui Ayman Sayed, presidente e CPO da CA Technologies.

Tags, , , , , , ,