Classificação de dados é a chave para proteger as informações, incluindo o cumprimento das normas GDPR e LGPD

Martin Sugden, CEO da Boldon James, esteve no Brasil esta semana e alertou para o cumprimento da LGPD: “as empresas precisam saber que tipo de informação têm, se são armazenadas e como lidar com isso”.

Embora as organizações estejam cada vez mais preocupadas com a proteção de dados, muitas não possuem as ferramentas adequadas para proteger suas informações e não aplicam a classificação de dados a seus processos de coleta, processamento e tratamento de dados.

Os sistemas foram projetados para visualizar os dados como “pertencentes à empresa” e não ao “indivíduo que os compartilhava” com a organização. Com a chegada do GDPR e da LGPD, as organizações estão tendo que se adaptar à nova realidade.

Martin Sugden, CEO da Boldon James, esteve no Brasil esta semana para conversar clientes e parceiros locais e em um encontro com jornalistas, alertou para o cumprimento da LGPD: “As empresas precisam saber que tipo de informação têm, se é armazenado e como lidar com isso”.

De acordo com Sugden, “Depois de entender as informações que você tem e onde as informações são armazenadas, você pode tomar decisões sobre o nível de segurança a ser aplicado, quem pode acessá-las, caso seja criptografada ou anônima. A estratégia de segurança atual deve levar em conta que as regras de GDPR e LGPD são rígidas e que qualquer informação deve ser protegida onde quer que ela esteja, incluindo em dispositivos móveis, na cadeia de suprimentos ou com consultores”, comentou. “Os usuários precisam conhecer, entender e aplicar as políticas de segurança das organizações”, enfatizou.

Martin Sugden citou pesquisas recentes que apontam que pelo menos um terço dos executivos de TI afirmam que a segurança móvel é uma das maiores preocupações, especialmente porque práticas de trabalho modernas envolvendo dispositivos móveis, mídias sociais e BYOD, “o que facilita a perda ou o compartilhamento de dados”, afirmou ele.

De acordo com o CEO da Boldon James, as empresas de serviços financeiros relatam mais preocupações sobre segurança de dados, mas são elas que estão entre as empresas que mais investem em políticas e ferramentas de classificação de dados. Com o GDPR e LGPD, os investimentos das instituições bancárias e financeiras em segurança devem aumentar.

“Outras organizações devem seguir o mesmo caminho, para que possam proteger melhor seus dados vitais de negócios”, enfatiza Sugden, que trabalha há 30 anos no desenvolvimento de técnicas de classificação de dados. Ele é responsável por inúmeros projetos pioneiros de classificação de dados em grandes empresas em vários países.

A solução Boldon James permite que as etiquetas sejam filtradas para manipular, reter ou enviar documentos com segurança fora das organizações, seja para dispositivos móveis, parceiros ou clientes. Por exemplo, o executivo lembrou que no ano passado um USB foi encontrado em uma rua de Londres com 76 arquivos sobre a rota tomada pela rainha Elizabeth ao usar o aeroporto de Heathrow, incluindo o horário das patrulhas do aeroporto contra ações terroristas.

“Esses dados não devem ser baixados e devem ser criptografados. Um rótulo simples acionaria uma ferramenta de gerenciamento de direitos para impedir que isso acontecesse”, comentou.

“Você sabe o que é crítico em sua empresa? Se a tecnologia de classificação de dados fosse aplicada em conjunto com uma solução de prevenção de perda de dados ou gerenciamento de direitos, essa perda de dados sensível provavelmente teria acontecido”, disse Martin Sugden.

A Boldon James atua no Brasil através de uma rede de parceiros locais, incluindo Apura, Netconn e B & A – Brasiliano & Associados. Para a empresa brasileira deve considerar as oportunidades que a GDPR e LGPD oferecem para elevar o nível de segurança dos dados.

“Os parceiros locais podem ajudá-lo a fornecer uma solução abrangente para atender às suas demandas regulatórias”, destaca o executivo.

Quer adequar sua empresa ao LGPD e/ou GDRP? Conte com a Future! Clique aqui e entre em contato conosco.

Fonte: CryptoID.

Read More

Cerca de 500 milhões de usuários têm seus dados comprometidos por invasão no sistema de reservas da rede hoteleira Marriott

Cerca de 500 milhões de pessoas tiveram seus dados acessados ilegalmente após se hospedarem em hotéis da rede Marriott, entre os quais W, Sheraton e Westin.

A empresa hoteleira informou que hackers conseguiram “acesso não autorizado” ao sistema de reservas Starwood desde 2014, mas que o problema foi identificado apenas na semana passada. Os dados foram copiados e criptografados. A violação afetou clientes que fizeram reservas até 10 de setembro.

Segundo o Marriott, 327 milhões de pessoas tiveram expostos seus nomes, números de telefone, endereços de e-mail, números de passaporte, data de nascimento e informações de chegada e partida. Outro grupo expressivo teve seus números de cartões de crédito e respectivas datas de vencimento potencialmente comprometidos.

A rede Marriott, que relatou este incidente à polícia e continua a apoiar as investigações, destacou que as informações do cartão de crédito dos clientes estavam criptografadas, mas que era possível que os hackers também tivessem as informações necessárias para decifrá-las.

As vastas reservas de dados pessoais identificáveis disponíveis na Dark Web continuam a crescer a taxas históricas e os fraudadores têm muitos recursos para roubar identidades ou criar novas identidades sintéticas usando uma combinação de informações reais e inventadas, ou informações inteiramente fictícias. Por exemplo: os dados pessoais obtidos em uma violação poderiam ser cruzados com dados obtidos em outra violação e com outras violações amplamente divulgadas.

“A violação da Marriott apenas torna essa tarefa muito mais fácil e com maior probabilidade de sucesso. Ter os bancos de dados no mesmo lugar torna esse processo ainda mais simples para os malfeitores”, alerta Diretor de Regulamentação e Padrões Globais da OneSpan, líder global em segurança de identidade digital, transações seguras e produtividade para os negócios.

Para o executivo, “os ataques cibernéticos, como o da Marriott, continuarão e é imperativo que as organizações dos setores público e privado não apenas implantem as mais recentes tecnologias de detecção de fraude baseadas em autenticação e risco em suas organizações, mas também garantam que todos os parceiros tenham medidas de segurança cibernética”, conclui Michael Magrath.

Fonte: CryptoID.

Read More

PRF é invadida por hackers e fecha serviços online para cidadãos e agentes

Em outubro, foi descoberto que logins da Polícia Rodoviária Federal (PRF) eram vendidos aos montes em grupos de mensagens pela internet. Por R$ 200, qualquer pessoa poderia comprar o acesso aos sistemas do órgão policial e acessar dados de qualquer veículo, além de visualizar informações sobre multas, dados pessoais sensíveis, troca de emails realizadas por agentes policiais, realizar a liberação de veículos recolhidos em pátio, abertura de boletins de ocorrência e até aplicar multas para qualquer cidadão que tenha um carro, moto ou caminhão.

Por meio de novos documentos recebidos por um agente anônimo da PRF, descobriu-se que a área de Tecnologia da Informação e Comunicação (TIC) pouco fez para resolver a questão, inicialmente. Além disso, que o agente anônimo, após consultas internas aos servidores da área de TIC, foi informado de que hackers tiveram sucesso ao acessar o sistema DPRF SEGURANÇA, área na qual podem ser encontradas todas as senhas dos servidores da Polícia Rodoviária — ou seja, expondo completamente o sistema.
Para conter a possível invasão e realizar a troca de senhas, a Polícia Rodoviária Federal deixou seus sistemas offline e implementou acessos específicos via VPN. Ainda não se sabe se os sistemas continuam fora do ar.

“Deu-se muito crédito ao uso do email corporativo por parte de servidores à sítios que puderam ser invadidos, tendo como consequência o acesso de hackers aos dados funcionais ali registrados, porém o problema na PRF foi bem maior”, disse o servidor. “Há aproximadamente 15 dias, todos os sistemas da PRF que funcionavam via web foram retirados de funcionamento através da internet, sem qualquer explicação plausível para tal”.

A falha que expôs todas as senhas não foi detectada pelo departamento de Tecnologia da Informação e Comunicação, de acordo com a fonte. A falha, na verdade, foi descoberta por outra área interna da Polícia Rodoviária, conhecida como “CIBER”.

prf

Em um memorando, o aviso divulgado corrobora o que foi dito pela fonte: “a solução encontrada pelo Coordenador-Geral de TIC da PRF foi parar todos os sistemas através da internet por um prazo mínimo de 3 dias”.

No memorando recebido, assinado por Wanderley José Silva Júnior, coordenador de TIC na PRF, é possível ler o seguinte comunicado:

  1. “A Coordenação-Geral de Tecnologia da Informação e Comunicação – CGTIC, informa que no dia 12 de novembro de 2018, a partir das 20:00h (Horário de Brasília), todos os sistemas e aplicações da Polícia Rodoviária Federal estarão indisponíveis para acesso externo, com uma previsão de restabelecimento e normalização dos serviços em até 03 (três) dias úteis:
  2. Informamos ainda que todas as aplicações e sistemas somente estarão disponíveis quando acessadas pela rede interna da PRF (Superintendências, Uops e Delegacias);
  3. Visando a adoção de medidas de Segurança da Informação, todas as senhas de acesso serão “resetadas”, ensejando a necessidade de contactar os Núcleos de Tecnologia da Informação – Nutics de cada Regional para o cadastramento de novas senhas”.

Acompanhe abaixo o memorando

memorando

Polícia no escuro?

É um cenário fácil de se imaginar quando a empresa que você trabalha ou a faculdade que você estuda acaba ficando com os serviços online inacessíveis. Quanto dinheiro é perdido neste tempo? Agora, um órgão policial no escuro pode tornar a vida não só servidores um caos, mas também da própria população dependente.

Os prejuízes de ficar offline

“Filas foram formadas na porta dos núcleos de TIC da Sede em Brasília e dos estados, pois os servidores tinham que receber uma senha temporária fornecida por eles, para depois, através da Rede de Dados Interna da PRF, entrar no DPRF Segurança e trocar suas senhas de acesso aos sistemas, seja através do CPF ou email funcional. Um caos”, relatou o servidor anônimo. “Em qualquer empresa privada, se a área de TI ficasse fora por apenas um dia, o prejuízo ao trabalho e a imagem, além dos prejuízos financeiros seriam terríveis. Imagine então um órgão policial, como a PRF, que lida diariamente com os cidadãos, além do combate à criminalidade e ainda executa arrecadação através das notificações de trânsito”.

Com os sistemas inacessíveis, os principais prejudicados — ao lado da população que teve que se locomover para as unidades da PRF para retirar boletins de acidentes — são os policiais nas estradas.

“Os maiores prejudicados foram os policiais nas estradas. Os sistemas, essenciais ao trabalho policial, só funcionam na rede corporativa da PRF com acesso externo apenas através de VPNs, que são fornecidas individualmente aos servidores que procuraram os Núcleos de TIC”, comentou o servidor.

Quer proteger sua empresa contra ataques? Conte com a Future! Clique aqui e entre em contato conosco.

Fonte: TecMundo.

Read More

Lei de Proteção de Dados impõe novos comportamentos a usuários e empresas

Há poucos meses do início de sua vigência, a Lei Geral de Proteção de Dados ainda é terreno obscuro às empresas (públicas e privadas) e também aos usuários brasileiros. O tema, que já vinha sendo discutido no país desde o ano 2000, ganhou relevância após a aprovação do GDPR (General Data Protection Regulation), na Europa, em maio deste ano, possibilitando maior controle das pessoas sobre suas informações pessoais.

Segundo Roberto Stern, CEO da Adamos Tecnologia, apesar de ambas terem nomes semelhantes, o GDPR e a LGPD possuem alguns aspectos diferentes. “A GDPR é mais abrangente e detalhista. A LGPD tem diversos aspectos dúbios e sem definições detalhadas, salvo a regulação da proteção e armazenamento de dados pessoais”, explica Stern, especialista em segurança da informação.

Nos poucos meses de vacatio legis, empresas públicas e privadas, bem como os usuários de seus serviços, precisam se adequar aos aspectos legais e entender a nova dinâmica comportamental que ela gerará a partir da sua incidência, em fevereiro de 2020. Entre os principais desafios que a LGPD traz é a adoção reiterada e demonstrada de mecanismos e políticas internas capazes de minimizar o dano e demonstrar o tratamento seguro e adequado aos dados pessoais, tudo atrelado a um sistema de governança voltada à imediata implementação de medidas corretivas. Porém esses procedimentos não são a realidade em 80% das empresas internacionais, ou seja, as de grande porte, que dirá as nacionais”, aponta Stern.

Segundo o executivo, apesar de alarmante, é bastante comum grandes provedoras de internet, de serviços de e-mail, cloud e até fornecedoras de software não terem um sistema criptografado para a armazenar os dados de seus clientes. “Casos famosos de vazamento de dados provam isso, como ocorrera com o Yahoo, a Netshoes, o Facebook e o Ashley Madison, por exemplo, o que deve ser visto com bastante preocupação pelos usuários, ainda mais quando comparada a estrutura das gigantes do Vale do Silício às empresas nacionais, públicas ou privadas”, alerta o especialista.

Para o executivo, como o objetivo da LGPD é trazer maior segurança aos dados e, ao mesmo tempo, maior autonomia aos usuários, que poderão ou não autorizar a coleta, o compartilhamento e o tratamento de seus dados pessoais e até optar pelo esquecimento, a população deve ser alertada para a nova e importante dinâmica que a LGPD traz. “Cada pessoa terá o direito ao correto tratamento, armazenamento, correção, sigilo e à criptografia de seus dados”.

“A lei, como qualquer outra, não pretende evitar o uso indevido, mas dará o respaldo jurídico para que cada usuário recorra ao Poder Judiciário fazendo com que os que hajam ilegalmente sejam processados por suas inadvertências, abusos ou fraudes, correndo o risco de pagar multas altíssimas”, aponta o especialista.
Algumas dessas adequações, é manter os dados pessoais de forma segura e sigilosa, ou seja, as empresas necessariamente precisarão adotar um sistema criptografado para realizar o armazenamento e compartilhamento (quando permitido pelo usuário) o mais inviolável possível. “Manter os dados da empresa num backup, em nuvem, e 100% criptografado não será mais uma opção, mas sim uma obrigação. Na Adamos, o que mais chamou nossa atenção, a partir da promulgação da LGPD é que já estávamos com nossa solução, o Safe Cloud Backup, totalmente adequada aos requisitos legais”, detalha Stern.

De acordo com o especialista, como a prática da empresa já era a de usar a criptografia end to end, de forma que somente o cliente final saiba a senha, e todo o conteúdo enviado de maneira automática para o backup à nuvem é inviolável, ninguém tem acesso, logo não é possível realizar tratamento sem autorização nesses dados.

Além disso, a LGPD indica que as empresas, públicas ou privadas, devem informar as finalidades especificas do tratamento de dados, bem como sua forma e duração. Também deverão indicar, de forma transparente, quem é o controlador e quais os seus contatos, bem como se haverá uso compartilhado das informações, elencando, ainda, os direitos do titular sobre os mesmos, entre outros aspectos.

Ademais, dentro da nova legislação, o usuário torna-se mediador de seus próprios dados, ou seja, toda e qualquer movimentação, deve ser autorizada por ele. “Esses são os pilares centrais da LGPD: o consentimento do proprietário dos dados e a definição do motivo da organização coletar os mesmos. Ambos devem caminhar em sintonia, tendo, portanto, as autoridades um papel importante na manutenção do equilíbrio entre os direitos dos usuários e os deveres das empresas captadora dos dados. “O tratamento deve ser explicitado e o consentimento requerido antes do “tratamento”. Ou seja, não será mais possível “monetizar” os dados e informações sem a autorização do usuário”, finaliza o CEO.

Quer adequar sua empresa a LGPD? Leia nossas dicas e clique aqui para entrar em contato conosco!

Fonte: SEGS.

Read More

Você sabe o que é Threat Hunting? Por que sua empresa deve adotar?

O Threat Hunting é uma atividade inteiramente focada na investigação de ameaças. E, para ser classificado como uma ameaça, o atacante deve ter três características: intenção, capacidade e oportunidade para provocar danos.

Para empresas que buscam uma segurança mais assertiva de seus sistemas, esse trabalho é extremamente importante, pois através dele será possível identificar uma ameaça muito antes de ela causar danos mais sérios à rede.

Então, como a empresa pode identificar o melhor momento de procurar por esse serviço?

As empresas que dispõe de uma operação de Segurança da Informação, o Threat Hunting já é realizado, em níveis básicos. Na maior parte das vezes, ocorre baseado na intuição dos analistas de segurança que já estão familiarizados com aquele ambiente.

O grande desafio é tornar o Threat Hunting um processo possível de ser repetido por diferentes profissionais, e que retorne valor para a empresa. Para isso, é necessário integrar organicamente o Threat Hunting dentro dos processos existentes, de forma a complementar os esforços de segurança. O Threat Hunting pode ser executado de forma apropriada por empresas de diferentes níveis de maturidade em segurança. Contudo, para obter o máximo de valor do Threat Hunting, as empresas devem investir em infraestrutura de segurança que é necessária para usar as ferramentas e práticas de forma mais apropriada.

Realizar o Threat Hunting de forma madura requer uma segurança que inclua ferramentas, pessoas, processos, cada uma com seu papel claramente definido, e a participação dos executivos da companhia, de forma que o orçamento para o programa seja contínuo.

Qual é o perfil do analista Threat Hunter?

Primeiramente, o profissional que deseja se tornar um especialista Threat Hunter deve ser curioso e possuir profundo interesse em investigar e descobrir. Ele também deve ter um alto nível técnico e múltiplas ferramentas à disposição para executar suas tarefas. E, o mais importante, o hunter, como é chamado, precisa ser inovador e antenado com os cenários de ameaças em sua empresa, precisa saber fazer as perguntas certas para obter as respostas necessárias.

Além dessas características pessoais, o hunter deve possuir um conjunto de habilidades técnicas de defesa e inteligência analítica. Uma delas é experiência em segurança de redes, assim como em resposta a incidentes de segurança. As técnicas que ele aprendeu atuando como analista de segurança de redes, o ajudarão a ter conhecimento sobre os ativos presentes no ambiente, isso renderá ótimos insights e também o auxiliará a compreender suas limitações. Já os conhecimentos em resposta a incidentes o auxiliarão a identificar quais dados estão sendo requisitados pela equipe de CSIRT (Computer Security Incident Response Team) e quais recomendações realistas ele deve fazer ao descobrir uma nova ameaça no ambiente.

Como é o trabalho do Threat Hunter?

A atividade consiste inicialmente em uma boa hipótese sobre as ameaças que podem estar presentes na empresa, os melhores locais na empresa para fazer o “hunting” e como as ameaças podem se aproveitar dos usuários ou processos do negócio para evadir as soluções de segurança. Como exemplo, o hunter pode considerar a análise dos dados mais importantes: Eles identificam os ativos que são mais importantes naquele determinado negócio, de forma que possam priorizar seus esforços, usam defesas passivas e técnicas para reduzir o risco, e geram hipóteses sobre o que um adversário pode fazer para comprometer esses ativos. Nesse exemplo, os hunters combinam o conhecimento sobre o ambiente em que operam com hipóteses sobre o que os adversários podem fazer.

Por fim, é muito importante que as empresas que dispõem do serviço de um Threat Hunterfoquem em duas áreas-chave: quais dados estarão disponíveis para busca e como buscar esses dados. Isso otimizará e muito o trabalho do analista e trará excelentes resultados para a empresa.

A Future possui várias soluções que podem auxiliá-lo nesta tarefa! Conheça uma delas: a Auditoria e Análise de Vulnerabilidades, clicando aqui.

Fonte: CIO.

Read More

Os impactos do GDPR e da LGPD na estratégia de segurança da informação

O ano de 2018 será conhecido como um divisor de águas para a segurança da informação mundial. Em maio, entrou em vigor na União Europeia o Regulamento Geral sobre a Proteção de Dados (General Data Protection Regulation – GDPR). A diretriz é que as empresas locais e, também, as que tenham relações comerciais com a região, realizem a coleta e tratamento de informações apenas com o consentimento explícito do usuário. Pouco tempo depois, em agosto, foi a vez de o Brasil seguir a onda, com a Lei Geral de Proteção de Dados (LGPD) sendo sancionada pelo presidente Michel Temer. A norma passa a valer em fevereiro de 2020 e possui diretrizes similares ao documento europeu.

As exigências recaem direta e primeiramente na área de compliance, que deve ser responsável por garantir que todos os departamentos e stakeholders sigam as determinações: pedir a autorização da coleta de dados para cada cliente; apontar o objetivo do recolhimento; usá-los para o objetivo descrito; e aceitar a autonomia de o usuário solicitar esclarecimentos ou a exclusão dos dados coletados. Além disso, as empresas são declaradamente responsáveis pela proteção das informações dos clientes e, em caso de vazamentos ou erros de utilização, têm a obrigação de comunicar os atingidos em até 72 horas. As multas pelo descumprimento das exigências na LGDP, por exemplo, chegam a até R$ 50 milhões, ou 2% do faturamento do grupo econômico.

A partir de agora, clientes podem exigir que as empresas detalhem quais informações pessoais são coletadas, e para qual fim. O que todo o consumidor, seja ele pessoa física ou jurídica, quer, é garantir que os dados cedidos ao seu fornecedor não saiam do perímetro corporativo. No segmento B2B, já vejo hoje, clientes interessados em atuar como auditores de seus fornecedores, como medida cautelar vinda de uma crônica falta de confiança. Com a regulamentação, o que seriam pedidos esparsos tendem a se tornar exigências recorrentes, o que vai demandar a criação de processos, adoção de ferramentas e construção de mecanismos que atendem a essas solicitações.

Não há segredo: para que os dados sejam protegidos de maneira integral é necessário um investimento em tecnologias de segurança da informação. Mas isso não é o bastante: como citei anteriormente, qualquer ação deve partir de uma política clara, bem fundamentada e amplamente comunicada internamente por compliance. Invariavelmente, os processos terão de estar muito bem amarrados. Uma outra estratégia importante é a contratação de hackers que trabalhem para a empresa buscando vulnerabilidades antes que invasores mal-intencionados o façam.

Especialmente com LGPD e GDPR, o sucesso da estratégia de segurança da informação está na antecipação de brechas e prevenção de ocorrências mais graves.

Mais um fator que não pode ser ignorado é a companhia contar com profissionais de segurança da informação certificados e atualizados, que sigam padrões internacionais e realizem reuniões mensais para acompanhamento de trabalho e melhoria – inclusive junto da diretoria. A partir de agora, a garantia de proteção e integridade dos dados não será uma tarefa somente de um departamento ou estará centralizada em uma figura, como o Chief Security Officer: é essencial que permeie todos os departamentos da empresa, em especial aqueles que se relacionam diretamente com os clientes e seus dados.

Mas não há motivos para reclamar nem do GDPR, nem da LGPD. Adequar-se às exigências dá trabalho e exige investimento de recursos – seja de tempo ou financeiro -, mas é uma atividade importantíssima para elevar o nível de transparência e até mesmo maturidade das organizações. Afinal, garantir a segurança da informação da carteira de clientes pode, até então, não ter sido obrigatório – mas sempre foi uma atitude estratégica e de extremo bom senso para companhias que querem ter credibilidade em seu ecossistema.

Quer adequar sua empresa ao GDPR ou LGPD? Conte com a Future! Clique aqui e entre em contato conosco!

Fonte: Infor Channel.

Read More

6 ameaças a dispositivos móveis para manter no radar

A segurança de dispositivos móveis está no topo da lista de preocupações de todas as empresas nos dias de hoje – e por um bom motivo: quase todos os funcionários agora acessam rotineiramente dados corporativos a partir de smartphones, e isso significa manter informações confidenciais fora das mãos erradas é um quebra-cabeças cada vez mais complexo.

As apostas em segurança são mais altas do que nunca: o custo médio de uma violação de dados corporativos é de US$ 3,86 milhões, de acordo com um relatório de 2018 do Ponemon Institute. Isso é 6,4% mais do que o custo estimado no ano passado.

Embora seja fácil se concentrar no assunto malware, a verdade é que infecções por malware móvel são incrivelmente incomuns no mundo real – com suas chances de ser infectado significativamente menores do que suas chances de ser atingido por um raio, de acordo com uma estimativa. Isso graças à natureza do malware móvel e às proteções inerentes aos sistemas operacionais móveis modernos.

Os riscos de segurança móvel mais realistas encontram-se em algumas áreas facilmente negligenciadas, e espera-se que todas elas se tornem ainda mais prementes no próximo ano. Saiba o que deve estar no radar:

1. Vazamento de informações

Pode soar como um diagnóstico do urologista robótico, mas o vazamento de dados é amplamente visto como uma das ameaças mais preocupantes para a segurança da empresa quando entramos em 2019. Lembre-se dessas chances quase inexistentes de estar infectado com malware? Bem, quando se trata de uma violação de dados, as empresas têm quase 28% de chance de sofrer pelo menos um incidente nos próximos dois anos, com base nas pesquisas mais recentes do Ponemon.

O que torna a questão especialmente irritante é que ela muitas vezes não é nefasta por natureza; em vez disso, é uma questão de os usuários inadvertidamente tomarem decisões imprudentes sobre quais aplicativos podem ver e transferir suas informações.

“O principal desafio é como implementar um processo de verificação de aplicativos que não sobrecarregue o administrador e não frustre os usuários”, explicou Dionisio Zumerle, diretor de pesquisa de segurança móvel do Gartner.

Ele sugere a adoção de soluções de defesa contra ameaças móveis (MTD – mobile threat defendse) – produtos como o Endpoint Protection Mobile da Symantec, o SandBlast Mobile da CheckPoint e o zIPS Protection da Zimperium. Esses utilitários analisam os aplicativos em busca de “comportamentos com vazamentos”, disse Zumerle, e podem automatizar o bloqueio de processos problemáticos.

Naturalmente, nem sempre isso cobre vazamentos que ocorrem como resultado de um erro evidente do usuário – algo tão simples quanto transferir arquivos da empresa para um serviço público de armazenamento em nuvem, colar informações confidenciais no lugar errado ou encaminhar um email para um serviço não intencional.

Esse é um desafio que a indústria da saúde está atualmente tentando superar: de acordo com a especialista em seguros Beazley, “divulgação acidental” foi a principal causa de violação de dados relatada por organizações de saúde no terceiro trimestre de 2018. Essa categoria combinada com vazamentos internos foi responsável por quase metade de todas as violações relatadas durante esse período de tempo.

Para esse tipo de vazamento, as ferramentas de prevenção contra perda de dados (DLP – data loss prevention) podem ser a forma mais eficaz de proteção. Esse software é projetado explicitamente para evitar a exposição de informações confidenciais, inclusive em cenários acidentais.

2. Engenharia social

Apesar da facilidade com que alguém poderia pensar que os contras da engenharia social poderiam ser evitados, eles continuam surpreendentemente eficazes.
Surpreendentes 91% dos crimes cibernéticos começam por meio do e-mail, de acordo com um relatório de 2018 da empresa de segurança FireEye. A empresa se refere a esses incidentes como “ataques sem malware”, já que eles confiam em táticas como representação para enganar as pessoas para que cliquem em links perigosos ou forneçam informações confidenciais.

O ataque de Phishing, especificamente, cresceu 65% ao longo de 2017, diz a empresa, e os usuários móveis correm maior risco de cair devido à forma como muitos clientes de email móveis exibem apenas o nome de um remetente – tornando especialmente fácil a falsificação mensagens e enganar uma pessoa a pensar que um e-mail é de alguém que eles conhecem ou confiam.

Na verdade, os usuários são três vezes mais propensos a responder a um ataque de phishing em um dispositivo móvel do que em um desktop, de acordo com um estudo da IBM – em parte simplesmente porque um telefone é o lugar onde as pessoas provavelmente verão primeiro uma mensagem. Enquanto apenas 4% dos usuários clicam em links relacionados a phishing, de acordo com o Relatório de Investigações de Violações da Verizon de 2018. A Verizon relatou anteriormente que 15% dos usuários que foram infectados com sucesso serão filmados pelo menos mais uma vez no mesmo ano.

“Nós vemos um aumento geral na suscetibilidade a dispositivos móveis impulsionado pelo aumento da computação móvel e pelo crescimento contínuo dos ambientes de trabalho BYOD”, disse John “Lex” Robinson, estrategista de segurança da informação e anti-phishing da PhishMe – uma empresa que usa simulações do mundo real para treinar os funcionários sobre como reconhecer e responder a tentativas de phishing.

Robinson observa que a linha entre o trabalho e a computação pessoal também continua a se confundir. Mais e mais trabalhadores estão vendo várias caixas de entrada – conectadas a uma combinação de contas de trabalho e pessoais – juntas em um smartphone, observa ele, e quase todo mundo conduz algum tipo de negócio pessoal on-line durante o dia de trabalho.

Consequentemente, a noção de receber o que parece ser um e-mail pessoal ao lado de mensagens relacionadas ao trabalho não parece de todo incomum na superfície, mesmo que possa de fato ser um ardil.

3. Ataques às redes WiFi

Um dispositivo móvel é tão seguro quanto a rede pela qual transmite dados. Em uma época em que todos estamos constantemente nos conectando a redes WiFi públicas, isso significa que nossas informações geralmente não são tão seguras quanto podemos supor.

Quão significativa é essa preocupação? De acordo com uma pesquisa da empresa de segurança corporativa Wandera, os dispositivos móveis corporativos usam o WiFi quase três vezes mais que o uso de dados celulares. Quase um quarto dos dispositivos se conectou a redes Wi-Fi abertas e potencialmente inseguras, e 4% dos dispositivos encontraram um ataque man-in-the-middle – no qual alguém intercepta maliciosamente a comunicação entre duas partes – no mês mais recente.

A McAfee, por sua vez, diz que o spoofing de rede aumentou “drasticamente” nos últimos tempos, e ainda assim, menos da metade das pessoas se preocupam em garantir sua conexão enquanto viajam e dependem de redes públicas.

“Hoje em dia, não é difícil criptografar o tráfego”, comentou Kevin Du, professor de ciência da computação da Syracuse University, especialista em segurança de smartphones. “Se você não tem uma VPN, você está deixando muitas portas em seus perímetros abertos.”

Selecionar a VPN de classe empresarial certa, no entanto, não é tão fácil. Como acontece com a maioria das considerações relacionadas à segurança, uma compensação é quase sempre necessária. Uma VPN eficiente deve saber ativar somente quando for absolutamente necessário, diz ele, e não quando um usuário acessa algo como um site de notícias ou trabalha em um aplicativo que é conhecido por ser seguro.

4. Dispositivos desatualizados

Smartphones, tablets e dispositivos conectados – comumente conhecidos como internet das coisas (IoT) – representam um novo risco para a segurança corporativa, pois, ao contrário dos dispositivos de trabalho tradicionais, geralmente não oferecem garantias de atualizações de software oportunas e contínuas. Isso é verdade principalmente na frente do Android, onde a grande maioria dos fabricantes é ineficaz em manter seus produtos atualizados – tanto com atualizações do sistema operacional quanto com os menores patches de segurança mensais entre eles.

“Muitos deles nem sequer têm um mecanismo de patch embutido, e isso está se tornando cada vez mais uma ameaça hoje em dia”, disse Du.

Aumentada a probabilidade de ataque à parte, um uso extensivo de plataformas móveis eleva o custo total de uma violação de dados, de acordo com Ponemon, e uma abundância de produtos de IoT conectados ao trabalho apenas faz com que esse número suba ainda mais. A internet das coisas é “uma porta aberta”, segundo a empresa de segurança cibernética Raytheon, que patrocinou pesquisas mostrando que 82% dos profissionais de TI previram que dispositivos IoT não seguros causariam uma violação de dados – provavelmente “catastrófica” – dentro de sua organização.

Mais uma vez, uma política forte percorre um longo caminho. Existem dispositivos Android que recebem atualizações contínuas oportunas e confiáveis. Até que o cenário da IoT se torne menos selvagem, cabe a uma empresa criar sua própria rede de segurança em torno deles.

5. Ataques de Cryptojacking

Uma adição relativamente nova à lista de ameaças móveis relevantes, o crypjacking é um tipo de ataque em que alguém usa um dispositivo para minerar criptomoedas sem o conhecimento do proprietário. Se tudo isso soa como um monte de bobagens técnicas, apenas saiba disso: o processo de criptografia usa os dispositivos da sua empresa para o ganho de outra pessoa. Ele se apóia fortemente em sua tecnologia para fazê-lo – o que significa que os telefones afetados provavelmente terão pouca vida útil da bateria e poderão até sofrer danos devido a componentes superaquecidos.

Embora o crypjacking tenha se originado no desktop, houve um surto de mobilidade do final de 2017 até o início de 2018. A mineração de criptomoeda indesejada representou um terço de todos os ataques no primeiro semestre de 2018, de acordo com uma análise da Skybox Security. E os ataques de cryptojacking específicos para dispositivos móveis explodiram completamente entre outubro e novembro de 2017, quando o número de dispositivos móveis afetados registrou um aumento de 287%, de acordo com um relatório da Wandera.

Os analistas também observaram a possibilidade de usar cryptojacking via set-top boxes conectados à internet, que algumas empresas podem usar para streaming e transmissão de vídeo. De acordo com a empresa de segurança Rapid7, hackers descobriram uma maneira de tirar proveito de uma brecha aparente que torna o Android Debug Bridge – uma ferramenta de linha de comando destinada apenas ao uso do desenvolvedor – acessível e maduro para o abuso em tais produtos.

Por enquanto, não há grande resposta – além de selecionar dispositivos cuidadosamente e seguir uma política que exige que os usuários façam download de aplicativos apenas da vitrine oficial de uma plataforma, onde o potencial para código de crypjacking é significativamente reduzido – e realisticamente, não há indicação de que a maioria das empresas estão sob qualquer ameaça significativa ou imediata, particularmente dadas as medidas preventivas tomadas em toda a indústria. Ainda assim, dada a atividade flutuante e crescente interesse nesta área nos últimos meses, é algo que vale a pena estar ciente e de olho no próximo ano.

6. Violações de dispositivos físicos

Por último, mas não menos importante, algo que parece bobo, mas continua a ser uma ameaça perturbadoramente realista: um dispositivo perdido ou não assistido pode ser um grande risco de segurança, especialmente se não tiver um PIN ou senha forte e criptografia de dados completa.

Em um estudo da Ponemon de 2016, 35% dos profissionais indicaram que seus dispositivos de trabalho não tinham medidas obrigatórias para garantir dados corporativos acessíveis. Pior ainda, quase metade dos entrevistados disseram que não tinha senha, PIN ou segurança biométrica protegendo seus dispositivos – e cerca de dois terços disseram que não usavam criptografia. AInda, 68% dos entrevistados indicaram que, às vezes, compartilhavam senhas em contas pessoais e de trabalho acessadas por meio de seus dispositivos móveis.

A mensagem para levar para casa é simples: deixar a responsabilidade nas mãos dos usuários não é suficiente. Não faça suposições, defina políticas. Você vai agradecer depois.

Quer se manter protegido! Conte com a Future! Clique aqui e conheça nossas Soluções.

Fonte: CIO.

Read More

Segurança da informação protege empresas e clientes na Black Friday

A oitava edição brasileira da Black Friday está chegando. Nos próximos dias, e principalmente no dia 23 de novembro, consumidores de todo o país irão às compras para garantir produtos e serviços com preços muito abaixo de seu valor de mercado.

Seja em lojas físicas ou por e-commerce, a Black Friday deste ano deve movimentar mais de dois bilhões de reais no Brasil. Mas, ao mesmo tempo que os lucros aumentam, cresce também o número de tentativas de ataques cibernéticos neste período, com uma previsão feita pelo DFNDR Lab de aumento de 600% para este ano, em relação ao mesmo período em 2017.

A principal prática criminosa detectada durante a Black Friday é chamada pelos especialistas de phishing, em que são criadas páginas e ofertas falsas com o objetivo de sequestrar dados dos consumidores, como informações de cartão de crédito. As páginas falsas são, normalmente, compartilhadas nas redes sociais, ganhando alto poder de viralização.

Alguns dos prejuízos para os consumidores estão no fato de que, ao concluir uma compra em uma página falsa, além de deixar seus dados com criminosos cibernéticos que podem utilizá-los de forma ilegal, você deixou de efetivamente comprar o produto ou serviço que desejava. Já a empresa da qual você teoricamente comprou, jamais receberá o valor, não saberá da sua compra e ainda terá sua imagem prejudicada no mercado.

Impacto das ameaças cibernéticas

Os impactos das ameaças cibernéticas podem atingir também empresas que não estão participando diretamente das promoções. Isso porque grande parte dos consumidores faz suas compras de Black Friday em sua estação de trabalho. Dessa forma, ao receberem ou acessarem uma página falsa, por exemplo, no ambiente corporativo, a própria empresa corre o risco de ser infectada pelo link malicioso. E, mesmo utilizando computadores ou smartphones pessoais para conectar-se às contas corporativas, os colaboradores ainda estão sujeitos a contaminar a empresa com algum arquivo malicioso, por ter fornecido usuário e senha corporativos para acesso remoto.

Por conta de todos esses riscos, as estratégias e tecnologias voltadas à segurança da informação entram como um player de extrema relevância na atuação contra essas ameaças e seus criadores, que se modificam e encontram novas técnicas a cada dia.

Empresas especializadas em segurança da informação indicam que, para evitar cair em golpes desse tipo, o cliente sempre deve desconfiar de ofertas enviadas por mensagens; de páginas acessadas por redes de wi-fi públicas; de ofertas com preços extremamente baixos e infactíveis; e fazer uma pesquisa sobre a credibilidade da empresa de quem está comprando. Uma visita ao site oficial da empresa ou a portais como o Reclame Aqui, e a confirmação de existência da oferta em questão funcionam muito bem para combater esse tipo de ataque cibernético.

Outro aspecto muito importante é que as empresas possuam softwares ou tecnologias de segurança da informação que sejam capazes de detectar e proteger seu sistema contra links maliciosos de phishing e demais ameaças. É indicado também que os consumidores instalem algumas dessas soluções como antivírus em seus smartphones para evitar que sejam conduzidos a páginas maliciosas. A solução Sonar Shield, desenvolvida pela empresa Microservice é capaz de detectar e analisar anomalias cibernéticas nos diversos sistemas informatizados.

Entre as funcionalidades do produto, é possível realizar a segurança de ambientes como redes, datas centers, cloud e endpoints, realizando a proteção contra malwares, a análise de vulnerabilidade, monitoramento, análise de comportamento e simulação de phishing para medir a maturidade dos usuários. “Os investimentos em tecnologia de segurança da informação servem para mitigar falhas e riscos, mas nunca é possível afirmar que as vulnerabilidades e brechas de segurança serão 100% eliminadas.

Falar sobre segurança da informação envolve também dados físicos, como documentos impressos, e pessoas, que quando não bem instruídas, podem ser a principal porta de entrada de um ataque, principalmente pelo recebimento de phishings. Por isso investir em múltiplas camadas de tecnologia e também trabalhar continuamente a conscientização do usuário, e é fundamental para a segurança de organizações de todos os tamanhos”, afirma André Junges, diretor de Marketing e Vendas da Microservice.

Fonte: IT Forum 365.

Read More

Pesquisador holandês descobre falha de segurança em HDs da Samsung e da Crucial

No início deste mês, um pesquisador da Universidade de Radboud, da Holanda, revelou uma falha em discos rígidos e SSDs das marcas Samsung e Crucial que pode ser usada por invasores para acessar arquivos criptografados armazenados nesses equipamentos.

Mais precisamente, a descoberta de Bernard van Gastel afeta o sistema de criptografia por hardware nos SSDs MX100, MX200 e MX300 da Crucial e os HDs 840 EVO, 850 EVO, T3 e T5 da Samsung.

De acordo com Gastel, a falha acontece principalmente no Windows, que utiliza o aplicativo BitLocker para gerenciar a criptografia dos arquivos. O problema do BitLocker é que às vezes ele pode confiar a proteção dos arquivos somente à criptografia de hardware, não aplicando a camada extra de proteção com a criptografia de software. Por conta disso, indivíduos mal-intencionados podem utilizar a falha com programas que rapidamente conseguem descobrir a chave para descriptografar os arquivos (já que não há nenhum mecanismo de proteção do segredo) para ter acesso total a eles.

O pesquisador explica que o problema não foi encontrado nos outros sistemas operacionais, citando como motivo o fato de todos eles (com exceção do Windows) utilizarem sistemas de criptografia baseados em software. Entretanto, a falha pode acontecer caso o usuário não os configure para utilizar a criptografia por hardware. O pesquisador avisa que, para evitar esse problema, usuários do Windows devem acessar o BitLocker e mudar a opção de criptografia do app para se basear em software. Em seguida, o ideal é fazer backup dos dados, formatar o dispositivo de armazenamento e armazená-los de volta ali para que as alterações do BitLocker façam efeito.

Devido às políticas de descoberta de falhas da universidade, os fabricantes desses dispositivos foram alertados à época da descoberta, em abril, e a falha só foi revelada ao público seis meses depois disso como forma de segurança para evitar influenciar um aumento de ataques a esses dispositivos. Também por segurança, a instituição não irá disponibilizar para o público a ferramenta utilizada nos testes para quebrar a criptografia dos dispositivos.

Fontes: Canal Tech via Universidade de Radboud.

Read More

LGPD: 10 dúvidas sobre a nova Lei

A Lei Geral de Proteção de Dados (LGPD) foi sancionada pela Presidência da República em agosto e suas novas regras afetarão todas as atividades que envolvam a utilização de dados pessoais em empresas brasileiras, que têm até 2020 para se adequarem. As regras buscam proteger os dados contra as vulnerabilidades e vazamento.

Veja abaixo algumas dúvidas frequentes sobre o assunto, respondidas por Vitor Corá, especialista em cibersegurança na Trend Micro, e Gabriela Crevilari, advogada do escritório Assis e Mendes.

Quem fiscalizará se as empresas estão em conformidade com a lei e efetivamente protegendo os dados?

O controle sobre a proteção de dados será exercido pela Autoridade Nacional de Proteção de Dados que será criada para este fim. A partir do momento em que for criada, é que saberemos mais sobre diretrizes quanto a fiscalização e formas de controle.

Como será comprovado que a empresa garante a proteção dos dados?

É necessário que as empresas, por meio de assessorias especialistas em proteção de dados, estude quais são os dados que coleta e armazena e com quem compartilha para, então, definir estratégias de segurança, nos quais poderão futuramente serem considerados os meios de comprovação da garantia sobre a proteção de dados sob seu controle.

Como fica o relacionamento com parceiros?

É necessário que atualizem os contratos, com cláusulas específicas sobre a proteção de dados com parceiros em que seja necessário o compartilhamento de dados.

Apenas o contrato firmado entre as partes garantirá que elas seguem a lei?

Não. O contrato firmado entre as partes será apenas um dos instrumentos para a comprovação de atendimento à lei. É importante que as empresas que realizarem o tratamento de dados se preocupem em investir em dispositivos de segurança para que minimize as possíveis penalidades impostas pela lei.

Caso ocorra, como comprovar que a empresa sabia do vazamento de dados?

Quando estiver sob investigação, a empresa deverá comprovar os métodos de segurança que utilizou. Assim, apenas após a apuração, é que haverá a decisão sobre a aplicação de penalidades ou não.

Assim como na Europa, haverá a necessidade de um funcionário terceiro para checar se a empresa está seguindo as novas regras?

Sim. Assim como no Regulamento Europeu, a LGPD brasileira demanda da figura do Encarregado pela Proteção de Dados. A Lei não determina sobre o tamanho das empresas que devem atender esta exigência, cabendo até o momento para todas as empresas que realizarem o tratamento de dados.

E caso um vazamento ocorra de uma empresa estatal?

O artigo 3º da LGPD diz que a Lei será aplicada a qualquer operação de tratamento realizada por pessoa física ou por pessoa jurídica de direito público ou privado. Desta forma, a LGDP delimitou um capítulo (art. 23 ao 30) exclusivo que definem as regras para o tratamento de dados pelo poder público.

Em caso de vazamento dos dados, a Legislação prevê a publicação do ocorrido via canais de mídia? A empresa terá um prazo para corrigir a falha?

Este ponto é uma espécie de penalidade prevista pela lei e que dependerá da decisão do órgão investigador, inclusive quanto ao prazo de correção.

O simples cadastro de funcionários de uma empresa também é um exemplo de informação que deverá ser cuidada sobre a LGPD?

Sim. Todo documento que contenha dados pessoais deverá ser protegido em conformidade com o que diz a LGPD.

Como deve seguir a relação entre a empresa e o cliente quando a finalidade de uso dos dados consentido mudar?

Nesta hipótese, a empresa deverá informar o cliente sobre a nova finalidade dos dados anteriormente coletados, devendo a empresa, ainda, recolher o consentimento do cliente para as novas finalidades.

Quer colocar sua empresa em conformidade com a LGPD? Conte com a Future! Clique aqui e entre em contato conosco!

Fonte: IT Forum 365.

Read More

Entenda as maiores ameaças digitais da atualidade e saiba como se proteger

Com o mundo cada vez mais digital, o cibercrime ganha força a cada ano como uma das modalidades de crimes que mais podem trazer prejuízos tanto a indivíduos quanto para empresas. Diante dessa situação, é importante saber exatamente como funciona cada uma das ameaças e a forma correta de se proteger.

Uma das ameaças mais comuns, tanto para empresas quanto para o indivíduo comum é o phishing. Caso você não conheça o termo, ele vem da palavra “fishing” que é “pesca” em inglês, justamente porque envolve a prática de jogar uma isca e esperar que alguém caia nessa armadilha.

As técnicas têm se tornado cada vez mais refinadas. Antigamente o cibercriminoso disparava uma infinidade de e-mails na esperança de fisgar um usuário descuidado, mas os ataques estão cada vez mais direcionados e bem pensados para tornar cada vez mais difícil a distinção do que é uma mensagem falsa e do que é verdadeiro.

Durante apresentação na Quickbooks Connect, evento de tecnologia voltado para contadores que aconteceu em San Jose, no Vale do Silício, o especialista Byron Patrick demonstrou como esses ataques estão ficando cada vez mais avançados. O exemplo dado foi de uma empresa que começou a receber e-mails com notas fiscais em um formato idêntico ao de seus fornecedores, mas com detalhes de pagamento diferentes. Alguém estava tentando aplicar um golpe na empresa, obviamente.

Patrick explica que a técnica envolvia um duplo ataque: primeiro, o criminoso precisou obter descobrir o formato padrão das notas fiscais, o que pode ser obtido por meio de um ataque de phishing ao fornecedor. Depois foi necessário contatar a empresa com as notas falsas com instruções de pagamento para uma conta controlada por ele. A técnica é eficiente porque dependendo do tamanho da companhia, esse tipo de ordem de pagamento chega aos montes e são tão comuns que os funcionários sequer pensam duas vezes antes de proceder.

O phishing é um problema complexo para o usuário comum, porque não há recomendação melhor do que “tenha bom senso” e não clique em links ou pague coisas que não estava esperando. Para empresas, existem algumas medidas úteis: é possível conscientizar funcionários sobre as melhores práticas para evitar essas armadilhas e até mesmo realizar testes de tempos em tempos simulando situações de phishing para ver se eles conseguiram absorver as técnicas de proteção.

Ransomware

O ransomware já é uma indústria bilionária e, com justiça, já é considerado a principal ameaça para usuários e empresas pelo seu poder de devastação. Um ataque bem-sucedido que venha atingir uma rede despreparada tende a causar prejuízos gigantescos, podendo também resultar na perda de dados importantes.

Caso você não esteja familiar com o conceito de ransomware, trata-se de um tipo de vírus que realiza uma ação bastante específica. “Ransom” em inglês significa “resgate” no sentido de pagar uma quantia para resolver um sequestro. Assim, o intuito desse vírus é sequestrar arquivos do computador com criptografia, tornando os PCs inúteis, e a chave para decifrar os documentos só é fornecida por meio de pagamento.

Um exemplo triste citado por Byron Patrick é o de um hospital nos EUA. Um dia, um funcionário abriu um arquivo malicioso recebido por e-mail; pouco tempo depois, toda a rede estava infectada pelo malware Locky, que criptografou todos os arquivos. As atividades do hospital tiveram que ser paralisadas por 10 dias: cirurgias precisaram ser remarcadas, pacientes precisaram ser transferidos e, no fim das contas, além do prejuízo envolvido na operação interrompida, o hospital ainda teve que pagar US$ 17 mil em bitcoins para recuperar seus arquivos.

A melhor forma de proteção contra o ransomware é manter sempre um backup isolado e protegido justamente para ter para onde correr quando tudo der errado. Manter o antivírus atualizado também ajuda a evitar esse tipo de situação, mas muitas vezes esses malwares acabam passando despercebidos pelos softwares de proteção, então a precaução é a melhor solução. Para empresas, a contratação de seguros contra cibercrimes também pode ser uma alternativa a ser considerada.

Invasão por quebra de senha

Quando se fala em segurança, infelizmente a gestão de senhas costuma ser um dos pontos de vulnerabilidade de muitas pessoas e empresas. O cibercrime está cada vez mais eficiente em quebrar senhas por meio de força bruta ou às vezes até mesmo adivinhá-las utilizando algumas técnicas de coleta de informações.

Vamos supor que sua senha seja o nome do seu cachorro. Você pode até achar que isso é seguro porque ninguém mal-intencionado sabe o nome do Tobias. Mas se você não esconde essa informação das suas redes sociais, sua senha está exposta para qualquer um que queira descobrir. E um hacker certamente vai tentar digitar “tobias” no campo de senhas quando tentar invadir sua conta de emails. Hoje, no entanto, esse trabalho é feito por bots, que são capazes de vasculhar toda a vida digital de alguém atrás de pistas sobre senhas.

O cuidado com uma senha forte é ainda mais importante em empresas, onde os danos podem ser gravíssimos. Patrick conta o caso de uma companhia que teve toneladas de dados copiados de sua rede sem permissão porque o administrador decidiu que era uma boa ideia usar a senha “id10t”. Os primeiros sinais de problema foram notados quando, numa sexta-feira, os usuários começaram a reclamar de que a rede estava lenta; o problema foi “solucionado” com um reboot simples, mas na segunda-feira a lentidão havia retornado. Quando a questão foi avaliada mais de perto, o motivo ficou evidente: a rede estava congestionada porque alguém estava baixando terabytes de informações sigilosas para fora da companhia justamente por causa da senha fraca do administrador.

Uma solução para lidar de forma mais inteligente com senhas é ter um gerenciador como LastPass e 1Password, que permitem cadastrar senhas gigantescas e ultradifíceis sem a necessidade de decorá-las. Também é recomendável usar autenticação em duas etapas sempre que possível; apps como o Google Authenticator ou Microsoft Authenticator ajudam bastante nesse quesito. Também é bom observar: a opção por receber códigos de autenticação via SMS é melhor do que nada, mas está longe de ser a alternativa mais segura porque é plenamente possível tomar o controle do seu número de telefone por meio de técnicas que já detalhamos neste link, então prefira outros métodos sempre que possível.

Vazamentos de dados?

Uma situação interessante é que nem sempre o vazamento de dados é fruto de um ataque hacker, mas que ainda assim pode ser considerado uma ação criminosa. Um dos exemplos dados por Patrick foi de um funcionário que, no seu último dia de trabalho em uma empresa, baixou dados de todos os clientes para impulsionar seu novo emprego. Isso é ilegal e é considerado um vazamento, o que fez com que sua antiga empresa precisasse oferecer garantias e reparos de danos aos seus clientes.

Nem sempre isso é feito de forma maliciosa: às vezes um funcionário baixa dados para um notebook pessoal para trabalhar em casa. O problema é que se o notebook cai nas mãos erradas, isso também se torna um vazamento.

Para evitar esse tipo de situação em empresas, as únicas formas de prevenção são a clareza nas políticas de uso de dados e a imposição de todos os tipos de barreiras possíveis contra esse tipo de transferência de arquivos indesejada. A nuvem também vem ajudar bastante neste sentido, já que os dados passam a ser acessíveis por dispositivos em quaisquer lugares do mundo sem a necessidade de a realização de novas cópias, dando mais controle sobre quem pode ver o quê.

Quer proteger sua empresa? Conte com a Future! Clique aqui e entre em contato conosco.

Fonte: Olhar Digital.

Read More

Receba conteúdos exclusivos