Seis passos para implementar um Sistema de Gestão de Segurança da Informação

A ESET, líder em detecção proativa de ameaças, aborda os pontos de partida para o desenvolvimento de um Sistema de Gestão de Segurança da Informação (SGSI), dando ênfase nos aspectos que devem ser considerados antes da implementação da ISO 27001, e que se mostrem úteis durante as fases de planejamento e operação do SGSI dentro de uma organização.

“Por ser um processo contínuo de manutenção e revisão, a gestão da segurança da informação constitui um conjunto de engrenagens compostas por diferentes fatores e elementos. De início, isso significa projetar, implementar e manter uma série de processos que permitam o gerenciamento eficiente de informações, garantindo assim integridade, confidencialidade e disponibilidade. É possível também criar um modelo próprio de gerenciamento, desde que sejam considerados todos os fatores essenciais do ciclo para que o sistema seja eficiente”, diz Camilo Gutierrez, diretor do Laboratório de Pesquisa da ESET América Latina.

Embora não haja um passo a passo sobre como implementar um gerenciamento padrão, existem fatores essenciais para uma melhor projeção dos esforços e conquista de resultados aceitáveis. Os aspectos a considerar são:

1. Apoio e patrocínio

O principal elemento que deve ser levado em conta antes da implementação é o respaldo da alta administração em relação às atividades de segurança da informação, especialmente ao iniciar a operação de um SGSI.

O suporte e o empenho desta área refletem um esforço conjunto, diferentemente de um projeto isolado e gerenciado por um único colaborador. Igualmente, a formação de estruturas complexas dentro das organizações é útil, o que permite a cooperação dos representantes de diferentes áreas em funções relevantes.

2. Estrutura para tomada de decisões

Uma boa prática é desenvolver a estrutura adequada para a tomada de decisões em torno do sistema de gestão.Com a criação de um fórum ou comitê de segurança, é possível efetivar o que foi determinado como governança da segurança da informação, ou seja, todas as responsabilidades e ações exercidas pela alta administração em termos de segurança.

3. Análise de brechas

A análise de brechas ou GAP Analysis é um estudo preliminar que permite conhecer a maneira como uma organização lida em termos de segurança da informação. Quando comparadas às melhores práticas reconhecidas na indústria, são usados critérios estabelecidos como padrões. A análise estabelece a diferença entre a performance atual e a desejada. Embora esse diagnóstico seja aplicável a qualquer norma certificável, geralmente é realizado para novos esquemas de certificação, que são os que geram mais dúvidas nas organizações, por serem novidade.

4. Análise de impacto no negócio

A análise de impacto do negócio (BIA, em inglês) é um elemento usado para prever as consequências em caso de incidente ou desastre dentro de uma organização. O objetivo principal é fornecer uma base para identificar os processos críticos para a operação de uma organização e a priorização desse conjunto de processos, seguindo o critério de quanto maior o impacto, maior será a prioridade.

5. Recursos, tempo, dinheiro e pessoal

Com base nos resultados da análise, é possível estimar os elementos necessários para a implementação da ISO / IEC 27001. No caso do primeiro ciclo de operação, recomenda-se um período com menor carga de trabalho para implementação, permitindo planejamento adequado ou, se necessário, a contratação de novos funcionários focados nesta tarefa.

É recomendável que o tempo dedicado ao sistema de gerenciamento não exceda um período superior a um ano antes do primeiro ciclo estar completo, devido a diferentes razões, como mudanças contínuas nos riscos, alteração das prioridades da administração em relação a proteção de ativos, aparição de novas ameaças, entre outros.

6. Revisão dos padrões de segurança

É necessário conhecer a ISO / IEC 27000, que permite entender os princípios sobre os quais a implementação de um ISMS se baseia.

A ISO / IEC 27000 contém o glossário de todos os termos utilizados na série 27000, um resumo geral desta família de padrões, bem como uma introdução ao SGSI. Cada implementação é diferente devido às condições, necessidades e recursos de cada organização. No entanto, esses elementos podem ser aplicados de forma geral, uma vez que os padrões definem o que deve ser feito, mas não a maneira de fazê-lo.

“Por meio das melhores práticas da indústria e do consenso de especialistas no assunto, estes elementos podem ser essenciais para o sucesso da iniciativa de operar e manter um SGSI dentro da empresa, com o objetivo de proteger informações e outros ativos”, conclui Gutiérrez.

Compartilhar

Kaspersky Lab: 9 hábitos online que devem ser corrigidos imediatamente

O ano está apenas começando e, com isso, muitas pessoas desejam abandonar maus hábitos que afetam diferentes aspectos de suas vidas. Agora que estamos cada vez mais imersos na vida digital, também é importante corrigir alguns hábitos que colocam em risco a integridade dos nossos dados e a nossa segurança. De acordo com um estudo da Kaspersky Lab, quase metade dos usuários da internet tiveram a terrível experiência de perder os dados por meio de seus diferentes dispositivos: 47% de seu smartphone, 52% de seus computadores e 20% de um tablet.

Todos os usuários de internet têm sua própria rotina online, desde revisar as notificações em suas redes sociais, até verificar seus e-mails em qualquer momento e local. Essas ações normais devem ser pensadas duas vezes, porque se elas não forem feitas de maneira correta, podem colocar em risco a segurança online dos usuários.

Dentro dessa rotina, existem 9 hábitos que a maioria dos usuários faz automaticamente e que talvez eles não pensem que poderiam representar qualquer risco. A Kaspersky Lab convida você a repensar quais desses hábitos você tem:

1. Baixar qualquer aplicativo. Se você é alguém que está antenado sobre o mais recente app de música ou de exercícios e corre para baixar, pressionando o botão “Aceito” sem realmente saber o que está aceitando, tome cuidado! Muitos aplicativos pedem muitas permissões para os dispositivos, incluindo algo sério que possa prejudicá-lo. Além disso, estima-se que pelo menos 30% dos aplicativos que você baixa para o seu celular nunca serão usados, então, por que baixá-los?

2. Ignorar as atualizações. Você sabia que 99% dos computadores Windows estão propensos a serem hackeados por vulnerabilidades com apenas oito aplicativos? Incluindo os navegadores mais populares, players de mídia e plugins Flash que certamente todos nós usamos. Todos estes são monitorados muito de perto pelos cibercriminosos, uma vez que suas vulnerabilidades podem ser usadas para atacar o máximo de usuários possível. Então, certifique-se de instalar todas as atualizações para tornar seu sistema ainda mais seguro.

3. Levantar do seu computador sem bloqueá-lo. A maioria das pessoas sentadas na frente de um monitor considera irritante e lento bloquear e desbloquear o computador toda vez em que levantam de suas mesas. De acordo com um estudo da Kaspersky Lab, 52% destes usuários experimentaram perda de dados de seus computadores por não terem o bloqueado e/ou colocado uma senha segura de desbloqueio. Evite fazer parte desta estatística.

4. Registrar-se em sites usando o mesmo nome de usuário de redes sociais. “Faça login com sua conta do Facebook” é uma das formas mais comuns de se registrar em sites diferentes. O problema é que, quando você efetua login, o site obtém acesso parcial aos dados em sua conta e, mesmo que seja apenas para informações públicas, são dados que já estão nas mãos de outras pessoas.

5. Fazer muitas coisas ao mesmo tempo. Ser uma pessoa multitarefa nem sempre é uma coisa boa. Pesquisas recentes revelam que, além de afetar a concentração e a produtividade, fazer várias tarefas ao mesmo tempo também afeta a segurança dos usuários, uma vez que, com tantas distrações na tela, os usuários tendem a prestar menos atenção ao que abrem e acabam clicando e fazendo download de arquivos que não sabem a procedência em sites maliciosos. Então, é melhor tentar fechar as infinitas abas no seu navegador e concentrar-se no que você realmente deveria. Seja o que for, você irá fazê-lo mais rápido, melhor e mais seguro.

6. Ser muito curioso. Com certeza você já clicou em um link apenas por considerá-lo interessante, não é mesmo? Se a curiosidade insistir com frequência, provavelmente é hora de mudar seu comportamento. Tente, especificamente, evitar sites com títulos chamativos, que são os que geralmente são maliciosos.

7. Aceitar os termos e condições de serviços sem realmente prestar atenção. Quantos termos e condições você já leu antes de aceitar determinado serviço? Nenhum? Está na hora de mudar e prestar atenção, uma vez que os desenvolvedores geralmente se beneficiam do fato de que ninguém sabe o que está escondido neles; por exemplo, você sabia que 83 de 100 aplicativos têm acesso a suas contas, contatos, mensagens, chamadas e arquivos armazenados? Pois é, todo esse acesso foi permitido lá no começo, quando você aceitou os termos sem ler com atenção. Por isso, demore alguns minutos lendo o que está aceitando para evitar uma dor de cabeça futura.

8. Registrar-se em todos os lugares. De todas as contas on-line que você tem, quantas você realmente usa? Você usa a mesma senha para todos? O que aconteceria se um dos serviços, dos quais você não se lembra, sofre um vazamento de informação? Com isso, informações valiosas, como seu e-mail, número de telefone, senha e entre outras, estarão expostas sem que você nem imagine para quem. A melhor coisa será eliminar todas as contas que você não usa.

9. Publicar em excesso tudo o que você faz. Você sabia que tudo o que você publicou, de uma fotografia, para o seu celular, nunca mais será privado? Além disso, pessoas mal-intencionadas podem até usar essas informações que compartilham para representar sua identidade. De acordo com a Kaspersky Lab, apenas 7% dos usuários da Internet não compartilham informações em suas redes, então pense duas vezes e não faça parte dos outros 93% que disponibilizam na internet qualquer informação.

“Estas são ações que as pessoas fazem com frequência de forma automática, sem parar para pensar por um momento nas consequências – como é o caso dos mais de 50% dos usuários online que sofreram perda de informações de seus dispositivos. Para que isso seja evitado, os usuários têm que estar mais conscientes dos riscos enfrentados e mudarem esses hábitos. Só assim conseguirão proteger da melhor maneira não somente seus dados, mas também a si mesmos”, diz Thiago Marques, analista de segurança da Kaspersky Lab.

A Kaspersky Lab recomenda aos usuários da Internet implementar uma solução de segurança robusta como a Kaspersky Internet Security e a Internet Security para Android em seus dispositivos para que suas informações sejam sempre protegidas.

Compartilhar

Bad Rabbit: crianças, não aceitem balas de estranhos – Por Leonardo Carissimi

Circula nas redes sociais uma brincadeira com o Uber, que sugere que o serviço representa tudo que a sua mãe lhe proibia de fazer quando você era criança: aceitar carona e balinhas de estranhos. Como cliente Uber, me identifiquei prontamente com a brincadeira. Minha desconfiança com balas e água sempre foi maior do que o encantamento com esses pequenos mimos, e mesmo usando o serviço de forma corriqueira em diversos países não me lembro de ter aceitado as famosas cortesias uma única vez. Para mim, a experiência vale a pena por outras razões – e compensa o risco de “pegar carona com um estranho”. Lembrei disso no momento em que lia a notícia recente sobre o mais novo ramsonware, o Bad Rabbit.

Mas então, qual a relação do Bad Rabbit com as balas do Uber?

Bad Rabbit, segundo as melhores informações disponíveis no momento no qual escrevo (análise da fabricante de produtos de segurança Kaspersky), não se espalha por meio de vulnerabilidades em software (os chamados “exploits”). O ramsonware se dissemina por meio de um falso instalador de Adobe Flash Player, baixado pelas vítimas de sites infectados e/ou links de download falsos. Uma vez que essa “falsa atualização” é baixada e executada o instalador, sendo um computador Windows, poderá ser infectado. Este novo ramsonware criptografa arquivos e pede um resgate em bitcoins para “devolvê-los” ao dono.

O download de alguns programas bastante populares, como o Adobe Flash, é oferecido em diversos sites. No acesso a algumas páginas que utilizam os recursos do Adobe Flash é comum que o próprio site disponibilize o link para download do programa. Pois bem, não aceite balas de estranhos – se você precisa do Adobe Flash ou de qualquer outro programa, não baixe de qualquer lugar. Vá ao site do fabricante e assegure-se de estar fazendo o download de uma versão legítima e atualizada do programa que você busca. Ênfase nas duas palavras: legítimas e atualizada.

Note que esse tipo de risco não se limita aos computadores. Ele também existe, e de forma cada vez mais expressiva, nos dispositivos móveis. Atualmente, dado o volume de aplicativos móveis disponíveis nas lojas de apps, notamos que na mesma proporção, há uma crescente multiplicação do número de aplicativos falsos. Toda atenção é necessária no momento de busca por um aplicativo. Verifique com cuidado o nome do app e do desenvolvedor (bastante atenção pois os falsários vão usar nomes parecidos); a quantidade de opiniões que o aplicativo tem (aplicativos falsos terão poucos “reviews”); a data da publicação do app (note: data de publicação, não de atualização; aplicativos falsos tendem a ter a data de primeira publicação em um período recente); novamente vale checar por erros de digitação no nome e/ou descrição; e em caso de dúvida, vá diretamente ao website da loja e busque por informações sobre seu aplicativo móvel, incluindo link para baixá-lo nas lojas oficiais de apps de cada sistema operacional.

Estas atitudes ajudam a reduzir os riscos, são indispensáveis, mas infelizmente não são suficientes. Por este motivo, é essencial também manter programas de antivírus atualizado e assegurar-se de cumprir as políticas de segurança da sua empresa.

Se você é um profissional de segurança, revise os controles de segurança da sua empresa e o nível de aderência dos usuários à política, bem como a sua conscientização dos riscos. Assegure-se que os controles de segurança existentes são eficazes e que seus usuários estejam conscientizados dos riscos, responsabilidades e precauções a tomar. Outra recomendação importante é estar atento às tendências que visam reduzir a superfície de ataque, como a microssegmentação, ou melhorar as capacidades de detecção e resposta de incidentes (como a Arquitetura de Segurança Adaptativa e a Inteligência de Ameaças).

Sua mãe provavelmente também dizia que prevenir é melhor que remediar. Isso é inegavelmente verdade, ainda que não seja a solução para todos os problemas. Por isso, olhar com desconfiança para balas de estranhos, assim como para links oferecidos para download de aplicativos de sites duvidosos, é um bom começo.

Leonardo Carissimi é Diretor de Soluções de Segurança da Unisys na América Latina.

Compartilhar

Com crescimento das ameaças digitais, cibersegurança deve movimentar mais de US$ 85 bilhões em 2017

Malwares móveis e ransomware. Se não conhece esses termos em detalhes, saiba que eles fazem parte do grupo das principais ameaças cibernéticas da atualidade, que podem sequestrar informações estratégicas de grandes corporações, gerando prejuízos e muita dor de cabeça. Não é a toa que muitas companhias estão investindo em segurança para agir preventivamente e evitar a ação dos criminosos digitais.

O Instituto Gartner prevê que ao final de 2017 serão investidos US$ 86,4 bilhões (algo em torno de R$ 270 bilhões) em políticas de cibersegurança. Segundo seus analistas, o aumento dos gastos se deve não a um crescimento de ameaças, mas sim a uma maior percepção das lideranças corporativas quanto à importância de se proteger melhor deste tipo de ameaça.

Exemplo recente do poder dos ataques cibernéticos, o WannaCry, vírus do tipo ransomware, chocou o mundo afetando mais de 230 mil sistemas eletrônicos ao redor do mundo. Incluindo organizações como a Telefônica e o Sistema de Saúde Britânico. No Brasil, seus impactos também foram sentidos, principalmente o Tribunal de Justiça, o Tribunal Regional do Trabalho e o Ministério Público, todos do Estado de São Paulo, que retiraram seus sites do ar devido a invasão e sequestro de dados confidenciais.

Para discutir em profundidade o tema, o Futurecom 2017 promoverá o painel “Sua Empresa foi Invadida e Você não Sabe: Pequenos Descuidos e Grandes Prejuízos”, em que a diretora da Conteúdo Editorial, Graça Sermoud, especialista em conteúdos para web sobre segurança digital, mediará um debate sobre a importância de se proteger daquilo que você não vê, além de avaliar o custo-benefício de um maior investimento em cibersegurança, comparando os custos das soluções aos prejuízos causados nos negócios pela ausência delas.

Já no painel “Blockchain, Segurança “definitiva” para Internet?”, Gustavo Brigatto, jornalista especializado em tecnologia do Valor Econômico, será o mediador no debate que irá tentar descobrir se esta solução é definitiva para a segurança dos usuários em transações on-line, quebrando modelos de negócios tradicionais e reduzindo de maneira representativa os custos das operações.

“Com diversas ameaças trafegando pela rede, a segurança digital tornou-se uma questão prioritária para todas as indústrias, inclusive de telecomunicações. O nosso evento quer enriquecer este debate, trazendo novidades tecnológicas que poderão auxiliar as empresas nesta jornada de segurança, além de oferecer dicas para quem já tem ou deseja hospedar dados em nuvem”, afirma Laudálio Veiga Filho, presidente do Futurecom.

Futurecom 2017
Quando: de 02 a 05 de outubro de 2017, das 9h às 20h
Onde: Transamérica Expo Center – Avenida Doutor Mário Vilas Boas Rodrigues, 387
Informações: www.futurecom.com.br
Programação: futurecom.com.br/pt/o-evento/programacao-geral.html

Compartilhar

Cibersegurança: O que podemos esperar para o segundo semestre?

Por Derek Manky, Estrategista de Segurança Global da Fortinet

Nosso artigo de Previsões de Segurança para o ano de 2017 foi intitulado ‘The Year of Accountability’ (O Ano da Responsabilização). Nele, eu falei sobre as tendências na área de segurança de 2016 e escrevi: “Se nada for feito, existe um risco de que a Economia Digital emergente não ocorra. A necessidade de responsabilização em múltiplos níveis é urgente e real.” O primeiro semestre de 2017 mostrou que esta continua sendo uma preocupação. Novos ataques, com base nos pilares tecnológicos e nos sucessos estabelecidos nos últimos dois anos, são agora mais inteligentes e sofisticados do que nunca. Vamos analisar alguns deles que destacamos no nosso relatório de previsões para o ano de 2017.

Shadownet

No último verão nos Estados Unidos, vimos o lançamento do maior ataque DDoS da história, que usou um shadownet baseado na IoT – este é um termo que usamos para descrever botnets de IoT que não podem ser vistos ou medidos usando ferramentas convencionais. O shadownet Mirai foi criado usando milhões de dispositivos IoT vulneráveis, e foi usado para derrubar uma grande parte da internet. Embora os efeitos tenham sido sem precedentes, prevemos que o Mirai não parou por ai, pois foi lançado principalmente para testar suas capacidades. E estávamos certos.

O ransomworm Hajime é o sucessor do Mirai. Embora tenha o mesmo fundamento básico, ele é muito mais sofisticado. Assim como o Mirai, também está direcionado à IoT e utiliza múltiplas plataformas. O Hajime atualmente suporta cinco plataformas diferentes, inclui um conjunto de ferramentas com tarefas automatizadas e mantém listas de senhas dinâmicas que podem ser atualizadas remotamente.

Um outro botnet de IoT que surgiu recentemente é o Persirai, que visa câmeras com IP de internet. O Persirai usa uma vulnerabilidade de roubo de senha para começar a executar comandos autenticados. Este é outro exemplo de hot exploit, pois assim que uma câmera com IP for infectada, ela começa a atacar outras câmeras com IP, explorando uma vulnerabilidade de dia zero que foi comunicada publicamente há apenas alguns meses.

Ransomware

Como os shadownets baseados em IoT, o ransomware também está mais inteligente. Estamos vendo o resgate de serviços de alto valor e não apenas a criptografia de dados. Para ficarem à frente da curva, as organizações precisam começar agora, identificando e documentando ativos digitais, incluindo os serviços.

Como o processo é automatizado, os criminosos não se limitarão a atacar setores específicos. Alguns pensam que o WannaCry foi um ataque de resgate direcionado, mas na verdade foi mais como um incêndio, destruindo tudo em seu caminho. E assim como o Mirai, o WannaCry era uma versão beta. O Petya, que veio logo depois, pode ter tido um impacto mínimo, mas era uma variante muito mais sofisticada do ransomworm original do WannaCry.

Além de ataques visando setores com grandes ramificações sociais, também vemos o aumento de microataques, possibilitados agora por ataques inteligentes e automatizados. Quanto você pagaria para recuperar o acesso ao seu notebook ou mesmo à sua smart TV ou sistema de segurança da sua casa? O modelo ransomware é eficaz e continuaremos vendo mais destes crimes, pois as técnicas de ataque e fuga estão cada vez melhores e refinadas.

Responsabilização do fabricante de dispositivos de IoT

Os dispositivos e infraestruturas de IoT simplesmente complicam o problema. Eles introduzem mais plataformas em uma rede que já está cheia. Como tendem a ser altamente móveis, eles também criam um novo pesadelo para o pessoal de gerenciamento para corrigi-los. E, como vários dispositivos de IoT, possuem protocolos de software e de comunicação codificados, existem poucas correções para sistemas vulneráveis porque simplesmente não há como corrigir vários deles.

Atualmente, os fabricantes estão nos estágios iniciais do combate a este problema, o que significa que estão inundando o mercado com propostas de padrões. A confusão e a concorrência dificultam até a rotulação correta dos dispositivos IoT em relação aos níveis de segurança ou como os consumidores podem proteger melhor a si mesmos, seus dispositivos e seus dados. Porém, o relógio está correndo. O próximo passo é responsabilizar os fabricantes pela venda de soluções que podem ser facilmente exploradas.

Conclusão

A tecnologia facilita nossas vidas. Temos acesso a níveis sem precedentes de informações, recursos, mídias sociais e entretenimento ao nosso alcance, 24 horas por dia. Grande parte da nossa dependência desta tecnologia tornou-se invisível, seja nos sistemas de controle de trânsito, dispositivos médicos ou ainda nos aplicativos de transações financeiras. Embora novas classes de dispositivos conectados ofereçam serviços valiosos, eles estão sendo integrados a um ecossistema cada vez mais complexo de dados, dispositivos, aplicativos e serviços dos quais nos tornamos cada vez mais dependentes todos os dias.

As ameaças estão se agravando na velocidade digital, ao passo que as resoluções, como os fabricantes que criam proteções de segurança em seus produtos, estão muito lentas. Precisamos começar a criar segurança em ferramentas e sistemas no dia zero. Precisamos de alinhamento sobre formas de ver e combater efetivamente os novos cibercrimes. E precisamos adotar procedimentos e tecnologias integrados, colaborativos e automatizados de ponta a ponta para nos ajudar a ver e proteger recursos valiosos que se deslocam pela rede digital expandida.

Compartilhar

Uso das redes sociais para fins criminosos preocupa 97% dos brasileiros, indica pesquisa da Unisys

O uso das redes sociais para objetivos criminosos é uma grande preocupação dos brasileiros, de acordo com a edição de 2017 da pesquisa Unisys Security Index, a qual indica que 97% têm alguma preocupação em relação ao tema, sendo que 77% estão muito ou extremamente apreensivos. O estudo entrevistou mais de 1.000 pessoas no País em abril deste ano.

O Unisys Security Index é um índice de referência mundial sobre o tema segurança e considera as seguintes variáveis para sua construção: Segurança Pessoal, Segurança Pública, Segurança na Internet e Segurança Financeira, o que determina um indicador de cada país pesquisado e um global, em uma escala de 0 a 300, na qual 300 é a maior taxa de preocupação com o tema segurança e 0 a menor. No Brasil o índice total apresentado foi de 189 pontos, enquanto que a média no mundo foi de 173 pontos.

Na Argentina, país onde foi realizada a mesma pergunta sobre redes sociais, o resultado é muito semelhante ao do Brasil, com 98% dos participantes tendo indicado apreensão com o uso das redes sociais para fins criminosos.

Entre os brasileiros, a preocupação com a questão é de maneira geral elevada entre homens (96%) e mulheres (98%), sendo muito alta (99%) entre adultos de 25 a 34 anos e de 45 a 54 anos (98%). Além disso, é possível notar uma leve diminuição do percentual (93%) entre os jovens de 18 a 24 anos, um grupo no qual 7% apontou ainda não se preocupar nem um pouco com o tema.

Na análise dos participantes pelo grau de escolaridade, a preocupação no Brasil e na Argentina é elevada para todos os grupos, porém é levemente menor (95%) entre os entrevistados brasileiros que indicaram ter completado o ensino médio. Este grupo também apresentou o maior percentual (5%) para os que responderam não terem nenhuma preocupação sobre a questão.

No comparativo entre os países vizinhos levando em conta a classe social, 48% dos participantes da pesquisa de baixa renda no Brasil e na Argentina estão extremamente preocupados com a questão. Já na classe média brasileira o percentual para esta alternativa cai para 44% e na Argentina para 37%. A amostra de respondentes com maior nível socioeconômico apresentou ainda o menor índice de preocupação grave, 36% no Brasil e 33% na Argentina.

“Pelo fato do Brasil ser um dos principais países na utilização das redes sociais, os brasileiros acabam ficando naturalmente mais expostos e não é raro encontrar pessoas que já tiveram contas invadidas e clonadas, bem como seus dados utilizados para fins ilegais. Em geral os criminosos utilizam ainda as redes sociais como principal canal de comunicação para a articulação e planejamento de crimes. Neste contexto digital no qual a privacidade é uma questão sensível ao cidadão, destacam-se algumas tecnologias capazes de adicionar uma camada extra de proteção a dispositivos móveis, computadores, servidores ou mesmo data centers para torná-los invisíveis e, portanto, blindados contra a ação de criminosos”, explica Leonardo Carissimi, Líder da Prática de Segurança da Unisys para América Latina.

Compartilhar

Gartner alerta sobre como lidar com ataques cibernéticos

O Gartner, Inc., líder mundial em pesquisa e aconselhamento imparcial em tecnologia, alerta as organizações para o surgimento de um número cada vez maior de ataques cibernéticos. Os analistas indicam que, além do aumento de volume e de sofisticação dos ataques com o passar do tempo, a maioria das empresas ainda não age com a rapidez necessária para identificá-los. Esse tema será abordado durante a Conferência Gartner Segurança e Gestão de Riscos, que acontece nos dias 2 e 3 de agosto, em São Paulo.

“As empresas raramente percebem que seus ambientes de TI foram atacados até que seja tarde demais. Nesse momento, a infraestrutura de TI da companhia já estará infectada com malwares (programas invasores), ficando suscetível a pedidos de resgate pelos dados ou outros ataques destrutivos que podem resultar na perda ou no comprometimento de informações. No período entre o ataque inicial e sua detecção, os invasores podem prejudicar muitos sistemas e aplicações, trabalhando sistematicamente para elevar seus privilégios no ambiente e afetando, destruindo ou criptografando dados”, explica Roberta Witty, Vice-Presidente de Pesquisa do Gartner.

Para garantir uma contenção efetiva de riscos em toda a companhia, os líderes de segurança cibernética e de gestão de continuidade do negócio (do inglês, Business Continuity Management – BCM) devem alinhar seus processos. Isso exige duas etapas distintas: Planejamento, quando serão identificadas as melhores práticas a serem aplicadas antes da ocorrência de um ataque; e Resposta e Recuperação, quando serão definidas as melhores práticas a serem adotadas durante uma crise.

Até mesmo as organizações que possuem um plano para incidentes cibernéticos consideram muitas vezes o problema como um evento metódico, que deve seguir um caminho processual bem definido. Os autores desses planos geralmente partem do princípio de que o invasor terá um modo de ataque e que o incidente será relativamente simples, de fácil resolução, algo similar a uma falha tecnológica corriqueira.
“A realidade é bem diferente. As empresas terão de lidar não apenas com falhas tecnológicas, embora essas possam ser um dos métodos utilizados contra a companhia, mas com indivíduos ou grupos motivados a atacar uma organização e que podem criar uma situação turbulenta, caótica e de longo prazo para o negócio”, afirma Rob McMillan, Diretor de Pesquisa do Gartner.

Ataques cibernéticos devem ser vistos como crises de grande escala nas operações de um negócio e, portanto, precisam ser tratados do ponto de vista da continuidade das operações da empresa. Integrar as melhores práticas de BCM ao processo existente de resposta a incidentes de segurança pode otimizar a capacidade da companhia de controlar os danos de um ataque, acelerar o processo de retomada das operações e, assim, reduzir alguns dos impactos financeiros causados por um ataque cibernético.

Segundo o Gartner, a análise de impactos comerciais (do inglês, Business Impact Analysis – BIA) pode identificar rapidamente se os serviços de TI, locais de operação e parceiros/fornecedores/terceiros afetados são cruciais para a empresa. Já os processos e automatizações de comunicação de crises, configurados para transtornos tradicionais de BCM, podem ser aprimorados para um ataque cibernético.

Os planos de recuperação e retomada dos negócios podem ser utilizados caso os serviços de TI sejam interrompidos pelo ataque enquanto tais sistemas são recuperados para que voltem a operar. Os procedimentos de recuperação de desastres de TI (do inglês, disater recovery – DR) auxiliam a reiniciar os sistemas e a restaurar os dados na sequência correta, e a automação da gestão de crises ajuda a administrar a resposta e recuperação geral da empresa após um ataque cibernético.

O alinhamento entre BCM e a equipe de resposta a incidentes de segurança (do inglês, Computer Security Incident Response Team – CSIRT) garante que haja cooperação para o desenvolvimento proativo da equipe e a representação multiequipe em toda a companhia. Isso também significa que ambos os fatores estão envolvidos em todas as etapas do ciclo de um incidente, como planejamento, orçamento, desenvolvimento de estratégia, práticas, resposta a eventos, gestão de programa e governança.

Conferência Gartner Segurança e Gestão de Riscos 2016

Data: 2 e 3 de agosto de 2016 (Terça e Quarta-feira)
Site: Gartner.com/br/security.

Compartilhar

Proteção de dados: o Marco Civil da Internet impacta as empresas do setor privado?

Em um recente estudo realizado pela consultoria internacional Willis Towers Watson, classificou-se a proteção de dados e as multas decorrentes de sua inobservância como o principal risco que as empresas de Tecnologia, Mídia e Comunicação têm para 2016 e os próximos anos, sobretudo na América Latina.

Captura de Tela 2016-06-27 às 14.00.53

O setor de tecnologia que atua através da internet por lidar diariamente com inovação, inevitavelmente expõe-se ao risco de forma diferente que outras empresas.

No Brasil, após Marco Civil da Internet, Lei 12.965/2014 que foi regulamentada no último dia do exercício do mandato da Presidente afastada Dilma Rousseff através do Decreto 8.771/2016, há por assim dizer certa insegurança no setor empresarial privado quanto ao que se refere em proteção de dados pessoais, dos usuários de produtos e serviços on line, quanto a sua coleta, proteção e destinação.

Isto porque ainda não se sabe qual o impacto de interpretação judicial (jurisprudência) que esta regulamentação ocasionará. A jurisprudência atual aponta alguns cenários deveras às vezes favoráveis ao consumidor destes produtos e serviços, ou seja os usuários.

Em nossa opinião, a regulamentação não pode em hipótese alguma impedir a inovação, o empreendedorismo o desenvolvimento de novos produtos, serviços e tecnologias que apresentem uma solução as pessoas e empresas.

É bem verdade que a União Europeia também adaptou neste ano sua legislação sobre proteção de dados a esta grande transformação do meio digital em que vivemos. Porém isto teve como objetivo de incentivar o Mercado Único Digital naquele bloco econômico, estabelecendo a confiança dos consumidores nas empresas nos serviços on line. O Regulamento europeu General Data Protection Regulation (GDPR) foi definido para trazer novos requisitos de compliance, no setor.

No Brasil, podemos afirmar que o Marco Civil não é uma lei geral de proteção de dados pessoais, fator como dito que preocupa as empresas de tecnologia, até porque isto esta sendo discutido no âmbito do Projeto de Lei 5276/2016.

Vejamos o artigo 3º da Lei 12.965/2014, que introduziu o Marco Civil:

Art. 3o A disciplina do uso da internet no Brasil tem os seguintes princípios:
(…)

II – proteção da privacidade;
III – proteção dos dados pessoais, na forma da lei;

Embora não seja uma lei geral de proteção de dados pessoais, tem-se que algumas regras principiológicas já devem ser observadas pelas empresas, para evitar a criação de um “passivo digital.” Eis algumas reflexões que podem nortear os empresários.

A busca de um modelo de negócio menos invasivo à privacidade

O artigo 7º do Marco Civil expõe uma série de direitos aos usuários. Por isto a adequação ou busca de modelos de negócios que respeitem a privacidade e principalmente dificultem a violação e uso indevido dos dados pessoal é um diferencial. Isto se faz com uma clara exposição dos termos de uso e politica de privacidade das aplicações por exemplo.

A saber, o inciso VIII e suas alíneas.

São assegurados aos usuários:

VIII – informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação; e c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;

A relação clara com terceiros. Outras empresas que compõe o produto ou serviço prestado

O consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais, isto segundo o inciso IX do art. 7º da lei em questão.

Porém isto deve ser interpretado sistematicamente com o inciso VII, que impõe:

VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;

Ou seja, muitas vezes para desenvolvimento de um bom produto ou serviço na internet, as empresas de tecnologia agrupam-se em Joint Ventures, ou outra forma de associação e não se preocupam com esta nova vertente legal.

Por isto, os seus termos de uso e de privacidade devem ser claros, e prever, caso haja fornecimento para terceiros, previsões claras e expressas.

Termos de uso e políticas de privacidade

A clareza na elaboração nos termos e das politicas de privacidade principalmente no uso dos serviços é outro norte que auxilia em uma defesa judicial dos interesses da empresa, e também como exposto acima evita a criação de um “passivo digital” que põe em risco a continuidade das atividades.

É que ela legislação ao iniciar essa regulamentação tratou de criar as “multas” que em nossa opinião são foram muito bem discutidas sob o prisma de melhores critérios para esta penalidade. Vejamos:

Da proteção dos dados

Nos artigo 10º e 11 da lei, dedicou-se uma seção especial para tratar da Proteção aos Registros, aos Dados Pessoais e às Comunicações Privadas, e no artigo 12 derradeiramente se chega as sanções, que podem ser aplicadas de forma isolada ou cumulativa, sendo elas:

I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade entre a gravidade da falta e a intensidade da sanção;

III – suspensão temporária das atividades que envolvam os atos previstos no art. 11; ou

IV – proibição de exercício das atividades que envolvam os atos previstos no art. 11.

Tais penalidades, muitas vezes podem inviabilizar a continuidade da empresa e deveriam ser também regulamentadas quanto ao pleno exercício do direito de defesa das empresas já que o Decreto, regulamentou os padrões de segurança e sigilo dos registros, dados pessoais.

A realidade empresarial

Primeiramente devemos acompanhar a discussão do projeto de Lei 5276/2016 que trada de uma Lei Geral de Proteção de Dados Pessoais, pois este projeto tratará de definições importantes quanto a responsabilidade civil objetiva e subjetiva das empresas.

Enquanto isto ao se desenvolver, ou adequar um produto ou serviço a essa nova realidade jurídico digital pós Marco Civil da Internet é importante se perguntar e entender.

• Os contratos estão adequados aos princípios do Marco Civil enquanto lei principiológica?

• As cláusulas contratuais estão adequadas a legislação do setor em que a empresa atua?

• As cláusulas estão de acordo com o Código de Defesa do Consumidor.

• Os dados estão sendo coletados com o consentimento expresso e claro nos termos de uso e politicas de privacidade?

• Qual o nível de segurança de trafego para uso de terceiros quando se faz estritamente necessário a sua utilização e implementação para desenvolvimento do serviço.

Por fim, relembra-se que tais práticas empresariais também começam a ser observadas com muito mais exigência sob o prisma do compliance, sobretudo quando esta junção de varias empresas dá-se entre alguma multinacional do setor de tecnologia.

Grandes corporações que confiam os serviços as empresas de tecnologia utilizam-se de regras rígidas de compliance, e, o Marco Civil, agora regulamentado cria alguns padrões a respeito disto.

Portanto o setor privado deve atentar-se a esta nova realidade jurídica digital para fins de adequação desenvolvimento e continuidade das atividades empresariais, para evitar penalidades.

WILLIAM JÚLIO DE OLIVEIRA, Legal Counsel, sócio na Boschirolli, Gallio & Oliveira Advogados Associados e CEO da BGO Investimentos e Participações, – cursa LLM – Legal Law Master pela Fundação Getúlio Vargas e Pós-Graduando em Direito Digital pela Devry Brasil, inscrito na OAB/PR 45.744.

Compartilhar

Relatório global destaca os perigos e as oportunidades em segurança mobile

Pesquisa revela que 41% dos usuários relutam ao compartilhar dados pessoais e 47% pagariam um valor extra por um aplicativo com garantia de privacidade

A organização de comércio mobile global Mobile Ecosystem Forum (MEF) apresenta hoje o resultado de Relatório global sobre Confiança do Consumidor, realizado em parceria com a AVG Technologies, na Consumer Electronics Show (CES). O terceiro relatório anual da organização estuda as atitudes e comportamentos relacionados à privacidade e segurança de mais de 5 mil usuários de mídia móvel no Brasil, China, França, Alemanha, Índia, África do Sul, Reino Unido e Estados Unidos.

O relatório da MEF revela que 36% dos consumidores estão deixando de baixar e usar aplicativos e serviços por conta de preocupações com privacidade e segurança. Isso significa que por quatro anos consecutivos a confiança vem se mostrando a maior barreira para o crescimento no ecossitema mobile; mais de 52% dos respondentes dos oito países já deletam aplicativos que causaram desconfiança, 38% apenas pararam de usá-los e 21% deixam comentários negativos ou aviso à amigos e conhecidos.

Além disso, poucos usuários estão confortáveis com a ideia de compartilhar dados pessoais com aplicativos ou prestadores de serviços mobile. Em 2013, 21% dos pesquisados disseram estar tranquilos ao compartilhar dados com apps. Em 2015, esse número caiu 6%. Já o número de ‘compartilhadores relutantes’, aqueles que não desejam compartilhar informações pessoais, mas que o fazem por querer usar o app, saltou de 33% no ano passado para 41% esse ano.

Significativamente, quase metade (47%) dos pesquisados afirmaram que pagariam um valor extra por aplicativos que garantissem que os dados coletados não poderiam ser compartilhados com terceiros, sendo que 17% pagariam até 10% a mais para garantir a proteção de seus dados.

Quando o assunto é segurança do aparelho, 23% dos usuários que protegem seus aparelhos usam mais de um método de proteção, com a biometria crescendo de 7% para 11% em relação ao ano anterior. No entanto, 21% dos respondentes ainda não fazem nada para garantir a segurança de seus aparelhos.

A CEO da MEF, Rimma Perelmuter, comenta: “O 4º Relatório Global sobre Confiança do Consumidor da MEF destaca as significantes consequências do crescimento das preocupações dos consumidores acerca da privacidade e segurança no ecossistema mobile. Tendências comportamentais dos consumidores, como deletar apps ou deixar de usar apps já baixados são indicadores claros de que a indústria precisa fazer mais para construir relações sustentáveis e de confiança com o consumidor.”

“Com 41% dos usuários se identificando como “compartilhadores relutantes”, o Relatório da MEF é um chamado para que a indústria colabore para introduzir cada vez mais transparência e confiança nos serviços móveis/digitais. É por isso que continuamos a estimular e premiar as melhores práticas por meio de nossa iniciativa Global de Confiança do Consumidor”, explica a executiva.

Atualmente, o Relatório da MEF identifica uma clara oportunidade para empresas que colocam a confiança como base de seus negócios, com 47% de usuários dispostos a pagar mais por aplicativos privacy-friendly. Este é apenas um exemplo de como a indústria móvel pode olhar para o consumidor consciente para estabelecer novos modelos de negócios e serviços que reconheçam usuários mobile como usuários com necessidades diferentes daqueles que estão offline.

“Devemos cooperar como indústria para ir além de simplesmente ser ‘bons o suficiente’ na proteção dos nossos clientes,” afirma Harvey Anderson, Chief Legal Officer da AVG Technologies. “Transparência e educação precisam andar de mãos dadas com o comprometimento da indústria em estabelecer e sustentar negócios centrados nas necessidades humanas e no respeito. As pessoas não devem ter que trocar sua privacidade e segurança para se beneficiar de serviços baseados em dados que estão disponíveis agora nem os que estão por vir. E cabe a nós para criar um bom futuro para esses usuários.”

Outros dados da pesquisa

• “Compartilhadores relutantes”, que compartilham dados apenas porque precisam usar o aplicativo são metade dos usuários dos EUA e da Alemanha (53% e 47% respectivamente), um aumento de um quarto nos EUA e um terço na Alemanha.

• Preocupação com privacidade de dados e segurança é maior na China, EUA e Alemanha (39% vs. 36% dos dados gerais). Chinesa são os que tem mais preocupação com segurança (19%), e os Americanos são os que mais deixam de usar por conta do consumo excessivo de dados (18%).

• No Brasil, consumidores são mais cautelosos com o uso de suas fotos do que suas informações financeiras (28% vs. 11%). Na Índia, informações de contato (23%) são consideradas as mais sensíveis.

Para mais informações sobre o Relatório Global sobre Confiança do Consumidor da MEF 2016 acesse: http://www.mobileecosystemforum.com/solutions/consumer-trust/global-consumer-trust-report-2016/.

Compartilhar

O vidro temperado e a segurança da informação

Por Fernando Misato*

Há muito mais semelhanças do que se pode imaginar

A Tecnologia da Informação nem sempre é de fácil entendimento. Aliás, a maioria das vezes não o é. A Segurança da TI pode ter uma compreensão ainda mais difícil. Parte dessa dificuldade esta na própria característica dos profissionais da tecnologia que são mais adeptos às descrições técnicas. Por isso, muitas vezes, nós enquanto técnicos, comumente utilizamos metáforas de fatos cotidianos para traçar um paralelo com as explicações do mundo da tecnologia da informação. E é o que se segue.

Recentemente precisei comprar vidros para uma sacada da minha casa. Fiz o que manda o modelo mental do comprador moderno. Fui à internet pesquisar alguns vidraceiros nas imediações de onde moro. Solicitei por email orçamentos com as medidas desejadas. Até aqui tudo bem. As surpresas começaram com o recebimento das propostas. As variações de preços foram muito grandes. Coisa de 200%. Se há essa disparidade, significa que há algo para aprender ou não estou me fazendo compreender. Chamei alguns candidatos a fornecedor. Os mais baratos foram os que entregaram propostas com vidros simples (fazem lâminas quando quebram). Os medianos foram os que entregaram com vidros temperados. Os mais caros entregaram com vidros temperados laminados duplos. Aliás, um dos que me propôs vidros temperados laminados duplos também recomendou uma rede de proteção. Não por acaso foi o que mais perguntou sobre a minha casa. Cheguei a considera-lo inconveniente. Para que ele quer saber a idade de meus filhos, se tenho animal de estimação, que andar ficava a sacada, que tipo de piso uso?

Vivendo e aprendendo. Tive a oportunidade de aprender que quem propõe vidro temperado ou vidro simples em sacada deveria ser preso. E existem vários prédios muitos altos com vidro desse tipo. Em caso de acidente, se o vidro quebrar, o que fica na sacada é um vazio. Se existe criança nesse caso o risco é alto. Também há o risco dos pedaços caírem na cabeça de alguém. O erro de alguns vendedores de vidros foi fixar a atenção nas medidas que encaminhei. Não tiveram o cuidado de perguntar o uso e se deixaram levar pela ingenuidade/ignorância do comprador. Os piores foram os que reduziram o valor para tentar vender. Reduziram valor, reduzindo a segurança. No mercado de vidros não há critérios para especificar segurança.

Pode parecer absurdo. Mas no mundo da segurança da informação corporativa ainda temos vendedores de “vidros temperados para sacadas” para proteger os computadores das empresas. Nós enquanto empresários de qualquer segmento, não temos obrigação de saber comprar softwares para proteger nossos negócios. Longe disso. Sabemos que os computadores hospedam a empresa inteira. Os computadores emitem notas fiscais, fazem faturamento, enviam propostas, gravam dados de clientes, gravam projetos, gravam tudo do negócio e acessam os bancos.

Compreender os riscos de uma sacada de vidro parece ser mais fácil. A proteção de computadores exige cuidados bastante diferentes e mais complexos. O patrimônio da TI a ser protegido tem valores diferentes dos das sacadas. Cada um a seu valor, ambos exigem profissionais experientes para a melhor solução de proteção. Queremos o menor risco. De preferência, sem depender somente do bom senso de amadores e muito menos da sorte.

* Fernando MIsato, Business Consultant na Consultcorp, especializada em Segurança da Informação

Compartilhar