Central de atendimento +55 (24) 2232-5850 - contato@future.com.br

Author: adm.future

31 julho 2018
adm.future
0
Categories: Blog, Segurança

7 questões que você deve responder para evitar fraudes cibernéticas corporativas

Fraudes cibernéticas continuam a atingir em larga escala empresas de todo o mundo. É o que revela o Relatório Global de Fraude & Risco 2017/2018 da Kroll, empresa mundial de gestão de riscos e investigações corporativas, baseado nas informações fornecidas por 540 executivos de todos os continentes.

Segundo o levantamento, 86% dos participantes afirmam ter enfrentado uma situação dessa natureza, contra 85% em 2016, o que aponta que, apesar da maioria contar com medidas de conscientização dos usuários e diversos controles de segurança implementados, o alto índice permanece estável.

A infecção por códigos maliciosos foi o tipo de incidente mais frequente (36%), seguido de perto por phishing via e-mail (33%) e violação ou perda de dados de funcionários, clientes e segredos industriais (27%). Não por acaso, pela primeira vez em 10 anos o ranking geral da Kroll para todos os tipos de fraudes apresenta o ataque, perda ou roubo de informações sigilosas como o principal problema enfrentado.

A incidência chegou a 29%, no ano em que ameaças como o WannaCry bloquearam computadores em dezenas de países, com prejuízos de bilhões de dólares e colocou a discussão sobre investimentos em segurança digital na agenda da alta administração. Este ano o relatório prevê que até 2020 os gastos com segurança cibernética devem ultrapassar US$ 170 bilhões, mais que o dobro investido em 2017.

As situações não se limitam aos domínios digitais: 21% relataram o roubo de dispositivos de trabalho – como notebooks, pen drives ou celulares – que continham conteúdo confidencial sem a devida proteção. Apesar de ser um dos poucos grupos que foi menos citado que no ano anterior, ainda representa uma ameaça importante.

Software e sites vulneráveis foram os pontos mais explorados pelos malfeitores para conseguir o acesso, com 25% e 21% dos casos respectivamente. As fraudes foram perpetradas por cibercriminosos (34%), ex-funcionários (28%) e concorrentes (23%).

Ainda que tenham tomado providências para evitar novos incidentes, mais da metade dos entrevistados acredita que sua empresa ainda está vulnerável a vírus (62%), violação de dados (58%) e phishing por e-mail (57%). Os setores mais impactados por fraudes cibernéticas em 2017 foram construção, engenharia e infraestrutura (93%), telecomunicações, tecnologia e mídia (92%) e serviços financeiros (89%).

Cenário brasileiro

No Brasil, 89% dos executivos afirmaram já ter sofrido uma fraude cibernética em suas companhias, mas, diferente da tendência global, o índice não permaneceu estável: em 2016, era de apenas 76%.

Quase metade dos casos foram contaminações por códigos maliciosos (45%) e outros 37%, phishing por e-mail, o que leva os 63% dos respondentes a continuarem preocupados com a vulnerabilidade do sistema a novos ataques.

Os alvos das ameaças se concentraram em informações dos clientes (47%) e segredos industriais ou de pesquisas (44%), sendo que os agentes foram em sua maioria ex-funcionários (32%) e concorrentes (21%). 80% dos entrevistados acredita que as fraudes impactaram negativamente a privacidade, segurança e satisfação dos consumidores (80%), além do moral dos funcionários (76%).

O que fazer para evitar ataques?

De acordo com a experiência de seus especialistas, em seu Relatório Global de Fraude & Risco 2017/2018, a Kroll propõe às corporações refletirem sobre sete pontos fundamentais para ter um correto diagnóstico de sua segurança cibernética e adotar as melhores soluções:

1) Os funcionários compreendem as atuais políticas e procedimentos?

Os documentos só serão efetivos se forem claros e objetivos.

2) Os gestores estão obtendo as respostas que precisam? E estão fazendo as perguntas certas?

O líder da área deve saber tudo sobre a estratégia de segurança e ser capaz de esclarecê-la ao board sempre que preciso.

3) A empresa envolve todos os gestores na elaboração das políticas de segurança?

Além da TI, os inputs de todas as áreas são necessários para chegar a medidas que de fato atendam à rotina da empresa.

4) Os planos de resposta a incidentes já foram testados?

Por mais claros que sejam, somente na simulação de uma situação real será possível verificar sua efetividade.

5) Como a empresa tem avaliado a efetividade do investimento realizado em segurança cibernética?

Especialistas como a Kroll podem revisar planos, organização e verbas, dentro de um contexto global de ameaças e novos recursos.

6) Os líderes estão dando o exemplo?

Se os executivos e o board adotarem as medidas de segurança, todos os seguirão.

7) A empresa já pensou em ter um especialista em segurança cibernética em seu board?

Os prejuízos e consequências dos ataques têm levados muitas empresas a abordar este tipo de ameaça da mesma forma que os demais riscos críticos organizacionais, a fim de garantir maior proteção a seus ativos de dados.

A Future pode ajudar a sua empresa a evitar fraudes cibernéticas. Clique aqui e entre em contato conosco!

Fonte: IT Fórum 365.

Read More
30 julho 2018
adm.future
0
Categories: Blog, Segurança

11 problemas comuns de segurança da informação das empresas

Empresas de todo mundo passaram a adotar um discurso sobre a questão da cibersegurança, no qual defendem uma padronizações e maior segurança, no entanto, pouco elas têm agido para criar e manter padrões significativos que evitem ou que respondam de forma eficientes esses ataques cibernéticos. A tese foi defendida pelo Purveyor Dark Intelligence e professor da Universidade de Nottingham, na Inglaterra, John Walker, durante o Cyber Security Summit Brasil 2018, que aconteceu na última semana, em São Paulo.

“Precisamos de menos compliance e mais segurança. Também é preciso adotar Red Teaming, ou seja, se autoatacar para testar suas capacidades e vulnerabilidades”, defendeu o especialista que possui um extenso currículo em Crimes Cibernéticos. John passou pelas Operações de Inteligência, Investigações e Contra-Inteligência da Royal Air Force, atuou como GCHQ e CESG nas Agências dos EUA e do Reino Unido, e foi ITSO e Segurança de Sistemas Gestor dos Sistemas Credenciados pela CIA.

O especialista também ressaltou que possuir um plano de ação em casos de ataques é tão importante quanto prever os riscos. “A indústria de cibersegurança é ruim. As empresas têm dificuldades ao tratar as ameaças hoje em dia. Resposta a incidentes é a chave e é algo que precisa ser planejado com antecedência”.

Ele ainda lembrou até mesmo empresas que são consideradas modelo em cibersegurança também são alvos de ataques. Ele citou o caso da TalkTalk, no qual o pessoal do TI foi avisado sobre uma vulnerabilidade em seu sistema, mas ignoraram e foram hackeados. “Uma empresa que, em 2018, foi elogiada e considerada exemplo de infraestrutura e segurança”.

Outra empresa citada por ele foi a Tesco Bank, que foi considerada modelo de engenharia reversa. “Em 2016, 20 mil clientes tiveram suas contas invadidas por hackers em um sábado de manhã. Por que em um sábado? Porque poucas pessoas trabalham nesse dia”, explicou.

Walker elencou, ainda, os problemas mais comuns nas empresas.

Self Survival

Muitas empresas acreditam que não precisam se importar com ciberataques, bem como o cibercrime, e acham que são suficientes e acima de tudo.

Falta de conhecimento em novos motores de ameaça

Falta de imaginação sobre as novas ameaças. É preciso pensar mais em defesa. Não podemos ter medo de inversão.

Certificação

Apenas a certificação em segurança não é suficiente, é preciso também ter junto com a certificação habilidades para atuar com segurança cibernética.

Falsificação de credenciais

Infelizmente esse problema também é recorrente, de pessoas que conseguem certificação, mas depois usam isso para o cibercrime.

Falta de liderança e habilidades

Hoje, ouvimos que a segurança não é apenas uma questão de quem atua na área, mas de todas as pessoas. O público é o maior vetor desse assunto. Por isso, é sempre importante estar em contato com as pessoas para procurar entender o que acontece ao redor.

Pequenas empresas

Muitos ignoram pequenas empresas, mas elas também podem ser fontes de ciberataques. Isso não pode ser negligenciado.

Crime cibernético de ponta

O cibercrime está cada vez mais arrojado e ataca diversos tipos de sistemas como infosegurança, carros, hotéis, developement.

Resposta é a chave

A resposta a incidentes é a chave, e é algo que precisa ser planejado antes. Não pode ser de última hora.

Red Team

Testar suas capacidades e vulnerabilidades, treinar as pessoas.

Minority Reporting

É preciso ser proativo com si mesmo, atacar a si mesmo.

Tocar o intocável

É preciso conversar com quem está em risco.

Quer deixar sua empresa mais segura? Clique aqui e entre em contato com a Future!

Fonte: IT Forum 365.

Read More
27 julho 2018
adm.future
0
Categories: Blog, Notícias

Saiba como hackers roubam os seus dados e ganham dinheiro com eles

O roubo de dados pessoais é um prática comum na internet, especialmente em sites com segurança mais vulnerável. É possível que os seus dados estejam circulando por aí sem que você saiba. As informações roubadas são usadas pelos hackers para obter dinheiro, milhas aéreas e mercadorias caras.

Cibercriminosos usam códigos que executam ataques em massa em sites de interesse. O que facilita a tarefa deles é o fato de a maioria das pessoas repetir o mesmo usuário e senha em múltiplos sites.

De acordo com um relatório publicado pela companhia de segurança virtual Shape Security, cerca de 91% do tráfego global em e-commerces em 2017 foi ocupado por criminosos. Em segundo lugar, aparecem as companhias aérea, com 61% do tráfego consumido pelas tentativas de login dos hackers. Na sequência, vêm bancos (58%) e hotéis (44%).

Como cita o site Olhar Digital, a estimativa é que os ataques funcionem em 3% das vezes. Pode parecer pouco, mas já é o suficiente para gerar grandes prejuízos a consumidores e empresas. Só o setor de e-commerce perde aproximadamente US$ 6 bilhões por ano com esses crimes.

Vazamentos de dados em serviços de grande porte, como LinkedIn, Yahoo ou Netshoes, são divulgados esporadicamente. Contudo, os maiores volumes vêm de fóruns virtuais.

Para se proteger, a recomendação é evitar usar senhas iguais em diversos sites. Se o problema for memorizar as senhas, programas gerenciadores de senhas podem ser alternativas interessantes. Outra dica é desativar cadastros em sites que você não usa mais.

Se estiver na dúvida se já foi ou não vítima de hackers, é possível consultar um banco de dados de vazamentos, como o “Have I Been Pawned”.

Quer proteger seus dados? Entre em contato com a Future, e saiba como podemos ajudá-lo!

Fonte: NAOM.

Read More
25 julho 2018
adm.future
0
Categories: Blog, Notícias

10 dicas para se adaptar agora mesmo ao GDPR

A proteção de dados pessoais inicia uma nova era em todo o mundo. A partir de agora, empresas no Brasil que tenham relacionamentos de negócio com companhias europeias terão que se adequar a nova regulamentação de proteção de dados europeia (GDPR), que entrou em vigor no último mês de maio.

O GDPR tem como objetivo principal estabelecer formas de proteção dos dados dos cidadãos da União Europeia e suas informações privadas. O Brasil também está seguindo essa tendência com o PLC 53/2018 – Projeto de Lei para Proteção de dados pessoais, que segue muitas diretrizes da base europeia e já foi aprovado pelo Senado Federal.

“Para as empresas brasileiras se adaptarem, o primeiro passo é traçar um diagnóstico completo da base de dados da companhia, com levantamento de informações como compreensão dos tipos de dados que a empresa possui, quais áreas lidam com esses dados e quais sistemas fazem o tratamento dessas informações. Adicionalmente, é essencial que a empresa possua alguma política de segurança da informação ou até mesmo uma política de proteção de dados”, destaca Vitor Pedrozo, diretor da área de Forensic, Investigations & Dispute Services – FIDS da Grant Thornton.

Confira as dicas:

  1. Implemente mecanismos para a proteção de dados, considerando a estrutura organizacional da empresa
  2. Atenda a estrutura necessária: tenha uma política de proteção de dados e um manual ou política de tratamento de dados padrão
  3. Identifique de dados pessoais e criação de registro de atividades de processamento de dados
  4. Implemente de uma avaliação de impacto de proteção de dados (AIPD) para as atividades relacionadas ao tratamento de dados
  5. Adapte e faça atualizações no que tange a matéria de dados quanto às responsabilidades e ao consentimento
  6. Desenvolva procedimentos necessários para o processamento de dados (especialmente o direito de acesso e de exclusão desses dados)
  7. Desenvolva um procedimento eficiente para o tratamento de violação de dados
  8. Analise medidas existentes para garantir a segurança dos dados (confidencialidade, integridade, disponibilidade, resiliência) – conceito de segurança de dados/segurança da informação
  9. Ajuste contratos existente ou prepare cláusulas específicas e contratos (responsável pelo processamento, prova de garantias suficientes, acordo de confidencialidade)
  10. Avise sobre a proteção de dados e realize treinamentos sobre o tema

Política de privacidade no Brasil

O Projeto de Lei que está aguardando sanção presidencial garante maior controle dos cidadãos sobre suas informações pessoais, exigindo consentimento para coleta e uso de seus dados, tanto pelo poder público quanto pela iniciativa privada. Também proíbe o tratamento dos dados para a prática de discriminação ilícita ou abusiva como, por exemplo, cruzamento de informações para divulgação de promoções e serviços. Em ambas as normas, preveem as empresas precisam indicar um responsável pela proteção de dados, um Data Protection Officer (DPO).

O projeto prevê ainda a criação da Autoridade Nacional de Proteção de Dados (ANPD) para reportar casos de vazamentos de dados pessoais e até a possibilidade de aplicação de multas e penalidades para empresas que tiverem os dados violados. “Entre os pontos da lei, destaco a distinção entre dados pessoais e dados sensíveis; obrigatoriedade do consentimento do usuário para coleta de informações; adoção de medidas de proteção e segurança no tratamento dos dados e possibilidade de alteração e exclusão do dado pessoal”, comenta Pedrozo.

A Future pode auxiliar você e sua empresa a se adaptar ao GDPR. Clique aqui e entre em contato conosco!

Fonte: IT Forum 365.

Read More
24 julho 2018
adm.future
0
Categories: Blog, Notícias

McAfee eleva segurança com novo portfólio de proteção empresarial

A McAfee, a empresa de cibersegurança que vai do dispositivo à nuvem, anunciou o McAfee Mvision, portfólio com inovações da McAfee desenvolvidas para oferecer aos clientes um sistema de defesa abrangente e flexível, que gerencia seus produtos de segurança com base em suas necessidades atuais e futuras, à medida que eles migram para os modernos sistemas operacionais de dispositivos e para a nuvem.

O Mvision fortalece o dispositivo como um ponto de controle nas arquiteturas de segurança, oferece gerenciamento simplificado, segurança mais forte para o Windows, análise de comportamento e defesa contra ameaças para dispositivos Android e iOS.

Além disso, com seu workspace único de gerenciamento integrado, o Mvision capacita os profissionais de segurança corporativa a gerenciar, otimizar e integrar de forma proativa e transparente os controles de segurança em qualquer combinação de proteção avançada da McAfee e os recursos do Windows 10.

“O McAfee ePO é um dos precedentes da automação e orquestração de segurança integrada. Considerando que a segurança é um ativo escasso, os profissionais da área de segurança atualmente precisam do poder do ePO tradicional, mas oferecido com uma experiência simplificada, tornando-o eficiente e eficaz. O McAfee Mvision abrange as necessidades de automação da segurança e a simplificação através de ferramentas da McAfee e ferramentas terceirizadas, até mesmo incluindo ferramentas como o Microsoft Defender. Fornecido como um workspace oferecido em SaaS, o Mvision combina análise, gerenciamento de políticas e eventos de uma maneira conveniente para a empresa e o segmento de mercado médio”, disse Frank Dickson, vice-presidente de produtos de segurança da IDC.

“Para superar a complexidade criada por muitos tipos de dispositivos, produtos de segurança e consoles, as coisas devem ficar mais simples e a abordagem direcionada à segurança deve mudar. A segurança moderna de dispositivos precisa defender todo o terreno digital, ao mesmo tempo em que entende quais são os riscos em jogo”, afirmou Raja Patel (foto), vice-presidente e gerente geral, produtos de segurança corporativa da McAfee. “Esta primeira onda do portfólio de tecnologia McAfee MVISION oferece às empresas uma visão elevada do gerenciamento, na qual os administradores de segurança podem defender com mais facilidade seus dispositivos e combater os adversários cibernéticos de maneira coesa e simplificada.”

O novo portfólio McAfee Mvision inclui o McAfee Mvision ePO, McAfee Mvision Endpoint e o McAfee Mvision Mobile.

McAfee Mvision ePO

O McAfee Mvision ePO é um serviço SaaS que oferece um ponto de vista e compreensão simplificado e centralizado. Remove a sobrecarga de implementação e manutenção da infraestrutura de back-end e permite que os clientes migrem facilmente seu ePO existente. As organizações podem se concentrar exclusivamente na redução do risco de segurança, com a agilidade da nuvem garantindo que sempre estarão em execução os últimos recursos de segurança. Além da nova oferta Mvision ePO SaaS, o ePO foi atualizado para permitir que as equipes de segurança entendam melhor os riscos de ameaças, garantam a conformidade com a segurança e ajam de forma mais rápida, com menos esforço do que nunca. As melhorias incluem:

  • Nova área de trabalho de segurança orientada por tarefa: Projetado com otimização e conscientização situacional em mente, permite que os administradores vejam claramente sua postura de segurança e concluam tarefas com 50% menos de cliques. O novo workspace integra as defesas através dos dispositivos, sistemas operacionais, produtos da McAfee e tecnologias de terceiros para visualizar ameaças e agir imediatamente.
  • ePO particular implantado no Amazon Web Services (AWS): Elimina a necessidade de um banco de dados e ativos físicos separados, enquanto fornece controle personalizado da infraestrutura de gerenciamento e dados de configuração. O ePO AWS Quick Start possibilita que as organizações estejam em funcionamento em menos de uma hora.

“Simplificar o aspecto de gerenciamento das soluções de segurança é exatamente o que precisamos e a McAfee está oferecendo exatamente isso”, afirmou Philippe Maquoi, chefe da equipe SPW Endpoint e Server Security, Serviço Público de Wallonie. “Com as novas opções de implementação AWS e SaaS para ePO, nós agora podemos gastar mais tempo nas questões reais de segurança em vez de manutenção da solução”.

McAfee Mvision Endpoint

O McAfee Mvision Endpoint gerencia e estende a segurança nativa incorporada no Windows 10 para oferecer uma defesa coletiva maior com menos esforço do que outras abordagens no mercado atual. Usando um agente leve, o McAfee Mvision Endpoint complementa a segurança integrada do Windows 10 com proteções de ameaças avançadas sem assinatura, ajustadas especificamente. Esta abordagem cooperativa é gerenciada pelo McAfee Mvision ePO, para defesa contra ataques sofisticados com e sem arquivos, sem a complexidade de vários sistemas de gerenciamento.

McAfee Mvision Mobile

O McAfee Mvision Mobile oferece visibilidade e defesa contra ameaças para dispositivos iOS e Android, garantindo que sejam protegidos como qualquer outro dispositivo. O McAfee Mvision Mobile fornece proteção sempre ativa, não importando como o dispositivo está conectado. Analisando os desvios de comportamento do dispositivo, o McAfee Mvision Mobile toma decisões com base nos indicadores de comprometimento para identificar precisamente os ataques avançados com base em dispositivos, aplicativos e rede. A visibilidade e o controle de ativos móveis agora estão unificados através do McAfee Mvision ePO, que fornece um console único para gerenciar a segurança nos dispositivos.

Quer conhecer este novo portfólio de soluções? A Future é parceira McAfee! Clique aqui e entre em contato conosco!

Fonte: IT Forum 365.

Read More
23 julho 2018
adm.future
0
Categories: Blog, Notícias, Segurança

Symantec anuncia primeira solução integrada de isolamento de ameaças que neutraliza ataques avançados a e-mails

A Symantec, empresa líder no mercado de segurança da informação, lançou a solução Email Threat Isolation, que bloqueia ataques avançados a e-mails como phishing direcionado (“spear phishing”), roubo de credenciais, sequestro de contas e ransomware nos dispositivos dos usuários. A Symantec é a a única fornecedora a oferecer uma solução completa e integrada de segurança com tecnologia de isolamento de ameaças para e-mails corporativos, que protege os clientes de ataques sofisticados que são tão frequentes na geração da nuvem.

“Apesar dos esforços significativos do nosso setor para detectar e bloquear ameaças transmitidas por e-mail, as mensagens permanecem sendo o vetor principal para malware e fraudes nas corporações. É preciso uma mudança de paradigma para proteger as mensagens de forma adequada, e estamos contentes por trazer a inovação da tecnologia de isolamento integrado aos e-mails”, disse Greg Clark, CEO da Symantec. “Essa tecnologia revolucionária ajuda as empresas a isolar de forma rápida e fácil todo e-mail com conteúdoduvidoso e reduz substancialmente os riscos inerentes às mensagens. Além disso, como a tecnologia é baseada na nuvem, as empresas podem colocá-la em operação de forma simples e rápida, facilitando o trabalho da equipe de tecnologia” completa o executivo.

O Email Threat Isolation eleva a prevenção (acho que segurança faz mais sentido que prevenção) ao garantir que links suspeitos para páginas da Web sejam isolados, permitindo um acesso seguro. Esse recurso oferece aos clientes um alto nível de proteção contra ataques avançados a e-mails, pois cria um ambiente seguro de execução remota. A Symantec é a única fornecedora a oferecer políticas de isolamento baseadas no Além disso, o Symantec Email Threat Isolation pode renderizar esses sites em um modo somente leitura, impedindo que funcionários desavisados revelem informações confidenciais como credenciais corporativas, por exemplo.

Segundo Rob Ayoub, diretor do programa de Produtos de Segurança da IDC, os ataques de phishing e ransomware estão evoluindo constantemente e se tornando cada vez mais sofisticados. “O isolamento representa uma abordagem nova na defesa contra essas ameaças e é particularmente útil para defender alvos valiosos. A Symantec é a primeira a integrar o isolamento de ameaças à sua solução de segurança de e-mail”, ressalta Rob.

“Estamos trazendo inovação para este ponto de controle crítico a fim de reduzir significativamente a dependência do comportamento dos funcionários, e ainda possibilitar que os administradores de TI tenham mais controle sobre o ambiente de e-mail”, afirma Patrick Gardner, vice-presidente sênior de Segurança de E-mail e Proteção Avançada Contra Ameaças da Symantec. “Desenvolvemos esta nova solução como parte da nossa missão de disponibilizar uma plataforma integrada de segurança, oferecemos proteção avançada contra phishing para todas as empresas, quer elas utilizem o Symantec Email Security, ou qualquer outra solução de segurança de e-mail de terceiros.”

Quer conhecer mais a Solução? A Future é parceira Symantec! Clique aqui e entre em contato conosco!

Fonte: SEGS.

Read More
16 julho 2018
adm.future
0
Categories: Blog, Notícias, Segurança

Ucrânia diz ter impedido ataque do vírus VPNFilter em estação de tratamento de água

O Serviço de Segurança da Ucrânia informou que seus agentes bloquearam um ataque do vírus em uma estação de tratamento de água na aldeia de Auly na região de Dnipropetrovsk. A informação é da agência de notícias ucraniana Interfax.

O vírus VPNFilter atraiu a atenção de especialistas por seu meio de ataque incomum – ele ataca roteadores domésticos – e pela sua capacidade de até “destruir” esses equipamentos apagando o software de fábrica. O vírus atingiu dispositivos em dezenas de países, o que levou o FBI a emitir um alerta sobre a praga. A sofisticação técnica do ataque e semelhança com códigos anteriores levou alguns especialistas a apontarem envolvimento de um governo na elaboração do ataque — possivelmente o governo russo.

Em seu anúncio sobre o ataque, o Serviço de Segurança da Ucrânia (SBU) também apontou a Rússia como origem do ataque, mas não chegou a culpar o governo em Moscou. O SBU é o sucessor do serviço secreto soviético no país e foi formado em 1991.

Ainda de acordo com o SBU, o objetivo do ataque era interromper o funcionamento normal da estação, que é responsável pelo fornecimento de cloro para o tratamento de água.

A Ucrânia já acusou o governo russo de ter organizado diversos ataques contra os sistemas eletrônicos do país. Dois deles teriam causado apagões elétricos.

Outro ataque teria atingido diversas empresas privadas na Ucrânia com ataques semelhantes a vírus de resgate em 2017 no caso NotPetya.

Fonte: G1.

12 julho 2018
adm.future
0
Categories: Blog, Notícias

Do CPF na farmácia às redes: como nova lei protegerá seus dados pessoais

O desconto que você ganha na farmácia ou no supermercado apenas ao inscrever o CPF no sistema tem um preço: a sua privacidade. O mesmo preço invisível é cobrado toda vez que você autoriza o acesso a sua localização ou a seus dados em redes sociais e aplicativos de entrega. Todas essas informações, na verdade, têm um valor real. E se por um lado facilitam sua vida, com comodidades oferecidas com base em seu perfil, por outro podem acabar sendo entregues para planos de saúde ou instituições financeiras sem que você saiba. Nesta semana, o Senado aprovou a Lei de Proteção de Dados Pessoais, que ainda precisa ser sancionada pelo presidente Michel Temer, cujo objetivo é aumentar o seu controle sobre o que está ocorrendo com suas próprias informações.

A nova legislação prevê que qualquer tratamento de dados —seja coleta, produção, acesso ou reprodução de informações pessoais— só poderá ser feito com o consentimento expresso do titular ou de seu responsável, no caso de menores de idade. Será preciso, ainda, informar a finalidade específica dessa coleta e, uma vez usadas, as informações devem ser disponibilizadas com facilidade para que o dono delas saiba. Após o uso, precisam ser descartadas. As regras ainda criam um grupo especial, o de dados sensíveis, que inclui informações como origem racial, convicções religiosas, opiniões políticas, filiação a sindicatos e dados referentes à saúde, biometria ou à vida sexual. Esses dados precisam de um consentimento específico, a não ser que sejam para cumprir obrigação legal, planejar políticas públicas ou para que órgãos de pesquisa façam estudos.

“Em aplicativos de supermercado, é melhor receber promoção de produtos que a gente compra do que um monte de promoções aleatórias que não interessam. Desde que a gente saiba que nossos dados de conta vão ser coletados e para que vão ser coletados, não tem problema”, exemplifica Rafael Batista, sócio da IT Secure, uma consultoria de segurança da informação. Segundo Batista, o impacto da nova legislação brasileira, que terá um período de implantação de 18 meses após a sanção presidencial, já pode ser sentido por conta da nova lei europeia, que entrou em vigor no dia 25 de maio na esteira dos escândalos de mal uso de dados por meio do Facebook. Ela também restringe o tipo de dado que pode ser tratado pelas empresas e determina as regras para isso.

Se você usa serviços como Spotify e Cabify recebeu recentemente uma mensagem sobre atualizações na política de privacidade. “Estamos entrando em contato com você hoje para informar que faremos algumas alterações em nossa Política de Privacidade, que entrará em vigor a partir do dia 25 de maio. Essas alterações refletirão requisitos de transparência mais estritos do Regulamento Geral de Proteção de Dados da UE (conhecido como GDPR)”, diz parte da mensagem distribuída pelo Spotify no mês passado. No informativo, a empresa deixa claro, por exemplo, o direito à portabilidade dos dados, traduzido pelo próprio Spotify como “o direito de solicitar uma cópia dos seus dados pessoais em formato eletrônico e o direito de transmitir esses dados pessoais para utilização em serviços de terceiros”.

Agora, o usuário do aplicativo também pode solicitar que seus dados sejam apagados e se opor a que suas informações sejam processadas para fins de marketing direto —aquele que é feito sob medida para o usuário, com base nos interesses dele.

O que estará protegido

A lei brasileira foi inspirada na regulamentação europeia, explica Daniel Rodrigues Pinto, consultor jurídico da Atos, uma empresa de transformação digital. “O Brasil tinha uma legislação esparsa, setorizada, não era tão abrangente: dependia da área do serviço prestado, se tinha relação de consumo ou não”, compara. Após a sanção da nova lei no Brasil, todas as informações sobre os cidadãos brasileiros passarão a estar protegidas. “Um arquivo no RH [recursos humanos] de uma empresa com diversos dados do funcionário, o exame admissional ou demissional. Atestados médicos. O imposto de renda, dados do INSS”, exemplifica Rodrigues. O endereço de e-mail também passa a ser protegido. O login de acesso a sites, o endereço de IP (protocolo de internet) do computador, tudo o que possa identificar direta ou indiretamente o dono daquele dado.

Para Flávia Lefevrè, conselheira da ONG Proteste, a legislação aprovada pelo Senado “traz bastante garantias, assim como o Marco Civil da Internet”, mas não é fácil de implementar. Garantias asseguradas pelo Marco Civil, como a neutralidade da rede e a obrigatoriedade de ordem judicial para retirar conteúdo da internet, não têm sido de fácil aplicação, ela alerta. “No caso dos dados pessoais, tem de haver uma autoridade reguladora e fiscalizadora que vai ficar em cima das empresas, para que elas cumpram os direitos que vierem a ser estabelecidos quando virarem lei”, defende. Este papel, segundo a nova lei, deve ser desempenhado pela Autoridade Nacional de Proteção de Dados (ANDP), cuja criação está contemplada no projeto aprovado pelo Senado.

É essa autarquia, submetida ao Ministério da Justiça, que ficará responsável por cobrar as multas de até 50 milhões de reais das empresas que violarem as novas regras — ou mesmo proibi-las de tratar dados, nos casos mais extremos. Fundador do Data Privacy Brasil, Renato Leite Monteiro torce para que a ANDP seja criada, mas diz que ainda se discute sobre a possibilidade de veto presidencial do trecho que a cria, com base em argumentos jurídicos, políticos e orçamentários. “A entrada em vigor de uma lei geral de proteção de dados sem uma autoridade autônoma e independente pode ter um impacto indesejado na sua eficácia, e até mesmo tornar a lei incompleta”, ele argumenta. A lei também prevê a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, formado por 23 representantes de órgãos do Governo e da sociedade civil.

Governo

Para além das relações de consumo, a legislação aprovada pelo Senado também contempla a relação dos cidadãos brasileiros com o poder público. Flávia Lefevrè destaca a batalha dos especialistas envolvidos na elaboração da proposta para a inclusão de um capítulo que obrigasse os poderes públicos a cumprirem obrigações de proteção de dados virtuais. “Muito mais do que as empresas privadas, quem mais coleta dados nossos — e dados sensíveis — são os órgãos públicos, que processam programas sociais, declarações de imposto de renda, programas de saúde, tudo”, diz.

Lefevrè menciona o recente caso do Serpro (Serviço Federal de Processamento de Dados) para provar seu ponto. A “maior empresa pública de tecnologia da informação do mundo”, como o próprio Serpro se apresenta, é investigada pelo Ministério Público Federal (MPF) por venda de dados para outros órgãos públicos, como o Conselho Nacional de Justiça (CNJ). O caso começou a ser apurado pela Comissão de Proteção de Dados do Ministério Público do Distrito Federal e Territórios (MPDFT), mas foi repassado ao MPF por questões de competência, pois o Serpro é um órgão federal. Nesse contexto, a conselheira da Proteste destaca ainda que a legislação aprovada pelo Senado garante direito mesmo sobre dados que já foram tornados públicos — uma das garantias que foi posta em questão ao longo dos debates sobre a lei.

QUAIS SÃO OS OBJETIVOS DE UMA LEI GERAL DE PROTEÇÃO DE DADOS?

Renato Leite Monteiro, fundador do Data Privacy Brasil, resume os principais pontos da lei aprovada pelo Senado, e que ainda precisa ser sancionada pelo presidente da República.
Direito à privacidade: garantir o direito à privacidade e à proteção de dados pessoais dos cidadãos ao permitir um maior controle sobre seus dados, por meio de práticas transparentes e seguras, visando garantir direitos e liberdades fundamentais.

Regras claras para empresas: estabelecer regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais para empresas.

Promover desenvolvimento: fomentar o desenvolvimento econômico e tecnológico numa sociedade movida a dados.

Direito do consumidor: garantir a livre iniciativa, a livre concorrência e a defesa do consumidor.

Fortalecer confiança: aumentar a confiança da sociedade na coleta e uso dos seus dados pessoais.

Segurança jurídica: aumentar a segurança jurídica como um todo no uso e tratamento de dados pessoais.

Fonte: El País – Brasil.

Read More
11 julho 2018
adm.future
0
Categories: Blog, Notícias, Segurança

5 descobertas sobre cibersegurança da WatchGuard

A WatchGuard Technologies, empresa de soluções de segurança, publicou o seu mais recente relatório de segurança – Internet Security Report. A inteligência de ameaças do primeiro trimestre de 2018 revelou que 98,8% das variantes de malware aparentemente comuns do Linux/Downloader foram, na verdade, projetadas para entregar um popular minerador de criptomoedas baseado em Linux.

Esse é apenas um dos diversos sinais que o malware malicioso de mineração de criptografia está se tornando uma das principais táticas entre os criminosos cibernéticos. O relatório completo detalha os mecanismos de distribuição para esses ataques, e explora outras ameaças predominantes de segurança que visam pequenos e médios negócios (SMBs) e empresas distribuídas.

As descobertas da empresa são baseadas em dados milhares de dispositivos Firebox UTM ativos em todo o mundo. Os principais tópicos do relatório incluem:

1. Mineradores de criptomoedas estão em alta

Vários mineradores de criptomoeda apareceram pela primeira vez na lista da WatchGuard das 25 principais variantes de malware. Os appliances Firebox têm uma regra chamada Linux/Downloader, que captura vários programas “dropper” e “downloader” de Linux que fazem o download e executam malware.

Geralmente, esses droppers baixam uma ampla variedade de malwares, mas no Q1 de 2018, 98.8% deles estavam tentando fazer o download do mesmo minerador de criptografia baseado em Linux. As evidências do segundo trimestre até agora indicam que o malware de mineração de criptografia permanecerá na lista dos 25 principais da WatchGuard e pode até chegar ao top 10 até o final do trimestre.

2. Trojan Ramnit retorna à Itália

A única amostra de malware na lista do Top 10 da WatchGuard que não apareceu em um relatório anterior foi o Ramnit, um trojan que surgiu pela primeira vez em 2010 e reapareceu brevemente em 2016. Quase todas (98,9%) as detecções do Ramnit pela WatchGuard vieram da Itália, indicando uma campanha de ataque direcionado.

Como as versões anteriores do Ramnit tinham como alvo credenciais bancárias, a WatchGuard aconselha os italianos a tomarem precauções extras com suas informações bancárias e permitir a autenticação multifator para quaisquer contas financeiras.

3. Pela primeira vez, APAC relata maior volume de malware

Em relatórios anteriores, a APAC ficou atrás da EMEA e da AMER no número de acessos de malware reportados por uma ampla margem. No Q1 de 2018, a APAC recebeu o maior número de malware em geral. A grande maioria desses ataques foram malwares baseados em Windows e 98% foram destinados à Índia e a Cingapura.

4. Quase metade de todo o malware escapa das soluções básicas de antivírus (AV)

​​ Os appliances UTM da WatchGuard bloqueiam o malware usando técnicas de detecção baseadas em assinaturas legadas e uma solução de detecção comportamental proativa e moderna – APT Blocker. Quando o APT Blocker captura uma variante de malware, isso significa que as assinaturas AV legadas deixaram ela escapar.

Esse malware de dia zero (termo usado para o malware que é capaz de evitar os AVs tradicionais baseados em assinatura) foi responsável por 46% de todo o malware no primeiro trimestre. Este nível de malware de dia zero sugere que os criminosos continuam a usar técnicas de ofuscação para superar os serviços de AVs tradicionais, enfatizando a importância das defesas baseadas em comportamento.

5. Mimikatz visa os Estados Unidos

O malware de roubo de credenciais, Mimikatz Windows, reapareceu na lista da WatchGuard dos 10 principais malware após vários trimestres de ausência. Dois terços da detecção desse malware ocorreu nos Estados Unidos e menos de 0,1% das detecções foram na APAC, possivelmente devido à complexidade dos caracteres de dois bytes em países como o Japão que usam uma linguagem baseada em símbolos para senhas.

A Future é parceira WatchGuard e possui soluções para manter os dados de sua empresa sempre seguros e disponíveis! Conheça nossas soluções clicando aqui.

Fonte: IT Forum 365.

10 julho 2018
adm.future
0
Categories: Blog, Notícias, Segurança

Exchange Brasileira de Criptomoedas é Hackeada; Fundos estão Seguros

Esta terça-feira não amanheceu muito bem. Após já estarem rolando os boatos de usuários pelas redes sociais, antes das seis horas da manhã, a corretora de criptomoedas NegocieCoins se pronunciou e confirmou o problema.

O hacker teve acesso ao domínio da empresa e deixou uma mensagem com um endereço de uma carteira de bitcoin e solicitando 20 BTC para devolver o acesso ao domínio, ”caso contrário, adeus negocie coins”.

Em um post no facebook, a corretora disse que a empresa responsável pelo registro do domínio ”www.negociecoins.com.br” recebeu e acatou um documento falso, em que a propriedade do domínio foi trocada.

A NegocieCoins disse que ataques como esses são comuns mas a equipe utiliza-os como aprendizado para tornar impossível que qualquer dado ou informação seja alterada ilegalmente.

Além disso, reiterou que os dados e os fundos dos usuários continuam seguros e que medidas como manter equipe de TI 24/7, resetar pin, desligar servidores e demais outras medidas garantem que a NegocieCoins mantenha uma plataforma robusta e segura.

Neste momento, a corretora brasileira está aguardando contato com a empresa responsável pelo domínio e disse já estar ”com um batalhão de advogados e colaboradores com o telefone na mão” prontos para resolver o problema.

A previsão é que, assim que o domínio for restaurado, a plataforma voltará ao ar e todos os Pins dos usuários serão retesados como uma medida de segurança.

Cuidado ao acessar o site no momento

Enquanto a plataforma não é restaurada e a NegocieCoins não está sob o comando do domínio, o hacker está se aproveitando e, ao acessar o site, é solicitado a instalação de um ”Módulo de Proteção”.
Perguntada, a NegocieCoins informou que esse download não é seguro e recomendou que os clientes não baixem esse arquivo.

Fonte: Portal do Bitcoin.

Read More

Receba conteúdos exclusivos