Dá para medir a eficácia da segurança da informação em sua empresa?

Os criminosos digitais estão cada vez mais querendo acessar as empresas e a segurança da informação, nesse contexto, passa a ser um ponto de extrema importância ligada à estratégia corporativa. Para se ter uma ideia, estima-se que o número de ataques cibernéticos aumentou entre 30 e 40% na América Latina nos últimos anos.

Assim, para garantir um bom nível de segurança, é fundamental ter uma infraestrutura robusta. Portanto, deve-se investir em vários aspectos: arquitetura, design de um esquema de proteção, operações e práticas seguras, além de uma boa gestão de riscos.

Quanto à arquitetura, pode-se pensar na análise do projeto de uma prisão ou de uma base militar. Sempre se deve levar em consideração qual é a finalidade de um edifício. Ele abrigará réus de alta periculosidade? Que informações e objetos ficarão dentro de uma área militar?

O sistema precisa ser projetado como um todo, já que ele é formado por um conjunto de componentes que devem ser protegidos individualmente. Uma infraestrutura segura leva em conta um design geral da solução sem deixar de prestar atenção à proteção dos dados. Dessa forma, há uma segurança específica para cada um dos elementos: servidores, computadores, a rede, os componentes de comunicação, etc.

Ao configurar um serviço ou registrar um usuário, essas ações estão relacionadas a uma interação com um sistema e também devem ser feitas com segurança. Uma pessoa pode até ter um automóvel extremamente seguro e equipado com os melhores acessórios de segurança, mas acabará sofrendo um acidente se dirigir bêbado ou ultrapassar o limite de velocidade da via.

É preciso considerar as boas práticas que estabelecem qual é a melhor forma de atuar na maioria dos casos e das vezes. Precisa-se saber como são essas boas práticas e adotá-las para ter uma referência de aprimoramento.

Todas as empresas são diferentes. Cada setor tem suas próprias ameaças e exposições a riscos específicos. Por isso, é importante contar com uma referência. Quais seriam as circunstâncias de uma pequena e média empresa? Depende da área de atuação e da importância das informações com as quais essa empresa trabalha. Traçar um panorama de riscos gera certeza na hora de avaliar até que ponto deve-se otimizar o sistema e o que é preciso priorizar.

Quanto à computação na nuvem, possibilita a realização de operações seguras por causa de sua arquitetura e de seu design de soluções. A arquitetura da nuvem assemelha-se a uma fortaleza. Ela já fica armada e as operações e configurações são feitas pelo provedor, motivo pelo qual há menos exposição aos riscos.

E pode-se medir a eficácia de todo esse sistema?A NBR ISO/IEC 27004 de 04/2010 – Tecnologia da informação – Técnicas de segurança – Gestão da segurança da informação – Medição fornece as diretrizes para o desenvolvimento e uso de métricas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e dos controles ou grupos de controles, conforme especificado na NBR ISO/IEC 27001. Esta norma é aplicável a todos os tipos e tamanhos de organizações.

O usuário deste documento precisa interpretar corretamente cada uma das formas verbais das expressões fornecidas (por exemplo: “deve”, “não deve”, “convém que”, “não convém que”, “pode”, “não precisa” e “não pode”) como sendo um requisito a ser atendido e/ou recomendações em que existe certa liberdade de escolha. Convém que seja consultado o Anexo A da ISO/IEC 27000:2009 para esclarecimentos adicionais.

Esta norma fornece diretrizes para elaboração e uso de medidas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e de controles ou grupos de controles, conforme especificado na NBR ISO/IEC 27001. Isto inclui a política, gestão de riscos de segurança da informação, objetivos de controles, controles, processos e procedimentos, e apoio ao processo de sua revisão, ajudando a determinar se algum processo ou controle do SGSI precisa ser modificado ou melhorado.

É necessário lembrar que nenhuma medição de controles pode garantir segurança completa. A implementação desta metodologia constitui um Programa de Medição de Segurança da Informação. O Programa de Medição de Segurança da Informação vai apoiar a gestão na identificação e avaliação de processos e controles do SGSI ineficazes e não conformes e na priorização de ações associadas com a melhoria ou modificação desses processos e/ou controles.

Também pode auxiliar a organização na demonstração da conformidade com a NBR ISO/IEC 27001 e prover evidências adicionais para os processos de análise crítica pela direção e de gestão de riscos em segurança da informação. Esta norma assume que o ponto de partida para o desenvolvimento das medidas e medições é o entendimento claro dos riscos de segurança da informação que a organização enfrenta e que as atividades de análise de riscos da organização têm sido executadas corretamente (por exemplo, baseada na NBR ISO/IEC 27005), conforme requerido pela NBR ISO/IEC 27001.

O Programa de Medição de Segurança da Informação encorajará que uma organização forneça informações confiáveis às partes interessadas pertinentes relacionadas com os riscos de segurança da informação e com a situação do SGSI implementado para gerenciar esses riscos. Se for eficazmente implementado, o Programa de Medição de Segurança da Informação aumentará a confiança das partes interessadas nos resultados das medições e possibilitará às partes interessadas a usarem essas medidas para realizar a melhoria contínua da segurança da informação e do SGSI.

Os resultados acumulados de medição permitirão a comparação do progresso em atingir os objetivos de segurança da informação sobre um período de tempo como parte de um processo de melhoria contínua do SGSI da organização. A NBR ISO/IEC 27001 exige que a organização “realize análises críticas regulares da eficácia do SGSI levando em consideração os resultados da eficácia das medições” e que “meça a eficácia dos controles para verificar se os requisitos de segurança da informação foram alcançados”.

A NBR ISO/IEC 27001 também exige que a organização “defina como medir a eficácia dos controles ou grupo de controles selecionados e especifique como essas medidas devem ser usadas para avaliar a eficácia dos controles para produzir resultados comparáveis e reproduzíveis”. A abordagem adotada por uma organização para atender os requisitos de medição especificados na NBR ISO/IEC 27001 vai variar de acordo com o número de fatores significantes, incluindo os riscos de segurança da informação que a organização enfrenta, o tamanho da organização, recursos disponíveis, e requisitos legais, regulatórios e contratuais aplicáveis.

A seleção e a justificativa criteriosa do método usado para atender aos requisitos de medição são importantes para assegurar que recursos em excesso não sejam direcionados a estas atividades do SGSI em detrimento de outras. Em condições ideais, as atividades de medição em curso devem ser integradas nas operações normais da organização com um acréscimo mínimo de recursos.

Os objetivos da medição de Segurança da informação no contexto de um SGSI incluem: avaliar a eficácia dos controles ou grupos de controles implementados (ver “4.2.2 d)” na Figura 1); avaliar a eficácia do SGSI implementado (ver 4.2.3 b)” na Figura 1); verificar a extensão na qual os requisitos de segurança da informação identificados foram atendidos (ver “4.2.3 c)” na Figura 1); facilitar a melhoria do desempenho da segurança da informação em termos dos riscos de negócio globais da organização; fornecer entradas para a análise crítica pela direção para facilitar as tomadas de decisões relacionadas ao SGSI e justificar as melhorias necessárias do SGSI implementado.

A Figura 1 ilustra o relacionamento cíclico de entrada e saída das atividades de medição em relação ao ciclo Planejar-Fazer-Checar-Agir (PDCA), especificado na NBR ISO/IEC 27001. Os números em cada figura representam as subseções relevantes da NBR ISO/IEC 27001:2006.

Clique nas figuras para uma melhor visualização

Convém que a organização estabeleça objetivos de medição baseados em certas considerações, incluindo: o papel da segurança da informação em apoiar as atividades globais da organização e os riscos que ela encara; requisitos legais, regulatórios e contratuais pertinentes; estrutura organizacional; custos e benefícios de implementar as medidas de segurança da informação; critério de aceitação de riscos para a organização; e a necessidade de comparar diversos SGSI dentro da própria organização. Convém que uma organização estabeleça e gerencie um Programa de Medição de Segurança da Informação, a fim de alcançar os objetivos de medição estabelecidos e adotar um modelo PDCA nas atividades de medição globais da organização.

Também convém que uma organização desenvolva e implemente modelos de medições, a fim de obter resultados repetitivos, objetivos e úteis da medição baseado no Modelo de Medição da Segurança da Informação (ver 5.4). Convém que o Programa de Medição de Segurança da Informação e o modelo de medição desenvolvidos assegurem que uma organização alcance efetivamente os objetivos e as medições de forma repetitiva e forneça os resultados das medições para as partes interessadas pertinentes de modo a identificar as necessidades de melhorias do SGSI implementado, incluindo seu escopo, políticas, objetivos, controles, processos e procedimentos.

Convém que um Programa de Medição de Segurança da Informação inclua os seguintes processos: desenvolvimento de medidas e medição (ver Seção 7); operação da medição (ver Seção 8); relato dos resultados da análise de dados e da medição (ver Seção 9); e avaliação e melhoria do Programa de Medição de Segurança da Informação (ver Seção 10). Convém que a estrutura organizacional e operacional de um Programa de Medição de Segurança da Informação seja determinada levando em consideração a escala e a complexidade do SGSI do qual ele é parte.

Em todos os casos, convém que os papéis e responsabilidades para o Programa de Medição de Segurança da Informação sejam explicitamente atribuídos ao pessoal competente ( ver 7.5.8). Convém que as medidas selecionadas e implementadas pelo Programa de Medição de Segurança da Informação, estejam diretamente relacionadas à operação de um SGSI, a outras medidas, assim como aos processos de negócio da organização.

As medições podem ser integradas às atividades operacionais normais ou executadas a intervalos regulares determinados pela direção do SGSI. Assim, o Modelo de Medição de Segurança da Informação é uma estrutura que relaciona uma necessidade de informação com os objetos relevantes da medição e seus atributos. Objetos de medição podem incluir processos planejados ou implementados, procedimentos, projetos e recursos.

O Modelo de Medição de Segurança da Informação descreve como os atributos relevantes são quantificados e convertidos em indicadores que fornecem uma base para a tomada de decisão. A Figura 2 mostra o modelo de medição de Segurança da Informação.

Uma medida básica é a medida mais simples que pode ser obtida. A medida básica resulta da aplicação do método de medição aos atributos selecionados de um objeto de medição. Um objeto de medição pode ter muitos atributos, dos quais somente alguns podem fornecer valores úteis a serem atribuídos a uma medida básica. Um dado atributo pode ser usado para diversas medidas básicas.

Um método de medição é uma sequência lógica de operações usadas para quantificar um atributo de acordo com uma escala especificada. A operação pode envolver atividades, tais como a contagem de ocorrências ou observação da passagem do tempo. Um método de medição pode aplicar atributos a um objeto de medição.

Exemplos de um objeto de medição incluem mas não estão limitados a: desempenho dos controles implementados no SGSI; situação dos ativos de informação protegidos pelos controles; desempenho dos processos implementados no SGSI; comportamento do pessoal que é responsável pelo SGSI implementado; atividades de unidades organizacionais responsáveis pela segurança da informação; e grau da satisfação das partes interessadas.

Um método de medição pode usar objetos de medição e atributos de variadas fontes, tais como: análise de riscos e resultados de avaliações de riscos; questionários e entrevistas pessoais; relatórios de auditorias internas e/ou externas; registros de eventos, tais como logs, relatórios estatísticos, e trilhas de auditoria; relatórios de incidentes, particularmente aqueles que resultaram na ocorrência de um impacto; resultados de testes, por exemplo, testes de invasão, engenharia social, ferramentas de conformidade, e ferramentas de auditoria de segurança; ou registros de segurança da informação da organização relacionados a programa e procedimentos, por exemplo, resultados de treinamentos de conscientização em segurança da informação.

Uma medida derivada é um agregado de duas ou mais medidas básicas. Uma dada medida básica pode servir como entrada para diversas medidas derivadas. Uma função de medição é um cálculo usado para combinar medidas básicas para criar uma medida derivada. A escala e a unidade da medida derivada dependem das escalas e unidades das medidas básicas das quais ela é composta, assim como da forma como elas são combinadas pela função de medição.

A função de medição pode envolver uma variedade de técnicas, como média de medidas básicas, aplicação de pesos a medidas básicas, ou atribuição de valores qualitativos a medidas básicas. A função de medição pode combinar medidas básicas usando escalas diferentes, como porcentagens e resultados de avaliações qualitativas. Um exemplo do relacionamento de elementos adicionais na aplicação do modelo de medição de Segurança da informação, por exemplo, medidas básicas, função de medição e medidas derivadas são apresentadas na Tabela 2.

Um indicador é uma medida que fornece uma estimativa ou avaliação de atributos especificados derivados de um modelo analítico de acordo com a necessidade de informação definida. Indicadores são obtidos pela aplicação de um modelo analítico a uma medida básica e/ou derivada, combinando-as com critérios de decisão. A escala e o método de medição afetam a escolha das técnicas analíticas utilizadas para produzir os indicadores. Um exemplo de relacionamentos entre medidas derivadas, modelo analítico e indicadores para o modelo de medição de Segurança da informação é apresentado na Tabela 3.

Se um indicador for representado em forma gráfica, convém que possa ser usado por usuários visualmente debilitados e que cópias monocromáticas possam ser feitas. Para tornar a representação possível, convém que ela inclua cores, sombreamento, fontes ou outros métodos visuais.

Os resultados de medição são desenvolvidos pela interpretação de indicadores aplicáveis baseados em critérios de decisão definidos e convém que sejam considerados no contexto global dos objetivos de medição para avaliação da eficácia do SGSI. O critério de decisão é usado para determinar a necessidade de ação ou investigação futura, bem como para descrever o nível de confiança nos resultados de medição.

Os critérios de decisão podem ser aplicados a uma série de indicadores, por exemplo, para conduzir análise de tendências baseadas em indicadores recebidos a intervalos de tempo diferente. Alvos fornecem especificações detalhadas para desempenho, aplicáveis à organização ou partes dela, derivados dos objetivos de segurança da informação tais como os objetivos do SGSI e objetivos de controle, e que precisam ser definidos e atendidos para se alcançar esses objetivos.

Crise: o desespero nas redes sociais por um emprego e dos spammers

O Target Genius Respostas Diretas é o mais avançado e inovador sistema de perguntas e respostas sobre requisitos de normas técnicas. É, basicamente, um conjunto de perguntas mais comuns sobre determinados assuntos das normas técnicas, acompanhadas das respectivas respostas. Definitivamente, a solução para as dúvidas sobre normas técnicas. Selecione o Comitê Técnico desejado e clique sobre o código ou título para consultar no link https://www.target.com.br/produtos/genius-respostas-diretas

Duas coisas notadas na internet durante essa crise criada por pessoas incompetentes na gestão do Brasil: o desespero dos brasileiros em conseguir um emprego nas redes sociais e dos spammers que aumentam o envio de e-mails maliciosos com uma quantidade de erros que faz a gente dar risadas. Os que querem emprego colocam seus telefones celulares, seus e-mails para empresas sem a mínima dignidade para arrumar um emprego para elas. Uma exposição pessoal bastante preocupante.

Para quem não sabe, os spammers são os que praticam o spam, ou seja, enviam diversos e-mails ou qualquer outro tipo de mensagem para diversas pessoas que, na maioria das vezes, contêm um vírus do tipo keylogger. O objetivo dos spammers é disseminar malwares a fim de criar botnets, que são redes de computadores zumbis.

Com isso, eles poderão enviar ainda mais spam para mais usuários, além é claro de obter diversas senhas e contas das vítimas. Deve-se pensar nisso como uma praga, que vai se multiplicando, como a dengue, aids, etc. Cada computador infectado envia a dezenas de novas pessoas os spam e até mesmo para os contatos pessoais desse usuário.

Se o livro depois de mais de 500 anos não conseguiu ajudar os seres humanos a melhorar em suas relações conflituosas, imagine a internet: 1.500 anos a 2.000 anos. O motivo para a atual crise no Brasil foge da questão econômica e passa pela questão de credibilidade do governo que parece sofrer de uma doença que não o deixa falar a verdade.

Ninguém quer colocar dinheiro na mão de pessoas que não sabem como aplicá-lo em prol do desenvolvimento da nação. Ou como confiar em uma presidente que gasta mal o dinheiro público, ou pior quando ele é desviado para sustentar o projeto criminoso de poder do lulopetismo, como definiu o ministro do STF, Gilmar Mendes.

A inflação continuará em ritmo menor do que foi em 2015, alavancada pelo aumento de preços controlados, como o da energia e gasolina. Esses dois itens estão relativamente alinhados. A alta do dólar, prevista para 2016, exercerá uma forte pressão inflacionária, principalmente sobre os preços dos alimentos, alguns deles tão básicos como farinha de trigo. Continuará sua trajetória de alta, chegando facilmente a R$ 4,50 até o final do ano.

Um problema da crise econômica de 2016 será a possibilidade de convulsão social. Manifestações cada vez mais numerosas e violentas como as da crise na década de 80, com atos de vandalismo, poderão acontecer. As empresas sofrerão bastante com os efeitos da crise econômica de 2016, principalmente aquelas que dependem de crédito para a manutenção dos seus negócios.

Uma recomendação é que todas as empresas devem se preparar para tempos difíceis. Mas, momentos de crise podem ser épocas de grandes oportunidades de negócios. Agregar valor aos serviços oferecidos aos clientes ou dar um salto de qualidade em uma ou mais características do produto ou serviço que de fato são relevantes para a sua escolha.

Agregar valor depende de pesquisas para detectar as necessidades dos clientes, no desenvolvimento de tecnologias e nas formas de administrar mais eficazes. Em outras palavras, para agregar valor, deve-se ter um olho no cliente e outro na inovação.

Se você tiver uma igreja, não vai ter problemas. Com a crise, a procura dos clientes será maior. Basta prometer a solução das suas dificuldades e um pouquinho da água do rio onde Jesus foi batizado para a cura de tudo (que pode ser da Cantareira mesmo), que o dízimo não vai parar de pingar.

Criptografia das informações: segurança x privacidade

LIVRO

Clique para mais informações

Onda de ataques cibernéticos reacende discussão sobre a necessidade de acesso a informações criptografadas com o objetivo de investigar e coibir crimes.

A criptografia ou “escrita escondida” permitiu aos usuários de internet maior segurança e privacidade ao navegar pela internet ou trocar mensagens em aplicativos pelo celular. Trata-se de um conjunto de regras que visa codificar a informação de forma que só o emissor e o receptor consiga decifrá-la.

Mas, até que ponto a privacidade dessas mensagens podem afetar nossa segurança? Um exemplo clássico foi o caso Snowden, acusado de espionagem por vazar informações sigilosas de segurança dos Estados Unidos e revelar em detalhes alguns dos programas de vigilância que o país utiliza para analisar usuários da Internet e países da Europa e da América Latina, incluindo o Brasil.

Mais recentemente, após os ataques terroristas em Paris, aparentemente membros do Estado Islâmico utilizaram a internet para arquitetar parte dos atentados. Por outro lado, hackers invadiram milhares de contas de membros do EI no Twitter.

A utilização de ferramentas criptografadas facilitam esse tipo de atitude na internet e também dificultam as investigações para rastreamento da origem dessas mensagens. O especialista em direito digital e sócio do Opice Blum, Bruno, Abrusio e Vainzof, Rony Vainzof, explica que infelizmente criminosos também utilizam ferramentas criptografadas para se comunicar, podendo inviabilizar as investigações.

“Por outro lado”, acrescenta ele, “a criptografia é importante para a privacidade daqueles que não querem ser espionados e não são criminosos. É preciso existir um equilíbrio entre a privacidade do usuário e também na segurança, viabilizando as investigações”.

Vainzof conclui dizendo que existem propostas para que tenha um bom senso entre a privacidade e a segurança das informações na internet. Uma delas, discutida nos EUA e em outros países, é a possibilidade de utilizar backdoor, sistema que permite recuperar informações codificadas, mas ainda gera dúvidas sobre a aplicabilidade e o alto custo de implementação. Por isso, é preciso avaliar a inconveniência da criptografia com os benefícios de segurança que ela traz para as comunicações e documentos confidenciais.

Reduzindo a vulnerabilidade das suas senhas conforme a norma técnica

Quer fazer um teste em sua empresa? Determine que os funcionários devem alterar suas senhas a cada 45 dias. Elas vão abrir uma guerra contra os os gestores de segurança da informação, quer apostar? A resistência a mudanças é tão grande que os funcionários sempre vão travar um verdadeiro duelo contra a política de segurança da informação.

É lógico que as empresas não falam sobre isso na campanha de conscientização ou na divulgação da política de segurança da informação, mas a empresa cria a regra sobre alteração de senha para atender aos requisitos de uma auditoria externa. São raríssimos os casos em que a organização define este tipo regra para melhorar a segurança.

Atualmente, há senhas do internet banking, do e-mail pessoal, do corporativo, da rede, da intranet, da rede social, do programa de mensagens instantâneas, cartão do banco, do blog, etc. Para ajudar ainda mais, a organização solicita que você crie uma nova senha complexa. Ou seja, deve contar letras maiúsculas e minúsculas, números e caracteres especiais.

No mundo moderno um problema sério se chama senhas. O maior pesadelo dos usuários – e dos profissionais – de TI. Sua função é que quem está acessando aquele recurso seja, de fato, quem solicitou acesso, mas, na prática, elas se tornam uma tremenda dor de cabeça. Por quê? Porque as pessoas tem aversão a tudo que envolva lembrar, decorar ou, em geral, aprender.

As pessoas não gostam de senhas, e isso se mostra de várias formas. Nos bancos, a maior parte dos atendimentos ocorrem porque um cliente, geralmente idoso, teve seu cartão bloqueado por ter digitado a senha incorreta três vezes. Uma pessoa que usa uma rede social, ao perder sua senha, em geral, ao invés de seguir os procedimentos padrões de recuperação, preferirá criar outro perfil.

Enfim, os problemas de segurança relacionados à senhas (ou à falta delas) são incontáveis e, certamente, não se resolverão da noite para o dia. São o reflexo de uma sociedade alienada vítima de um governo que, ao invés de investir na melhoria da qualidade da educação, prefere abrir cotas para os menos possibilitados de entrar no ensino superior.

A NBR 12896 de 11/1993 – Tecnologia de informação – Gerência de senhas fixa procedimentos a serem adotados para reduzir a vulnerabilidade das senhas nestas circunstâncias. A segurança oferecida por um sistema de senhas depende de estas senhas serem mantidas secretas durante todo o tempo em que estiverem em uso.

Assim, a vulnerabilidade de uma senha ocorre quando ela for utilizada, armazenada ou distribuída. Em um mecanismo de autenticação baseado em senhas, implementado em um Sistema de Processamento Automático de Dados (SPAD), as senhas são vulneráveis devido a cinco características básicas de um sistema de senhas, a saber: uma senha inicial deve ser atribuída a um usuário quando este for cadastrado no SPAD; os usuários devem alterar suas senhas periodicamente; o SPAD deve manter um banco de dados para armazenar as senhas; os usuários devem se lembrar de suas respectivas senhas; e os usuários devem fornecer suas respectivas senhas em tempo de conexão ao SPAD.

Os assuntos tratados nesta norma incluem as responsabilidades do Administrador de Segurança do Sistema (ASS) e dos usuários, a funcionalidade do mecanismo de autenticação, e a geração de senhas. Os aspectos relevantes são: os usuários devem estar aptos a alterar suas respectivas senhas; as senhas devem ser preferencialmente geradas pelo SPAD, em vez de o serem pelo usuário; o SPAD deve fornecer aos usuários informações sobre suas conexões ao ambiente. Por exemplo: data e hora da última conexão.

O ASS é responsável por gerar e atribuir a senha inicial para cada identidade de usuário. A identidade e a senha que lhe foram atribuídas devem, então, ser informadas ao usuário. Para evitar a exposição da senha ao ASS, ou anular uma exposição ocorrida, podem ser utilizados os métodos a seguir.

Evitando a exposição; há métodos que podem ser implementados para evitar a exposição da senha ao ASS, após esta ter sido gerada. Uma técnica é imprimi-la num formulário múltiplo selado, de maneira que não seja visível na página facial do formulário. O ASS deve manter, em local seguro, a guarda do formulário, até que este seja entregue ao usuário.

Neste caso, a senha é gerada aleatoriamente pelo SPAD, não sendo determinada diretamente pelo ASS. O formulário contendo a senha deve estar selado para que esta não seja visível e não possa tornar-se visível, sem a quebra do selo.

Um outro método, para evitar a exposição da senha, é o usuário estar presente no processo de geração desta. Neste caso, o ASS deve iniciar o processo de geração da senha, deixar que somente o usuário tenha acesso a esta e destrua a informação apresentada. Este método não se aplica a usuários em terminais remotos. Qualquer que seja o método utilizado para a distribuição de senhas, o ASS deve ser notificado do recebimento destas, dentro de um período de tempo predeterminado.

Anulando a exposição: quando a senha inicial for exposta ao ASS, esta exposição deve ser anulada por um procedimento normal de troca imediata desta senha pelo usuário, considerando que este procedimento não torne também a nova senha exposta ao ASS. Quando a senha inicial não for protegida de exposição ao ASS, a identidade do usuário deve ser considerada pelo sistema como tendo uma “senha expirada”, a qual requer que o usuário efetue procedimento de troca de senha (ver 4.2.2.3) antes de receber autorização para acessar o sistema.

Atribuição do nível de segurança: quando houver necessidade de compartimentar os direitos de acesso dos usuários, devem ser atribuídos níveis de segurança (por exemplo: “confidencial”, “reservado”, “secreto”) às senhas. A atribuição dos níveis de segurança é feita pelo ASS.

A norma inclui alguns Anexos: Anexo A – Determinação do comprimento da senha; Anexo B – Algoritmo de geração de senhas; Anexo C – Proteção básica para senhas; Anexo D – Algoritmo de cifração de senhas Anexo E – Procedimento para o uso em aplicações muito sensíveis; e Anexo F – Probabilidade de adivinhação de uma senha.

Material escolar: até 47,49% de impostos

A chegada do ano novo traz também a preocupação com a lista do material escolar. Como a educação é um dos itens que mais causam impacto no orçamento familiar, antes de sair às compras, os pais devem pesquisar os melhores preços, visto que  em alguns itens a  carga tributária equivale a quase metade do preço do produto, como a caneta, que tem  47,49% de impostos e a régua com 44,65%.

Em outros itens da lista os impostos também são salgados: o consumidor terá de desembolsado aos cofres públicos, pagando os tributos federais, estaduais e municipais,  em uma cola (42,71%), em um estojo (40,33%), em uma lancheira, (39,74%), no fichário (39,38%) e no papel sulfite (37,77%).

Quanto aos livros didáticos, apesar de  possuírem imunidade de impostos, a incidência de encargos sobre a folha de pagamento e o sobre o lucro da sua venda, faz também com que tragam uma carga tributária de 15,52%.

De acordo com o presidente do IBPT, João Eloi Olenike, “o Brasil é um dos poucos países do mundo que tributam a educação, e esse fator certamente dificulta o acesso dos brasileiros ao conhecimento e à boa formação. Se a tributação incidente sobre os materiais escolares não fosse tão elevada  a educação seria muito mais acessível aos consumidores”.

Publicado o ISO Survey 2014

A ISO publicou o The ISO Survey of Management System Standard Certifications – 2014 que apresenta os resultados da sua pesquisa sobre as diversas certificações em 2014. Este é um estudo anual que mostra o número de certificados emitidos com as normas de sistemas de gestão no ano anterior. Um resumo das estatísticas são mostradas na tabela abaixo.

Apesar dos esforços para mostrar resultados consistentes, há flutuações no número de certificados de ano para ano, devido a: variabilidade do número de certificados notificados anualmente por organismos de certificação individuais; participação inconsistente de alguns organismos de certificação que contribuem para a pesquisa de um ano para outro; participação de novos organismos de certificação.

Principais tendências

Com 1.609.294 certificados emitidos em todo o mundo em 2014, ligeiramente acima do ano anterior, a última edição demonstrou um crescimento moderado para quase todas as normas de sistemas de gestão ISO abrangidas pela pesquisa, confirmando as tendências observadas ao longo dos últimos dois anos. Esta estabilização do mercado é, no entanto, compensada por três bons desempenhos que exibem um crescimento mais sustentado. Embora menos impressionante do que em anos anteriores, a ISO 50001 para a gestão de energia demonstrou uma taxa de crescimento de 40%, liderada mais uma vez pela Alemanha, responsável por 50% dos 6.778 certificados emitidos.

Da mesma forma, a norma de gestão de alimentos, a ISO 22000, continua a oferecer um desempenho confiável, com uma taxa de crescimento de 14%, enquanto a ISO 16949 para o setor automotivo mostrou uma acelerada progressão com 8%, sinalizando que a recuperação econômica da indústria automobilística está se mantendo.

Com 1% e 7%, respectivamente, as normas ISO 9001 (gestão da qualidade) e ISO 14001 (gestão ambiental) atingiram gradualmente a estabilidade, embora, deve-se frisar que as suas novas edições revisadas em 2015 serão lançadas, que deverá alterar o quadro para o próximo ano.

Finalmente, a grande novidade deste ano é a inclusão de uma norma recém-chegada: a ISO 22301 para a gestão da continuidade dos negócios, sendo que isso é motivado por uma consciência global de que as organizações precisam se proteger contra perturbações em tempos de crise. A certificação nessa norma teve um avanço, ainda pequeno, de 1.700 certificados, mas parece manter com um bom potencial para o futuro. Abaixo um resultado detalhado de cada norma.

ISO 9001 – Sistemas de gestão da qualidade

Como ocorreu no ano passado, essa norma de gestão da qualidade continuou a experimentar um período de calmaria, atingindo um quota de 1% de crescimento em comparação com 2% e 3% nos dois anos anteriores. O crescimento certamente estabilizou desde os tempos de boom, há duas décadas, refletindo a incerteza econômica atual do mundo. Além disso, em países com uma tradição já estabelecida de certificação, muitas das maiores empresas estão certificados e está se certificando com as normas mais específicas. A situação deverá melhorar, no entanto, com a introdução da nova versão da ISO 9001 em 2015.

A certificação ISO 9001 seguiu com as seguintes tendências regionais:

• A grande surpresa deste ano foi a América do Norte, com um crescimento de 4%, suportado em grande parte pelo México, onde participaram vários novos organismos de certificação na edição de 2014. Por outro lado, o crescimento dos EUA devido a menos certificações este ano.
• Em 1,9%, a região do Leste da Ásia-Pacífico registrou progressos encorajadores. Notavelmente, a norma teve um desempenho bom na Austrália, com mais certificados do que em 2013. Estas estatísticas positivas foram ligeiramente prejudicadas por uma grande queda no Vietnã devido ao relato de um grande organismo de certificação com menor número de certificados e uma queda nas Filipinas, onde um organismo de certificação foi excluído desta edição da pesquisa porque a sua aprovação foi cancelada.
• Na América do Sul houve um crescimento negativo (-4,2%), que pode ser em grande parte atribuída a uma queda significativa no Brasil, onde a participação na pesquisa foi menor e um número de organismos de certificação relataram menos certificados.
• Na Europa, igualmente, houve um diminuição no crescimento das certificações ISO 9001, havendo aumento de apenas 0,2%. Isso pode ser rastreado até um declínio em países como a Grécia, a Alemanha e os Países Baixos, devido a não participação de grandes organismos de certificação na edição deste ano, enquanto a desaceleração no Reino Unido é imputável a um grande organismo de certificação relatando menos certificados. Ainda sofrendo os desdobramentos da crise econômica, o mercado espanhol também se apresentou com voz trêmula este ano, com muitos organismos de certificação relatando menor número de certificados. Na outra extremidade, a Bielorrússia teve um aumento substancial devido a um dos seus principais organismos de certificação acreditados enviando seu relatório pela primeira vez este ano.

ISO 14001 (Sistemas de gestão ambiental)

A ISO 14001 teve, depois do ano passado, um ligeiro revés com uma taxa de crescimento de 7%. O crescimento foi impulsionado pelo Leste da Ásia e América do Norte, apresentando 10% e 14%, respectivamente. O crescimento foi apoiado no Canadá, no México e nos EUA por novos organismos de certificação que entraram na pesquisa, enquanto os organismos existentes nos EUA também relataram significativamente mais certificados. A Austrália experimentou um crescimento exponencial com um importante organismo de certificação relatando mais certificados do que o normal, enquanto o aumento registrado na República Checa e Turquia refletiu, principalmente, a inclusão de certificados anteriormente não declarados. No geral, porém, a China contou com o maior crescimento em números absolutos, com um aumento de 13.023 certificados emitidos.

ISO 50001 (Sistemas de gestão de energia)

Até agora a ISO 50001 ainda teve um bom desempenho em seu terceiro ano na pesquisa, com uma progressão anual de 40% (6.778 certificados emitidos). A Europa concentrou a maior parte do negócio, com uma quota substancial de 80% do mercado. Fiel à forma, a Alemanha detém 50% do total do mundo devido à legislação do país em matéria de energia. Um campeão de crescimento este ano, o Reino Unido ocupou o segundo lugar, muito à frente de outros países, embora com dez vezes menos certificados quando comparado com os certificados na Alemanha.

ISO/IEC 27001 (Sistemas de gestão de segurança da informação)

A norma de segurança da informação experimentou uma ligeira desaceleração, com um modesto crescimento de 7%, desmentindo os resultados promissores de anos anteriores. Como uma empresa inovadora em tecnologia digital, o Japão lidera historicamente a certificação no setor de segurança da informação, embora o Reino Unido também apareça como destaque com o crescimento mais importante em termos absolutos (340 certificados emitidos), resultante de um relatório de um organismo de certificação com mais certificados do que em 2013.

ISO 22000 (Sistemas de gestão de segurança alimentar)

Houve uma diminuição na emissão de certificados quando comparado com o ano passado: um aumento de 14% (ou 30.500 certificados emitidos) em comparação com 20% e 15% de aumento em anos anteriores. Contudo, esse desempenho mostrou-se razoável, já que houve a quebra do número de certificados de 30.000 pela primeira vez. Em particular, a América do Norte experimentou uma taxa de crescimento espetacular de 70%, principalmente nos EUA, onde um novo organismo de certificação se juntou à pesquisa e um dos principais contribuintes existente relataram mais certificados do que o habitual. Na Europa, a Grécia – um dos países que ostentava o maior número de certificados – despencou este ano devido a um organismo de certificação importante não participar do estudo. Por outro lado, uma notável progressão da Austrália pode estar ligada a um contribuinte significativo relatando mais certificados do que o habitual.

ISO/TS 16949 (Sistemas de gestão de qualidade para o setor automobilístico

Com uma saudável progressão de 8% (contra 5% em 2012 e 7% em 2013), a certificação para a indústria automotiva, a norma ISO/TS 16949, revelou uma aceleração do crescimento, confirmando uma tendência que se fez visível nos últimos dois anos. Estes resultados encorajadores são a prova de que a indústria do automóvel está rapidamente recuperando de seus pontos baixos de recessão. O lar de muitos fabricantes de peças de automóveis, a China, liderou o caminho nessa área, seguida, à distância, por parte dos EUA, um sinal de que o mercado de automóveis dos EUA está tendo uma recuperação após a crise de 2008.

ISO 13485 (Sistemas de gestão de qualidade para os dispositivos médicos)

Revelando uma taxa de crescimento de 8% em comparação com os 12% e 15% das pesquisas anteriores, o setor dos dispositivos médicos confirmou a crise que emergiu nos últimos anos. Enquanto a China teve um crescimento notável nesta área, quase dobrando o número de certificação, em termos absolutos, não competiu com os cinco principais países que dominam o mercado. Sobre a tendência do ano passado, a Europa sustentou quase 60% do número total de certificados emitidos devido aos regulamentos restritos que tonrou mandatório a esse tipo de certificação em alguns países.

ISO 22301 (Sistemas de gestão de continuidade de negócios)

Fazendo uma incursão tímida na pesquisa deste ano, a ISO 22301 para a gestão de continuidade de negócios já está mostrando alguma promessa: 1.700 certificados apresentados. No topo ficou a Índia, com quase 30% do número total de certificados, seguida pelo Reino Unido e Japão. No mundo incerto de hoje, as organizações têm uma tendência em se preparar contra os riscos de desastre e assim a ISO 22301 vem ganhando adeptos que querem olhar em frente, havendo um grande potencial no futuro para essa norma.

O caso Ashley Madison: nova tendência em crimes digitais

Qual é a solução para as suas dúvidas sobre as normas técnicas?

Saiba mais…

Ray Jimenez

O conhecido site de relacionamentos Ashley Madison foi alvo de um ataque cibernético bem sucedido. O slogan deste portal é: “Ashley Madison – A vida é curta. Curta um caso”. O Ashley Madison pertence à empresa Avid Life Media, que admitiu que o ataque atingiu, também, os portais Cougar Life e Established Men. Há 37 milhões de usuários do portal Ashley Madison e, agora, cada uma dessas pessoas espera ansiosamente para ver se suas informações mais íntimas e privativas serão publicadas ou se lhes será dada, mediante um custo, a oportunidade de impedir que isso aconteça. Dada a confidencialidade dos dados, esse ataque pode ser o roubo cibernético mais lucrativo de todos os tempos, uma ação que pode estabelecer outros precedentes muito preocupantes.

As repercussões dessa história são profundas em um mundo no qual registros médicos e pontuações de cartão de crédito estão conectados à Internet e podem ser acessados por meio de dispositivos; um mundo onde carros em movimento podem ser controlados remotamente por hackers e obrigados a participar de acidentes. Os dados pessoais, financeiros e de emprego relacionados aos usuários do Ashley Madison enfrentam a perspectiva de ter um resgate solicitado por um grupo denominado Impact Team. Esses hackers já vazaram alguns detalhes da base de dados Ashley Madison e estão ameaçando divulgar ainda mais ao público.

É difícil, nesta fase, identificar como esse ataque ocorreu. Já sabemos que os usuários costumam usar senhas de baixa qualidade. Entretanto, uma violação tão abrangente como esta sugere que 37 milhões de senhas individuais não foram adivinhadas uma a uma; é mais provável ter ocorrido uma invasão sistêmica. Em outras violações, as causas variaram desde ex-funcionários descontentes até funcionários atuais cujas credenciais de acesso foram comprometidas por engenharia social. Outras falhas são resultado de ataques digitais automatizados. Trata-se de ciber crimes que utilizam infecção por malware avançado para romper as barreiras da segurança corporativa.

Nesse período pós-invasão, as discussões nos escritórios do Ashley Madison devem estar muito aquecidas. A verdade, porém, é que ntanto, crises como essas tendem a ser vistas por muitos e só esquecidas como e quando a mídia decide que escreveu, gravou e registrou material suficiente para denominá-la “notícia velha”. Num quadro como este, os gestores do Ashley Madison estarão claramente procurando encontrar uma maneira de limitar os danos à reputação da empresa.

Eu acredito, no entanto, que a invasão do Ashley Madison terá uma longa duração em virtude da escala e da confidencialidade dos dados pessoais extraídos dos seus membros. Dada a natureza das informações, ela poderia ser explorada amanhã ou daqui a um ano e ainda causar muitos estragos. Os atacantes cibernéticos dispõem de muitas opções para explorar as informações colhidas por eles.

A primeira possibilidade é o Impact Team prosseguir com a sua ameaça de expor as informações dos usuários com a intenção de envergonhá-los publicamente. Isto faria do ataque ao Ashley Madison um dos primeiros ataques cibernéticos em grande escala motivados principalmente por moralismo – mesmo que o ataque tenha sido parcialmente motivado por razões financeiras. Tais ataques são preocupantes no sentido de que os adversários não são tão facilmente dissuadidos pelos altos custos da realização do ataque. Um outro efeito do ataque é que as pessoas que tiveram seus dados roubados precisarão se preocupar pelo resto da vida com o risco de terem suas vidas privadas expostas publicamente.

A verdade, porém, é que a maioria dos ataques contra empresas tende a ter uma motivação financeira e os atacantes se concentram nas atividades que eles acreditam que proporcionará o maior retorno pelos seus esforços investidos. Alguns analistas de mercado acreditam que o Impact Team divulgou o ataque e alguns dados específicos para aumentar o valor do resgate a ser cobrado. Outra teoria diz que essa divulgação inicial aumentaria o valor de revenda dos dados que estão em poder do Impact Team.

Um cenário é que o Impact Team – ou quem quer que comprar os dados roubados pelo Impact Team – usará os dados para pedir resgate aos usuários do Ashley Madison, com a ameaça de divulgar tudo publicamente ou em mensagens direcionadas a entes queridos registros que deveriam ser particulares. Isso será feito a menos que seja paga uma quantia específica aos sequestradores de informações. Com 37 milhões de potenciais vítimas, muitas das quais podem ser pessoas físicas de elevado patrimônio, isso pode tornar a invasão do Ashley Madison altamente lucrativa, potencialmente um dos roubos cibernéticos mais rentáveis de todos os tempos.

Mesmo usuários donos de um menor patrimônio líquido podem ser interessantes para os atacantes cibernéticos, especialmente no caso de pessoas que tenham acesso profissional a redes corporativas ou a recursos de alto valor. Os atacantes cibernéticos podem manter tais funcionários ‘na mira’, numa posição de reféns em que seriam obrigados a colaborar com criminosos facilitando acesso a um banco de dados corporativo ou permitindo um vazamento de dados. Isso seria feito em troca do retorno seguro e discreto dos dados confidenciais dessas pessoas.

Os invasores também podem revender registros de dados pessoais a outros criminosos digitais mediante uma taxa, o que poderá, depois, proporcionar pontos vitais de entrada para ataques direcionados de maior escala a organizações específicas. Quando frescos e recentemente obtidos, os dados podem ser vendidos no ‘mercado cinza’ pelo maior lance. O valor é inflacionado porque, depois desta venda, teoricamente ninguém mais teria acesso a esse conjunto de informações.

O que sabemos é que existem algumas manobras defensivas que todos nós podemos fazer para reduzir o acesso a dados pessoais confidenciais. Segundo uma pesquisa realizada pela Blue Coat, os trabalhadores do Reino Unido – o local onde foi feito o levantamento – ainda não estão conscientes das melhores práticas de proteção de informações pessoais e de trabalho online. Hoje, 54% dos trabalhadores do Reino Unido se conectam com estranhos em mídias sociais e 18% dos trabalhadores do Reino Unido nunca tiveram formação em TI.

A melhor formação não é a única solução para as ameaças cibernéticas, mas mais orientação é claramente necessária. Não há mais lugar para a ingenuidade. Os criminosos cibernéticos estão, por exemplo, usando as mídias sociais para encontrar informações sobre pessoas que possam levar à descoberta de senhas. Em caso de sucesso, há suficiente alavancagem no universo das redes sociais para os atacantes obterem acesso irrestrito a redes corporativas e roubarem informações de trabalho confidenciais.

Ao se refletir sobre todos esses pontos fica claro que, embora as consequências da invasão do Ashley Madison não venham a ser totalmente conhecidas até o Impact Team mostrar a que veio, parece que este caso deixará um legado duradouro. Se o Impact Team decidir usar os dados para obter resgate, este será um dos mais lucrativos – e embaraçosos – roubos de dados dos últimos anos. Mas, se levarem adiante sua ameaça de divulgar os dados publicamente, isso poderá muito bem marcar o início de uma tendência em que grandes ataques cibernéticos passam a ser motivados por moralismo ou ideologia, em vez de ganho financeiro.

O crime cibernético se tornará uma ferramenta em campanhas para derrubar pessoas, corporações e agências governamentais, ou para defender posicionamentos sociopolíticos. Neste quadro, o slogan da Ashley Madison (“A vida é curta. Curta um caso”) ganharia uma nova versão: a vida é curta, e alguns casos podem produzir longos e perturbadores resultados.

Ray Jimenez é vice presidente da Blue Coat América Latina e Caribe

A importância de educar digitalmente seus funcionários

Aterramento e a Proteção de Instalações e Equipamentos Sensíveis contra Raios: Fatos e Mitos – A partir de 3 x R$ 257,81 (56% de desconto)

Proteção contra Descargas Atmosféricas de acordo com a Nova NBR 5419 de 06/2015 – A partir de 3 x R$ 264,00 (56% de desconto)

Todos precisam recorrer à ajuda dos especialistas em TI de vez em quando. Mesmo quem não tem dificuldades para alterar configurações no computador ou instalar e atualizar softwares, muitas vezes, sente-se em apuros ao sofrer um ciberataque. O que você faria se perdesse o smartphone da empresa, que contém dados sigilosos de vendas? Ou se o computador do escritório fosse infectado por um vírus que exclui ou transfere dados importantes e necessários para o seu trabalho?

Geralmente, ao pedir ajuda da equipe de TI, já ocorreu uma violação das políticas de segurança. O maior risco é a perda ou roubo de dados, que podem resultar diretamente em prejuízos para a empresa, como tempo de inatividade, perda de clientes, danos à reputação, roubo de dinheiro das contas da empresa, divulgação de informações confidenciais, etc.

Há medidas que podem ser tomadas para evitar que estes episódios ocorram, melhorando o cuidado de cada um em relação a sua própria segurança digital. Lembre-se de que os executivos da empresa formam a linha de frente da defesa virtual e muitas coisas dependem de sua conduta. Os especialistas da Kaspersky Lab reuniram regras simples que protegerão você e a sua empresa de ataques. Algumas delas podem parecer óbvias, mas muitas empresas têm detectado tarde demais que seus funcionários não as seguem.

Não confie em e-mails suspeitos

• Ao receber um e-mail com um link estranho, um anexo ou uma solicitação de dados privados ou corporativos, não o abra imediatamente, mesmo que tenha sido enviado de um endereço conhecido. Provavelmente, são cibercriminosos tentando enganá-lo para obter acesso a informações confidenciais da empresa.

• Não clique imediatamente nos links, mesmo que pareçam conhecidos. Passe o mouse sobre o link e verifique se o endereço coincide com o endereço do e-mail (ele é exibido na janela que é aberta).

• Não presuma que um e-mail com um link, anexo ou solicitação de dados pessoais é seguro só porque veio de um endereço conhecido. Confirme se ele foi mesmo enviado por seu colega ou amigo.

• Não use seu endereço de e-mail corporativo para atividades pessoais; se o fizer, mais cedo ou mais tarde, receberá e-mails de phishing com avisos do Facebook ou LinkedIn.

Use somente pendrives USB que foram verificados

Evite usar dispositivos USB de outras pessoas. Se for imprescindível, primeiro faça uma verificação de malware da memória USB. Cuidado com qualquer dispositivo de armazenamento recebido como presente, especialmente se você não conhece a pessoa que te presenteou. Os pen drives USB são ótimos para armazenar ou transferir dados, mas também são fáceis de perder e roubar, portanto, os dados gravados na mídia de armazenamento devem estar criptografados para que não sejam úteis a terceiros.

Não se esqueça das atualizações

Cibercriminosos não dormem em serviço! Eles estão sempre buscando maneiras de invadir redes corporativas. Não deixe de fazer rapidamente todas as atualizações sugeridos pelo seu sistema operacional e pelos aplicativos instalados em seus dispositivos. Não espere até que seja tarde demais.

Redes públicas de Wi-Fi não são seguras

Ao usar o Wi-Fi em locais públicos, tente se conectar somente a redes de grandes empresas de telecomunicações, que têm conexões seguras. Não entre em redes sem proteção ou redes privadas desconhecidas. Se estiver em um Wi-Fi público. sempre que possível, use conexões de VPN para trabalhar com documentos da empresa. Ao usar seu dispositivo em um lugar público, preste atenção, pois as pessoas ao seu redor podem ver as informações na tela ou adivinhar uma senha que você digite.

Cuidado ao colocar informações pessoais ou corporativas nas redes sociais

Cuidado com as informações que você coloca nas redes sociais. Lembre-se de que qualquer informação pode se tornar pública. Nunca inclua informações importantes em seu perfil público. Não adicione pessoas desconhecidas como amigos. Verifique as recomendações e os amigos em comum para ter certeza de que não se trata de um criminoso querendo ganhar sua confiança.

Não deixe outras pessoas usarem a câmera de seus dispositivos

Se o dispositivo tiver uma webcam, sempre desconfie. Um criminoso pode obter acesso à câmera sem você perceber, e eles não precisam nem de um software especial para fazer isso. Sempre que você usar o Skype ou qualquer outro aplicativo de comunicação com a câmera ativa, fique atento! Ao terminar a conversa, pressione o botão para encerrar a telecomunicação. Não basta fechar a caixa de diálogo, achando que a comunicação foi desligada. Lembre-se de que é possível gravar qualquer conversa pela câmera sem você saber. Quando não estiver usando a câmera, ela deve ficar coberta. Não atenda chamadas de vídeo de estranhos.

Não ignore a linha de frente da defesa virtual individual

Ninguém gosta de usar senhas longas e complexas em seus dispositivos, especialmente quando elas são diferentes em cada dispositivo. É difícil lembrar-se de todas, e também não é fácil mudá-las regularmente. No entanto, essa é a linha de frente de defesa e é essencial contra os crimes virtuais. Não é possível ignorar o fato de que uma senha simples facilita o acesso dos criminosos a seus dados pessoais e corporativos. Quanto maior for a senha, mais confiável será a proteção que ela proporciona ao dispositivo contra roubo de dados e hackers. As senhas devem combinar caracteres, números e símbolos. Não use a mesma senha em todos os dispositivos e contas. Troque suas senhas periodicamente. Não guarde suas senhas nos dispositivos, especialmente quando eles não são criptografados.

É muito fácil invadir, perder ou roubar dispositivos móveis

Lembre-se: quanto menor for o dispositivo, mais fácil será perdê-lo ou esquecê-lo em algum lugar, ou mesmo tê-lo roubado. Sempre cuide de seus dispositivos enquanto viaja ou está em lugares públicos. Sempre guarde o dispositivo enquanto estiver prestando atenção em outra coisa ou ao terminar de usá-lo. Não esqueça que apenas uma senha não é o suficiente para proteger um dispositivo. Use outras ferramentas de proteção, como a criptografia de dados e o controle remoto fornecido por políticas de segurança. Elas permitem  bloquear remotamente seu dispositivo ou apagar dados importantes caso ele seja perdido ou roubado.

Os riscos de ameaças móveis e as cópias de segurança de dados

VÍDEO EXPLICATIVO

Treinamento Prático ASP 3.0 – Disponível pela Internet

Introdução à linguagem e objetos intrínsecos.

Apesar da grande popularização dos dispositivos móveis, os usuários ainda subestimam os riscos que correm ao se conectarem. Segundo uma pesquisa realizada pela Kaspersky Lab e pela B2B International, 28% dos usuários sabem nada ou muito pouco sobre malware móvel. Infelizmente, esta falta de conhecimento é benéfica aos cibercriminosos.

A pesquisa mostra que, dentre os aparelhos com sistema Android, somente 58% dos smartphones e 63% dos tablets estão protegidos por alguma solução antivírus enquanto, no geral, 31% dos smartphones e 41% dos tablets nem sequer estão protegidos por uma senha. A conduta despreocupada dos usuários talvez se deva ao fato de que 28% deles não sabem da existência de ameaças cibernéticas dirigidas a dispositivos móveis e 26% sabem, porém não se preocupam com elas.

Para piorar o cenário, dentre os Androids desprotegidos, 18% contém as informações que os criminosos mais querem encontrar: senhas dos cartões de banco, senhas de e-banking e outros dados financeiros. 24% dos mesmos usuários armazenam as senhas das redes sociais, e-mails pessoais e de trabalho, VPN (rede privada virtual) e outros recursos sensíveis. Mesmo os usuários que não se preocupam em proteger seus dispositivos com senhas, armazenam em seus smartphones e-mails pessoais (49%), e-mails de trabalho (18%), e “dados que não querem que ninguém veja” (10%).

Ainda de acordo com a pesquisa, usuários de Android enfrentam ameaças online com mais frequência do que os usuários de Windows*. Estes últimos têm mais conhecimento dos perigos da internet e 90% deles costumam proteger seus dispositivos. Desta forma, a pesquisa descobriu que, em um período de 12 meses, 41% dos usuários de smartphones e 36% dos usuários de tablets possuem aplicativos maliciosos; as contas de serviço de 18% dos usuários de smartphones e de 24% dos usuários de tablets foram hackeadas, enquanto os ciberataques financeiros afetaram 43% dos usuários de smartphones e 50% dos usuários de tablets. Contabilizando todos os sistemas de diferentes plataformas móveis, a média de ataques soma 31% (aplicativos maliciosos), 14% (invasão de contas de serviços online) e 43% (ciberataques financeiros) – significativamente menor do que apenas os valores da plataforma Android.

“O fato das ameaças para dispositivos móveis crescerem não surpreende, já que os dispositivos estão fazendo cada vez mais e muitas pessoas passaram a utiliza-los. É claro que isto atrai os fraudadores. Para que não se tornem vítimas, aconselhamos que os usuários protejam seus dispositivos contra ciberameaças, especialmente se armazenam dados financeiros”, explica Victor Yablokov, diretor da Kaspersky Lab.

Outro estudo concluiu que aproximadamente um quarto dos usuários (24%) que mantinha cópias de segurança dos seus dados em dispositivos físicos perdeu tais informações. No mundo moderno, em que a informação tem valor crescente, é importante não apenas criar cópias dos arquivos, mas fazê-lo de forma correta.

O estudo relevou que, embora a vasta maioria (92%) dos entrevistados mantenha informações confidenciais — como correspondência privada, fotos, senhas ou dados financeiros — em seus dispositivos, menos de um terço opta por fazer cópias de segurança para prevenir eventuais perdas. Além disso, 29% dos usuários não toma qualquer medida de segurança deste gênero e 11% admitiram que não pretendem fazê-lo no futuro.

O estudo revela ainda que mesmo quem faz cópias de segurança não tem a garantia de não perder os arquivos. Os dispositivos de armazenamento físico, tais como discos externos ou memórias flash, continuam sendo os mais populares: 87% dos entrevistados mantiveram as suas cópias guardadas neste tipo de dispositivo, enquanto apenas 12% usaram serviços na nuvem. Contudo, dentre os que preferem os métodos físicos de armazenamento, 24% já sofreram alguma perda irreversível de informação, como resultado do extravio, avaria ou roubo do dispositivo.

“Optar por fazer backups de forma sistemática, permite tomar conta dos dados de maneira eficaz. Decida quais informações são mais valiosas para você e crie cópias de segurança regularmente. A melhor maneira é manter a informação importante em pastas criptografadas, guardadas tanto em suportes físicos como na nuvem. Isto irá proteger os seus dados mesmo se acontecer algo de extraordinário que leve à destruição de um dos mecanismos de armazenamento dos seus dados”, afirma Elena Kharchenko, responsável pela gestão de produtos para consumidores da Kaspersky Lab.

Problemas de segurança em pulseira de atividade física

COLETÂNEAS

Coletânea Série Tecnologia da Informação

Coletânea Digital Target com as Normas Técnicas, Regulamentos, etc, relacionadas à Tecnologia da Informação
Saiba Mais…

Coletânea Série Trabalhos Acadêmicos

Coletânea Digital Target com as Normas Técnicas, Regulamentos, etc, relacionadas à Trabalhos Acadêmicos

As pulseiras inteligentes – que medem batimentos cardíacos e calorias queimadas, entre outros quesitos – se tornaram muito populares, pois ajudam os usuários a monitorarem suas atividades físicas, a ingestão de calorias e se manterem em forma. No entanto, tais dispositivos também processam dados pessoais valiosos dos proprietários e é importante mantê-los seguros. O pesquisador Roman Unuchek, da Kaspersky Lab, examinou como várias pulseiras inteligentes interagem com os smartphones e descobriu alguns fatos surpreendentes.

Segundo concluiu em sua investigação, o método de autenticação utilizado em muitas pulseiras inteligentes permite que terceiros possam se conectar de maneira invisível com o dispositivo, executar comandos e, em alguns casos, extrair dados armazenados no dispositivo. Nos aparelhos inspecionados pelo pesquisador, os dados se limitavam à quantidade de passos dados pelo proprietário na hora anterior. No entanto, no futuro, quando a próxima geração de pulseiras, capazes de armazenar um volume maior e mais variado de dados, começar a ser vendida, é possível que se aumente de maneira significativa o risco de vazamento de dados médicos delicados dos proprietários.

A conexão maliciosa é possível devido a forma como a pulseira inteligente se conecta com o smartphone. Segundo a investigação, um dispositivo com sistema operacional Android versão 4.3 ou posterior, com um aplicativo especial não autorizado instalado, pode se conectar com pulseiras inteligentes de alguns fornecedores.

Para estabelecer uma conexão, os usuários devem confirmar o emparelhamento apertando um botão na pulseira inteligente. Os invasores podem vencer facilmente este obstáculo, porque a maioria das pulseiras de atividade física não têm tela. Quando a pulseira vibra solicitando que seu proprietário confirme o emparelhamento, a vítima não tem como saber se está confirmando uma conexão com seu próprio aparelho ou com o de outra pessoa.

 
“Esta Prova de Conceito depende de muitas condições para funcionar apropriadamente. Além disso, um invasor não poderia reunir dados realmente críticos, tais como números de senhas ou de cartões de crédito. Contudo, demonstra que há formas de um invasor se aproveitar de erros deixados por parte dos desenvolvedores do dispositivo. As pulseiras inteligentes disponíveis no mercado hoje em dia são bastante limitadas, e capazes apenas de contar passos e ciclos de sono. No entanto, a próxima geração destes dispositivos está a caminho e deve manipular um volume maior de informações dos usuários. É importante pensar na segurança destes dispositivos agora, e assegurar que a maneira como o rastreador interage com smartphone seja segura”, afirma Roman Unuchek, analista sênior de malware da Kaspersky Lab.

Os especialistas da Kaspersky Lab aconselham aos usuários que fiquem atentos quanto a segurança de seus dispositivos e verifiquem com os fornecedores das pulseiras se há possibilidade de um potencial ataque em seu produto.

Continuidade dos negócios e segurança da informação

Por quanto tempo a empresa poderia sobreviver sem as suas instalações, pessoas e sistemas? Quais são as ações a serem tomadas para manter a empresa funcionando na ocorrência de um vazamento de informações tecnológicas? Todos os funcionários sabem o que fazer, para onde ir ou anquem chamar em caso de um desastre? A continuidade dos negócios é uma abordagem integrada que envolve a mobilização de toda a organização para gerenciar crises e recuperar as operações após a ocorrência de qualquer evento que cause uma ruptura operacional.

Um plano desse tipo descreve as ações e processos necessários para recuperar as operações em caso de ruptura. Um plano de recuperação de desastres ou vazamento por falta de segurança da informações descreve os procedimentos para recuperar os sistemas e componentes de infraestrutura em casos de desastre.

Já a gestão de crises procura unir todos os elementos necessários à atuação coordenada durante a crise, a tomada de decisão de contingência e acionamento das equipes. Juntos, esses planos são o mecanismo necessário para garantir que uma organização possa se recuperar de forma eficaz após um desastre.

As organizações que não possuem planos de contingência estão sujeitas a impactos significativos e atraso no processo de recuperação após um evento de catástrofe. Muitas destas organizações podem nunca se recuperar. As organizações, portanto, precisam assegurar a existência de planos adequados para facilitar a recuperação. Esta é uma questão relevante para todas as organizações.

A NBR ISO/IEC 27031 de 01/2015 – Tecnologia da informação – Técnicas de segurança – Diretrizes para a prontidão para a continuidade dos negócios da tecnologia da informação e comunicação descreve os conceitos e princípios da prontidão esperada para a tecnologia de comunicação e informação (TIC) na continuidade dos negócios e fornece uma estrutura de métodos e processos para identificar e especificar todos os aspectos (como critérios de desempenho, projeto e implementação) para fornecer esta premissa nas organizações e garantir a continuidade dos negócios.

É aplicável para qualquer organização (privada, governamental e não governamental, independentemente do tamanho) desenvolvendo a prontidão de sua TIC para atender a um programa de continuidade nos negócios (PTCN), requerendo que os serviços e componentes de infraestrutura relacionados estejam prontos para suportar as operações de negócio na ocorrência de eventos e incidentes e seus impactos na continuidade (incluindo segurança) das funções críticas de negócio.

Também assegura que a organização estabeleça parâmetros para medir o desempenho que está correlacionado à PTCN de forma consistente e organizada. O escopo desta norma inclui todos os eventos e incidentes (incluindo os relacionados com segurança) que podem impactar a infraestrutura da TIC e sistemas, incluindo e estendendo às práticas de gestão de incidentes em segurança da informação e a prontidão esperada para o planejamento e serviços em TIC.

Através dos anos, as tecnologias da informação e comunicação (TIC) tornaram-se uma parte integrante de muitas atividades fundamentais para suportar a infraestrutura crítica em organizações de todos os setores, sejam públicas, privadas ou voluntárias. A proliferação da internet e de outros serviços de comunicação digital, somada à capacidade dos sistemas e aplicações utilizados hoje, resultaram em um cenário onde as organizações tornaram-se mais dependentes de uma infraestrutura de TIC confiável e segura.

Enquanto isso, a necessidade da Gestão de continuidade de negócios (GCN), incluindo a preparação para incidentes, planejamento para recuperação de desastres e gestão de respostas emergenciais, tem sido reconhecida e suportada por meio de domínios específicos de conhecimento, expertise e normas desenvolvidas e promulgadas recentemente, incluindo a norma de GCN, desenvolvida pelo ISO/TC 223.

As falhas nos serviços de TIC, incluindo a ocorrência de questões na segurança, como invasão de sistemas e infecções por códigos maliciosos, impactam a continuidade das operações de negócio. Dessa forma, o gerenciamento da TIC e dos aspectos relacionados à continuidade e segurança, integra os processos chave para estabelecer os requisitos na continuidade dos negócios.

Além disso, na maioria dos casos, as funções críticas de negócio que demandam ser providas de estratégias para a continuidade são geralmente dependentes da TIC, o que resulta em um cenário onde qualquer interrupção funcional pode resultar em riscos estratégicos para a reputação da organização e sua capacidade de operar. A prontidão da TIC é um componente essencial para muitas organizações na implementação da gestão para a continuidade dos negócios e segurança da informação.

Como parte da implementação e operação de um sistema de gestão de segurança da informação (SGSI) especificado na NBR ISO/IEC 27001 e de um sistema de gestão de continuidade de negócios (SGCN), é uma questão crítica desenvolver e implementar um plano para a prontidão dos serviços de TIC que suportem a continuidade dos processos de negócio. Como resultado, um SGCN efetivo é frequentemente dependente da efetividade da prontidão de TIC em garantir que os objetivos organizacionais continuem a ser atendidos durante a ocorrência de um evento de interrupção.

Isso é especialmente importante, uma vez que as consequências de rupturas na TIC têm a complicação adicional de não serem facilmente detectadas. Para que uma organização alcance a Prontidão de TIC para a Continuidade de Negócios, é necessário prover um processo sistemático de prevenção e gerenciamento de incidentes e interrupções no funcionamento da TIC que tenham o potencial de gerar impactos para o funcionamento esperado dos serviços e sistemas.

Isso pode ser alcançado aplicando os passos cíclicos estabelecidos em um Plan-Do-Check-Act (PDCA) como parte da gestão de PTCN. Dessa forma, a PTCN suporta o GCN ao garantir que os serviços de TIC são resilientes como esperado e podem ser recuperados em níveis predeterminados em tempos de resposta requeridos e acordados com a organização.

Clique nas figuras para uma melhor visualização

Se uma organização usa a NBR ISO/IEC 27001 para estabelecer um SGSI e/ou normas relevantes para estabelecer um SGCN, convém que o estabelecimento da Prontidão de TIC para a Continuidade de Negócios preferencialmente leve em consideração a existência ou previsão de processos relacionados com estas normas. Esta relação pode suportar o estabelecimento da PTCN e também evitar a duplicação de esforços para a organização.

No planejamento e implementação de uma PTCN, a organização pode referenciar a NBR ISO/IEC 24762:2009 no planejamento e entrega dos serviços para recuperação de desastres de TIC, independentemente se estes são providos por uma entidade externa ou interna. A Gestão da Continuidade de Negócios (GCN) é um processo holístico de gestão que identifica os impactos potenciais que ameaçam a continuidade das operações de negócio de uma organização e fornecesse uma estrutura para construir a resiliência e capacidade de resposta eficaz que protegem os interesses organizacionais de interrupções.

Como parte de um processo de GCN, a PTCN refere-se à gestão de um sistema que complementa e suporta a GCN e/ou um programa de SGSI, promovendo a prontidão organizacional para: responder as mudanças constantes dos riscos do ambiente; garantir a continuidade das operações críticas de negócio suportadas pelos serviços de TIC; estar pronta a responder antes que uma interrupção ocorra em um serviço de TIC, por meio da detecção de um ou mais eventos que podem tornar-se incidentes; e responder e recuperar frente à ocorrência de incidentes, desastres e falhas. A Figura 2 ilustra os resultados esperados da TIC para suportar as atividades da Gestão da Continuidade de Negócios.

A NBR ISO 22301 sumariza a abordagem da GCN para prevenir, reagir e recuperar de incidentes. As atividades envolvendo a GCN incluem a preparação para incidentes, gestão da continuidade operacional (GCO), plano para recuperação de desastres (PRD) e mitigação de riscos com foco em incrementar a resiliência da organização, preparando-a para reagir efetivamente a incidentes e recuperar dentro de escalas temporais predeterminadas.

Entretanto, cada organização define as suas prioridades para a GCN, e estas são utilizadas como base para direcionar as atividades da PTCN. Dessa forma, a GCN depende da garantia provida pela PTCN de que a organização pode alcançar seus objetivos de continuidade sempre que necessário, especialmente durante períodos de interrupção.

Como apresentado na Figura 3, as atividades de prontidão visam:

a) incrementar as capacidades de detecção de incidentes;

b) prevenir a ocorrência de falhas drásticas ou súbitas;

c) estabelecer um nível de degradação aceitável do status operacional se a falha não puder ser interrompida;

d) reduzir ao máximo o tempo de recuperação previsto; e

e) minimizar os impactos gerados pelo incidente.

A PTCN é baseada nos seguintes princípios fundamentais:

– Prevenção de Incidentes: Proteger os serviços de TIC de ameaças, como as geradas pelo ambiente, falhas em hardware, erros operacionais, ataques maliciosos e desastres naturais, é uma questão crítica para manter os níveis desejados de disponibilidade dos sistemas de uma organização;

– Detecção de Incidentes: Detectar incidentes o mais cedo possível minimiza os impactos para os serviços, reduzindo o esforço de recuperação e preservando a qualidade dos serviços;

– Resposta: Responder a um incidente da maneira mais apropriada possível irá resultar em uma recuperação mais eficiente e minimizar as paradas, pois uma reação inadequada pode resultar no escalonamento de um incidente pequeno para algo muito mais grave;

– Recuperação: Identificar e implementar a estratégia de recuperação apropriada irá garantir a recuperação dos serviços dentro de um tempo aceitável e manter a integridade dos dados. O entendimento das prioridades de recuperação permite que os serviços mais críticos possam ser reinstalados primeiro. Serviços de natureza menos crítica podem ser reinstalados posteriormente ou, em algumas circunstâncias, não ser recuperados.

– Melhoria: Convém que lições aprendidas de incidentes de variadas intensidades sejam documentadas, analisadas e analisadas criticamente. O entendimento dessas lições irá permitir que a organização esteja melhor preparada, estabeleça um controle adequado e evite a ocorrência de incidentes ou interrupções.

A Figura 4 ilustra como os respectivos elementos em uma PTCN suportam uma linha de tempo para a recuperação de um desastre que afete a TIC e suportam a continuidade das atividades de negócio. A implementação da PTCN permite que a organização responda efetivamente a ameaças novas e emergentes, assim como esteja pronta para reagir e se recuperar dos efeitos de interrupções.

Os elementos fundamentais da PTCN podem ser resumidos como apresentados: Pessoas: os especialistas com o conhecimento e capacidade apropriados, e equipe de reposição competente; Instalações: o ambiente físico onde os recursos de TIC estão localizados; Tecnologia: 1) hardware (incluindo racks, servidores, equipamentos de armazenamento de dados, unidades de fita e similares); 2) rede de dados (incluindo a conectividade de dados e serviços de voz), switches, roteadores; e 3) software: incluindo sistema operacional, software de aplicação, links ou interfaces entre aplicações e rotinas de processamento batch; Dados: dados de aplicações, voz e outros tipos; Processos: incluindo a documentação de suporte que descreve a configuração dos recursos de TIC e suporta uma operação efetiva, recuperação e manutenção dos serviços de TIC; e Fornecedores: outros componentes de serviços nos quais os serviços providos pela TIC dependem de um fornecedor externo ou outra organização dentro da cadeia de suprimentos, como provedores de dados do mercado financeiro, empresas de telecomunicações e provedores de serviços para acesso a internet.

Os benefícios de uma PTCN efetiva para a organização são: entender os riscos para a continuidade dos serviços de TIC e suas vulnerabilidades; identificar os impactos potenciais das interrupções dos serviços de TIC; encorajar a colaboração entre os gestores das áreas de negócio e seus provedores de serviços de TIC (internos e externos); desenvolver e melhorar as competências da equipe de TIC ao demonstrar credibilidade nas respostas providas por meio do exercício dos planos para a continuidade de TIC e testes dos arranjos mantidos para a PTCN; garantir para a alta direção ela pode contar com determinados níveis de serviços para TIC, assim como o suporte e as comunicações adequados, mesmo diante dos impactos gerados por uma interrupção; garantir para a alta direção que a segurança da informação (confidencialidade, integridade e disponibilidade) está sendo adequadamente preservada, estabelecendo a aderência esperada para as políticas de segurança da informação; fornecer confiança adicional na estratégia para continuidade dos negócios, relacionando os investimentos feitos em tecnologia da informação para atender às necessidades organizacionais e garantir que os serviços de TIC estão protegidos em um nível apropriado de acordo com a sua importância para os processos de negócio; ter os serviços de TIC dentro de uma relação custo/benefício aceitável e não subestimada ou superestimada, benefício este alcançado por meio de um entendimento dos níveis de dependência dos serviços providos, natureza, localização, interdependência e uso dos componentes que estabelecem os serviços esperados; poder incrementar a reputação organizacional pela prudência e eficiência estabelecidas; potencializar os ganhos em vantagens competitivas por meio da demonstração da habilidade para entregar serviços de continuidade e manter o fornecimento de produtos e serviços mesmo em períodos de interrupção; e entender e documentar as expectativas das partes interessadas, os relacionamentos suportados e uso dos serviços providos pela TIC. A PTCN fornece uma forma clara de determinar o status dos serviços de TIC de uma organização em suportar os objetivos para a continuidade de negócios ao endereçar a questão “nossa TIC tem a capacidade de resposta adequada” em vez de “nossa TIC é segura”.