Central de atendimento +55 (24) 2232-5850 - contato@future.com.br

risco cibernético

11 novembro 2021
adm.future
0
Categories: Blog, Segurança

ISO 27701: a norma da Privacidade

ISO 27701, uma extensão ISO 27001, é uma norma internacional focada em gestão de privacidade de dados. Seu principal objetivo é definir os requisitos adicionais à norma de segurança, de modo que o tratamento das informações considere a questão da privacidade das mesmas.  

Por se tratar de uma norma generalista, é aplicável a organizações de diferentes portes e segmentos de mercado, sendo estas do setor público ou privado. Graças a isso, as empresas podem utilizá-la como base para se adequarem à Lei Geral de Proteção de Dados (LGPD), e as demais leis deste tipo que foram criadas ao redor do mundo nos últimos anos. 

Neste artigo destacaremos o que é a ISO 27701, suas vantagens e para quem é indicada. Além disso, destacaremos o passo a passo para sua implantação. Acompanhe a seguir. 

Qual a diferença entre a ISO 27001 e a ISO 27701?

A ISO 27001 é a norma que estabelece os controles necessários para uma adequada gestão de segurança da informação. Por meio dessa norma, torna-se possível implantar os princípios de segurança da informação de maneira eficiente e eficaz. 

Já a ISO 27701 endereça especificamente a questão das informações relacionadas a privacidade, trazendo para isso controles adicionais a ISO 27001. Ou seja, a implantação da 27701 depende da implantação 27001.  

Como a ISO 27701 apoia a Lei Geral de Proteção de Dados?

Antes de prosseguirmos com este artigo é necessário entendermos o conceito básico da Lei Geral de Proteção de Dados (LGPD).  

LGPD está em vigor no Brasil desde agosto de 2020, tendo como objetivo garantir a transparência e a segurança no tratamento de dados pessoais por parte das empresas. Baseia-se na General Data Protection Regulation (ou Regulamento Geral sobre a Proteção dos Dados), uma lei europeia que define as regras sobre a coleta e o compartilhamento de informações pessoais, respeitando os princípios da privacidade e da liberdade. 

Entretanto, a LGPD, assim como as leis de privacidade específicas de cada país, determina o que deve ser feito, mas não como deve ser feito. E neste momento chegamos a ISO 27701. Esta norma pode, e deve, ser utilizada como um direcionador para implantar os controles necessários para uma adequada gestão de privacidade, dando assim um maior respaldo legal à empresa que a implanta. 

Quais as vantagens da ISO 27701?

A ISO 27701 é capaz de proporcionar diversos benefícios para as empresas. Entre os principais estão: 

  • mostrar aos funcionários, fornecedores e clientes que a empresa se preocupa com seus dados, melhorando assim a imagem da empresa perante o mercado; 
  • otimizar os processos internos referentes à proteção dos dados pessoais, reduzindo o risco de vazamento de dados; 
  • conscientizar os funcionários sobre a importância da segurança e da privacidade das suas informações; 
  • proporcionar transparência nos controles direcionados à gestão da privacidade, pois todos saberão como os dados são tratados; 
  • facilitar o fechamento de acordos com parceiros que se preocupam com o tema da privacidade; 
  • E, finalmente, direcionar a adequação à Lei Geral de Proteção de Dados e às outras leis relacionadas à privacidade. 

Para quem a ISO 27701 é indicada?

A ISO 27701 é recomendada para as empresas que realizam o armazenamento e/ou tratamento de informações pessoais em larga escala, ou para fornecedores de empresas que os fazem. 

É cada vez mais comum a inclusão de cláusulas relacionadas à privacidade em minutas contratuais, e uma certificação como a ISO 27701 traz a tranquilidade do cumprimento de tais cláusulas para ambas as partes. 

Como implementar a ISO 27701?

Primeiramente, a empresa deve adequar-se aos controles definidos na ISO 27001, que, como mencionado anteriormente, é a norma base para essa. Depois de tal adequação, os próximos passos são: 

  • Avaliar os processos corporativos, identificando aqueles que tratam informações pessoais; 
  • Adequar os processos corporativos à norma; 
  • Implantar os demais controles especificados na norma; 
  • Promover treinamentos regulares para todos os colaboradores, garantindo que os mesmos seguirão as novas práticas de gestão de segurança da informação
  • Contratar uma instituição avaliadora para verificar se a sua organização adota os processos da ISO 27701 de forma adequada. 

Como a Future pode te ajudar?

Sabemos que a execução dos passos citados acima não é algo simples, dependendo de conhecimento específico e da disponibilidade de recursos (humanos e financeiros). 

Com ampla experiência em processos de avaliação e adequação à LGPD, a Future destaca-se no mercado brasileiro como uma das principais alternativas para apoiar empresas de todos os portes e segmentos em sua jornada de adequação à ISO 27001. Conte conosco. 

Ficou com alguma dúvida sobre a ISO 27701? Entre já em contato conosco! Nós, da Future, estamos disponíveis para ajudá-lo a esclarecer os seus questionamentos. Será um grande prazer auxiliá-lo! 

9 novembro 2021
adm.future
0
Categories: Blog, Segurança

Como proteger os smartphones contra ataques cibernéticos?

Devido a praticidade de uso de smartphones, a cada dia novas aplicações de negócio são disponibilizadas para acesso através deste tipo de dispositivo. Graças a isso, seu uso como ferramenta de trabalho, que já vinha crescendo de forma substancial ano após ano, se tornou uma prática comum após a pandemia. 

Como consequência, segundo pesquisas de mercado, a quantidade de ciberataques a dispositivos móveis mais do que dobrou neste último ano. Juntando a isso a incidência de roubos, furtos e outras situações em que o dispositivo é perdido e pode ser manuseado sem autorização, uma pergunta cada vez mais frequente é se as empresas precisam proteger os smartphones de seus colaboradores. 

Com isso em mente, elaboramos este artigo onde abordaremos esta questão tão relevante. Siga conosco e confira como garantir a melhor proteção de smartphones

A importância da segurança em dispositivos móveis

Quantos dados confidenciais os colaboradores da sua empresa armazenam nos smartphones? Quantas destas informações poderiam causar grandes danos corporativos caso fossem roubadas? Certamente, esse prejuízo seria grande, muito maior do que conseguimos imaginar, e por isso é fundamental tratarmos com especial atenção este tipo de equipamento. 

A questão é que ficou absolutamente impossível não utilizar dispositivos móveis para as atividades do trabalho. E ainda que as medidas de proteção sejam tomadas para a rede corporativa como um todo, é essencial levar em conta que este tipo de equipamento frequentemente é utilizado em redes externas à empresa. 

Afinal, os ataques cibernéticos chegam até seu dispositivo móvel pelos mais diferentes meios: redes públicas de Wi-Fi, links maliciosos (enviados através de e-mail, aplicativos de mensagem instantânea, mensagens de texto, etc), uso de dispositivos USB infectados, aplicações falsas, entre outros. 

As camadas básicas de proteção para smartphones

Embora seja algo desconhecido para muitos usuários, cada smartphone traz consigo algumas camadas básicas de segurança, como mostraremos abaixo. 

Proteção do usuário

É cada vez mais comum que os aparelhos celulares disponham de leitor biométrico para garantir um acesso seguro. Com isso, um usuário pode aumentar seu nível de proteção, trocando as tradicionais senhas de acesso por este método de autenticação pessoal. 

Este tipo de tecnologia garante que apenas o dono do aparelho consiga acessá-lo, evitando desta forma o roubo de informações em casos de perda do aparelho. 

Proteção do dispositivo

Muitos smartphones possuem uma ferramenta própria que permite a limpeza remota dos dados. Ou seja, caso o dispositivo seja perdido ou roubado, é possível enviar um comando remoto para limpar todos os dados sensíveis do aparelho. Isso deve ser feito o mais rapidamente possível e é essencial para a proteção de informações sigilosas. 

Proteção dos dados

Para evitar que os dados armazenados no smartphone sejam transferidos para redes não autorizadas, como redes domésticas, existem ferramentas específicas para a proteção dos dados

Graças a este tipo de ferramenta, os usuários não conseguirão transferir dados sensíveis para outros aparelhos, o que pode evitar roubos de informação nos casos de furtos dos aparelhos. 

Gestão dos aplicativos

Por padrão, o sistema operacional de cada aparelho impede o acesso dos aplicativos a recursos básicos do sistema (agenda, localização, câmera, entre outros), liberando tal acesso apenas com a autorização explícita do usuário. Antes de conceder tal autorização, tenha certeza da origem do aplicativo e que o acesso solicitado é realmente relevante para sua atividade. 

Adicionalmente, a instalação de aplicativos que não estão publicados nas lojas oficiais do fabricante do sistema operacional também é liberada após a expressa autorização do usuário. Evite instalar aplicativos desconhecidos, reduzindo desta forma a instalação de algum aplicativo malicioso. 

Camadas adicionais de proteção

Por mais que as tecnologias nativas ajudem a prevenir os ciberataques, algumas camadas de proteção adicionais se fazem necessárias para combater esta ameaça crescente. Listamos abaixo algumas delas: 

Proteção antimalware

Existem antimalwares específicos para smartphones. Eles são essenciais para identificar ameaças, alertar o usuário sobre possíveis links maliciosos e oferecer um panorama para o time de TI identificar possíveis ataques, mas para tal precisam estar sempre atualizados. 

Proteção de dados e aplicações corporativas

Considerando que a maioria dos smartphones utilizados para acessar os sistemas corporativos pertence ao próprio colaborador, e não à empresa, outra camada fundamental para garantir a segurança das informações corporativas é a de proteção de dados e aplicações empresariais. Este tipo de solução cria um “contêiner” para todas as aplicações corporativas, salvando seus dados de forma isolada e criptografada. Assim, um usuário mal-intencionado ou uma pessoa não autorizada não conseguiria extrair informações para outros aparelhos, ou mesmo para outras áreas do smartphone. 

Práticas para garantir a proteção

Ransomwares, spywares e phishings estão entre as principais tentativas de ataques a smartphones. E para evitar esses riscos que chegam por tantos meios diferentes, é necessário seguir uma série de práticas, oferecer treinamento e ter atenção constante quando surgem novos tipos de invasões. 

Acesse apenas redes confiáveis

Redes públicas são reconhecidamente perigosas para dispositivos móveis. Elas mantêm diversas brechas que permitem aos criminosos invadir os smartphones e acessar dados sensíveis

Use os recursos de rastreabilidade

Recursos de rastreabilidade permitem acessar a localização do aparelho em tempo real. E isso é especialmente importante em casos de perda ou roubo. Além disso, auxiliam no bloqueio às tentativas de acesso aos dados sigilosos

Cuidado ao conectar o aparelho a outros computadores 

É comum que as pessoas tentem conectar seu dispositivo a um computador para carregar a bateria ou transferir arquivos, mas esse é um ponto que precisa de muitos cuidados. Isso porque se o computador estiver infectado, poderá repassar o código malicioso ao dispositivo. 

Sempre ofereça orientações gerais

Todos os colaboradores devem ser treinados continuamente sobre os principais riscos do mau uso dos dispositivos móveis. Oferecer regras sobre a instalação de aplicativos, acesso a links desconhecidos, envio de dados de login via e-mail, entre outros pontos, é essencial para proteger os dados sensíveis da empresa e do colaborador.   

Saiba mais sobre a proteção de Smartphones corporativos com a Future

Atuando com soluções especializadas em segurança da informação desde 1997, a Future reúne um portfólio completo para proteger os dados corporativos nos mais diferentes tipos de dispositivos. Seus elevados padrões em tecnologia e análise permitem ações rápidas contra invasões, malwares, falhas de compliance, roubo e outras ameaças aos dados sensíveis. 

Acesse agora mesmo o site da Future, fale com um especialista e saiba como elevar os níveis de segurança para os dispositivos de sua empresa. 

18 janeiro 2019
adm.future
0
Categories: Blog, Notícias, Segurança

2 dos 5 maiores riscos globais estão ligados à cibersegurança, alerta WEF

As tensões geopolíticas e geoeconômicas aumentaram entre as principais potências do mundo e agora representam os riscos globais mais urgentes, de acordo com o Global Risks Report 2019 do World Economic Forum, recém publicado. Nove em cada 10 dos 1000 tomadores de decisão do setor público, do setor privado, da academia e da sociedade civil entrevistados para o estudo esperam que o risco de confrontos econômicos e políticos entre as grandes potências aumentem este ano. Um cenário que reduz ainda mais o potencial de cooperação internacional, colocando as questões climáticas e tecnológicas no topo da lista de preocupações. Entre os 5 maiores riscos globais apontados pelo relatório estão os ataques cibernéticos e o roubo de dados.

Na perspectiva de 10 anos da pesquisa, os riscos cibernéticos sustentaram significativamente em relação ao registrado em 2018. A grande maioria dos entrevistados espera pelo aumento de ataques cibernéticos, levando ao roubo de dinheiro e de dados (82%) e à interrupção das operações (80%).

Essa visão entre os vários stakeholders também é compartilhada quando se olha apenas a comunidade empresarial. Relatórios anteriores já vinham apontando que as empresas consideram os ataques cibernéticos como o principal risco de se fazer negócios na América do Norte e na Europa, bem como no Leste da Ásia e no Pacífico. Isso sugere fortemente que as empresas precisam fortalecer sua segurança e resiliência cibernética para manter a confiança em uma economia digital altamente conectada.

Como as empresas podem responder a essa crescente ameaça de três formas, segundo o WEF:

  • Construindo uma cultura de conscientização: os riscos cibernéticos não são apenas uma preocupação de TI, nem estão limitados a determinados setores de uma organização. Todos os funcionários, de membros do conselho de administração a estagiários, desempenham um papel importante em manter uma organização cibernética e devem entender suas responsabilidades de manter os dados em segurança
  • Adotando uma mentalidade de resiliência cibernética: com riscos reais de reputação, perdas econômicas e consequências legais, é crucial que as empresas criem e implementem um plano de resposta a incidentes no caso de ocorrer um incidente cibernético. Responder de forma rápida e eficaz não só atenua esses riscos, mas também garante uma recuperação bem-sucedida a longo prazo.
  • Praticando, praticando, praticando: Embora a prática nem sempre seja perfeita, ela pode ser essencial ao responder a um incidente cibernético. Apenas ter um plano de resposta a incidentes não é suficiente; É imperativo que o plano seja praticado e atualizado regularmente, ajustando-se conforme necessário para diferentes cenários e variações de ameaças cibernéticas.

Juntos, a fraude maciça de dados e o roubo de dados foram classificados como o quarto maior risco global por probabilidade em um horizonte de 10 anos. Cerca de dois terços dos entrevistados esperam que os riscos associados a notícias falsas e roubo de identidade aumentem em 2019, enquanto três quintos disse o mesmo sobre a perda de privacidade para empresas e governos.

Houve novas violações maciças de dados em 2018, novas fraquezas de hardware foram reveladas e pesquisas apontaram para os usos potenciais da inteligência artificial para projetar ataques cibernéticos mais potentes. O ano passado também forneceu mais evidências de que os ataques cibernéticos representam riscos para a infraestrutura crítica, levando os países a fortalecer a triagem de parcerias transnacionais em âmbito nacional motivos de segurança.

Além disso, efeitos da crescente intermediação digital da vida das pessoas é discutido no Capítulo 3. E as consequências potenciais da “computação afetiva” – referindo-se à IA que pode reconhecer, responder e manipular as emoções humanas, são debatidas no Capítulo 6.

Entre os impactos mais difundidos e disruptivos da IA ​​nos últimos anos tem sido o seu papel no surgimento de “câmaras de eco da mídia e das notícias falsas”, um risco que 69% dos entrevistados da GRPS esperam aumentar em 2019.

A interação entre as emoções e a tecnologia se tornará uma força cada vez mais disruptiva, bem como a evolução da biotecnologia seguirá borrando as linhas entre humanidade e tecnologia. No final do ano passado, por exemplo, foi alegado que ferramentas de edição de genes haviam sido usadas para criar bebês geneticamente modificados. “Se os países planejam seu próprio curso em áreas como essa, ou se alinham em torno de abordagens compartilhadas, isso pode ter implicações importantes para o futuro da humanidade”, alerta o WEF.

Quer identificar e se prevenir contra riscos cibernéticos? A Future é parceira dos maiores fabricantes de segurança, disponibilidade e performance do mundo! Clique aqui e entre em contato conosco.

Fonte: CIO.

Read More
24 outubro 2018
adm.future
0
Categories: Blog, Notícias, Segurança

Maioria dos consumidores acredita que fraude virtual é inevitável, aponta estudo

Estudo da First Data, baseado em dados da pesquisa feita com 1.767 consumidores nos EUA, divididos em quarto grupo etários: Linksters (idade entre 18 e 23), Socializers (24-34), e MTV Generation (35-54), além de Maturists (mais de 55), revela crescente preocupação de consumidores sobre a segurança da informação.

A maioria dos consumidores acredita que a fraude é inevitável em qualquer indústria. No entanto, todas as gerações tendem a confiar mais em negócios regulados e empresas controladas por registro. Varejistas e prestadores de serviços aos quais oferecem mais conveniência e canais de pagamento rápido não são tão confiáveis – 18% dos consumidores americanos disseram que tiveram sua conta na rede social hackeada. E essa exposição recente está fazendo com que mais usuários excluam suas contas ou mude suas senhas.

Entre os tipos de negócios mais confiáveis pelo consumidor estão os Serviços Financeiros (46%), Cuidados com a Saúde (39%) e Companhias de Seguro (30%); o grupo das menos confiáveis inclui Varejo (8%), Foodservice/QSR (8%) e Negócios em Petróleo (4%).

Consumidores também mostraram diferenças quanto a quais indústrias eles sentem estar melhor preparadas para navegar diante do desafio da violação de dados. Entre elas, apontam as instituições financeiras (50%), Governo (41%), e Healthcare (30). Por outro lado, a confiança mais baixa entre os consumidores foi Petróleo (6%), Foodservice/QSR (6%) e Varejo (11%).

Plataformas sociais: paraíso para os hackers

Com as plataformas sociais no centro de recentes exposições de dados, os consumidores expressam cuidado quanto a uma fonte emergente de risco online. Cerca de um em cada cinco (18%) consumidores americanos disseram ter tido sua conta na rede social hackeada, e a exposição recente está levando usuários a excluir contas ou mudar senhas.

Mais da metade dos Linksters, Socializers e Maturists disseram que provavelmente poderiam excluir uma conta em mídia social caso a plataforma tivesse violação de dados.

Dados pessoais mais disponíveis do que você pensa

As informações dos consumidores são mais rapidamente acessíveis do que muitos deles podem pensar. Entre indivíduos que pesquisaram na dark web, mais da metade em cada geração disse que ao menos alguma informação deles apareceu na dark web. Socializers (90%) e Linksters (89%) foram os que mais encontraram seus dados, mas mesmo os Maturists (58%) localizaram suas informações pessoais expostas com maior frequência.

Apesar desses resultados, a maioria dos consumidores já pesquisou a dark web para explorar se algum dado crítico deles está disponível. Apenas 12% dos Maturists já o fizeram, mas Linksters (35%) e Socializers (33%) eram os mais propensos a buscar pelos próprios dados.

Dados seguros?

Quase ¼ dos consumidores em cada geração assume que suas informações pessoais estão seguras, a menos que sejam notificados de uma violação. Mas a ameaça é real, e o dado do consumidor em mãos erradas pode levar a variados tipos de furtos de identidade, incluindo o mais perigoso – fraude em que os dados serão utilizados para compras. Entre os entrevistados, 26% dos consumidores reportaram ter tido suas informações pessoais comprometidas dentro do último mês e 34% passaram por isso no último ano.

Quer se proteger? Conte com a Future! Clique aqui e entre em contato conosco.

Fonte: IT Forum 365.

Read More
11 outubro 2018
adm.future
0
Categories: Blog, Notícias

Europa já tem mais de 500 investigações GDPR abertas

Menos de cinco meses depois da entrada em vigor do Regulamento Geral de Proteção de Dados (GDPR) na Europa, o conselho que supervisiona a aplicação da legislação tem mais de 500 investigações abertas. Foi o que revelou hoje a presidente do Conselho Europeu de Proteção de Dados, Andrea Jelinek, durante uma audiência sobre privacidade no congresso norte-americano.

“O conselho já está trabalhando em bastantes casos”, indicou a presidente, que esteve na audiência para falar da experiência europeia numa altura em que se discute a introdução de legislação semelhante nos Estados Unidos.

De acordo com a responsável, estão correndo 272 casos de identificação da autoridade primária de supervisão, 243 casos de assistência mútua (de acordo com o artigo 61º do GDPR), e 23 casos de monitorização de impacto. Em termos de queixas dos consumidores, que dispararam nos últimos meses, Jelinek disse que a maioria se refere a questões de “consentimento.” Os dados são referentes ao período entre 25 de maio e 1 de outubro.

O supervisor Giovanni Buttarelli tinha dito à Reuters no dia anterior que as primeiras multas serão aplicadas no final do ano e vão afetar empresas e administrações públicas. Hoje, no congresso americano, Andrea Jelinek revelou que o regulador irlandês, Data Protection Commission, “já está investigando” o novo caso de violação de dados pessoais da rede social Google+, que ficou conhecido esta semana. No entanto, as investigações que estão correndo contra Google, Facebook, WhatsApp e Instagram ainda não serão decididas, dado o estado preliminar dos processos.

“A maioria das empresas estava se preparando bem antes da entrada em vigor”, disse Jelinek aos congressistas norte-americanos. “Tiveram mais de dois anos. O dia 25 de maio não foi o fim da preparação, mas o princípio.”

Isto porque vários legisladores levantaram dúvidas quanto ao método da Comissão Europeia, que optou por um regulamento obrigatório em vez de uma diretiva. Mas Jelinek lembrou que já havia um enquadramento de proteção de dados desde os anos 90. “O GDPR não foi uma revolução, mas a evolução de uma lei que já existia”, sublinhou.

Luta entre Califórnia e governo federal

A audiência do Comitê para o Comércio, Ciência e Transportes foi dedicada a esgrimir argumentos entre duas fações opostas, depois de a Califórnia ter passado a legislação de proteção de dados mais rigorosa do país, CCPA (California Consumer Protection Act). A lei vai entrar em vigor no início de 2020 mas está sendo muito contestada pelas grandes empresas que serão afetadas, incluindo as gigantes de Silicon Valley. O apertar do cerco relativo à privacidade e consentimento dos consumidores só afetará empresas com receitas anuais a partir de 25 milhões de dólares, uma medida que foi desenhada para não liquidar startups e pequenas empresas.

O problema é que a Câmara de Comércio do congresso não quer esta lei e pretende aprovar uma legislação ao nível federal, que imponha as mesmas regras para todos os Estados – exatamente como foi feito na União Europeia com o GDPR. Os críticos de tal ideia defendem que uma lei federal será mais fraca que as medidas aprovadas pela CCPA e que o tipo de empresas sediadas em cada Estado difere muito. É na Califórnia que se encontram as grandes empresas que lidam com maiores volumes de dados sensíveis dos consumidores.

A audiência teve ainda o testemunho de Alastair Mactaggart, presidente da organização Californians for Consumer Privacy, Laura Moy, diretora executiva e professora adjunta de Direito no Georgetown Law Center on Privacy & Technology e Nuala O’Connor, presidente do Center for Democracy & Technology.

Na audiência foram referidos várias vezes os casos recentes de vazamento de dados do Facebook e Google como mais uma prova de que isto não pode continuar sendo deixado a critério das grandes empresas. Mas Nuala O’Connor lembrou um fato que obriga a pensar de forma mais abrangente neste tema. “A Cambridge Analytica era uma pequena startup”, referiu. “Não se pode desvalorizar o impacto até de pequenas empresas com acesso a conjuntos grandes e sensíveis de dados.”

Fonte: Dinheiro Vivo.

Read More
24 agosto 2018
adm.future
0
Categories: Blog, Disponibilidade

Por que governança de dados deveria ser uma política corporativa?

A melhor forma de convencer um CEO da importância de incluir a governança de dados e cibersegurança na agenda executiva de uma empresa pode estar em dois números: 55 e 141.

55 é a quantidade de dados digitais perdidos ou roubados por segundo em 2017, de acordo com o Breach Level Index, site que reúne informações e indicadores sobre o estado da segurança de dados global. Por dia, segundo o Index, são perdidos ou roubados 4,7 milhões de dados.

Já 141 é o prejuízo médio, em dólares, com cada arquivo perdido ou roubado em 2017, conforme o estudo do Ponemon Institute sobre perdas financeiras com brechas de dados, O estudo estima que a perda média global de cada empresa atingida por um ataque em 2017 ficou em US$ 3,6 milhões, sendo que esse número pode variar por país ou por vertical econômica.

“A ideia de que organizações deveriam estar fazendo mais para proteger os dados pessoais que elas armazenam sobre os indivíduos ganhou mais espaço nos últimos anos”, diz Michelle Drolet, fundadora do provedor de serviços de segurança Towerwall, nos EUA. Michelle lembra que, além das lições aprendidas com os estragos provocados pelos grandes vazamentos dos últimos 18 meses, as empresas têm como incentivo o movimento dos governos em cobrar duramente a responsabilidade corporativa sobre danos provocados por ataques a dados privados dos consumidores.

Ela cita a lei de proteção a dados privados da União Europeia, a GDPR (General Data Protection Regulation), ativa desde 25 de maio de 2018, e a CCPA (California Consumer Privacy Act), em aprovação na Califórnia. E não podemos esquecer que o Brasil acaba de aprovar sua Lei Geral de Proteção a Dados (LGPD) que entra em atividade plena em 18 meses. Todas exigindo que empresas do mundo todo se tornem compatíveis, sob pena de amargar multas que chegam a US$ 7.500 por dado afetado em violações que não forem resolvidas em 30 dias.

“Grandes vazamentos de dados são caríssimos e preocupantes. Quando ocorrem, são geralmente mal administrados. O aumento das multas punitivas, o movimento dos governos e a frustração pública com as marcas que falham é um indicativo poderoso de que o movimento mais inteligente de uma empresa é implementar uma estratégia de gestão de dados já”, diz Michele.

Um novo nível de transparência

Um efeito interessante do impacto da GDPR, segundo Michelle, pode ser observado no aumento do número de divulgações de vazamentos de dados corporativos depois de 25 de maio. “Já podemos ver a quantidade de vazamentos de dados que ficariam escondidos se a GDPR não estipulasse que as empresas deveriam comunicar vazamentos em até 72 horas depois de descobertos. O Information Commissioner’s Office (ICO) no Reino Unido, um dos organismos regulares para os quais as empresas devem reportar vazamentos, divulgou recentemente que os comunicados sobre brechas de dados saltaram de 400 em março e abril para 1.750 em junho, exatamente um mês após a GDPR estar totalmente ativa”, revela Michelle.

Para o responsável por implementação de estratégias de segurança da informação da empresa norte-americana Webroot, Gary Hayslip, dados são um recurso tão fundamental para as empresas como a água é para a vida na Terra. “Por isso, a governança de dados deveria assegurar que esse recurso está protegido e gerenciado corretamente, colocando as empresas em condições de atingir as expectativas de seus clientes”, diz Gary.

“A maioria dos grandes incidentes que aconteceram nos últimos 18 meses provocaram demissão das lideranças executivas para evitar processos judiciais coletivos contra as empresas ou perda de receita pela queda da confiança dos consumidores. Em todos esses casos, a pergunta é inevitável: por que eles não tinham um programa de governança implementado”, questiona Gary.

O risco não vai sumir

Para as empresas que ainda acham que segurança de dados não é assunto para a gestão executiva, o recado da Tecnologista Chefe da HP, Shivaun Albright, é bastante claro: as ameaças que apareceram em 2017, como Spectre e Meltdown, que afetam quase todos os sistemas operacionais e dispositivos no mundo, são só o começo e fazem parte de um tipo de ameaça digital muito difícil de detectar pois atacam diretamente o hardware ou o firmware de baixo nível.

Com ambientes corporativos cada vez mais entrelaçados e uma força de trabalho remota, os pontos de risco de perda de dados ou de entrada de cibercriminosos aumentam na proporção do aumento da população de smartphones, notebooks, desktops, impressoras e outros dispositivos conectados, incluindo aí os milhões de sensores de IoT, em circulação.

A combinação de uma política de segurança digital com governança de dados é vital para enfrentar 2018. Os dados que circulam com os funcionários e os que ficam dentro da empresa devem ser protegidos. Ao mesmo tempo, as empresas precisam trabalhar com uma estratégia de governança de dados que seja eficiente para endereçar todos os desafios de estar compatíveis com as novas regras globais de privacidade de dados pessoais. São dois lados de uma mesma moeda, e deixar de contemplá-los pode custar muito caro.

Precisa de ajuda para implementar a Governança de Dados em sua empresa? Clique aqui e conheça a Solução da Future de Governança da Informação!

Fonte: CIO.

Read More
9 agosto 2018
adm.future
0
Categories: Blog, Notícias, Segurança

Fábrica de processador do iPhone foi atingida pelo vírus WannaCry

Uma variação do Wannacry, ransomware que parou empresas de diversos países em 2017 ao invadir seus sistemas e exigir resgate em criptomoedas, provoca alerta no mercado de Segurança da Informação, adverte a Bitdefender, especializada em segurança cibernética e representada no Brasil pela Securisoft. De acordo com a empresa, menções a supostos efeitos de um recrudescimento deste malware cresceram substancialmente nos fóruns da comunidade hacker nos últimos dias e coincidem com um comunicado da Taiwan Semiconductor Manufacturing (TSMC).

Esta fabricante de Chips e processadores e uma das maiores fornecedoras da Apple, avalia que o ataque à sua produção na última sexta-feira (03 de agosto) pode ter sido o resultado de uma mutação desta já conhecida ameaça. O estrago na TSMC foi tão grande que as operações da companhia foram canceladas durante três dias, retornando apenas na última segunda-feira (06).

Até onde se reportou até o momento, ao contrário da versão original do malware, essa mutação ainda não exigiu qualquer tipo de resgate em dinheiro ou Criptomoedas, embora seus efeitos criptográficos sobre arquivos de terceiros sejam perfeitamente compatíveis com a prática do ransomware. No caso da TSMC, a própria empresa alegou que o desligamento dos servidores ocorreu apenas por precaução, uma vez que a descoberta do ataque se consolidou antes que este pudesse inviabilizar os sistemas, embora cerca de 10 mil máquinas tenham sido infectadas. No trabalho de prevenção e defesa, a companhia alterou a configuração dos sistemas para detectar automaticamente a ameaça e neutralizar suas técnicas de ataque.

Na grande ofensiva do ano passado, o ransomware aproveitou uma brecha no sistema operacional Windows que foi negligenciada por grandes usuários, mesmo tendo a Microsoft lançado com grande antecedência um patch para a vulnerabilidade EternalBlue, que foi explorada pelo Wannacry e seus assemelhados. De acordo com Eduardo Dantona, Diretor da Securisoft e Country Partner da Bitdefender no Brasil, essa vulnerabilidade específica pode ter sido corrigida, mas muitos outros grupos de cibercriminosos já enxergaram em brechas semelhantes uma maneira eficiente de atacar sem que o usuário precise ser um alvo previamente escolhido.

“Infelizmente ainda há muita resistência das pessoas em relação a atualizações de todo tipo. Seja por atrapalharem suas atividades ou deixarem a máquina lenta. É preciso que os fabricantes de softwares e sistemas estejam atentos para fornecer outras formas de atualização que possam ser feitas em segundo plano ou off-line, para não depender somente do usuário”, pontua o executivo.

Quer se proteger de vulnerabilidades? A Future pode ajudá-lo! Clique aqui e entre em contato conosco.

Fonte: Convergência Digital.

Read More
8 agosto 2018
adm.future
0
Categories: Blog, Notícias, Segurança

Detecções de ataques cibernéticos ultrapassam 100 milhões no 1º semestre

Os ciberataques não param de crescer no Brasil. Foi o que constatou o dfndr lab, laboratório especializado em cibersegurança da PSafe, por meio de dados levantados ao longo do primeiro semestre deste ano. De acordo com o Relatório da Segurança Digital no Brasil, produzido pelo laboratório, foram registrados mais de 120 milhões de detecções de ciberataques somente nos primeiros seis meses – número 95,9% maior que o registrado no mesmo período de 2017.

Desse total, os meses de abril, maio e junho foram responsáveis por 63,8 milhões, um crescimento de 12% nas detecções quando comparados aos primeiros três meses do ano. Entre os principais ataques detectados no segundo trimestre, duas categorias se destacam por apresentarem os maiores crescimentos: Fake News (4,4 milhões de detecções) e Publicidade Suspeita (12,2 milhões de detecções), cujos aumentos de um trimestre para o outro foram de 51,7% e 50,4%, respectivamente.

“Os números são alarmantes. Se compararmos os dados ao total da população brasileira, projeta-se que um em cada três brasileiros pode ter sido vítima de cibercriminosos no segundo trimestre. Apenas nesse período, foram mais de 28 mil detecções de links maliciosos por hora, um volume que revela o tamanho do problema que estamos enfrentando na batalha contra os cibercriminosos”, alerta Emilio Simoni, diretor do dfndr lab.

Ao longo do trimestre, foi possível identificar mudanças na abordagem utilizada por cibercriminosos, em especial nos tipos de ataque que se destacaram: Fake News e Publicidade Suspeita. As notícias falsas estão passando por um processo de evolução na “qualidade” do conteúdo, apresentando textos mais sofisticados em matéria de gramática e coesão. Já no caso de Publicidade Suspeita a principal mudança identificada foi a estratégia de diversificar as fontes de ataque. Os cibercriminosos passaram a utilizar cada vez mais sites confiáveis, como grandes portais de notícia e de conteúdo, que foram a origem de mais de 40% dos falsos alertas.

Outro fator que chamou a atenção no período foi a confirmação de uma tendência identificada no último trimestre de 2017: o uso de notificações de celular como estratégia dos cibercriminosos para atingir um grande número de pessoas rapidamente. Eles investem em diversas formas de convencimento para que o usuário conceda permissão para o envio de notificações e, dessa forma, constroem uma base de pessoas. Por meio dela, enviam golpes diretamente para o celular das vítimas, sem que seja necessário clicar em link algum, e as incentivam a compartilhar, acelerando sua disseminação.

Quer se proteger contra ataques cibernéticos? Conte com a Future! Clique aqui e entre em contato conosco.

Fonte: IP News.

Read More
7 agosto 2018
adm.future
0
Categories: Blog, Segurança

Threat Intelligence: muito além da segurança da informação

Os crimes cibernéticos crescem vertiginosamente em todo o mundo, todos os dias. No Brasil, esse crescimento é sete vezes maior do que a média mundial. E temos outro agravante neste cenário: os criminosos do mundo virtual estão mais organizados e realizando ações cada dia mais sofisticadas e difíceis de serem identificadas em tempo hábil para a tomada de ações paliativas.

O resultado dessa combinação reflete-se – de maneira também crescente – em impactos extremamente negativos na imagem, na reputação e no valor de mercado – com perdas que chegam a bilhões de dólares – de empresas de todos os setores que são vítimas dessas ações criminosas.

Mas como se preparar para enfrentar esses riscos, mantendo-se competitivo, nesse ambiente tão hostil?

Identificar evidências da iminência de um possível ataque ainda é a melhor maneira de evitar ou mitigar os danos que podem ser causados por ele. Este é justamente o foco do serviço de Threat Intelligence: o mapeamento de possíveis ameaças, por meio de um trabalho abrangente de investigação, que se desenvolve em uma trama complexa de análises feitas com ferramentas adequadas e geridas por um time especializado.

Essas ameaças são identificadas pela análise de informações nas principais redes da chamada Deep Web, como Onion, GlobaLeaks, Freenet I2P e em canais de IRC e fóruns privados. Também são coletados dados divulgados nas principais plataformas de compartilhamento de dados e conteúdo, como Pastebin, Tinypaste e 4shared.

Dessa maneira, documentos, menções a pessoas e qualquer palavra-chave relacionadas à empresa ou negócio ficam registrados e servem de base de dados para atuais ou futuras atividades relacionadas à detecção de riscos potenciais e desenvolvimento de estratégias para combatê-los de maneira adequada.

Combate ao que ainda é uma ameaça

Para entender a lógica de Threat Intelligence, é preciso visualizar que o cenário de insegurança cibernética para empresas é composto, basicamente, por três elos de uma cadeia: a ameaça, a vulnerabilidade e o incidente em si. O primeiro deles, a ameaça, é justamente aquele sob o qual a empresa não tem controle. E é onde avançam os trabalhos de Threat Intelligence.

Importante ressaltarmos que a abrangência dessas atividades vai muito além de segurança de informação. Portanto, Threat Intelligence não é apenas informação óbvia ou evidente sobre ameaças e vulnerabilidades. Não é apenas suporte para respostas a incidentes, nem se limita à análise de rede ou de log de sistema.

Ter uma visão correta do que o serviço pode oferecer é muito importante para que as empresas saibam aproveitar todos os benefícios de Threat Intelligence em sua integridade. Estamos falando de um trabalho que deve ser contínuo, diário, para que as informações consideradas críticas possam ser enviadas de forma emergencial e as ações necessárias para o combate a essas ameaças sejam realizadas com sucesso.

Antecipar-se aos riscos aos quais sua empresa está exposta no ambiente virtual por meio de um trabalho abrangente, analítico e alinhado à sua estratégica de mercado pode não apenas ajudá-lo a mitigar esses riscos, mas também a fortalecer seu posicionamento diante de seus clientes e do mercado em geral, por proporcionar mais credibilidade e confiança ao seu negócio.

Conheça a Solução de Threat Intelligence da Future clicando aqui!

Fonte: CIO.

Read More
16 julho 2018
adm.future
0
Categories: Blog, Notícias, Segurança

Ucrânia diz ter impedido ataque do vírus VPNFilter em estação de tratamento de água

O Serviço de Segurança da Ucrânia informou que seus agentes bloquearam um ataque do vírus em uma estação de tratamento de água na aldeia de Auly na região de Dnipropetrovsk. A informação é da agência de notícias ucraniana Interfax.

O vírus VPNFilter atraiu a atenção de especialistas por seu meio de ataque incomum – ele ataca roteadores domésticos – e pela sua capacidade de até “destruir” esses equipamentos apagando o software de fábrica. O vírus atingiu dispositivos em dezenas de países, o que levou o FBI a emitir um alerta sobre a praga. A sofisticação técnica do ataque e semelhança com códigos anteriores levou alguns especialistas a apontarem envolvimento de um governo na elaboração do ataque — possivelmente o governo russo.

Em seu anúncio sobre o ataque, o Serviço de Segurança da Ucrânia (SBU) também apontou a Rússia como origem do ataque, mas não chegou a culpar o governo em Moscou. O SBU é o sucessor do serviço secreto soviético no país e foi formado em 1991.

Ainda de acordo com o SBU, o objetivo do ataque era interromper o funcionamento normal da estação, que é responsável pelo fornecimento de cloro para o tratamento de água.

A Ucrânia já acusou o governo russo de ter organizado diversos ataques contra os sistemas eletrônicos do país. Dois deles teriam causado apagões elétricos.

Outro ataque teria atingido diversas empresas privadas na Ucrânia com ataques semelhantes a vírus de resgate em 2017 no caso NotPetya.

Fonte: G1.

Receba conteúdos exclusivos