Central de atendimento +55 (24) 2232-5850 - contato@future.com.br

Proteção

24 maio 2019
adm.future
0
Categories: Blog, Notícias

Transição para LGPD gera a confiança necessária em segurança da informação

Com os objetivos de dar aos cidadãos e residentes europeus formas de controlar os dados pessoais e de unificar o quadro regulamentar dos membros da União Europeia e Espaço Econômico Europeu, o Regulamento Geral sobre a Proteção de Dados (GDPR) deu início à uma onda de melhores medidas para a segurança de dados em diversos países. Aprovado em 15 de abril de 2016, mas entrando em vigor apenas em 25 de maio de 2018, o conjunto de leis busca garantir a privacidade e proteção de informações pessoais e prevê multas de até 4% do faturamento total da empresa que não estiver de acordo com as novas regras.

Porém, os reflexos da GDPR começaram a serem sentidos para além da União Europeia. Isso porque, o regulamento deve ser seguido por toda e qualquer empresa que armazena dados de cidadãos europeus, independente de onde a companhia opera. Isso fez com que inúmeros países se adequassem às novas leis e, consequentemente, pensassem em como as informações pessoais eram geridas dentro de casa. Como reflexo, os anos seguintes ao anúncio do novo regulamento viram aparecer conjuntos de leis semelhantes em outras regiões.

Na América Latina, países como México, Colômbia, Argentina, Chile e Peru se juntam ao Brasil entre aqueles que aprovaram os próprios regulamentos para a gestão de dados pessoais. Por aqui foi criada a Lei Geral de Proteção de Dados Pessoais (LGPD), ratificada no dia 14 de agosto de 2018, que determina como as informações dos cidadãos podem ser coletadas e tratadas, e que prevê punições para transgressões de até 2% sobre o lucro da empresa, com teto máximo de 50 milhões de reais.

Segundo estudo da IDC Brasil, 70% das PMEs nacionais enfrentam dificuldades na jornada digital, e garantir a segurança da informação é um desses desafios. No entanto, o tempo para se adequar às novas regras já está correndo. As empresas brasileiras têm até agosto de 2020 para adequar todos os processos de armazenamento, processamento, acesso, transferência e divulgação dos dados as regras da LGPD. Para fiscalizar o mercado, o governo brasileiro criou, no final de 2018, a Agência Nacional de Proteção de Dados (ANPD), órgão que responde diretamente à Presidência da República.

Esses regulamentos representam um período de transição, do qual sairão empresas mais conscientes sobre a importância da segurança da informação. Para atravessar esse processo sem grandes contratempos, as companhias devem apostar em soluções que estejam atualizadas de acordo com os requisitos de cada lei, o que traz benefícios a curto e a longo prazo. De imediato, as ferramentas ajudam a promover uma cultura de segurança no ambiente de trabalho e, no futuro, a evitar multas por falta de compliance.

Porém, diferentes interpretações do que é ou não é informação pessoal fazem com que as leis estejam em constante debate, e passíveis de mudança. No Brasil, a LGPD não faz nenhuma menção direta às imagens coletadas por vídeos de monitoramento, o que gerou um alerta entre empresas de monitoramento de vídeo.

Com a evolução do setor e a aplicação de tecnologias como cloud computing para transmissão e armazenamento, abre-se uma brecha na interpretação da legislação. Por exemplo, empresas que possuem soluções de câmeras inteligentes, capazes de detectar movimentos e pessoas com sensores, podem ser afetadas se um vídeo que identifica um indivíduo for considerado como dado pessoal.

Para não correr riscos, é necessário ficar atento às mudanças que a LGPD pode sofrer até 2020, ano em que a lei entrará, de fato, em vigor. Dessa forma, é importante utilizar esse período de transição para construir uma relação de confiança com a solução de segurança da empresa, para que a equipe tenha a certeza que, em caso de mudanças na legislação, a ferramenta irá manter a proteção de dados dentro da lei. Encontrar o equilíbrio no investimento de tempo e recursos financeiros para Pessoas – Processos – Tecnologia pode ser o fator determinante para o sucesso na proteção de dados ou pagamento de multas.

Quer adequar sua empresa a LGPD? Conte com a Future! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More
22 maio 2019
adm.future
0
Categories: Blog, Dicas, Segurança

MegaCortex: dicas para ficar bem longe desse ransomware

O MegaCortex, um malware relativamente pouco conhecido, teve um aumento substancial em volume no último 1º de maio, segundo a Sophos. A empresa de cibersegurança notou detecções do programa malicioso em vários países ao redor do mundo. O ransomware tem componentes manuais semelhantes ao Ryuk e BitPaymer, mas os criminosos por trás do MegaCortex usam mais ferramentas automatizadas para realizar os ataques – e isso é único.

Até agora, a Sophos viu ataques automatizados e manuais, assim como investidas mistas que combinam as duas estratégias anteriores, que geralmente utilizam mais técnicas manuais de hacking para se mover lateralmente. Com o MegaCortex, a Sophos está vendo um uso mais pesado de automação aliado ao componente manual. Esta nova fórmula é projetada para espalhar a infecção para mais vítimas, mais rapidamente.

Segundo a empresa, não existe um valor explícito à ser pago na nota de resgate enviada pelos criminosos. Ao invés disso, os atacantes orientam as vítimas a utilizar um de dois endereços de e-mail gratuitos do mail.com para entrar em contato e enviar um arquivo que o ransomware coloca no disco rígido da vítima para solicitar “serviços” de descriptografia.

A nota de resgate também promete que os cibercriminosos “irão incluir uma garantia de que a empresa nunca mais será incomodada por nós ” se as vítimas pagarem o resgate, e continua: “Você também receberá uma consultoria sobre como melhorar a segurança cibernética da empresa”.

“Suspeitamos que este seja o “pacote completo” do ataque e um bom exemplo do que temos chamado ultimamente de testes de intrusão de cibercriminosos. Os atacantes do MegaCortex adotaram uma abordagem de ameaças mista e levaram ao nível máximo, aumentando o componente automatizado para atingir mais vítimas. Depois que eles obtêm as credenciais de administrador, não tem mais como pará-los. Lançar o ataque a partir do próprio controlador de domínio é uma ótima maneira dos invasores terem acesso a toda a autoridade necessária para impactar toda a organização. As empresas precisam prestar atenção aos controles básicos de cibersegurança e realizar avaliações de segurança antes que os criminosos o façam, para impedir que invasores como esses saiam ilesos.”

Como se proteger?

A Sophos lista cinco recomendações de proteção para ficar bem longo do MegaCortex. Confira abaixo:

  1. Parece que há uma forte correlação entre a presença do MegaCortex e uma infecção contínua pré-existente na rede das vítimas com Emotet e Qbot. Se os gerentes de TI estiverem observando alertas sobre infecções por esse últimos dois malwares, eles devem ter alta prioridade. Ambos os bots podem ser usados para distribuir outros programas maliciosos, e é possível que as infecções do MegaCortex tenham começado assim.
  2. Até agora, a Sophos não viu nenhuma indicação de que o RDP (Remote Desktop Protocol) tenha sido violado para invadir redes, mas sabemos que furos em firewalls corporativos que permitem que pessoas se conectem ao RDP ainda são relativamente comuns. Desencorajamos fortemente essa prática e recomendamos que qualquer administrador de TI que deseje utilizar o protocolo coloque a máquina RDP atrás de uma VPN.
  3. Como o padrão de ataque parece indicar que uma senha administrativa tenha sido roubada pelos criminosos, também recomendamos a adoção generalizada de autenticação de dois fatores sempre que possível
  4. Manter backups regulares dos dados mais importantes e atuais em um dispositivo de armazenamento offline é a melhor maneira de evitar ter que pagar o resgate.
  5. Use proteção anti-ransomware para bloquear o MegaCortex e futuros ransomwares.

A Future é parceira Sophos e pode ajudar você e sua empresa a ficarem livres de ransomware! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More
21 maio 2019
adm.future
0
Categories: Blog, Dicas, Notícias, Segurança

Cibercrime: sua empresa e seus clientes estão em risco!

A afirmação é do especialista em segurança da informação Daniel Niero, diretor de Operações do IT2S Group. Conforme o executivo, o risco é “extremamente real”, e provas disso são compartilhadas diariamente na mídia nacional e internacional.

Como exemplo, ele cita casos como o do ciberataque em escala global, há cerca de um ano, que afetou mais de 200 empresas em diversos países, incluindo o Brasil, e a mega infecção do vírus Petya, responsável por perdas que chegaram a US$ 300 milhões para algumas companhias, conforme o relatório The Global Risks Report 2018.

O diretor ressalta, ainda, que o malware é o tipo de ataque mais caro, chegando a custar US$ 2,6 milhões às empresas, em média, seguido por ataques baseados em web, que chegam a custar US$ 2,3 milhões.

O número de empresas vítimas de ataques de ransomware aumentou 15% em 2018, com expansão de custos de 21% – algo em torno de US$ 650 mil por companhia, em média. Em 2019, o estudo “Cost of Cybercrime”, responsável pelos dados acima, também mostrou aumento nos gastos das empresas com malware (11%) e os chamados insiders maliciosos (15%).

“Os dados mostram diariamente o risco que as organizações de todos os tamanhos correm. A grande pergunta é: por qual motivo elas não investem em segurança, visto que o custo com os ataques pode ser bem maior? Essa é uma resposta simples de analisar: porque as organizações ou não querem investir, ou investem errado”, analisa Niero.

O grande erro, segundo o especialista, é não tratar a segurança como uma necessidade cultural e primordial do negócio.

“Muitos acreditam que não há necessidade de uma consultoria especializada para tratar do assunto, mas o ponto central do problema é que estas mesmas empresas ainda não entenderam a relação custo-benefício: além de toda burocracia trabalhista de contratar alguém para ocupar o cargo e cuidar de toda a segurança da informação, o custo deste tipo de contratação é muito maior do que investir em um terceiro especializado, que terá uma equipe multidisciplinar sem agregar os custos de cada um dos profissionais empregados à gestão de cibersecurity, e ajudará a realmente detectar brechas e traçar planos de contingência inteligentes, além de encontrar rápidas soluções para evitar possíveis catástrofes digitais”, avalia o executivo.

Segundo Niero, é preciso falar mais sobre prevenção – muito mais do que sobre remediação. Deixar a responsabilidade da manutenção da segurança nas mãos certas é, conforme o diretor, o primeiro passo evitar que vazamento ou roubo de dados ocorram.

“Diante disso, fica evidente que as empresas precisam abrir os olhos para dentro de seus processos e compreender de uma vez por todas que desembolsar dinheiro para proteger dados não é gasto, é investimento essencial a curto, médio e longo prazo”, finaliza.

Mantenha sua empresa e seus clientes protegidos! Conte com a Future! Nossos especialistas são certificados juntos aos maiores fabricantes de soluções de segurança, disponibilidade e performance do mundo! Conheça nossas Soluções clicando aqui!

Fonte: InforChannel.

Read More
20 maio 2019
adm.future
0
Categories: Blog, Dicas

A LGPD chegou. Você sabe onde estão os dados dos seus clientes?

Os consumidores hiperconectados e multicanal do Século 21 trazem para as corporações dois novos desafios: estar presentes em todos os pontos onde eles estão, e cuidar com segurança de todas as informações captadas e geradas por essas interações. Com as legislações de proteção aos dados pessoais – GDPR e LGPD – entrando em vigor no mundo todo, cumprir o segundo desafio é mandatório, porque falhar pode causar perdas financeiras consideráveis.

Para o cumprimento das novas regras de proteção de dados, os líderes corporativos devem se perguntar se estão usando os dados corretamente, diz Katia Ortiz, country manager da ServiceNow no Brasil.

“Devem avaliar se precisam criar novas políticas, se é possível implementar medidas corretivas com base em uma abordagem de risco e se os planos de treinamento com os quais conta sua equipe são suficientes. Com o uso de tecnologias de automatização e soluções baseadas em nuvem, as empresas podem identificar aplicativos que lidam com dados pessoais, fornecer meios para coletar evidências e rastrear a conformidade com todas as regulamentações de maneira simples e eficaz”, diz Ortiz.

O risco de não compliance

Imagine, por exemplo, uma empresa de varejo que, além de lojas físicas, inicia suas operações também no e-commerce. Em seguida, ela decide lançar um cartão de crédito co-branded para os clientes, fazendo para isso parceria com um banco e uma bandeira de cartão. Na continuidade da jornada do seu consumidor, a empresa cria também um programa de fidelidade com pontos e prêmios com diferentes parceiros. E lança um aplicativo móvel.

Agora, imagine um cliente dessa empresa que decide fazer uso da da Lei Geral de Proteção de Dados (LGPD) brasileira, que entra em atividade em agosto de 2020 , ou do Regulamento Geral de Proteção de Dados (GDPR), que protege cidadãos da União Europeia, e solicitar que a empresa de varejo lhe envie todos os dados, interações e informações que armazena sobre ele. Ambas as leis exigem que as organizações demonstrem possuir processos adequados para gerenciar e proteger informações pessoais e que respondam, no prazo máximo de 72 horas, ao pedido de qualquer cidadão. Sob pena de multas pesadas.

“São muitos pontos de contato corporativo e muitos canais recebendo informações de diferentes teores e pesos sobre cada cliente. Para cumprir a lei, a empresa solicitada vai precisar acionar todos os parceiros, que usam diferentes plataformas e várias tecnologias, para recuperar, de cada um, o que existe sobre o cliente, e aí consolidar o relatório”, lembra Willians Medeiros, especialista da divisão Risk e Compliance da ServiceNow.

As novas legislações sobre proteção de dados pessoais e privacidade lançam as empresas em uma jornada com múltiplas tarefas urgentes:

  • Elas precisam criar processos para tratar essas solicitações, que incluem procedimentos corretos de como reportar os pedidos à entidade controladora e de como documentar que foram entregues ao solicitante no prazo;
  • Elas precisam mapear seu ecossistema para saber onde estão as informações dos clientes, dentro de casa e em parceiros, identificar o que é capturado ou processado em cada ponto e classificar esses dados de acordo com as especificações das novas leis;
  • E, finalmente, precisam garantir que seus sistemas, e dos parceiros, lidam com os dados da forma correta. Por exemplo, que tipo de informação precisa ficar anônima, que tipo de informação pode ser distribuída por e-mail, que tipo de informação pode ser armazenada etc.

A solução ServiceNow Governance, Risk and Compliance combina recursos de segurança, TI e risco em um programa de risco unificado criado na Now Platform®. A solução é reconhecida como Líder no Quadrante Mágico Gartner 2018 para Gerenciamento Integrado de Riscos. Ela permite que os clientes possam responder aos riscos do negócio em tempo real por meio de monitoramento contínuo, priorização e automação. A plataforma pode identificar os aplicativos que acessam dados pessoais e fornecem meios para coletar evidências, avaliando a conformidade desses aplicativos em grupos funcionais.

Entre as principais possibilidades da solução, estão:

  • Importar requisitos, descrição e gerenciamento de políticas de GDPR e LGPD
  • Gerenciar conformidade com o GDPR e LGPD de terceiros
  • Avaliações de impacto de proteção de dados (DPIAs)
  • Avaliação de riscos e requisitos de gestão
  • Requisitos de auditoria e de tópicos de dados
  • Mapeamento de Informações Pessoais Identificáveis (PII)
  • Notificação de violação de 72 horas
  • Painel de controle de proteção de dados (DPO)

Os primeiros passos para as empresas se adaptarem a leis como a GDPR e a Lei de Proteção de Dados, segundo Willians, é entender como elas usam os dados para definir se precisam fortalecer e projetar novas políticas e sistemas para conformidade com a regulamentação.

“Ela consegue priorizar e implementar as principais medidas corretivas usando uma abordagem baseada no risco sozinha? Seus planos de treinamento da equipe sobre proteção de dados são suficientes? Sem a resposta para essas dúvidas, não é possível prosseguir para o plano tático e se adaptar à nova realidade”, lembra Willians.

Quer adequar sua empresa a LGPD? Conte com a Future! Nossos especialistas são certificados junto aos maiores fabricantes de soluções de segurança, disponibilidade e performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More
15 maio 2019
adm.future
0
Categories: Blog, Notícias, Segurança

Atualize o WhatsApp agora! Bug permite instalação de spyware no seu telefone com apenas uma chamada!

O WhatsApp divulgou uma séria vulnerabilidade no aplicativo de mensagens que dá aos espiões uma maneira de injetar remotamente spywares israelenses em dispositivos iPhone e Android simplesmente chamando o alvo.

O bug, detalhado em um comunicado do Facebook de segunda-feira para o CVE-2019-3568, é uma vulnerabilidade de estouro de buffer na função VOIP do WhatsApp.

Um invasor precisa chamar um alvo e enviar pacotes SRTP (Secure Real-time Transport Protocol) para o telefone, permitindo que eles usem a falha de memória na função VOIP do WhatsApp para injetar o spyware e controlar o dispositivo.

O alvo nem precisaria responder à chamada para o spyware ser injetado, e as chamadas freqüentemente desaparecem dos registros de chamadas.

Embora o WhatsApp ofereça suporte à criptografia de ponta a ponta, que deve proteger o conteúdo das comunicações entre os usuários, essa medida de segurança pode ser prejudicada se um dispositivo for comprometido por malware.

O Financial Times, que divulgou a reportagem, relata que o spyware é da companhia israelense NSO Group, que foi acusada de vender seu spyware para governos com registros duvidosos de direitos humanos.

O principal produto do NSO Group é o Pegasus, uma ferramenta chamada ‘interceptação legal’, que os pesquisadores do Laboratório Cidadão da Universidade de Toronto encontraram recentemente em 45 países.

A implantação generalizada sugere que ela não está sendo usada apenas para combater o crime local e o terrorismo, mas também para a vigilância transfronteiriça, por exemplo, por governos que buscam informações de dissidentes políticos que vivem em outros países.

O malware pode gravar conversas, roubar mensagens privadas, exfiltrar fotos, ligar o microfone e a câmera de um telefone e coletar dados de localização.

No ano passado, uma investigação do Citizen Lab descobriu que colegas de um jornalista mexicano morto também foram alvos de Pegasus.

Os engenheiros do WhatsApp no ​​domingo teriam corrido para lidar com a vulnerabilidade como foi usado naquele dia, na tentativa de instalar o Pegasus ao telefone de um advogado de direitos humanos do Reino Unido.

O WhatsApp implantou uma correção no servidor na sexta-feira da semana passada e publicou um patch para os usuários finais na segunda-feira, juntamente com o aviso do Facebook.

A falha VOIP do WhatsApp afeta o WhatsApp para Android antes de v2.19.134, o WhatsApp Business para Android antes de v2.19.44, o WhatsApp para iOS anterior a v2.19.51, o WhatsApp Business para iOS anterior a v2.19.51, o WhatsApp para Windows Phone anterior a v2 .18.348 e WhatsApp para Tizen antes da v2.18.15.

De acordo com o Financial Times, o advogado anônimo do Reino Unido que foi alvo da Pegasus está processando o Grupo NSO em Israel em nome de um grupo de jornalistas mexicanos e críticos do governo e um dissidente saudita que vive no Canadá. O processo alega que o Grupo NSO é responsável pelo mau uso de seus produtos pelos clientes.

Facebook disse à publicação: “Este ataque tem todas as características de uma empresa privada conhecida por trabalhar com os governos para entregar spyware que supostamente assume as funções dos sistemas operacionais de telefonia móvel. Nós informamos um número de organizações de direitos humanos para compartilhar as informações podemos e trabalhar com eles para notificar a sociedade civil”.

O WhatsApp diz que informou o Departamento de Justiça dos EUA sobre o assunto.

O NSO Group se distanciou da tentativa real de instalar seu spyware no telefone do advogado do Reino Unido.

“A NSO não poderia ou não poderia usar sua tecnologia em seu próprio direito para atingir qualquer pessoa ou organização, incluindo este indivíduo”, disse o NSO Group à ZDNet.
A empresa argumenta que sua tecnologia é licenciada para agências governamentais autorizadas com o único propósito de combater o crime e o terror.

“A empresa não opera o sistema e, após um processo rigoroso de licenciamento e verificação, a inteligência e a aplicação da lei determinam como usar a tecnologia para apoiar suas missões de segurança pública”, disse o grupo NSO.

Acrescentou que investiga quaisquer alegações credíveis de uso indevido e, se necessário, toma medidas, que podem incluir o encerramento do sistema.

“Sob nenhuma circunstância, a NSO estaria envolvida na operação ou identificação de alvos de sua tecnologia, que é operada exclusivamente por agências de inteligência e policiais”, disse o NSO Group.

Fonte: CryptoID.

Read More
13 maio 2019
adm.future
0
Categories: Blog, Dicas

E-commerce precisa se preparar já para LGPD, alerta ABComm

A Lei Geral de Proteção de Dados (LGDP), que deverá ser implementada a partir de agosto de 2020 no Brasil, vai resultar em mudanças para os mais diferentes setores de mercado, incluindo o e-commerce.

Para a ABComm (Associação Brasileira de Comércio Eletrônico), a nova legislação é positiva, uma vez que traz mais poder aos usuários e penaliza as empresas que descumprirem as regras.

Segundo o diretor jurídico da associação, Márcio Cots, que participou como consultor técnico de discussões sobre o assunto no Senado Federal, as companhias de comércio eletrônico precisam adaptar o mais rápido possível as suas práticas de segurança, compliance e TI.

Além disso, Márcio chama a atenção para a necessidade dessas organizações promoverem treinamentos, modificarem processos e adaptarem documentos para se adequar à LGPD.

Confira abaixo três impactos que a nova legislação terá sobre as empresas de e-commerce e que merecem atenção especial, de acordo com a ABComm:

Coleta e uso só de dados com autorização

A nova legislação impede que dados pessoais sejam coletados ou utilizados sem consentimento do usuário. Para recolher informações usando cookies e outras ferramentas, os serviços de e-commerce precisarão de uma autorização específica por parte dos consumidores. Isso atinge não apenas as empresas que dialogam diretamente com os clientes, mas todas as que, por algum motivo, tiverem acesso aos seus dados pessoais, o que inclui serviços de logística, atendimento eletrônico e muitos outros. “E essa autorização não funciona como um ‘cheque em branco’. As informações poderão ser usadas apenas para a finalidade com que foram coletadas, nada além”, pontua o advogado. “Hoje, as empresas utilizam dados de navegação para sugerir produtos conforme o perfil de cada usuário, compartilhando inclusive suas bases de dados com outros parceiros sem informar ao consumidor. Com a LGDP, este tipo de prática será vetado”.

Mais poder ao usuário

Outra novidade introduzida pela LGDP é que o titular do dado tem o direito de questionar qualquer serviço de e-commerce sobre quais informações pessoais ele armazena e exigir que as mesmas sejam editadas ou excluídas. Pode exigir ainda a portabilidade dos dados. “Isso também difere do cenário que temos hoje. Políticas de privacidade e sistemas de busca terão de ser remodelados”, afirma o advogado.

Penalidades financeiras

A LGDP pressupõe um incremento considerável na fiscalização das empresas por parte da Autoridade Nacional de Proteção de Dados (ANPD), autarquia ligada ao Ministério da Justiça, a fim de evitar o mau uso ou o vazamento de informações pessoais. As penalidades incluem multas que oscilam de 2% do faturamento da empresa até R$ 50 milhões por infração cometida. E não é tudo. “A companhia que insistir em práticas inadequadas pode ter sérios problemas com o ministério público”, informa Cots.

Quer adequar sua empresa a LGPD? Conte com a Future! Somos parceiros dos maiores fabricantes de soluções de segurança, disponibilidade e performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More
9 maio 2019
adm.future
0
Categories: Blog, Notícias

MP que altera lei geral de proteção de dados avança no Congresso

A comissão mista que analisa a Medida Provisória (MP) 869/2018 aprovou nesta terça-feira (7) o relatório do deputado Orlando Silva.

O texto altera competências e garante autonomia técnica e decisória à Autoridade Nacional de Proteção de Dados (ANPD).

O órgão deve zelar pela proteção de dados pessoais e segredos comerciais e industriais.

A medida provisória altera a Lei 13.709, de 2018— conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD).

A norma prevê regras para proteger informações dos cidadãos gerenciadas por empresas públicas ou privadas.

Editada em dezembro do ano passado, a MP 869 previu a criação da Autoridade Nacional de Proteção de Dados como um ente ligado à Presidência e não como autarquia independente como trazia a LGPD.

A medida diminuiu o poder da autoridade, retirando sanções e medidas de fiscalização.

Além disso, a MP suprimiu outros pontos da Lei, como a possibilidade de revisão de decisões tomadas por processo automatizado (como uma “nota” de crédito definida por um algoritmo de um banco).

A redação flexibilizava a gestão de dados pessoais pelo Poder Público, retirando limites colocados pela Lei Geral de Proteção de Dados.

O relator, deputado Orlando Silva (PCdoB-SP), apresentou relatório há duas semanas com uma solução “alternativa”: a autoridade continuaria sob a Presidência da República como um ente dependente, mas em no máximo dois anos o Executivo encaminharia proposta para sua transformação em autarquia.

O parlamentar acrescentou a exigência de sabatina pelo Senado dos diretores indicados pelo governo federal.

Hoje, o relator colocou na comissão especial uma complementação de voto alterando essa formulação, deixando a mudança apenas como uma recomendação.

O recuo foi resultado de debates entre membros da comissão e do risco do trecho ser vetado pelo Executivo Federal.

Com isso, ela será uma área a ser estruturada pela Presidência, sem previsão de contratação de pessoal especializado. “Inexiste imposição, mas é uma alternativa ao Poder Executivo”, explicou Silva na sessão da comissão.

O relatório de Silva, entretanto, resgatou prerrogativas e sanções da Autoridade Nacional de Proteção de Dados, como a suspensão parcial de banco de dados que tiver desrespeitado a Lei e a proibição parcial ou total do exercício de atividades de tratamento de dados.

Revisão

A revisão de decisões automatizadas foi um tema polêmico ao longo da discussão da Lei.

O uso destes sistemas vem crescendo e envolve diversas esferas da vida, da contratação de diversos serviços ou a obtenção de empréstimos.

O relatório de Orlando Silva resgatou a possibilidade desta revisão, que havia sido vetada pela MP.

Na complementação de voto, no entanto, Silva incluiu que esta prática dependerá de regulamentação pela autoridade nacional e que “levará em consideração a natureza e o porte da entidade e o volume de operações de tratamento de dados”.

Orlando Silva apresentou nesta terça-feira uma complementação de voto com mudanças em relação ao relatório original, apresentado em abril.

Detalhes do projeto de lei de conversão (PLV) apresentado no relatório de Orlando Silva

Sabatina

Os membros do Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) devem passar por sabatina no Senado, como ocorre com os integrantes de agências reguladoras. Os conselheiros só podem ser afastados preventivamente pelo presidente da República após processo administrativo disciplinar.

Mandato

O relatório restaura mandato de dois anos para integrantes do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. A previsão havia sido abolida no texto original da MP 869/2018, mas estava prevista em trechos da Lei Geral de Proteção de Dados Pessoais que foram vetados pela Presidência da República. Na complementação de voto, o deputado Orlando Silva flexibiliza essa regra para os integrantes nomeados pelo Poder Executivo, que podem ser substituídos pelo presidente da República a qualquer tempo.

Composição

O número de membros do Conselho cai de 23 previstos na MP original para 21. São cinco representantes indicados pelo Poder Executivo, três pela sociedade civil, três por instituições científicas, três pelo setor produtivo, um pelo Senado, um pela Câmara dos Deputados, um pelo Conselho Nacional de Justiça, um pelo Conselho Nacional do Ministério Público, um pelo Comitê Gestor da Internet, um por empresários e um por trabalhadores.

Atribuições

O relatório recupera atribuições da ANPD que haviam sido suprimidas pelo texto original da MP 869/2018, como zelar pela observância de segredos comerciais e industriais e realizar auditorias sobre o tratamento de dados pessoais. Mas o relator também mantém competências previstas na medida provisória, como requisitar informações e comunicar às autoridades sobre infrações penais ou descumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD).

Natureza Jurídica

A primeira versão do relatório obrigava a transformação da ANPD em autarquia após dois anos de funcionamento. Na complementação de voto, o deputado Orlando Silva tira esse caráter mandatório, já que poderia ser vetado por invadir competência do Poder Executivo. O projeto de lei de conversão indica apenas que a vinculação à Presidência da República é “transitória” e deve ser reavaliada pelo Poder Executivo.

Punições

A ANPD recupera a competência para aplicar punições, como a suspensão do funcionamento de banco de dados e a proibição do exercício de atividades relacionadas a tratamento de informações. A primeira versão do relatório previa a substituição das penalidades de suspensão total e proibição total por intervenções administrativas. Mas, segundo o deputado Orlando Silva, a medida “imporia um ônus desproporcional sobre o setor produtivo de tratamento de dados”. Na complementação de voto, ele prevê a pena de suspensão das atividades por seis meses, prorrogável por igual período em caso de reincidência.

Multas

São restauradas fontes de receita para a ANPD, como dotações previstas no Orçamento Geral da União, doações e valores apurados com a venda de bens ou com aplicações no mercado financeiro. Mas a autoridade não pode mais ficar com o dinheiro arrecadado com multas. Esses recursos serão repassados ao Fundo de Defesa de Direitos Difusos.

Revisão de Dados

O cidadão que se sentir prejudicado pela análise de dados realizada exclusivamente por computadores pode solicitar a revisão dos resultados por pessoas. A regra vale para os casos em que o tratamento automatizado for usado para fundamentar decisões que afetem os interesses do usuário, como a definição de perfis pessoal, profissional, de consumo ou de crédito. Na complementação de voto, o deputado Orlando Silva prevê que o regulamento da ANPD, ao disciplinar a revisão, deve levar em conta a natureza e o porte da entidade, assim como o volume de operações de tratamento de dados.

Indenizações

Na complementação de voto, o deputado Orlando Silva acatou uma sugestão para permitir a negociação e o eventual pagamento de indenização nos casos em que o usuário seja prejudicado por falhas no tratamento de informações. Por exemplo: se os dados financeiros de uma pessoa são digitados com erro e isso provoca uma restrição de crédito no mercado, o usuário pode negociar o pagamento de uma reparação diretamente com a empresa responsável pela falha. Se houver acordo, o caso não precisa ser comunicado à ANPD.

Reclamações

O usuário pode formalizar reclamações junto à ANPD por eventuais irregularidades no tratamento de dados. Mas a medida vale apenas como um recurso: primeiro, o cidadão deve comprovar que tentou e não conseguiu resolver o problema junto ao responsável direto pela análise dos dados no prazo legal. Na complementação de voto, o deputado Orlando Silva prevê a implantação de mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais.

Comunicação e Compartilhamento

A comunicação ou o uso compartilhado de dados mantidos pelo Poder Público com empresas privadas depende de consentimento do titular. Mas há algumas exceções: quando os dados sejam “manifestamente públicos”; quando a coleta de dados pessoais de crianças for necessária para contatar os pais ou responsáveis legais; para cumprir atribuições legais do serviço público; para a execução de políticas públicas; e para a prevenção de fraudes e irregularidades. Na complementação de voto, o deputado Orlando Silva prevê que a informação à ANPD depende de regulamentação.

Lei de Acesso à Informação

O texto protege o sigilo dos dados pessoais de cidadãos que requerem informações públicas por meio da Lei de Acesso à Informação (Lei 12.527, de 2011). Fica proibido o compartilhamento desses dados com órgãos públicos ou empresas privadas.

Dados de Saúde

É vedada a comunicação ou o uso compartilhado de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica. A intenção é evitar a negação de acesso ou a seleção de risco para seguros médicos e planos de saúde. A primeira versão do relatório só permitia a transferência de informações na hipótese de prestação de serviços de saúde, incluídos os serviços auxiliares de diagnose e terapia. Na complementação de voto, o deputado Orlando Silva incluiu a possibilidade de compartilhamento para garantir a assistência farmacêutica do usuário. O projeto de lei de conversão estabelece critérios para o compartilhamento. A comunicação só pode ocorrer se for “exclusivamente para a tutela da saúde, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária”.

Idosos e Microempresários

O relatório prevê atendimento diferenciado para idosos. A ANPD deve garantir que o tratamento de dados dos maiores de 60 anos seja efetuado “de maneira simples, clara e acessível e adequada ao seu entendimento”. A ANPD também deve editar normas, orientações e procedimentos simplificados e diferenciados para atender as empresas de pequeno porte. Na complementação de voto, o deputado Orlando Silva estendeu o benefício às start ups — empresas emergentes que têm como objetivo inovar, desenvolver ou aprimorar um modelo de negócio.

Conte com a Future

Sua empresa está preparada para a LGPD? Conte com a Future! Preencha o formulário abaixo e saiba como podemos ajudar a sua empresa a se adequar a nova lei!

Fontes: Relatório e complementação de voto do deputado Orlando Silva à MP 869/2019 e com informações da Agência Senado e Agência Brasil; e CryptoID.

Read More
26 abril 2019
adm.future
0
Categories: Blog, Dicas, Segurança

Cooperação é a melhor estratégia de segurança

De acordo com o Instituto Ponemon, o custo médio de violação de dados no Brasil é de R$ 1,24 milhão por empresa. E o custo financeiro não é o único prejuízo. Hoje, qualquer empresa, de qualquer tamanho, enfrenta um desafio que cresce a cada dia: segurança. Uma falha na segurança cibernética tem efeitos que não terminam com a divulgação e solução do problema. Essa violação causa danos, muitas vezes irreparáveis, na reputação da empresa; e com a LGPD mostrando sua cara no horizonte, as consequências financeiras podem chegar a milhões de reais.

E a verdade é uma só: não existe uma solução que impeça todas as ameaças. Existem soluções que alertam sobre possíveis brechas e ajudam as empresas a consertá-las e, dessa, forma, evitá-las.

Como controlar todos os pontos de entrada simultaneamente e saber que basta uma única brecha para todo esse trabalho ter sido jogado fora? Esse é um dos maiores desafios de qualquer equipe de segurança da informação

Em um país como o Brasil, considerado pelo Instituto Ponemon, o que mais representa risco de violações, investir em melhores práticas de proteção de dados é o único caminho possível. Contar com uma equipe de segurança da informação e ter um plano de respostas a incidentes são medidas urgentes e prioritárias e é nesse ponto que um outro desafio aparece: a falta de talentos em segurança.

Manter um time que saiba lidar com adversidades não é uma tarefa fácil e mesmo que a empresa já conte com uma equipe bem formada, sempre haverá a necessidade de repor algum funcionário que tenha saído.

Antes de sair para o mercado atrás da peça ideal para montar uma equipe ou repor, é preciso entender quais habilidades e recursos são necessários que a equipe possa executar seu trabalho sem contratempos; se a área de TI tem a infraestrutura necessária para realizar os processos necessários para implementar e executar as medidas de segurança e até mesmo avaliar se esse trabalho pode ser feito internamente ou se não é melhor terceirizar.

Resolvido esse pequeno dilema, outro pode surgir. Muitas empresas mantêm a segurança cibernética e a TI separadas, quando deveriam andar juntas, sob o mesmo guarda-chuva, afinal, ninguém conhece melhor o ambiente de dados como a equipe que o criou e gerencia.

Equipes de segurança e TI devem trabalhar lado a lado para entender os requisitos de desempenho e para que os sistemas essenciais para os negócios se mantenham disponíveis durante todo o tempo. Uma medida de segurança não pode, em nenhuma hipótese, comprometer a disponibilidade.

Como a TI tem conhecimento prático do comportamento e interações dos sistemas de dados, seu papel, dessa forma, é vital para detectar ameaças precocemente. Mas, para isso, é preciso que tenham as ferramentas necessárias e o entendimento do que deve ser monitorado. É nesse ponto que a cooperação entre as áreas se faz mais importante.

Lidar com falhas de conformidade também podem representar prejuízos significativos. Em um mundo cada vez mais regulamentado – LGPD, GDPR, HIPAA -, as empresas encontram-se obrigadas a atender normas cada vez rígidas de proteção de dados e privacidade, assim, o compartilhamento de informações e recursos entre as áreas de segurança e TI mostra-se uma estratégia inteligente e facilita o gerenciamento e manutenção dos processos de conformidade.

Compartilhar o conhecimento é imprescindível para a segurança da informação. Em um ambiente em que não é possível afirmar que algo seja 100% seguro, e com hackers cada vez mais motivados em encontrar novas e inovadoras formas de invasão, manter uma estratégia de segurança que priorize uma combinação de estruturas, equipes e sistemas garante uma vantagem substancial contra possíveis brechas de segurança.

Se a busca por novos talentos é complicada, promover a cooperação entre TI e segurança da informação é a melhor estratégia.

Mantenha-se protegido! Conte com a Future!!! Somos parceiros dos maiores fabricantes de Soluções de Segurança, Disponibilidade e Performance do mundo! Preencha o formulário abaixo e fale conosco.

Fonte: CIO.

Read More
24 abril 2019
adm.future
0
Categories: Blog, Notícias, Segurança

Cresce número de arquivos em PDF fraudulentos em 2019

Em 2018 houve um aumento substancial de arquivos PDF maliciosos ou fraudulentos. É o que revela pesquisa da SonicWall, realizada por meio do SonicWall Capture Labs. Segundo os pesquisadores, essa fraude explora a confiança dos usuários em arquivos PDF. Esse formato é visto como um arquivo “seguro” e, por essa razão, é amplamente usado em operações comerciais.

De acordo com Bill Conner, presidente e CEO da SonicWall, em 2018 foram descobertos mais de 47 mil novas ameaças em arquivos PDF. Em 2019, esse número aumentou significativamente, com ataques baseados em PDF passando de 2.201 em janeiro para 73.491 em março. No ano passado, a SonicWall identificou mais de 74 mil novas variantes de ataques, um número que já foi superado no primeiro trimestre de 2019, com mais de 173 mil variantes detectadas.

Em março, a tecnologia de inspeção profunda de memória em tempo real (Real-Time Deep Memory Inspection, RTDMI), da SonicWall, identificou mais de 83 mil eventos maliciosos únicos, nunca antes vistos. Desse total, mais de 67 mil eram PDFs vinculados a golpes contra usuários e mais de 5,5 mil eram PDFs com links para downloads de Emotet e outros malwares.

Alvos

Os alvos dessa fraude que utiliza PDFs, assim como o phishing, geralmente recebem documentos maliciosos de “empresas”. A meta é atrair as vítimas com arquivos PDF que parecem reais mas trazem links que encaminham os usuários para páginas fraudulentas. A oferta comercial no anexo em PDF é atraente para os destinatários, prometendo vantagens com apenas o clique de um link.

A maioria dos controles de segurança tradicionais não consegue identificar e atenuar o malware oculto nesses tipos de arquivos, aumentando muito o sucesso do novo código malicioso. Este aumento implica em uma crescente, generalizada e eficaz estratégia de ataques digitais contra as pequenas e médias empresas, corporações e agências governamentais.

Mantenha-se protegido! Conte com a Future!!! Somos parceiros dos maiores fabricantes de Soluções de Segurança, Disponibilidade e Performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: ComputerWorld.

Read More
12 abril 2019
adm.future
0
Categories: Blog, Dicas, Segurança

7 ameaças à segurança móvel que você deve levar a sério em 2019

A segurança móvel está no topo da lista de preocupações de todas as empresas nos dias atuais – e por um bom motivo: quase todos os funcionários agora acessam rotineiramente dados corporativos pelos smartphones, e isso significa que manter informações confidenciais fora das mãos erradas é um quebra-cabeças cada vez mais complexo. E as apostas são maiores do que nunca: o custo médio de uma violação de dados corporativos é de US$ 3,86 milhões, de acordo com um relatório de 2018, do Ponemon Institute. Isso é 6,4% a mais que o custo estimado apenas há um ano.

Embora seja fácil se concentrar no assunto incrível do malware, a verdade é que as infecções por malware móvel são incrivelmente incomuns no mundo real – com suas chances de ser infectado significativamente menores que as chances de ser atingido por um raio, de acordo com uma estimativa. Isso graças à natureza do malware de móvel e às proteções inerentes aos modernos sistemas operacionais móveis.

Os riscos de segurança móvel mais realistas encontram-se em algumas áreas facilmente negligenciadas, e espera-se que todas elas se tornem mais urgentes à medida que avançamos em 2019:

1. Vazamento de dados

Pode soar como um diagnóstico de um urologista robótico, mas o vazamento de dados é amplamente visto como uma das ameaças mais preocupantes para a segurança das empresas em 2019. Lembra-se daquelas chances quase inexistentes de ser infectado por malware? Bem, quando se trata de uma violação de dados, as empresas têm quase 28% de chance de sofrer pelo menos um incidente do tipo nos próximos dois anos, com base nas pesquisas mais recentes do Ponemon – em outras palavras, mais de uma em cada quatro.

O que torna a questão especialmente irritante é que muitas vezes ela não é nefasta por natureza; em vez disso, é uma questão de os usuários, inadvertidamente, tomarem decisões imprudentes sobre quais aplicativos podem ver e transferir suas informações.

“O principal desafio é como implementar um processo de verificação de aplicativos que não sobrecarregue o administrador e não frustre os usuários”, explica Dionisio Zumerle, diretor de pesquisa de segurança móvel do Gartner. Ele sugere a adoção de soluções de defesa contra ameaças móveis (MTD) – produtos como o Endpoint Protection Mobile da Symantec, o SandBlast Mobile da CheckPoint e o zIPS Protection da Zimperium. Esses utilitários analisam os aplicativos em busca de “comportamentos com vazamentos”, diz Zumerle, e podem automatizar o bloqueio de processos problemáticos.

Naturalmente, nem sempre isso acoberta vazamentos que ocorrem como resultado de um erro claro do usuário – algo tão simples quanto transferir arquivos da empresa para um serviço de armazenamento em nuvem pública, colar informações confidenciais no lugar errado ou encaminhar um email para um destinatário não intencional. Esse é um desafio que atualmente a indústria da saúde está lutando para superar: segundo a provedora especializada em seguros Beazley, “divulgação acidental” foi a principal causa de violação de dados relatada por organizações de saúde no terceiro trimestre de 2018. Essa categoria combinada com vazamentos internos foi responsável por quase metade de todas as violações relatadas durante o período.

Para esse tipo de vazamento, as ferramentas de prevenção de perda de dados (DLP) podem ser a forma mais eficaz de proteção. Esse software é projetado explicitamente para evitar a exposição de informações confidenciais, inclusive em cenários acidentais.

2. Engenharia social

O método de tática de fraude é tão problemática no mobile quanto no desktop. Apesar da facilidade com que alguém poderia pensar que os contras da engenharia social poderiam ser evitados, eles permanecem surpreendentemente eficazes.

Surpreendentemente, 91% dos crimes cibernéticos começam com o e-mail, de acordo com um relatório de 2018 da companhia de segurança FireEye. A empresa se refere a esses incidentes como “ataques sem malware”, uma vez que eles utilizam táticas como a representação para enganar as pessoas que clicam em links perigosos ou forneçam informações confidenciais. O phishing, especificamente, cresceu 65% ao longo de 2017, aponta a empresa, e os usuários móveis correm o maior risco de cair neste tipo de golpe devido à forma como muitos clientes de e-mail móveis exibem apenas o nome de um remetente – tornando especialmente fácil falsificar mensagens e enganar uma pessoa a pensar que um e-mail é de alguém que eles conhecem ou confiam.

Na verdade, os usuários têm três vezes mais probabilidade de responder a um ataque de phishing em um dispositivo móvel do que em um desktop, de acordo com um estudo da IBM – em parte, simplesmente porque um telefone é o local onde as pessoas mais provavelmente veem uma mensagem. Enquanto apenas 4% dos usuários clicam em links relacionados a phishing, de acordo com o Relatório de Investigações de Violações da Verizon de 2018, as pessoas mais ingênuas tendem a ser reincidentes: a empresa observa que quanto mais vezes alguém clica em um link de campanha de phishing, o mais provável é que eles façam isso novamente no futuro. A Verizon relatou anteriormente que 15% dos usuários que foram infectados com sucesso serão violados pelo menos mais uma vez no mesmo ano.

“Nós vemos um aumento geral na suscetibilidade a dispositivos móveis impulsionada pelo aumento da computação móvel e pelo crescimento contínuo dos ambientes de trabalho BYOD”, diz John “Lex” Robinson, estrategista de segurança da informação e anti-phishing da PhishMe – uma empresa que usa simulações do mundo real para treinar os funcionários no reconhecimento e resposta a tentativas de phishing.

Robinson observa que a linha entre o trabalho e a computação pessoal também continua a se confundir. Cada vez mais trabalhadores estão vendo várias caixas de entrada – conectadas a uma combinação de contas de trabalho e pessoais – juntas em um smartphone, observa ele, e quase todo mundo conduz algum tipo de negócio pessoal on-line durante a jornada de trabalho.

Consequentemente, a noção de receber o que parece ser um e-mail pessoal ao lado de mensagens relacionadas ao trabalho, não parece de todo incomum à primeira vista, mesmo que de fato possa ser uma fraude.

3. Interferência Wi-Fi

Um dispositivo móvel é tão seguro quanto a rede pela qual transmite dados. Em uma época em que todos estamos constantemente nos conectando à redes Wi-Fi públicas, isso significa que nossas informações geralmente não são tão seguras quanto podemos supor.

Quão significativa é essa preocupação? De acordo com uma pesquisa da empresa de segurança corporativa Wandera, os dispositivos móveis corporativos usam o Wi-Fi quase três vezes mais do que os dados celulares. Quase um quarto dos dispositivos se conectou a redes Wi-Fi abertas e potencialmente inseguras, e 4% dos dispositivos encontraram um ataque man-in-the-middle – no qual alguém intercepta maliciosamente a comunicação entre duas partes – no mês mais recente. A McAfee, por sua vez, diz que o spoofing de rede aumentou “dramaticamente” nos últimos tempos, e ainda assim, menos da metade das pessoas se preocupam em garantir sua conexão enquanto viajam e dependem de redes públicas.

“Hoje em dia, não é difícil criptografar o tráfego”, diz Kevin Du, professor de ciência da computação da Syracuse University, especialista em segurança para smartphones. “Se você não tem uma VPN (rede privada virtual), você está deixando muitas portas abertas em seus perímetros.”

Selecionar a VPN de classe empresarial certa, no entanto, não é tão fácil. Como na maioria das considerações relacionadas à segurança, uma troca é quase sempre necessária. “A entrega de VPNs precisa ser mais inteligente com dispositivos móveis, já que minimizar o consumo de recursos – principalmente de baterias – é fundamental”, destaca Zumerle, do Gartner. Uma VPN eficiente deve saber ativar somente quando for absolutamente necessário, diz ele, e não quando um usuário acessa algo como um site de notícias ou trabalha em um aplicativo que é conhecido por ser seguro.

4. Dispositivos desatualizados

Smartphones, tablets e dispositivos menores conectados – comumente conhecidos como Internet das Coisas (IoT) – representam um novo risco para a segurança corporativa, pois, ao contrário dos dispositivos de trabalho tradicionais, geralmente não oferecem garantias de atualizações de software oportunas e contínuas. Isso é verdade principalmente em relação ao Android, em que a grande maioria dos fabricantes é constrangedoramente ineficaz em manter seus produtos atualizados – tanto com updates do sistema operacional (SO) quanto com as atualizações menores de segurança mensais entre eles – assim como com dispositivos IoT, muitos dos quais não são projetados para receber atualizações em primeiro lugar.

“Muitos deles nem sequer têm um mecanismo de atualização embutido, e isso está se tornando cada vez mais uma ameaça hoje em dia”, diz Du.

Aumentando a probabilidade de ataque à parte, um uso extensivo de plataformas móveis eleva o custo total de uma violação de dados, de acordo com o Ponemon, e uma abundância de produtos IoT conectados ao trabalho apenas faz com que esse número suba ainda mais. A Internet das Coisas é “uma porta aberta”, segundo a companhia de segurança cibernética Raytheon, que patrocinou pesquisas mostrando que 82% dos profissionais de TI previram que dispositivos IoT não seguros causariam uma violação de dados – provavelmente “catastrófica” – dentro de sua organização.

Mais uma vez, uma política forte percorre um longo caminho. Existem dispositivos Android que recebem atualizações contínuas oportunas e confiáveis. Até que o cenário da IoT se torne menos selvagem, cabe a uma empresa criar a sua própria rede de segurança em torno deles.

5. Ataques de Cryptojacking

O cryptojacking é um tipo de ataque em que alguém usa um dispositivo para minerar criptomoedas sem o conhecimento do proprietário, um acréscimo relativamente novo à lista de ameaças móveis relevantes. Se tudo isso soa como um monte de bobagens técnicas, apenas saiba disso: o processo de mineração criptográfica usa os dispositivos da sua empresa para os ganhos de outra pessoa. Ele se apoia fortemente em sua tecnologia para fazê-lo – o que significa que os telefones afetados provavelmente terão pouca vida útil da bateria e poderão sofrer danos devido a componentes superaquecidos.

Embora o cryptojacking tenha se originado no desktop, houve um surto nos aparelhos móveis entre o final de 2017 e o início de 2018. A indesejada mineração de criptomoedas representou um terço de todos os ataques no primeiro semestre de 2018, de acordo com uma análise da Skybox Security, com um aumento de 70% na proeminência durante esse período em comparação com o semestre anterior. E os ataques de cryptojacking específicos para dispositivos móveis explodiram completamente entre outubro e novembro de 2017, quando o número de aparelhos mobile afetados registrou um aumento de 287%, de acordo com um relatório da Wandera.

Desde então, as coisas esfriaram um pouco, especialmente no domínio móvel – uma medida auxiliada em grande parte pela proibição de aplicativos de mineração de criptomoeda da iOS App Store da Apple e da Google Play Store associada ao Android, em junho e julho, respectivamente. Ainda assim, as empresas de segurança observam que os ataques continuam tendo um determinado nível de sucesso por meio de sites móveis (ou mesmo de anúncios indesejados em sites para celular) e por meio de aplicativos baixados de lojas de terceiros não oficiais.

Os analistas também destacam a possibilidade de usar cryptojacking por meio de set-top boxes conectadas à Internet, que algumas empresas podem usar para streaming e transmissão de vídeo. De acordo com a companhia de segurança Rapid7, os hackers descobriram uma maneira de tirar proveito de uma brecha evidente que faz do Android Debug Bridge – uma ferramenta de linha de comando destinada apenas para o uso dos desenvolvedores – acessível e pronto para a violação sobre tais produtos.

Por enquanto, não há uma grande resposta – além de selecionar dispositivos com cuidado e seguir com uma política que exige que os usuários façam download de aplicativos apenas na loja oficial de uma plataforma, onde o potencial para código de roubo é reduzido drasticamente – e realisticamente, não há indicação de que a maioria das empresas estão sob qualquer ameaça significativa ou imediata, particularmente dadas as medidas preventivas tomadas em toda a indústria. Ainda assim, por conta da atividade flutuante e do crescente interesse nesta área nos últimos meses, é algo que vale a pena ficar de olho ao longo do ano.

6. Má higiene de senha

Você acha que já passamos desse ponto, mas, de alguma forma, os usuários ainda não estão protegendo suas contas corretamente – e quando carregam telefones que contêm contas de empresas e logins pessoais, isso pode ser particularmente problemático.

Uma nova pesquisa do Google e da Harris Poll descobriu que mais da metade dos norte-americanos reutiliza senhas em várias contas. Igualmente preocupante é o fato de que quase um terço deles não está usando autenticação de dois fatores (ou nem sabe se está usando – o que pode ser um pouco pior). E apenas um quarto das pessoas estão usando ativamente um gerenciador de senhas, o que sugere que a grande maioria das pessoas provavelmente não possui senhas particularmente fortes na maioria dos lugares, já que elas estão presumivelmente gerando e lembrando delas por conta própria.

As coisas só pioram a partir daí: de acordo com uma análise do LastPass de 2018, metade dos profissionais usam as mesmas senhas para contas pessoais e de trabalho. E se isso não for suficiente, um funcionário comum compartilha cerca de seis senhas com um colega de trabalho ao longo de seu emprego, segundo a análise.

Para que você não pense que tudo isso é muito difícil, em 2017, a Verizon descobriu que as senhas fracas ou roubadas eram responsáveis por mais de 80% das violações relacionadas a hackers nas empresas. A partir de um dispositivo móvel em particular – onde os funcionários desejam acessar rapidamente vários aplicativos, sites e serviços – pense no risco para os dados da sua organização, mesmo que apenas uma pessoa esteja digitando de forma desleixada a mesma senha que eles usam para uma conta da empresa em um prompt em um site de varejo aleatório, aplicativo de bate-papo ou fórum de mensagens. Agora, combine esse risco com o risco mencionado de interferência de Wi-Fi, multiplique-o pelo número total de funcionários em seu local de trabalho e pense nas camadas de pontos de exposição prováveis que estão se acumulando rapidamente.

Talvez o mais irritante de tudo seja que a maioria das pessoas pareça completamente inconsciente de seus descuidos nessa área. Na pesquisa do Google e Harris Poll, 69% dos entrevistados deram a si mesmos um “A” ou “B” em relação à proteção das suas contas on-line, apesar de as respostas subsequentes que indicaram o contrário. Claramente, você não pode confiar na avaliação do próprio usuário sobre o assunto.

7. Brechas em dispositivos físicos

Por último, mas não menos importante, algo que parece especialmente bobo, mas continua a ser uma ameaça perturbadoramente realista: um dispositivo perdido ou abandonado pode ser um grande risco de segurança, especialmente se não tiver um PIN ou senha forte e criptografia de dados completa.

Considere o seguinte: em um estudo do Ponemon de 2016, 35% dos profissionais indicaram que seus dispositivos de trabalho não tinham medidas obrigatórias para garantir dados corporativos acessíveis. Pior ainda, quase metade dos entrevistados disseram que não tinham senha, PIN ou segurança biométrica protegendo os seus dispositivos – e cerca de dois terços disseram que não usavam criptografia.E 68% dos entrevistados indicaram que, às vezes, compartilhavam senhas em contas pessoais e de trabalho acessadas por meio de seus dispositivos móveis.

A mensagem para levar para casa é simples: deixar a responsabilidade nas mãos dos usuários não é suficiente. Não faça suposições; faça políticas. Você vai agradecer a si mesmo depois.

Mantenha-se protegido! Conte com a Future!!! Somos parceiros dos maiores fabricantes de Soluções de Segurança, Disponibilidade e Performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More

Receba conteúdos exclusivos