Segurança e gestão de internet

Os ataques cibernéticos se tornaram mais sofisticados, deixando o mundo dos negócios preocupado com a segurança dos dados empresariais. Organizações no Brasil já estão se preparando para se adequarem à nova lei de proteção de dados do país, a Lei Geral de Proteção de Dados (LGPD), que entrará em vigor no dia 15 de agosto de 2020. Alcançar o compliance em relação à LGPD e sustentá-lo será desafiador nas corporações se elas não se equiparem com as estratégias certas de gestão de segurança da informação. Os negócios precisam entender como os dados navegam dentro de suas organizações e seguir as melhores práticas para alcançar e manter a adequação à LGPD.

1. Entenda o básico e refine conforme necessário

Para dominar a gestão de dados, as organizações precisam determinar algumas informações básicas sobre os mesmos. Elas devem estudar os procedimentos de coleta de dados existentes para identificar que tipo de informação está sendo coletada e por quê; como estão sendo processadas; a relevância do que é coletado, seu local de armazenamento, pontos de acesso, e contas com acesso; e os procedimentos de exclusão. Identificar todos esses pontos de contato com os dados e criar um fluxograma ou esquema para eles pode ajudar as empresas a identificarem, analisarem, e resolverem problemas, evitando que eles escalem.

Além de compreender o fluxo existente, as empresas precisam refinar periodicamente seus procedimentos de gestão de dados com base em novas tecnologias e procedimentos que eles têm incorporado. Essa gestão interna pode gerar resultados positivos para a privacidade dos dados.

2. Empregue ferramentas de gestão de segurança de dados

Lidar com informações dispersas pode ser desafiador; no entanto, ter as ferramentas certas pode simplificar essa tarefa e ajudar organizações a alcançarem a adequação à LGPD. Ferramentas de gestão de segurança de dados ajudam a otimizar a coleta, o processamento, o armazenamento, e os procedimentos de exclusão dos mesmos, assim como alertar o time de TI sobre ameaças em potencial ou vulnerabilidades de vazamento de dados. Implementar ferramentas unificadas de gestão de TI que podem administrar arquivos e pastas na rede – além de controlar e garantir a segurança de outros aspectos da infraestrutura de TI – é ainda melhor. Soluções centralizadas que podem fazer a gestão de dispositivos, servidores, usuários, dados, privilégios, acessos, hipervisores, VMs e browsers podem ser muito efetivas para manter a TI da organização operacional, eficiente e dentro da LGPD.

3. Escolha o encarregado de proteção de dados certo

Diferente do Regulamento Geral sobre a Proteção de Dados (GDPR) europeu, a LGPD requer que todas as empresas consideradas controladoras de dados nomeiem um encarregado de proteção de dados, também conhecido como DPO (Data Protection Officer). Apenas com o DPO certo na organização o compliance à LGPD será atingível e sustentável.

Nem todos os profissionais de TI estão preparados para se tornarem DPOs. Antes de selecionar um candidato, as empresas precisam estudar as áreas de interesse do indivíduo, assim como suas habilidades e experiência com gestão de dados. O profissional precisa saber como e por que dados corporativos são coletados de diferentes fontes, e ele deve trabalhar próximo dos times do jurídico e de privacidade para entender as necessidades em constante mudança do mercado e refinar os modelos e políticas de gestão de dados existentes, assim como procedimentos de segurança e auditoria.

O DPO precisa ainda ter conhecimento suficiente sobre várias leis de proteção de dados no mercado para customizar a coleta, o armazenamento, e os procedimentos de exclusão de dados de suas empresas conforme as leis e regulamentações. O profissional deve estar ciente dos procedimentos que precisam ser implementados se houver alguma violação de dados ou outra situação que cause dano aos dados empresariais.

Qualquer DPO em potencial deve ter familiaridade com os passos que limitam os privilégios de usuários a informações sensíveis de negócio para proteger a privacidade dos dados. Assim que selecionar o DPO, a organização precisa definir suas funções-chave, metodologias de relatório e autoridade sobre outros departamentos para uma gestão de dados otimizada.

4. Registre o consentimento de usuário com precisão

A estratégia de gestão de dados existente na organização deve permitir diferenciar os usuários que deram consentimento para o processamento de seus dados pessoais daqueles que não deram. Esse consentimento deve ser registrado, e os dados de cada usuário precisam ser tratados de acordo nos processamentos futuros. Quaisquer desencontros desses registros de consentimento podem levar a uma violação da LGPD.

5. Formule uma estratégia de Disaster Recovery e resposta a violação de dados

As empresas precisam estar preparadas para encarar quaisquer ataques cibernéticos ao rastrear a fonte do ataque e, simultaneamente, estabelecer uma estratégia eficiente de resposta a violação de dados. Se uma organização perde dados pessoais pertencentes a um cidadão brasileiro durante um ataque, precisa reportar o vazamento às autoridades de gestão de dados dentro de um período de tempo aceitável; entretanto, diferente do GDPR, a LGPD não restringe um período de 72 horas para as organizações reportarem violações.

Reportar violação de dados com a LGPD difere do GDPR de algumas outras maneiras. Primeiro, a definição de dados pessoais da LGPD é mais limitada, porque dados anônimos estão isentos dos requisitos da lei, a não ser que os dados sejam usados para caracterização (data profiling). Já que a LGPD não é tão restrita em termos de gestão de dados pessoais, os negócios têm um espaço de manobra nos seus procedimentos de gestão de dados em geral quando comparado com o GDPR, com exceção da estipulação da LGPD sobre os DPOs.

Transferências internacionais de dados pessoais feitas pelos controladores de dados também não são permitidas pela LGPD. Essa restrição põe um nível significativo de pressão nas organizações para que mitiguem as ameaças o quanto antes, já que elas dependem de backups de dados localizados.

As empresas que já redefiniram gestão de dados e políticas de privacidade para se adequarem ao GDPR estão bem preparadas para a LGPD. Seguir as melhores práticas acima irá ajudar os negócios a estarem um passo mais próximo da nova legislação brasileira.

Via CIO

A segurança da informação tornou-se uma parte tão integral da TI que, do ponto de vista organizacional, as duas estão se tornando praticamente indistinguíveis. Isso pode significar misturar departamentos, mudar as estruturas de liderança e incorporar a segurança no início do desenvolvimento do pipeline, entre outras táticas.

Cerca de dois terços das organizações dizem que a estratégia de segurança de TI e a estratégia de TI estão fortemente integradas, com a segurança sendo um componente-chave dos roteiros e projetos da área de TI, segundo a pesquisa Estado do CIO de 2019. Mas há mudanças a caminho. “Acho que veremos as estratégias de TI e segurança se unindo, mas de uma maneira diferente da que vimos nos anos anteriores”, diz Nathan Wenzler, diretor sênior de segurança cibernética da Moss Adams, uma empresa de consultoria de segurança.

“Onde a segurança da informação tem sido considerada apenas um subconjunto do departamento de TI e onde as ferramentas de segurança como firewalls e filtros de spam são gerenciadas, agora está se tornando mais comum ver as equipes serem consideradas o que realmente são: funções de gerenciamento de risco”, diz Wenzler.

Abaixo listamos cinco dicas sobre como integrar práticas de segurança em sua estratégia de TI.

Capacite o executivo de segurança máxima

Aproximar TI e segurança não deve significar retirar autoridade dos executivos de segurança; na verdade, eles deveriam receber mais participação no planejamento estratégico.

Na Park Place Technologies, um fornecedor de serviços de manutenção para hardware de armazenamento, servidor e rede, estratégia de TI e estratégia de segurança de TI está fortemente integrado e a liderança em segurança cibernética desempenha um papel fundamental, diz o CIO Michael Cantor. “Nosso diretor de segurança da informação tem um lugar na mesa para todas as discussões estratégicas, incluindo o ciclo orçamentário anual”, diz Cantor. “Ele criou um roteiro de segurança de cinco anos, que incorpora metas para cada uma das funções de segurança para garantir que o progresso esperado seja feito durante o curso do ano”.

Obtenha suporte dos executivos seniores

Quantas iniciativas saem dos trilhos devido à falta de apoio das pessoas mais graduadas da organização? A integração de TI e segurança pode enfrentar o mesmo destino. “Ganhe a aprovação do conselho, do C-level e das equipes de liderança”, diz Joe Cardamone, diretor de privacidade da Haworth, uma empresa global de design e fabricação de móveis.

Mostrar os benefícios e conquistar a aceitação e o apoio da liderança ajuda a derrubar barreiras, diz Cardamone. Além disso, se os executivos seniores entenderem o valor da segurança, poderão estar mais inclinados a ver o valor da integração de TI e segurança. “Mostre como a segurança das informações pode viabilizar negócios, não apenas mais um obstáculo em um fluxo de trabalho”, diz Cardamone.

Comunique-se com frequência e construa relacionamentos

A necessidade de uma boa comunicação entre as pessoas de TI e de segurança é vital para uma integração eficaz. Algo que é vivenciado pela Rosendin Electric. “O elemento humano é o maior risco enfrentado por qualquer organização de TI hoje”, diz James McGibney, diretor senior de cibersegurança e compliance da companhia. “Uma campanha de phishing bem-sucedida pode facilmente levar a empresa a uma parada brusca. Para fornecer uma verdadeira defesa em profundidade, a TI e a segurança precisam trabalhar juntas para implementar soluções em toda a superfície de ataque, seja em soluções locais ou baseadas em nuvem.”

As equipes de TI e segurança precisam entender o que estão tentando realizar e por que isso é importante para a organização, diz Wenzler. “É fácil deixar as estratégias de risco desalinhadas com as metas de tecnologia quando os dois lados não falam uns com os outros”, diz ele. “Enquanto funções separadas, elas são essenciais para o sucesso umas das outras, por isso, sem comunicação constante, elas permanecerão fora de sincronia”.

Aproveite os padrões de segurança e use métricas comparáveis

As empresas que buscam integrar TI e segurança devem considerar o uso de uma estrutura de segurança padrão, como aquelas criadas pelo Instituto Nacional de Padrões e Tecnologia (NIST, na sigla em inglês) para definir metas para o ambiente de segurança. “Isso permite a criação de um roteiro de segurança que pode ser priorizado de forma eficaz e compartilhado com todas as funções para definir metas anuais”, diz Cantor.

O uso de uma estrutura para padronizar as operações de segurança dentro de uma empresa garante que todos os aspectos da segurança sejam identificados e possam ser priorizados para as metas de risco e maturidade. Uma vez que uma empresa escolhe uma estrutura e implanta os vários elementos com base em como são aplicáveis à situação específica, “a empresa basicamente tem uma estratégia de segurança”, diz Cantor. “É muito raro que a segurança possa atingir um objetivo específico apenas dentro de sua própria função”, diz Cantor. “Geralmente, é necessária uma combinação das outras funções para atingir uma meta de segurança, portanto, esse tipo de integração com a estratégia geral de TI é fundamental para o sucesso.”

Além das normas, as organizações de TI e de segurança devem procurar usar métricas comparáveis para que não haja confusão sobre as metas finais. Muitas vezes, as equipes de segurança começam a medir o risco ou até mesmo o sucesso de maneiras que não têm relevância para as equipes de TI ou funções operacionais, diz Wenzler. “Da mesma forma, as medições de tempo de atividade ou de suporte técnico podem abordar os pilares de integridade e disponibilidade para segurança, mas não abordam de maneira adequada os riscos”, diz Wenzler. “Certifique-se de que todos entendam as métricas usadas e aproveitem métricas que possam revelar a redução de riscos por meio de melhorias tecnológicas.”

Crie proteção de dados nas ofertas da empresa

Por fim, a integração efetiva de TI e segurança deve se estender aos produtos e serviços que uma empresa fornece a seus clientes e usa internamente – independentemente do setor. “Construir proteção de dados dentro de nossas ofertas de TI é fundamental”, diz McGibney. Por exemplo, quando um funcionário recebe um celular da empresa, ele é imediatamente registrado em um sistema unificado de gerenciamento de endpoints. Se os funcionários trouxerem seus próprios dispositivos, eles também deverão ser registrados ou os dispositivos não terão permissão para acessar nenhum recurso da empresa. “Com o advento feroz das campanhas de phishing, qualquer empresa corre o risco de um funcionário clicar em um link ofuscante, inserindo suas credenciais de login – e o resto é história”, diz McGibney.

“O hacker não só tem acesso desenfreado à sua infraestrutura do Diretório Ativo; eles também têm acesso a seus processos e procedimentos. Isso, por sua vez, geralmente leva a ataques de phishing mais focados”.

Vale ressaltar que a internet das coisas (IoT) expande a superfície de ataque. “Tudo o que toca a internet se torna um potencial ponto de entrada para a empresa”, diz McGibney. “Telefones, tablets, laptops, desktops, câmeras de segurança, controles de iluminação, termostatos, dispositivos de realidade virtual etc. Todos esses dispositivos precisam estar sob algum tipo de gerenciamento de correção e processo de gerenciamento de vulnerabilidades. “Hackers são indiscutivelmente algumas das pessoas mais inteligentes do mundo”, diz McGibney. “Quando eles estão determinados e focados em se infiltrar em seu ambiente, eles usarão todos os meios necessários para atingir seus objetivos”, alerta. “Se isso ocorre por meio de engenharia social ou de uma campanha de phishing, as empresas devem permanecer vigilantes e conscientes da segurança”.

Via CIO

Se os dados realmente estão entre os maiores ativos de uma empresa, os CIOs devem ser capazes de produzir demonstrações tangíveis de como todas essas informações podem ser organizadas para promover os negócios.

Com dados, você consegue tornar os funcionários mais produtivos e ainda melhorar a experiência do cliente.

Seja qual for o objetivo final, as empresas inteligentes estão desenvolvendo estratégias completas para tentar derrubar as barreiras entre os silos de dados e desbloquear percepções significativas desses vastos conjuntos de dados, disseram especialistas no MIT Sloan CIO Symposium no mês passado.

“Estamos nadando em dados e sabemos que precisamos lucrar com isso, mas não da maneira como costumávamos”, disse Barbara Haley Wixom, principal pesquisadora do Centro de Pesquisa de Sistemas de Informação do MIT Sloan.

“Isso não funciona hoje”, disse Wixom sobre a abordagem do jardim murado que as empresas estão abandonando. “Hoje nossas estratégias de dados exigem movimentos ousados, ideias realmente novas.”

Os especialistas concordam que não existe uma abordagem única para uma estratégia de dados corporativos e que qualquer iniciativa desse tipo deve ser adaptada aos contornos da empresa e do setor em que ela opera. Mas há vários elementos temáticos comuns que acompanharão uma revisão bem-sucedida dos dados. Na lista abaixo, falamos sobre eles.

Crie uma cultura de dados

Elena Alfaro, chefe de dados e inovação aberta da divisão de soluções para clientes do banco espanhol BBVA, descreveu o trabalho de sua organização de “disseminar a cultura de dados” e garantir que a liderança sênior de uma organização esteja envolvida nas iniciativas de dados.

“O que eu aprendi”, disse Alfaro, é “se a pessoa com quem você está sentada não entende, é muito, muito difícil chegar a algo grande”.

E o BBVA conseguiu obter algo grande, de acordo com um analista líder de TI. Nos últimos dois anos, a Forrester classificou o aplicativo móvel da empresa como o melhor do setor bancário. Aurelie L’Hostis, da Forrester, creditou o aplicativo do banco por “obter um excelente equilíbrio entre funcionalidade e excelente experiência do usuário”, um produto que Alfaro diz ter surgido de uma estratégia de dados com o usuário final em mente.

“Os bancos digitais ouvem seus clientes, são inteligentes com os dados e trabalham duro para facilitar o gerenciamento da vida financeira dos clientes”, escreve L’Hostis. “Não é um feito pequeno, mas é o que seus clientes estão exigindo.”

Implemente um framework

Mas, independentemente do setor, Wixom argumenta que as empresas com uma estratégia de dados bem-sucedida conseguem implementar uma estrutura que garante alto nível de integridade de dados e garante que ela seja ampla e facilmente acessível.

“Eles têm dados que as pessoas podem encontrar, usar e confiar”, disse Wixom. “Eles têm plataformas que servem dados de forma confiável e muito rápida, tanto dentro como fora da empresa”.

Ela também descreveu um equilíbrio entre sistemas de alta tecnologia para minerar os dados da organização, ao mesmo tempo em que coloca em serviço a missão de negócios e estabelece limites sobre como os dados são usados.

“Eles têm dados científicos que podem detectar insights que os humanos não podem”, disse Wixom. “Eles têm uma profunda compreensão do cliente não apenas das necessidades básicas, mas também das necessidades latentes. Eles têm uma governança de dados que supervisiona não apenas a conformidade, mas também os valores e a ética”.

O desafio de ganhar o buy-in para a estratégia de dados de uma empresa entre as várias unidades de negócios pode variar muito de acordo com a cultura do local de trabalho e, talvez em maior medida, com a indústria. No setor bancário, por exemplo, as empresas estão lidando com informações financeiras confidenciais e geralmente estão vinculadas a um conjunto rígido de regulamentações bem estabelecidas. Não é assim na tecnologia, onde as regulamentações ainda são mais fracas e os dados estão na essência da organização.

Na Adobe, por exemplo, alinhar o local de trabalho por trás de uma estratégia centrada em dados não era o desafio, de acordo com Mark Picone, vice-presidente de serviços de informações e dados da Adobe.

“Todo mundo sabia que tinha que ser orientado a dados”, disse Picone. “Somos uma espécie de empresa digital nativa – é de onde nós somos, mas eles não sabiam como e começaram a fazer coisas.”

O resultado, disse Picone, foi em um ambiente de alta tecnologia, onde o treinamento em ciência de dados é padrão e “todo mundo pode criar diferentes tipos de sistemas”, e a Adobe acabou tendo que criar uma estrutura de dados unificada.

Demonstre o valor para a organização

Em outros negócios, obter esse comprometimento para uma estratégia de dados fora do departamento de TI pode ser mais um desafio. Tal foi o caso no Bank of Queensland, na Austrália, onde o CIO determinou que não seria o suficiente para iniciar novas iniciativas de dados, mesmo com o apoio do alto escalão da organização. Em vez disso, seria uma questão de demonstrar o valor prático de como esses dados poderiam ajudar as linhas de negócios da organização em seu trabalho diário, como melhorar o atendimento ao cliente no banco de varejo.

Para Donna-Maree Vinci, diretora-chefe de informática e de informações do banco, uma abordagem multifacetada foi fundamental “porque você não pode simplesmente dar um tom no topo”, disse ela. “Você tem que ser capaz de entender e se conectar ao por que eles estão fazendo isso. Então, qual é o valor e por que é importante, como ela vai ajudá-los pessoalmente com seus clientes… mas também como isso vai criar valor para a organização”.

Notas explicativas que estabelecem novas políticas de dados são boas, mas apenas na medida em que vão. Vinci descreveu seus esforços para construir o mantra baseado em dados “no ponto”, uma iniciativa promovida por workshops contínuos que ajudam os funcionários a incorporar elementos de dados em seu fluxo de trabalho diário.

“Não é apenas uma apresentação ou algo assim. Trata-se de imersão”, disse Vinci. “Eu acho que há muitas peças de reforço diferentes.”

Seu conselho para outros CIOs que estão começando uma jornada de dados? “Seja paciente e mantenha o curso sobre as mensagens.”

Vinci também desenvolveu uma métrica para o sucesso, se for intangível. Gradualmente, ela viu a cultura de dados infiltrar-se em unidades do negócio fora da TI, a ponto de os trabalhadores não técnicos do banco começarem a criar soluções baseadas em dados para um problema de trabalho por conta própria.

“O que é realmente agradável e poderoso é quando você não é o único a dizer isso, quando na verdade está voltando do negócio”, disse ela, “e eles são os defensores”.

Via CIO

Um estudo recente realizado pela consultoria Gartner com CIOs do mundo todo aponta quais os investimentos mais desejados pelos Diretores de Tecnologia em meio a um cenário em que os negócios cada vez mais estão ligados à uma TI sólida.

Intitulado “2019 CIO Agenda: secure a new foundation for digital business”, o levantamento em questão entrevistou mais de 3.100 CIOs de 89 países para saber quais os investimentos mais cobiçados por esses executivos.

A lista é liderada por Business Intelligence e Data Analytics, com 45%, seguida por Cibersegurança e Segurança da Informação, com 40%, Serviços em Nuvem, com 33%, e Melhorias no sistema principal e transformação, com 31% – confira a lista completa ao final do texto.

Conforme o Diretor de Tecnologia da fornecedora de soluções Total IP, Giovane Oliveira, as empresas que se mostraram atentas às novas tendências já adotaram as técnicas listas na lista em questão. O executivo também destaca a importância do armazenamento na nuvem como exemplo de preservação de informações.

“Com isso, seus arquivos, programas e configurações ficam protegidos e voltam a funcionar rapidamente caso seja necessário restabelecer algum hardware. É fundamental ter esse respaldo para não ficar sujeito aos danos físicos em computadores e HD’s”, afirma Oliveira.

“Além disso, parte dos atuais e a maioria dos próximos consumidores já nasceram conectados. Quem se atentar para tal detalhe garantirá uma transição bem-sucedida ao mercado do futuro.”

7 investimentos em TI mais desejados pelos CIOs em 2019

1. Business Intelligence e Data Analytics (45%)

2. Cibersegurança e Segurança da Informação (40%)

3. Serviços em nuvem (33%)

4. Melhorias no sistema principal e transformação (31%)

5. Iniciativas de negócios digitais (31%)

6. Experiência do usuário (29%)

7. Inteligência artificial e Machine Learning (27%)

Via CIO.com.br

Questões de segurança têm perseguido a Internet das Coisas (IoT) desde antes do nome ser inventado. Todos, de fornecedores a usuários corporativos e consumidores, estão preocupados com o fato de seus novos dispositivos e sistemas de IoT poderem ser comprometidos. Na verdade, o problema é pior do que isso, pois dispositivos IoT vulneráveis ??podem ser hackeados e aproveitados em botnets gigantes que ameaçam até mesmo redes adequadamente protegidas.

Mas quais são exatamente os maiores problemas e vulnerabilidades a serem evitadas ao criar, implantar ou gerenciar sistemas de IoT? E, mais precisamente, o que podemos fazer para mitigar esses problemas?

É aí que entra o OWASP Internet of Things Project. Em suas próprias palavras, “O Projeto OWASP Internet of Things foi projetado para ajudar fabricantes, desenvolvedores e consumidores a entender melhor as questões de segurança associadas à Internet das Coisas, e permitir que os usuários, em qualquer contexto, tomem melhores decisões de segurança ao criar, implantar ou avaliar tecnologias IoT. ”

No fim de 2018,  o OWASP divulgou suas 10 principais vulnerabilidades de IoT para 2019. Vamos dar uma olhada na lista, com alguns comentários:

1. Senhas fracas, previsíveis ou codificadas
“Uso de credenciais facilmente forçadas, publicamente disponíveis ou imutáveis, incluindo backdoors em firmware ou software cliente que concede acesso não autorizado a sistemas implantados.”

Francamente, esse problema é tão óbvio que mal posso acreditar que ainda é algo em que temos que pensar. Eu não me importo com o quão barato ou inócuo um dispositivo ou aplicação de IoT possa ser, nunca há uma desculpa para esse tipo de preguiça.

2. Serviços de rede inseguros
“Serviços de rede desnecessários ou inseguros executados no próprio dispositivo, especialmente aqueles expostos à Internet, que comprometem a confidencialidade, integridade, autenticidade ou disponibilidade de informações ou permitem o controle remoto não autorizado.”

Isso faz sentido, mas é um pouco mais de uma área cinzenta, já que nem sempre é claro se esses serviços de rede são “desnecessários ou inseguros”.

3. Interfaces inseguras
“APIs insegura, APIs de back-end, nuvem ou interfaces móveis no ecossistema fora do dispositivo que permitem o comprometimento do dispositivo ou de seus componentes relacionados. Problemas comuns incluem falta de autenticação/autorização, falta ou criptografia fraca e falta de filtragem de entrada e saída. ”

Novamente, nem sempre é óbvio se as interfaces estão realmente permitindo o comprometimento, mas a autenticação, a criptografia e a filtragem são sempre boas ideias.

4. Falta de mecanismos de atualização segura
“Falta de capacidade de atualizar o dispositivo com segurança. Isso inclui a falta de validação de firmware no dispositivo, falta de entrega segura (não criptografada em trânsito), falta de mecanismos anti-reversão e falta de notificações de alterações de segurança devido a atualizações. ”

Esse é um problema contínuo para aplicativos IoT, já que muitos fornecedores e empresas não se preocupam em pensar no futuro de seus dispositivos e implementações. Além disso, nem sempre é um problema de tecnologia. Em alguns casos, a localização física dos dispositivos de IoT faz com que a atualização – e reparo / substituição – seja um desafio significativo.

5. Uso de componentes inseguros ou desatualizados
“Uso de componentes/bibliotecas de software obsoletos ou inseguros que podem permitir que o dispositivo seja comprometido. Isso inclui a personalização insegura das plataformas de sistemas operacionais e o uso de software ou componentes de hardware de terceiros de uma cadeia de suprimentos comprometida. ”

Vamos, pessoal, não há desculpa para esse tipo de problema. Pare com as economias burras e faça as coisas direito.

6. Proteção de privacidade insuficiente
“Informações pessoais do usuário armazenadas no dispositivo ou no ecossistema usadas de maneira insegura, imprópria ou sem permissão.”

Obviamente, as informações pessoais precisam ser tratadas apropriadamente. Mas a chave aqui é “transparência e permissão”. Quase nada que você faça com as informações pessoais de alguém é OK, a menos que você tenha a permissão delas.

7. Transferência e armazenamento de dados inseguros
“Falta de criptografia ou controle de acesso de dados confidenciais em qualquer parte do ecossistema, incluindo em repouso, em trânsito ou durante o processamento.”

Embora muitos fornecedores de IoT prestem atenção ao armazenamento seguro, garantir que os dados permaneçam seguros durante a transferência é muitas vezes ignorado.

8. Falta de gerenciamento de dispositivos
“Falta de suporte de segurança em dispositivos implantados na produção, incluindo gerenciamento de ativos, gerenciamento de atualizações, descomissionamento seguro, monitoramento de sistemas e recursos de resposta.”

Os dispositivos de IoT podem ser pequenos, baratos e implantados em grande número, mas isso não significa que você não precise gerenciá-los. Na verdade, isso torna o gerenciamento mais importante do que nunca. Mesmo que nem sempre seja fácil, barato ou conveniente.

9. Configurações padrão inseguras
“Dispositivos ou sistemas fornecidos com configurações padrão inseguras ou falta a capacidade de tornar o sistema mais seguro, restringindo os operadores de modificar as configurações.”

Outro problema que não deveria estar acontecendo em 2019. Todo mundo sabe que isso é um problema, e deveria saber como evitá-lo. Então, vamos fazer acontecer … todas as vezes.

10. Falta de fortalecimento físico
“Falta de medidas de fortalecimento físico, permitindo que potenciais atacantes obtenham informações confidenciais que podem ajudar em um futuro ataque remoto ou assumir o controle local do dispositivo.”

A IoT é composta de “coisas”. Isso não deveria ser uma surpresa; está bem aí no nome. É importante lembrar a natureza física da IoT e tomar medidas para proteger os dispositivos reais envolvidos. Via CIO.com.br

A Seno oferece os mais avançados sistemas de segurança que previnem o acesso de usuários indevidos à informações sigilosas da sua empresa. Entre em contato conosco e saiba mais!

É de suma importância que as empresas se conscientizem da necessidade de investir em mecanismos que possibilitem a prevenção destes riscos de ataques digitais, pois, uma vez ocorridos, os danos podem ser imensuráveis e de difícil reparação.

Uma das formas é instituindo um programa de compliance efetivo, que tem por objetivo primordial reduzir os riscos da empresa e, por conseguinte, de seus diretores e sócios. Alguns dos pilares do programa, principalmente a Avaliação de Riscos, Monitoramento e Auditoria e Due Dilligence, são facilitadores para que a empresa desenvolva regras de boas práticas e de governança voltadas ao estabelecimento de medidas de segurança, técnicas e administrativas, como já exemplificado anteriormente.

Portanto, o programa de compliance pode ser um importante aliado para que riscos, como o vazamento de dados e informações, sejam mapeados, classificados e tratados de forma preventiva, por meio de políticas que visem otimizar, proteger e alavancar a informação como um dos bens das empresas. Com essa prática, certamente riscos de processos e danos de reputação serão evitados, a empresa poderá antever cenários e tomar decisões estratégicas.

Meus dados foram vazados, e agora?

Uma premissa essencial que deve ser posta, é que toda pessoa natural tem assegurada a titularidade de seus dados pessoais, bem como garantidos seus direitos fundamentais de intimidade, liberdade e de privacidade, conforme previsto pela Constituição Federal.  Assim, qualquer pessoa que tenha seus dados utilizados de forma indevida, que sofra danos de ordem patrimonial, moral, individual ou coletivamente, poderá pleitear o direito de reparação, sendo, portanto, assegurada a sua efetiva indenização, por meio do instituto da responsabilidade civil (artigos 189 e 927 do Código Civil).

Além disso, a nova Lei Geral de Proteção de Dados Pessoais (LGPD), embora ainda não esteja em vigor, também dispõe de forma específica sobre o direito da pessoa ser indenizada em casos de prejuízos decorrentes do vazamento de seus dados e informações. Ainda, a legislação traz a possibilidade de denúncia à “Autoridade Nacional de Proteção de Dados (ANPD) e ao “Conselho Nacional de Proteção de Dados Pessoais e da Privacidade”, órgãos que ainda precisarão ser regulamentados/criados.

Para as empresas investigadas, a LGPD prevê várias punições possíveis, desde uma advertência até multa equivalente a 2% do faturamento, que pode chegar até R$ 50 milhões, publicização da infração, dentre outras. Importante ressaltar que as sanções e regramentos para tratamento e proteção dos dados pessoais previstos não afastam as responsabilidades cíveis, penais e administrativas hoje existentes relacionadas à utilização indevida de dados pessoais. Isto é, o novo diploma vem reforçar a proteção de dados pessoais, estabelecendo uma forma de tratamento, sendo que seu descumprimento constitui ato ilícito.

Daqui para frente, os aspectos que não forem sanados por meio da legislação, deverão ser resolvidos por meio da ética dos indivíduos responsáveis por lidar com os dados. Apesar de o futuro ser incerto, para cada grande inovação, será preciso repensar, de maneira ética, quais serão suas aplicações e como essas informações poderão ser protegidas. Essa será, sem dúvida, uma necessidade crescente para o compliance na era dos dados.

Dicas para melhorar o compliance na sua empresa

• • Defina e implemente modelos e estruturas de gestão de riscos;

• • Defina e implemente políticas, normas e procedimentos que respaldem a estrutura de gestão de riscos da sua TI;

• • Avalie os riscos de TI com base em frameworks de mercado, tais como CobIT, ITIL, MIT;

• • Defina e implante indicadores de desempenho, ou KPIs, e de risco, conhecidos como KRI;

• • Implante soluções de governança, risco e compliance aderentes à política de gestão de riscos existente na sua empresa;

• • Faça a gestão de conformidade com regulamentações;

• • Revise todos os contratos de TI na perspectiva de risco e de compliance; adeque os novos contratos dentro desta visão;

• • Revise os controles gerais de TI como parte dos processos internos ou de auditoria interna;

• • Revise, defina e implante uma gestão de licenças de software;

• • Defina e implemente uma gestão de monitoramento;

Via CIO.com.br e qametrik.com

Quando os setores de marketing ou de produtos criam uma novidade, a área de segurança da informação (SI) é sempre vista como aquela que causa dificuldades colocando uma série de regras, e requisitos afetando diretamente os investimentos e o tempo de lançamento necessários para iniciativas.

Em muitos desses casos, as empresas optam por correr o risco e disponibilizar essas ofertas no mercado mesmo sem seguir as diretivas de segurança, expondo todo o negócio a um risco desnecessário que pode chegar a comprometer o futuro, causando enormes prejuízos e até mesmo a falência.

Neste sentido, não podemos esquecer que, com a transformação digital e o alcance possibilitado por ela, organizações podem se tornar de um dia para o outro, grandes players, mas também podem deixar de existir em instantes, principalmente se o impacto negativo no brand for definitivo.

Isso sem falar nas multas e sanções que ocorrem se não houver o cumprimento de algumas leis previstas em regulamentações internacionais, como o General Data Protection Regulation (GDPR) – lei de proteção de dados e da identidade dos cidadãos da União Europeia; e também nacionais, como a recente Lei Geral de Proteção de Dados (LGPD) que passará a valer a partir de fevereiro de 2020, e que determina como os dados dos brasileiros devem ser coletados e tratados.

Mas, como podemos resolver isso? Devemos deixar de criar e abandonar de vez a era da inovação, para não “bater de frente” com as exigências de SI? Não, claro que não! É preciso, antes de tudo, criar uma grande mudança cultural para que todas aquelas exigências que citei no começo deste artigo sejam vistas com bons olhos. É fundamental deixar claro que elas fazem parte da transformação que estamos vivendo, e que são elas que poderão garantir o sucesso ou um fracasso de um negócio.

Outros temas também devem ser vistos com mais atenção nesse processo que coloca a segurança como prioridade, entre eles, o security by design, um conceito que consiste em levar a segurança em consideração em todo o ciclo de desenvolvimento de um novo software, hardware ou aplicação, prevendo qualquer possibilidade de riscos. Ou seja, não basta apenas criar. Os times devem gerenciar, monitorar e garantir a segurança dessas criações, pois se essa proteção não for concebida desde o início, provavelmente haverá brechas que podem causar sérias consequências.

Já está mais do que na hora das empresas tratarem a segurança da informação como um acelerador de crescimento que permitirá apoiá-las neste cenário de mudanças constantes que estamos vivendo, garantindo que, pessoas, processos e tecnologia estejam alinhados com o objetivo do negócio.

Via Computer World