IoT – Internet das Coisas, conceitos e desafios da segurança

O nome Internet of Things (Internet das Coisas) surgiu em 1999, quando o pesquisador Kevin Asthon do MIT fez uma apresentação na P&G sobre a tecnologia RFID e sua aplicação na cadeia de valor conectada à Internet. Em 2004 o conceito se consolidou com a publicação de um artigo sobre o conceito de IoT na famosa revista Scientific America.

O que é o IoT?

A Internet of Things é uma nova mudança de paradigma na arena de TI, cunhada a partir de duas palavras principais: “Internet” e “Coisas”.

A partir desse pensamento, a Internet é um sistema global de redes de computadores interconectadas que usam um conjunto de protocolos padrão (TCP/IP) para atender bilhões de usuários em todo o mundo.

É uma rede de redes que consiste em milhões de redes privadas, públicas, acadêmicas, comerciais e governamentais, de âmbito local a global, que são ligadas por uma ampla variedade de tecnologias de redes eletrônicas, sem fio e ópticas.

Ao chegar às “coisas” nos referimos a qualquer objeto ou pessoa que pode ser distinguido pelo mundo real. Os objetos do cotidiano incluem não apenas dispositivos eletrônicos que encontramos e usamos, como produtos tecnológicos diários, equipamentos e gadgets, mas também itens que normalmente não consideramos eletrônicos (comida, roupas, móveis, materiais, monumentos e obras de arte e toda a miscelânea de comércio, cultura e sofisticação).

Isso significa que aqui as coisas podem ser tanto vivas, como pessoa, animais, plantas, e não-vivas, como cadeira, geladeira, luz, cortina, placa, quaisquer eletrodomésticos ou aparelho industrial. Então, neste ponto, as coisas são objetos reais neste mundo físico ou material. Portanto, tudo que está conectado na Internet que não é um computador ou um dispositivo móvel, mas sim uma “coisa” neste conceito de IoT.

Segundo o Gartner, no ano de 2020 deveremos ter mais de 9 bilhões de dispositivos de IoT conectado à Internet, trazendo mais conforto e facilidade no dia a dia das indústrias, das empresas e das pessoas.

Tudo isto aliado as novas tecnologias de Inteligencia Artificial e os assistentes virtuais como Alexa da Amazon, Google Home da Google e a Cortana da Microsoft, que podem ler dados dos dispositivos e enviar comandos para eles, automatizando coisas simples do nosso dia a dia.

Um exemplo disso é a possibilidade de ligar um aparelho de ar-condicionado quando estivermos chegando em casa, simplesmente observando as informações do GPS do dispositivo móvel ou do carro e assim comandar a tomada do ar-condicionado quando estivermos há 10 minutos de distância.

Tecnologias

A Internet das Coisas foi inicialmente inspirada por membros da comunidade RFID, que se referiam à possibilidade de descobrir informações sobre um objeto marcado navegando em um endereço da Internet ou entrada de banco de dados que corresponde a uma determinada RFID ou NFC – Near Field Communication.

As principais tecnologias incluídas da IoT são RFID, a tecnologia de sensores e a nanotecnologia. Entre eles, o RFID é a base e o núcleo de rede da construção da Internet das Coisas.

A Internet das Coisas permitiu que os usuários trouxessem objetos físicos para a esfera do mundo cibernético. Isso foi possível graças a diferentes tecnologias, como NFC, RFID e código de barras 2D, que permitiam a identificação e referência de objetos físicos na Internet.

É também uma nova onda do setor de TI desde a aplicação dos campos de computação, rede de comunicação e tecnologia de roaming global. Entre as tecnologias aplicadas ao mundo da IoT, podemos destacar:

  • RFID – Radio Frequency Identification – aquela etiqueta que usamos para que o carro passe automaticamente pelo pedágio;
  • IP – Internet Protocol – é o principal protocolo de comunicação na Internet. Corresponde ao número que identifica um “nó” conectado na Internet. Atualmente, temos dois protocolos IP – um chamado de IPv4 e outro chamado de IPv6, que, em breve, dominará toda a Internet.
  • EPC – Eletronic Product Code – trata-se de uma identificação única gravada em uma etiqueta de RFID. É coordenado pela EPCGlobal que tem o objetivo de padronizar o uso de códigos gravados nas etiquetas (tags) de RFID em esfera global.
  • Barcode (Código de Barra) – é uma forma de codificar números e letras usando uma combinação de espaços e barras e, com isto, automatizar o processo de identificação de um objeto. Trata-se daquele código de barra que vem estampado em todos os produtos que compramos nos supermercados para agilizar o processo de leitura e identificação no caixa.
  • Wireless Fidelity (Wi-Fi) – é uma tecnologia de rede que permite a conexão de dispositivos à uma rede através de uma tecnologia sem fio. A padronização e adoção desta tecnologia nos dispositivos móveis (notebooks, telefones celulares, tablets e outros) fez com que se tornasse um padrão de comunicação para praticamente tudo que é conectado à Internet – principalmente os nossos dispositivos e sensores da IoT.
  • Bluetooth – é uma tecnologia de comunicação, também sem fio, que permite a conexão de dois ou mais dispositivos próximos. Com ela é possível construir conceitos de uma PAN – Personal Area Network, conectado assim o fone ao telefone celular, o mouse no notebook e muitos outros dispositivos entre si.
  • Zigbee – é um dos protocolos de rede para comunicação de sensores sem fio. Foi criada por uma aliança fundada em 2001 e tem por objetivo desenvolver tecnologias com características de baixo custo, baixa capacidade de transmissão, baixa cobertura, escalável e flexível. Atualmente, é muito utilizada na conexão e automação de plantas industriais, automação residencial, agricultura, sistemas médicos e outros.
  • Near Field Communication (NFC) – é uma tecnologia de comunicação sem fio de aproximação. Ou seja: os dispositivos devem estar muito próximos para que a comunicação se estabeleça. Atualmente, é muito utilizada para permitir autenticação e aprovação de transações financeiras, aproximando o telefone celular do POS – Post of Sale (máquina de cartão de crédito) para efetuar um pagamento.
  • Atuadores – qualquer dispositivos capaz de transformar energia em movimento. Existem três tipos de atuadores: os elétricos, que transformam energia elétrica em movimento, como motores, motores de passo ou solenoides; os hidráulicos, que usam um fluido para transformar em movimento (macacos hidráulicos por exemplo) e, por fim, os pneumáticos, que usam o ar comprimido para transformar em movimento (como parafusadeiras e mais)
  • Wireless Sensor Networks (WSN) – consistem em sensores sem fio para monitorar condições físicas de um ambiente. Um exemplo disso são os sensores de fumaça, humidade, temperatura, som, vibração, pressão, movimento e etc. Atualmente, são normalmente conectados a centrais de alarmes para segurança e automação residencial, e em hospitais, indústria, agricultura e defesa civil para monitoramento de fogo ou detecção de alagamento.
  • Inteligência Artificial – refere-se a ambientes eletrônicos sensíveis e responsivos à presença de pessoas. Em um mundo de inteligência ambiental, os dispositivos trabalham em conjunto para ajudar as pessoas a realizarem suas atividades cotidianas de maneira fácil e natural, usando informações e inteligência ocultas nos dispositivos conectados à rede. Observamos cada vez mais o uso de IA no dia a dia através de assistentes virtuais que incorporam poderosos algoritmos e coletam informações da Internet, além de seus diversos sensores conectados a rede.
  • Cloud Computing (Computação em Nuvem) – A computação em nuvem é a disponibilidade de um serviço de computação invés de um produto, onde recursos compartilhados, software e informações são fornecidas, permitindo o acesso e o uso destes serviços através da Internet. Este tipo de computação tem permitido a expansão do uso de IA e outros serviços, pois não há limites estabelecidos para processar ou armazenar dados para produzir um resultado.

A IoT vem trazendo enormes mudanças tecnológicas em nossas vidas diariamente, o que, por sua vez, ajuda a tornar nossa rotina mais simples e mais confortável, apesar de várias tecnologias e aplicações.

Há inúmeras utilidades dos aplicativos de IoT em todos os domínios, incluindo médico, manufatura, industrial, transporte, educação, governança, mineração, habitat, etc.

Embora a IoT tenha muitos benefícios, existem algumas falhas no nível de governança e implementação da IoT. As principais observações são que ainda não há definição padrão no mundo inteiro.

Seguir um padrão é fundamental para garantir a interoperabilidade entre sensores e componentes de diversos fabricantes. Outro ponto fundamental é estabelecer protocolos mínimos de segurança.

Como fica a segurança?

A cada dia que passa, observamos que a IoT está cada vez mais presente na vida das pessoas e das empresas. Muitos sensores, hoje, são usados para ajudar na automação da indústria.

Nas cidades, com a adoção de projetos de Cidades Inteligentes (smartcities), muitos e diversos dispositivos estão sendo incorporados à rotina das pessoas, como sensores de iluminação, lâmpadas inteligentes, câmeras de segurança, carros autônomos, sensores de estacionamento entre muitos outros.

Para que isto tudo funcione, existem diversos componentes de uma infraestrutura necessária, que nós consumidores não vemos. Alguns deles são as redes de computadores com fio e sem fio, serviços de computação e outros.

Portanto, um dos principais desafios é a segurança de toda esta infraestrutura e rede conectada autônoma, pois os sensores e dispositivos conectam e se comunicam praticamente sem a intervenção humana.

Com isto, ela se torna um grande alvo para hackers e criminosos que buscam roubar dados ou até mesmo provocar a paralização parcial ou total do serviço e, tudo isto, sem que ninguém perceba.

Nos casos mais simples, os dados dos usuários podem ser roubados e, nos casos mais críticos, significar uma ameaça contra a vida. Como exemplo, podemos citar a invasão da rede de uma indústria e manipular os sensores de uma caldeira ou até mesmo de um reator nuclear.

Um outro exemplo, é atacar e hackear a rede Wi-Fi de um carro, invadir todo o seu sistema em movimento e atuar nos sensores do acelerador ou dos freios.

Antes das coisas ganharem vida com a IoT, os ataques cibernéticos estavam restritos aos computadores e servidores conectados à rede. Hoje, basta um smartphone, um carro, uma lâmpada, um sensor ou uma geladeira conectada à Internet, que passa a ser alvo de ataques cibernéticos.

Este ano de 2020, a previsão é que tenhamos o dobro de dispositivos conectados à Internet, portanto a “superfície” de ataque para os hacker e criminosos aumentará e, como consequência, o volume de ataques também. Com o maior número de dispositivos conectados à Internet, mais coisas poderão estar vulneráveis e serem alvos de uma invasão efetivamente.

Todo o conceito da Transformação Digital vem trazendo ganhos expressivos de produtividade e novas oportunidades de negócios para as empresas e pessoas. Porém, por outro lado, aumenta os dispositivos conectados e, com isto, o desafio de manter estes ambientes seguros contra-ataques cibernéticos.

Não existe uma bala de prata, ou seja, um produto mágico que garanta 100% de segurança, pois trata-se de um desafio de alta complexidade, pois envolve, em muitos casos, vários dispositivos diferentes, diversos fabricantes e ausência de uma padronização mínima.

Uma forma de minimizar os problemas futuros de segurança é adotar desde a concepção do projeto uma metodologia de Security by Design, ou seja, se preocupar com segurança desde a escolha dos dispositivos, do que será conectado e como.

Quando a proteção e a segurança não são nativas, é necessário aplicar uma camada ou tecnologia para fazer a gestão da segurança daquele ambiente, minimizando assim as possíveis ameaças.

A segurança em um ambiente de IoT não está restrita apenas à rede, dispositivos ou sensores, mas sim em todos os elementos envolvidos para que o projeto ou serviço funcione de forma adequada.

Portanto, uma forma de minimizar os riscos é adotar uma avaliação ampla sobre todos os componentes que fazem parte da solução, como dispositivos, serviços de nuvem, aplicações, interfaces, softwares, identificação e autenticação, entre outros.

Espera-se que no futuro com o estabelecimento de padrões mínimos de segurança e adoção de mecanismos de segurança da informação, possamos ter acesso a dispositivos mais seguros e, com isto, diminuir os riscos de ataques cibernéticos.

Airton Coelho Vieira Jr, MsC

Chief Technology Officer

Os desafios do Encarregado de Proteção de Dados

Os desafios do Encarregado de Proteção de Dados

A Lei Geral de Proteção de Dados (Lei Federal 13.709/2018) no Art. 5 inciso VII, define o papel do encarregado de proteção de dados para as empresas, conforme o texto abaixo:

Art. 5º Para os fins desta Lei, considera-se:

VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);    (Redação dada pela Lei nº 13.853, de 2019)   

Em seguida, no Art. 41., a Lei define algumas das atribuições do Encarregado de Proteção de Dados Pessoais:

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

  • 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
  • 2º As atividades do encarregado consistem em:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

  • 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Pensando nas atribuições destacas na Lei e, ainda, aquelas que poderão vir em normas complementares a serem editadas pela ANPD, o encarregado terá alguns grandes desafios para desempenhar este papel dentro das organizações.

Posso afirmar que será impossível o Encarregado exercer suas funções o auxílio da tecnologia, mas não estou falando das tecnologias para monitorar, proteger ou detectar possíveis incidentes de segurança, mas estou falando de ferramentas que efetivamente ajudem o dia a dia do Encarregado na gestão da privacidade e da conformidade com as Leis de Privacidade de uma forma geral.

Para desafiar a pensar sobre o dia a dia de um Encarregado, vamos começar com algumas perguntas sobre temas que ele deverá saber responder:

  1. Quantos registros de Dados Pessoais a sua organização gerencia atualmente?
  2. Do total de repositórios (Bancos de Dados, Servidores de Arquivos, Sistemas, Serviços em Nuvem, entre outros) que uma organização utiliza, quantos tratam dados pessoais?
  3. Uma vez conhecidos os repositórios, como encontrar os dados pessoais e, como associar estes dados a uma identidade ou um indivíduo?
  4. Quando houver Dados Pessoais sob a custódia de uma base legal de consentimento, será necessário fazer a gestão desta informação adicional, quantas repositórios estão sobre esta base legal e quanto já possuem funcionalidades prontas para fazer esta gestão?
  5. Qual a estrutura que as organizações irão disponibilizar ao encarregado, para que ele consiga exercer as suas atividades?
  6. Quantos titulares deverão exercer algum dos seus direitos? Como atender esta demanda? Ou seja, identificar os Dados Pessoais de um Titular nos diversos repositórios e responder o Titular se houver centenas ou milhares de solicitações?

 

Refletindo sobre cada umas destas questões, o primeiro desafio para o Encarregado é efetivamente conhecer os processos de negócios que capturam e tratam dados pessoais, mas mais do que isto entender onde os Dados Pessoais são armazenados e processados, pois eles podem estar distribuídos em dados estruturados – quando os dados estão dentro de um sistema ou um banco de dados e, podem ser não-estruturados – quando os dados estão dentro de documentos ou planilhas sem uma estrutura padrão ou conhecida. Portanto, o primeiro desafio é saber onde eles estão e como encontra-los, mas mais do que isto, como manter este inventário de dados atualizado constantemente, pois os dados que as organizações processam crescem e se modificam todos os dias.

O outro desafio diante do volume de dados pessoais que podem ser encontrados nas organizações é como correlacioná-los de uma forma, que possamos conectar todos os registros de dados pessoais de um indivíduo, independente do repositório que este registro se encontra. Desta forma, será muito mais fácil de atender a demanda de um Titular, senão o desafio será encontrar os possíveis identificadores do Titular e procurar em cada repositório utilizando o identificador correspondente. Como fazer isto com centenas ou milhares de solicitações e, como consolidar as respostas? Estas demandas serão atendidas pelo Encarregado ou a área de TIC ou compliance quem ajudarão nestas atividades? Será que as organizações estão planejando estrutura ou métodos ou ferramentas para executar isto?

Por fim, mas não menos importante, são os dados pessoais que possuem como base legal o consentimento. Quando um dado pessoal é capturado e tratado com base no consentimento será necessário fazer a gestão do consentimento, pois o Titular poderá exercer o direito de revogar o consentimento, portanto aquela captura e tratamento deverá ser encontrada e revogada e, em consequência, identificar os dados capturados e, estes, deverão ser removidos. Recentemente, visitei uma empresa que fornecia acesso à Internet para os seus visitantes e, para que eles pudessem usufruir, eles deveriam preencher um cadastro, consentir e concordar com a Politica de Privacidade, ou seja, uma captura e tratamento de dados tipicamente baseada no consentimento do Titular. Diante disto, questionei a empresa se eles tinham a lista dos visitantes que eles tinham capturado o consentimento no dia de ontem para usar o serviço de internet deles e, se algum visitante voltasse no dia seguinte e revogasse o consentimento, como eles fariam? Enfim, descobri que na verdade a empresa que prestava o serviço havia apenas modificado o texto do captive portal de autenticação dos visitantes, adicionando as questões relacionadas com a nova Lei de Privacidade e se o usuário autorizava a captura dos seus dados, mas não havia qualquer registro efetivo do consentimento em si e que a única maneira de remover o consentimento seria apagando os dados dos visitantes, mas não teria como registrar a revogação do consentimento. Enfim, faltava ferramenta efetiva para fazer a gestão efetiva do consentimento e, é isto que observamos de uma forma geral para cookies, formulários e outros serviços que capturam dados com base no consentimento – não há gestão.

O Encarregado vai necessitar de uma ou mais ferramentas para auxiliá-lo nas suas atividades, sem nenhuma dúvida. Pois, gerenciar dados pessoais dentro das organizações de uma forma geral é uma necessidade nova e sem conhecimento profundo da quantidade e da dinâmica de como estes dados são utilizados no dia a dia de cada organização.

Revise as perguntas acima e reflita a respeito e veja se consegue responde-las no contexto da organização em que você trabalha.

Na próxima semana, vamos explorar ferramentas que podem ajudar o encarregado a tratar estes desafios.

Um abraço,

Airton Coelho Vieira Jr, MsC
Chief Technology Officer

 

 

 

Cibersegurança: o que deve vir pela frente em 2019

O tema cibersegurança ganhou páginas de jornais e portais de notícias nos últimos anos. E a notícia quase sempre é negativa: ataques, vazamento de dados, malware etc.

Diante das crescentes ameaças, empresas passaram a tratar o assunto com mais atenção.

Até porque, mais do que riscos para os negócios, a não conformidade com a segurança e privacidade de dados agora prevê multas, com a criação da Lei Geral de Proteção de Dados (LGPD) no Brasil, por exemplo.

O que deve vir pela frente neste ano? A empresa de cibersegurança Cylance listou 5 tendências. São elas:

Grandes e pequenas empresas começam a se adaptar à Lei Geral de Proteção de Dados

A criação da Agência de Proteção de Dados (ANPD) já no final do Governo Temer traz à tona a importância das empresas se preparem para o novo cenário regulatório no Brasil com a LGPD (Lei Geral de Proteção de Dados). O tempo para a preparação e cumprimento das normas se encerra em 2020, no entanto, enfrentamos um cenário em que o mercado ainda não está preparado. Grandes e médias empresas devem incluir em seu orçamento um projeto de adequação à norma, tendo em vista, também, que a multa pode chegar até R$ 50 milhões por infração, além de estarem sujeitas a arcarem legalmente com a responsabilidade civil pelo vazamento de dados de seus clientes.

Casos como o da Netshoes, no qual foi aplicada uma multa considerável, serão recorrentes se as companhias não se atentarem a esses cuidados com segurança da informação. Há pouco, uma empresa teve seus dados encriptados por um Ransomware e decidiu pagar em detrimento de tomar as medidas corretivas para evitar que isso se repita. Se este pensamento seguir adiante mesmo com a Lei Geral de Proteção de Dados a tendência é que muitas empresas sejam notificadas no futuro.

Grupos relacionados com terrorismo atacarão centros populacionais com Crimeware

Embora grupos terroristas tenham atormentado organizações e indivíduos por anos, prevemos mais ataques potencialmente destrutivos em 2019. Em vez de quebrar sistemas com ransomware, os adversários usarão novas ferramentas para realizar ataques prejudiciais a indivíduos e organizações específicas. De ataques à integridade de dados, que essencialmente matam computadores até o ponto de substituições de hardware obrigatórias, às novas tecnologias para ataques físicos, como o recente ataque de drones na Venezuela, as superfícies de ataque estão crescendo e os inimigos vão se aproveitar disso. Para combater isso, as organizações devem fazer um inventário de seu cenário de ataque para identificar e aplacar possíveis ameaças antes que elas sejam exploradas.

Haverá uma revolta dos compradores de segurança no custo crescente dos serviços

À medida que o setor de segurança cresce, o custo dos serviço e o número de violações crescem também. De fato, o relatório Verizon DBIR de 2018 identificou mais de 53 mil incidentes de segurança neste ano, incluindo 2.216 violações de dados confirmadas. À medida que o ciclo interminável de ataques cibernéticos continua, o setor de segurança sofrerá ataques de seus clientes por perpetuar uma carga crescente de custos que não é produtiva para a missão de uma organização. Uma tecnologia melhor deve permitir que os clientes gerenciem seus custos de forma mais eficaz, e as organizações que não entenderem isso enfrentarão ondas de reação negativa no ano novo.

Tecnologia baseada em inteligência artificial distinguirá dados sensíveis de dados não sensíveis

Atualmente, a análise de dados para determinar o que é sensível versus não sensível é um processo manual. Os usuários precisam classificar os dados, mas os usuários são preguiçosos. Em 2019, a tecnologia baseada em IA ganhará a capacidade de aprender o que é sensível e classificá-lo automaticamente. Esse desenvolvimento exigirá uma consideração maior sobre como gerenciar esses dados e, além disso, como controlá-los.

As empresas também estão começando a automatizar os testes de invasão, permitindo que os pentesters trabalhem em red teams/pentests mais exclusivos ou avançados. Além disso, esses processos automatizados permitem a validação de controle, o que reduz os custos e fornece aos pesquisadores um maior grau de segurança. Para acompanhar esse crescimento rápido, as empresas tradicionais precisarão acomodar a automação, desenvolvendo suas soluções ou buscando integrações com novos fornecedores do setor com foco em automação.

Métodos biométricos atuais aumentarão as penalidades e riscos de privacidade

Embora algumas organizações estejam atualmente adotando a análise comportamental do usuário final em suas redes, essas tecnologias podem ser caras e aumentar os riscos de brechas de privacidade. Os dados estão sendo coletados e processados no terminal, deixando-os suscetíveis a ataques. Em 2019, as organizações devem começar a adotar a autenticação contínua para proteger informações cruciais de identificação. Com essa tecnologia, os rastros biométricos dos usuários finais poderão determinar a identidade sem incorrer em brechas de privacidade, riscos e custos que a biometria tradicional ou a análise comportamental central geralmente enfrentam.

Proteja sua empresa em 2019! A Future é parceira dos maiores fabricantes de segurança, disponibilidade e performance do mundo! Clique aqui e entre em contato conosco.

Fonte: IT Forum 365.

Read More

7 questões que você deve responder para evitar fraudes cibernéticas corporativas

Fraudes cibernéticas continuam a atingir em larga escala empresas de todo o mundo. É o que revela o Relatório Global de Fraude & Risco 2017/2018 da Kroll, empresa mundial de gestão de riscos e investigações corporativas, baseado nas informações fornecidas por 540 executivos de todos os continentes.

Segundo o levantamento, 86% dos participantes afirmam ter enfrentado uma situação dessa natureza, contra 85% em 2016, o que aponta que, apesar da maioria contar com medidas de conscientização dos usuários e diversos controles de segurança implementados, o alto índice permanece estável.

A infecção por códigos maliciosos foi o tipo de incidente mais frequente (36%), seguido de perto por phishing via e-mail (33%) e violação ou perda de dados de funcionários, clientes e segredos industriais (27%). Não por acaso, pela primeira vez em 10 anos o ranking geral da Kroll para todos os tipos de fraudes apresenta o ataque, perda ou roubo de informações sigilosas como o principal problema enfrentado.

A incidência chegou a 29%, no ano em que ameaças como o WannaCry bloquearam computadores em dezenas de países, com prejuízos de bilhões de dólares e colocou a discussão sobre investimentos em segurança digital na agenda da alta administração. Este ano o relatório prevê que até 2020 os gastos com segurança cibernética devem ultrapassar US$ 170 bilhões, mais que o dobro investido em 2017.

As situações não se limitam aos domínios digitais: 21% relataram o roubo de dispositivos de trabalho – como notebooks, pen drives ou celulares – que continham conteúdo confidencial sem a devida proteção. Apesar de ser um dos poucos grupos que foi menos citado que no ano anterior, ainda representa uma ameaça importante.

Software e sites vulneráveis foram os pontos mais explorados pelos malfeitores para conseguir o acesso, com 25% e 21% dos casos respectivamente. As fraudes foram perpetradas por cibercriminosos (34%), ex-funcionários (28%) e concorrentes (23%).

Ainda que tenham tomado providências para evitar novos incidentes, mais da metade dos entrevistados acredita que sua empresa ainda está vulnerável a vírus (62%), violação de dados (58%) e phishing por e-mail (57%). Os setores mais impactados por fraudes cibernéticas em 2017 foram construção, engenharia e infraestrutura (93%), telecomunicações, tecnologia e mídia (92%) e serviços financeiros (89%).

Cenário brasileiro

No Brasil, 89% dos executivos afirmaram já ter sofrido uma fraude cibernética em suas companhias, mas, diferente da tendência global, o índice não permaneceu estável: em 2016, era de apenas 76%.

Quase metade dos casos foram contaminações por códigos maliciosos (45%) e outros 37%, phishing por e-mail, o que leva os 63% dos respondentes a continuarem preocupados com a vulnerabilidade do sistema a novos ataques.

Os alvos das ameaças se concentraram em informações dos clientes (47%) e segredos industriais ou de pesquisas (44%), sendo que os agentes foram em sua maioria ex-funcionários (32%) e concorrentes (21%). 80% dos entrevistados acredita que as fraudes impactaram negativamente a privacidade, segurança e satisfação dos consumidores (80%), além do moral dos funcionários (76%).

O que fazer para evitar ataques?

De acordo com a experiência de seus especialistas, em seu Relatório Global de Fraude & Risco 2017/2018, a Kroll propõe às corporações refletirem sobre sete pontos fundamentais para ter um correto diagnóstico de sua segurança cibernética e adotar as melhores soluções:

1) Os funcionários compreendem as atuais políticas e procedimentos?

Os documentos só serão efetivos se forem claros e objetivos.

2) Os gestores estão obtendo as respostas que precisam? E estão fazendo as perguntas certas?

O líder da área deve saber tudo sobre a estratégia de segurança e ser capaz de esclarecê-la ao board sempre que preciso.

3) A empresa envolve todos os gestores na elaboração das políticas de segurança?

Além da TI, os inputs de todas as áreas são necessários para chegar a medidas que de fato atendam à rotina da empresa.

4) Os planos de resposta a incidentes já foram testados?

Por mais claros que sejam, somente na simulação de uma situação real será possível verificar sua efetividade.

5) Como a empresa tem avaliado a efetividade do investimento realizado em segurança cibernética?

Especialistas como a Kroll podem revisar planos, organização e verbas, dentro de um contexto global de ameaças e novos recursos.

6) Os líderes estão dando o exemplo?

Se os executivos e o board adotarem as medidas de segurança, todos os seguirão.

7) A empresa já pensou em ter um especialista em segurança cibernética em seu board?

Os prejuízos e consequências dos ataques têm levados muitas empresas a abordar este tipo de ameaça da mesma forma que os demais riscos críticos organizacionais, a fim de garantir maior proteção a seus ativos de dados.

A Future pode ajudar a sua empresa a evitar fraudes cibernéticas. Clique aqui e entre em contato conosco!

Fonte: IT Fórum 365.

Read More

Receba conteúdos exclusivos