Segurança da Informação

Considerada uma das tecnologias mais importantes e disruptivas que surgiram nos últimos anos, o blockchain já teve o seu impacto comparado a fenômenos como a revolução industrial e o surgimento da internet. Apesar disso, os registros em cadeia de blocos ainda se encontram em estágio embrionário se considerarmos todo o seu potencial de aplicação.

Refletindo sobre as principais tendências no desenvolvimento e efetivação da tecnologia em 2020, a Blockum, primeiro ecossistema sem fins lucrativos do segmento no Brasil, listou cinco aspectos que devem ser observados neste ano para a adoção e popularização da tecnologia. Confira abaixo.

Avanço da Internet das Coisas

Umas das principais tendências é a utilização do blockchain para garantir que os dados coletados pelos dispositivos que alimentam a Internet das Coisas (IoT) não sejam alterados. Após coletadas, as informações podem ser editadas e até apagadas, perdendo a confiabilidade necessária. Já com a coleta de dados associada ao blockchain, a tecnologia assegura que as informações não sejam alteradas em função do seu funcionamento descentralizado por meio da criptografia. Grandes provedores de tecnologia já estão de olho no poder dessa integração, que promete reinventar negócios e levar o poder da IoT ainda mais adiante.

Consórcios independentes

Ao fomentar o desenvolvimento do setor e oferecer um ambiente tecnológico independente de cooperação entre empresas, entidades governamentais e pessoas, a expectativa é que 2020 seja o ano do crescimento de associações sem fins lucrativos do setor. No sistema de compartilhamento da Blockum, por exemplo, cada membro do ecossistema disponibiliza sua infraestrutura de computadores e hardware, para receber em troca uma plataforma em nuvem de blockchain pronta e regulamentada para transações de valor jurídico.

“É uma forma das organizações competirem e colaborarem ao mesmo tempo. Diferente do que acontece com o bitcoin, onde todas as informações são públicas, neste modelo de ecossistema existem chaves privadas e públicas funcionando em conjunto, processo que conferem agilidade em casos de emergência e privacidade quando for preciso”, explica Guilherme Canavese, diretor de operação da Golchain, empresa idealizadora da Blockum.

Adesão governamental

Um segmento inesperado que deve aderir ao blockchain em maior escala em 2020 é o governamental. A expectativa é ver projetos neste setor ganhando destaque e impulsionando iniciativas federais futuras. A China, por exemplo, divulgou que deve aumentar os investimentos na área para resolver problemas técnicos e acelerar o desenvolvimento do blockchain e inovações industriais, além de lançar um criptoativo próprio.

Tokenização se fortalece

A tokenização de um ativo nada mais é do que transformar em uma fração digital chamada token um contrato, um imóvel, uma obra de arte ou até mesmo parte de uma empresa. Utilizando o blockchain, o contrato digital é emitido e o documento representa um ativo real. Essa fração tem valor de mercado e pode ser negociado de forma rápida, com menos burocracia e validação jurídica. Por meio da tokenização, uma empresa pode fazer a captação de recursos com a transferência de um ativo digital de valor nominal ao proprietário dentro de um smart contract. “Com o crescimento e valorização dessa companhia, seu token consegue ser negociado dentro da própria empresa ou com outro investidor, semelhante ao que acontece na bolsa de valores, mas de forma mais simples e inclusiva” explica Canavese.

Meios de pagamento

Mesmo dependendo de algumas regulamentações, as criptomoedas devem ganhar mais espaço no comércio, como já ocorrem em algumas lojas e restaurantes no próprio Brasil. Segundo o diretor de operações da Goldofir, o blockchain deve crescer significativamente como meio de pagamento em 2020.

“A expectativa é que neste ano a tecnologia ganhe a maturidade necessária para ser algo tão corriqueiro como usar um cartão de crédito ou débito”, aponta o executivo.

Via CIO

Hoje, se você sair de casa com um total de zero MB no seu pacote de dados, ainda consegue usar a internet. Não somente estabelecimentos, mas governos e empresas disponibilizam redes públicas para os cidadãos.

Essa é uma questão que, além de melhorar a conectividade entre as pessoas, oferece internet a quem pode precisar.

Mas, claro, sempre existem riscos. Se você está num local e se conecta a uma rede aberta, precisa estar ciente disso. Nem todos são bem intencionados, ainda mais quando quando dados se tornaram cada vez mais valiosos.

As redes públicas oferecem uma série de possibilidades e consequências. Não apenas sobre seus dados pessoais, mas também sobre o que você faz com seus dispositivos.

Camilo Gutierrez, chefe do laboratório da ESET América Latina, concorda que o Wi-Fi público “facilita e acelera nossa vida cotidiana”. Mas, claro, “sua popularidade é acompanhada de riscos, com os quais devemos ter o cuidado.”

“É preciso aplicar medidas de segurança apropriadas, protegendo nossas informações, para podermos aproveitar a tecnologia da maneira mais segura “, diz o executivo.

Pensando nisso, a empresa de segurança ESET compartilhou cinco dicas para usar redes Wi-Fi públicas com segurança.

1. Cuidado com o que faz após se conectar

Os cibercriminosos podem interceptar informações trocadas em redes públicas, por isso, é recomendável não acessar serviços de homebanking, contas de e-mail, redes sociais e outros aplicativos que exijam nome de usuário e senha para estabelecer a conexão. Se for de extrema urgência acessar dados confidenciais, é preferível usar dados móveis (conexão 4G) ou uma VPN.

2. Atualize seu sistema operacional e apps

É essencial manter o sistema operacional e os aplicativos sempre atualizados, elas podem conter correções de segurança lançadas pelos fabricantes que protegem o equipamento. Além disso, ter uma solução antivírus instalada em computadores, laptops e celulares, é uma etapa essencial para sua segurança.

3. Acesse sites que utilizem o protocolo HTTPS

O protocolo HTTPS garante que as informações transmitidas entre o computador do usuário e o site sejam criptografadas na transmissão. Essa precaução serve igualmente tanto para dispositivos móveis como para qualquer computador desktop.

4. Não se conecte automaticamente

Para evitar que seu aparelho se conecte automaticamente e exponha suas informações, a ESET recomenda alterar a opção nas configurações de Wi-Fi. Dessa maneira, qualquer conexão deve ser liberada pelo usuário.

5. Utilizar Duplo Fator de Autenticação

Nunca é demais ter uma camada extra de segurança como a fornecida pelo duplo fator de autenticação. A maioria dos serviços tem a possibilidade de configurar o acesso ao site para que, após a senha, seja necessário inserir um código adicional, que será enviado ao telefone por SMS, e-mail, aplicativo ou chamada, pedindo uma confirmação de que é o titular da conta que está realizando o acesso.

Via IT Forum 365

A segurança da informação tornou-se uma parte tão integral da TI que, do ponto de vista organizacional, as duas estão se tornando praticamente indistinguíveis. Isso pode significar misturar departamentos, mudar as estruturas de liderança e incorporar a segurança no início do desenvolvimento do pipeline, entre outras táticas.

Cerca de dois terços das organizações dizem que a estratégia de segurança de TI e a estratégia de TI estão fortemente integradas, com a segurança sendo um componente-chave dos roteiros e projetos da área de TI, segundo a pesquisa Estado do CIO de 2019. Mas há mudanças a caminho. “Acho que veremos as estratégias de TI e segurança se unindo, mas de uma maneira diferente da que vimos nos anos anteriores”, diz Nathan Wenzler, diretor sênior de segurança cibernética da Moss Adams, uma empresa de consultoria de segurança.

“Onde a segurança da informação tem sido considerada apenas um subconjunto do departamento de TI e onde as ferramentas de segurança como firewalls e filtros de spam são gerenciadas, agora está se tornando mais comum ver as equipes serem consideradas o que realmente são: funções de gerenciamento de risco”, diz Wenzler.

Abaixo listamos cinco dicas sobre como integrar práticas de segurança em sua estratégia de TI.

Capacite o executivo de segurança máxima

Aproximar TI e segurança não deve significar retirar autoridade dos executivos de segurança; na verdade, eles deveriam receber mais participação no planejamento estratégico.

Na Park Place Technologies, um fornecedor de serviços de manutenção para hardware de armazenamento, servidor e rede, estratégia de TI e estratégia de segurança de TI está fortemente integrado e a liderança em segurança cibernética desempenha um papel fundamental, diz o CIO Michael Cantor. “Nosso diretor de segurança da informação tem um lugar na mesa para todas as discussões estratégicas, incluindo o ciclo orçamentário anual”, diz Cantor. “Ele criou um roteiro de segurança de cinco anos, que incorpora metas para cada uma das funções de segurança para garantir que o progresso esperado seja feito durante o curso do ano”.

Obtenha suporte dos executivos seniores

Quantas iniciativas saem dos trilhos devido à falta de apoio das pessoas mais graduadas da organização? A integração de TI e segurança pode enfrentar o mesmo destino. “Ganhe a aprovação do conselho, do C-level e das equipes de liderança”, diz Joe Cardamone, diretor de privacidade da Haworth, uma empresa global de design e fabricação de móveis.

Mostrar os benefícios e conquistar a aceitação e o apoio da liderança ajuda a derrubar barreiras, diz Cardamone. Além disso, se os executivos seniores entenderem o valor da segurança, poderão estar mais inclinados a ver o valor da integração de TI e segurança. “Mostre como a segurança das informações pode viabilizar negócios, não apenas mais um obstáculo em um fluxo de trabalho”, diz Cardamone.

Comunique-se com frequência e construa relacionamentos

A necessidade de uma boa comunicação entre as pessoas de TI e de segurança é vital para uma integração eficaz. Algo que é vivenciado pela Rosendin Electric. “O elemento humano é o maior risco enfrentado por qualquer organização de TI hoje”, diz James McGibney, diretor senior de cibersegurança e compliance da companhia. “Uma campanha de phishing bem-sucedida pode facilmente levar a empresa a uma parada brusca. Para fornecer uma verdadeira defesa em profundidade, a TI e a segurança precisam trabalhar juntas para implementar soluções em toda a superfície de ataque, seja em soluções locais ou baseadas em nuvem.”

As equipes de TI e segurança precisam entender o que estão tentando realizar e por que isso é importante para a organização, diz Wenzler. “É fácil deixar as estratégias de risco desalinhadas com as metas de tecnologia quando os dois lados não falam uns com os outros”, diz ele. “Enquanto funções separadas, elas são essenciais para o sucesso umas das outras, por isso, sem comunicação constante, elas permanecerão fora de sincronia”.

Aproveite os padrões de segurança e use métricas comparáveis

As empresas que buscam integrar TI e segurança devem considerar o uso de uma estrutura de segurança padrão, como aquelas criadas pelo Instituto Nacional de Padrões e Tecnologia (NIST, na sigla em inglês) para definir metas para o ambiente de segurança. “Isso permite a criação de um roteiro de segurança que pode ser priorizado de forma eficaz e compartilhado com todas as funções para definir metas anuais”, diz Cantor.

O uso de uma estrutura para padronizar as operações de segurança dentro de uma empresa garante que todos os aspectos da segurança sejam identificados e possam ser priorizados para as metas de risco e maturidade. Uma vez que uma empresa escolhe uma estrutura e implanta os vários elementos com base em como são aplicáveis à situação específica, “a empresa basicamente tem uma estratégia de segurança”, diz Cantor. “É muito raro que a segurança possa atingir um objetivo específico apenas dentro de sua própria função”, diz Cantor. “Geralmente, é necessária uma combinação das outras funções para atingir uma meta de segurança, portanto, esse tipo de integração com a estratégia geral de TI é fundamental para o sucesso.”

Além das normas, as organizações de TI e de segurança devem procurar usar métricas comparáveis para que não haja confusão sobre as metas finais. Muitas vezes, as equipes de segurança começam a medir o risco ou até mesmo o sucesso de maneiras que não têm relevância para as equipes de TI ou funções operacionais, diz Wenzler. “Da mesma forma, as medições de tempo de atividade ou de suporte técnico podem abordar os pilares de integridade e disponibilidade para segurança, mas não abordam de maneira adequada os riscos”, diz Wenzler. “Certifique-se de que todos entendam as métricas usadas e aproveitem métricas que possam revelar a redução de riscos por meio de melhorias tecnológicas.”

Crie proteção de dados nas ofertas da empresa

Por fim, a integração efetiva de TI e segurança deve se estender aos produtos e serviços que uma empresa fornece a seus clientes e usa internamente – independentemente do setor. “Construir proteção de dados dentro de nossas ofertas de TI é fundamental”, diz McGibney. Por exemplo, quando um funcionário recebe um celular da empresa, ele é imediatamente registrado em um sistema unificado de gerenciamento de endpoints. Se os funcionários trouxerem seus próprios dispositivos, eles também deverão ser registrados ou os dispositivos não terão permissão para acessar nenhum recurso da empresa. “Com o advento feroz das campanhas de phishing, qualquer empresa corre o risco de um funcionário clicar em um link ofuscante, inserindo suas credenciais de login – e o resto é história”, diz McGibney.

“O hacker não só tem acesso desenfreado à sua infraestrutura do Diretório Ativo; eles também têm acesso a seus processos e procedimentos. Isso, por sua vez, geralmente leva a ataques de phishing mais focados”.

Vale ressaltar que a internet das coisas (IoT) expande a superfície de ataque. “Tudo o que toca a internet se torna um potencial ponto de entrada para a empresa”, diz McGibney. “Telefones, tablets, laptops, desktops, câmeras de segurança, controles de iluminação, termostatos, dispositivos de realidade virtual etc. Todos esses dispositivos precisam estar sob algum tipo de gerenciamento de correção e processo de gerenciamento de vulnerabilidades. “Hackers são indiscutivelmente algumas das pessoas mais inteligentes do mundo”, diz McGibney. “Quando eles estão determinados e focados em se infiltrar em seu ambiente, eles usarão todos os meios necessários para atingir seus objetivos”, alerta. “Se isso ocorre por meio de engenharia social ou de uma campanha de phishing, as empresas devem permanecer vigilantes e conscientes da segurança”.

Via CIO

Por que vazamentos de dados estão se tornando comum? O diretor de Ciberinteligência da Cipher, empresa de segurança cibernética, e também professor de pós-graduação da Universidade Mackenzie, Fernando Amatte, explica que a motivação para provocar esses vazamentos varia muito. Pode ir da simples satisfação de pessoas (que utilizam apelidos) e grupos em demonstrar e se vangloriar publicamente de que existe uma falha de segurança até uma razão política e/ou comercial.

Mas onde as empresas estão falhando?

Amatte lembra que durante muito tempo, os executivos usavam “chavões” do tipo “isso é coisa de cinema”, “nunca acontecerá comigo”, “não tenho nada de importante” para descartarem a preocupação com a segurança de dados. “O mercado, porém, mudou muito e hoje os dados são extremamente valiosos comercialmente”, destaca. Empresas das mais diversas atividades-fim não podem descuidar da segurança da informação porque em caso de problemas o dano à imagem pode ser muitas vezes mais caro do que o investimento tecnológico.

Para ele, a “culpa” do descuido não é só do executivo. “Os profissionais técnicos têm grande parcela dessa culpa pois em sua grande maioria não sabem argumentar e mostrar o real problema de forma didática para um executivo”.

Cenário pode piorar

O especialista da Cipher acredita que pelas características dos ataques, é muito provável que muitos mais dados dos que vieram a público ou foram noticiados pela mídia podem ter vazado. “Eu acredito que parte do material está sendo arquivado para futura negociação (chantagem), pois no ano que vem entra em vigor a nova lei geral de proteção de dados (LGPD), que prevê multas pesadas a quem não tratar a segurança de dados de terceiros”.

O que fazer?

Entre outras ações que podem ser tomadas estão:

• • Pedir ajuda
• • Contratar profissionais especializados em segurança da informação
• • Fazer revisão de código, em aplicações expostas na internet
• • Contratação e uso de camadas de proteção como um firewall de aplicação

Via CIO

As compras de cartão não-presente cresceram 18,4% em 2018, um total de R$ 198,2 bilhões de volume transacionado. As informações são da Associação Brasileira das Empresas de Cartões de Crédito e Serviços (Abecs), em parceria com o Datafolha. A pesquisa também constatou que 78% dos consumidores fizeram compra online com o cartão de crédito. Entre eles, 63% preferiram comprar com o celular em plataformas de e-commerce; 35%, com desktops; 33%, com notebook; e 3%, com tablet.

Segundo a Cyxtera, provedora de segurança digital focada na detecção e prevenção total de fraudes eletrônicas, receber o produto em casa, economizar tempo, encontrar variedade de itens e preços e evitar filas são algumas das vantagens que atraem milhares de consumidores para o comércio virtual. Entretanto, os casos de fraude em transações não presenciais, como em compras online, aumentou. De acordo com a empresa, nos últimos dois anos, por exemplo, mais de 1.300 violações de dados foram relatadas de modo público, totalizando quase 3 bilhões de informações expostas globalmente.

“Os ciberataques têm alcançado um nível de complexidade e inovação jamais visto. Assim como existem sites de confiança, muitos portais estão no ar apenas para dar golpes em consumidores desatentos”, explica Ricardo Villadiego, vice-presidente de Segurança da empresa. “Os dados roubados podem ser empacotados e disponibilizados para venda na dark web. As informações são usadas para comprar vales-presente e produtos que podem ser devolvidos ou vendidos posteriormente”, destaca.

A Cyxtera, que já avaliou mais de 32 bilhões de conexões globais em busca de ameaças, listou dez dicas importantes para reduzir os riscos de cair em armações e ter os dados acessados por cibercriminosos.

Utilize WI-FI ou conexão de internet segura: evite fazer compras e fornecer seus dados em computadores públicos. As máquinas podem conter vírus e suas informações podem ser roubadas;

Mantenha o antivírus atualizado: é fundamental manter um antivírus instalado e atualizado no computador ou smartphone. O software poderá detectar tentativas de invasão e evitar ataques ao dispositivo;

Verifique se o site é seguro: sempre confira se o site está iniciado pela sigla “https” e se conta com o ícone de um cadeado na barra de endereço do navegador;

Confira se o site disponibiliza canais de atendimento: verifique se o site fornece informações como CNPJ, endereço, telefone e contato do SAC;

Verifique a reputação do site: peça recomendações a amigos e familiares e busque indicações de outros compradores em serviços como o Reclame Aqui, Procon e outros órgãos de defesa do consumidor;

Compare preços: se você encontrou uma oferta muito surpreendente, desconfie da idoneidade do site e da veracidade das informações;

Não revele a senha do cartão de crédito: lojas virtuais não pedem a senha do cartão de crédito. Por isso, não forneça esse tipo de informação, principalmente se solicitada por e-mail;

Atente-se às condições da entrega: o prazo de entrega deve ser informado pelo site. No Estado de São Paulo existe uma lei que obriga o fornecedor a dar ao consumidor a opção de escolher data e turno de entrega do produto;

Direito de arrependimento: depois da entrega, o consumidor tem o direito de arrependimento de até sete dias úteis a partir do recebimento do produto ou assinatura do contrato. O fornecedor não pode exigir que a embalagem do produto não tenha sido aberta;

Pós-venda: guarde os comprovantes de compra e exija nota fiscal quando receber o produto. Se tiver algum problema, procure a empresa fornecedora. Caso a solução não seja encontrada, procure órgãos de defesa do consumidor.

Via businessleaders.com.br

Se os dados realmente estão entre os maiores ativos de uma empresa, os CIOs devem ser capazes de produzir demonstrações tangíveis de como todas essas informações podem ser organizadas para promover os negócios.

Com dados, você consegue tornar os funcionários mais produtivos e ainda melhorar a experiência do cliente.

Seja qual for o objetivo final, as empresas inteligentes estão desenvolvendo estratégias completas para tentar derrubar as barreiras entre os silos de dados e desbloquear percepções significativas desses vastos conjuntos de dados, disseram especialistas no MIT Sloan CIO Symposium no mês passado.

“Estamos nadando em dados e sabemos que precisamos lucrar com isso, mas não da maneira como costumávamos”, disse Barbara Haley Wixom, principal pesquisadora do Centro de Pesquisa de Sistemas de Informação do MIT Sloan.

“Isso não funciona hoje”, disse Wixom sobre a abordagem do jardim murado que as empresas estão abandonando. “Hoje nossas estratégias de dados exigem movimentos ousados, ideias realmente novas.”

Os especialistas concordam que não existe uma abordagem única para uma estratégia de dados corporativos e que qualquer iniciativa desse tipo deve ser adaptada aos contornos da empresa e do setor em que ela opera. Mas há vários elementos temáticos comuns que acompanharão uma revisão bem-sucedida dos dados. Na lista abaixo, falamos sobre eles.

Crie uma cultura de dados

Elena Alfaro, chefe de dados e inovação aberta da divisão de soluções para clientes do banco espanhol BBVA, descreveu o trabalho de sua organização de “disseminar a cultura de dados” e garantir que a liderança sênior de uma organização esteja envolvida nas iniciativas de dados.

“O que eu aprendi”, disse Alfaro, é “se a pessoa com quem você está sentada não entende, é muito, muito difícil chegar a algo grande”.

E o BBVA conseguiu obter algo grande, de acordo com um analista líder de TI. Nos últimos dois anos, a Forrester classificou o aplicativo móvel da empresa como o melhor do setor bancário. Aurelie L’Hostis, da Forrester, creditou o aplicativo do banco por “obter um excelente equilíbrio entre funcionalidade e excelente experiência do usuário”, um produto que Alfaro diz ter surgido de uma estratégia de dados com o usuário final em mente.

“Os bancos digitais ouvem seus clientes, são inteligentes com os dados e trabalham duro para facilitar o gerenciamento da vida financeira dos clientes”, escreve L’Hostis. “Não é um feito pequeno, mas é o que seus clientes estão exigindo.”

Implemente um framework

Mas, independentemente do setor, Wixom argumenta que as empresas com uma estratégia de dados bem-sucedida conseguem implementar uma estrutura que garante alto nível de integridade de dados e garante que ela seja ampla e facilmente acessível.

“Eles têm dados que as pessoas podem encontrar, usar e confiar”, disse Wixom. “Eles têm plataformas que servem dados de forma confiável e muito rápida, tanto dentro como fora da empresa”.

Ela também descreveu um equilíbrio entre sistemas de alta tecnologia para minerar os dados da organização, ao mesmo tempo em que coloca em serviço a missão de negócios e estabelece limites sobre como os dados são usados.

“Eles têm dados científicos que podem detectar insights que os humanos não podem”, disse Wixom. “Eles têm uma profunda compreensão do cliente não apenas das necessidades básicas, mas também das necessidades latentes. Eles têm uma governança de dados que supervisiona não apenas a conformidade, mas também os valores e a ética”.

O desafio de ganhar o buy-in para a estratégia de dados de uma empresa entre as várias unidades de negócios pode variar muito de acordo com a cultura do local de trabalho e, talvez em maior medida, com a indústria. No setor bancário, por exemplo, as empresas estão lidando com informações financeiras confidenciais e geralmente estão vinculadas a um conjunto rígido de regulamentações bem estabelecidas. Não é assim na tecnologia, onde as regulamentações ainda são mais fracas e os dados estão na essência da organização.

Na Adobe, por exemplo, alinhar o local de trabalho por trás de uma estratégia centrada em dados não era o desafio, de acordo com Mark Picone, vice-presidente de serviços de informações e dados da Adobe.

“Todo mundo sabia que tinha que ser orientado a dados”, disse Picone. “Somos uma espécie de empresa digital nativa – é de onde nós somos, mas eles não sabiam como e começaram a fazer coisas.”

O resultado, disse Picone, foi em um ambiente de alta tecnologia, onde o treinamento em ciência de dados é padrão e “todo mundo pode criar diferentes tipos de sistemas”, e a Adobe acabou tendo que criar uma estrutura de dados unificada.

Demonstre o valor para a organização

Em outros negócios, obter esse comprometimento para uma estratégia de dados fora do departamento de TI pode ser mais um desafio. Tal foi o caso no Bank of Queensland, na Austrália, onde o CIO determinou que não seria o suficiente para iniciar novas iniciativas de dados, mesmo com o apoio do alto escalão da organização. Em vez disso, seria uma questão de demonstrar o valor prático de como esses dados poderiam ajudar as linhas de negócios da organização em seu trabalho diário, como melhorar o atendimento ao cliente no banco de varejo.

Para Donna-Maree Vinci, diretora-chefe de informática e de informações do banco, uma abordagem multifacetada foi fundamental “porque você não pode simplesmente dar um tom no topo”, disse ela. “Você tem que ser capaz de entender e se conectar ao por que eles estão fazendo isso. Então, qual é o valor e por que é importante, como ela vai ajudá-los pessoalmente com seus clientes… mas também como isso vai criar valor para a organização”.

Notas explicativas que estabelecem novas políticas de dados são boas, mas apenas na medida em que vão. Vinci descreveu seus esforços para construir o mantra baseado em dados “no ponto”, uma iniciativa promovida por workshops contínuos que ajudam os funcionários a incorporar elementos de dados em seu fluxo de trabalho diário.

“Não é apenas uma apresentação ou algo assim. Trata-se de imersão”, disse Vinci. “Eu acho que há muitas peças de reforço diferentes.”

Seu conselho para outros CIOs que estão começando uma jornada de dados? “Seja paciente e mantenha o curso sobre as mensagens.”

Vinci também desenvolveu uma métrica para o sucesso, se for intangível. Gradualmente, ela viu a cultura de dados infiltrar-se em unidades do negócio fora da TI, a ponto de os trabalhadores não técnicos do banco começarem a criar soluções baseadas em dados para um problema de trabalho por conta própria.

“O que é realmente agradável e poderoso é quando você não é o único a dizer isso, quando na verdade está voltando do negócio”, disse ela, “e eles são os defensores”.

Via CIO

Por que vazamentos de dados estão se tornando comum? O diretor de Ciberinteligência da Cipher, empresa de segurança cibernética, e também professor de pós-graduação da Universidade Mackenzie, Fernando Amatte, explica que a motivação para provocar esses vazamentos varia muito. Pode ir da simples satisfação de pessoas (que utilizam apelidos) e grupos em demonstrar e se vangloriar publicamente de que existe uma falha de segurança até uma razão política e/ou comercial.

Mas onde as empresas estão falhando?

Amatte lembra que durante muito tempo, os executivos usavam “chavões” do tipo “isso é coisa de cinema”, “nunca acontecerá comigo”, “não tenho nada de importante” para descartarem a preocupação com a segurança de dados. “O mercado, porém, mudou muito e hoje os dados são extremamente valiosos comercialmente”, destaca. Empresas das mais diversas atividades-fim não podem descuidar da segurança da informação porque em caso de problemas o dano à imagem pode ser muitas vezes mais caro do que o investimento tecnológico.

Para ele, a “culpa” do descuido não é só do executivo. “Os profissionais técnicos têm grande parcela dessa culpa pois em sua grande maioria não sabem argumentar e mostrar o real problema de forma didática para um executivo”.

Cenário pode piorar

O especialista da Cipher acredita que pelas características dos ataques, é muito provável que muitos mais dados dos que vieram a público ou foram noticiados pela mídia podem ter vazado. “Eu acredito que parte do material está sendo arquivado para futura negociação (chantagem), pois no ano que vem entra em vigor a nova lei geral de proteção de dados (LGPD), que prevê multas pesadas a quem não tratar a segurança de dados de terceiros”.

O que fazer?

Entre outras ações que podem ser tomadas estão:

• • Pedir ajuda
• • Contratar profissionais especializados em segurança da informação
• • Fazer revisão de código, em aplicações expostas na internet
• • Contratação e uso de camadas de proteção como um firewall de aplicação

Via CIO

Preocupação crescente em todo mundo, a segurança cibernética ainda não é prioridade para as empresas brasileiras. É o que mostra a edição 2019 do Cyber View, estudo produzido pela Marsh/JLT sobre segurança digital no País. De acordo com o levantamento, 46,3% das empresas entrevistadas consideram importante mas não prioritária a segurança contra ataques cibernéticos e 44,2% não possuem sequer planos de contingência ou orçamento para combater incidentes virtuais.

A pesquisa mostra ainda que 55,4% das empresas têm 100% de dependência do uso de tecnologia em diversas etapas de suas atividades e 35% podem ter paralisações severas diante de um problema tecnológico.

O Brasil é o segundo País com maior número de crimes cibernéticos no mundo, conforme dados da empresa Symantec. No ano passado, 34% das empresas entrevistadas sofreram algum tipo de incidente virtual, de acordo com a pesquisa Cyber View, sendo que 29% das companhias tiveram suas operações paralisadas e 27,8% perceberam um alto custo na reconstrução e restauração de dados e dos sistemas.

Cenário regulatório

Novas regulamentações vão movimentar a área de segurança cibernética no Brasil. Recente resolução do Banco Central (resolução 4.658) e a Lei Geral de Proteção de Dados (que entrará em vigor em 2020) estabelecem novas regras para a segurança em ambiente digital e aumentam penalidades em casos de violação de dados pessoais. Com esse novo cenário, é importante contar com ações preventivas e planejamento para minimizar danos.

De acordo com a pesquisa, 62,7% das empresas entrevistadas não adotam medidas de prevenção de danos ao contratar fornecedores que conversem com os seus sistemas e 81% não possuem seguro para riscos cibernéticos.

Confira abaixo outros dados obtidos pelo Cyber View 2019.

• 55,4% das empresas ouvidas têm 100% de dependência do uso de tecnologia em diversas etapas integradas de suas atividades

• 35% podem ter paralisações severas diante de um problema relacionado a tecnologia

• 80% dos entrevistados avaliaram que um incidente cibernético causaria um impacto operacional com reflexos em toda a empresa

• 29% já avaliaram monetariamente o que este impacto resultaria às suas organizações

• 34% das empresas que responderam à pesquisa relataram ter sofrido algum tipo de incidente cibernético nos últimos 12 meses

• 29% das empresas que sofreram ataques tiveram impactos operacionais

• 27,8% tiveram altos custos de reconstrução sistêmica

• 4% sofreram impactos de reputação frente aos clientes

Via CIO

A segurança móvel está no topo da lista de preocupações de todas as empresas nos dias atuais – e por um bom motivo: quase todos os funcionários agora acessam rotineiramente dados corporativos pelos smartphones, e isso significa que manter informações confidenciais fora das mãos erradas é um quebra-cabeças cada vez mais complexo. E as apostas são maiores do que nunca: o custo médio de uma violação de dados corporativos é de US$ 3,86 milhões, de acordo com um relatório de 2018, do Ponemon Institute. Isso é 6,4% a mais que o custo estimado apenas há um ano.

Embora seja fácil se concentrar no assunto incrível do malware, a verdade é que as infecções por malware móvel são incrivelmente incomuns no mundo real – com suas chances de ser infectado significativamente menores que as chances de ser atingido por um raio, de acordo com uma estimativa. Isso graças à natureza do malware de móvel e às proteções inerentes aos modernos sistemas operacionais móveis.

Os riscos de segurança móvel mais realistas encontram-se em algumas áreas facilmente negligenciadas, e espera-se que todas elas se tornem mais urgentes à medida que avançamos em 2019:

1. Vazamento de dados

Pode soar como um diagnóstico de um urologista robótico, mas o vazamento de dados é amplamente visto como uma das ameaças mais preocupantes para a segurança das empresas em 2019. Lembra-se daquelas chances quase inexistentes de ser infectado por malware? Bem, quando se trata de uma violação de dados, as empresas têm quase 28% de chance de sofrer pelo menos um incidente do tipo nos próximos dois anos, com base nas pesquisas mais recentes do Ponemon – em outras palavras, mais de uma em cada quatro.

O que torna a questão especialmente irritante é que muitas vezes ela não é nefasta por natureza; em vez disso, é uma questão de os usuários, inadvertidamente, tomarem decisões imprudentes sobre quais aplicativos podem ver e transferir suas informações.

“O principal desafio é como implementar um processo de verificação de aplicativos que não sobrecarregue o administrador e não frustre os usuários”, explica Dionisio Zumerle, diretor de pesquisa de segurança móvel do Gartner. Ele sugere a adoção de soluções de defesa contra ameaças móveis (MTD) – produtos como o Endpoint Protection Mobile da Symantec, o SandBlast Mobile da CheckPoint e o zIPS Protection da Zimperium. Esses utilitários analisam os aplicativos em busca de “comportamentos com vazamentos”, diz Zumerle, e podem automatizar o bloqueio de processos problemáticos.

Naturalmente, nem sempre isso acoberta vazamentos que ocorrem como resultado de um erro claro do usuário – algo tão simples quanto transferir arquivos da empresa para um serviço de armazenamento em nuvem pública, colar informações confidenciais no lugar errado ou encaminhar um email para um destinatário não intencional. Esse é um desafio que atualmente a indústria da saúde está lutando para superar: segundo a provedora especializada em seguros Beazley, “divulgação acidental” foi a principal causa de violação de dados relatada por organizações de saúde no terceiro trimestre de 2018. Essa categoria combinada com vazamentos internos foi responsável por quase metade de todas as violações relatadas durante o período.

Para esse tipo de vazamento, as ferramentas de prevenção de perda de dados (DLP) podem ser a forma mais eficaz de proteção. Esse software é projetado explicitamente para evitar a exposição de informações confidenciais, inclusive em cenários acidentais.

2. Engenharia social

O método de tática de fraude é tão problemática no mobile quanto no desktop. Apesar da facilidade com que alguém poderia pensar que os contras da engenharia social poderiam ser evitados, eles permanecem surpreendentemente eficazes.

Surpreendentemente, 91% dos crimes cibernéticos começam com o e-mail, de acordo com um relatório de 2018 da companhia de segurança FireEye. A empresa se refere a esses incidentes como “ataques sem malware”, uma vez que eles utilizam táticas como a representação para enganar as pessoas que clicam em links perigosos ou forneçam informações confidenciais. O phishing, especificamente, cresceu 65% ao longo de 2017, aponta a empresa, e os usuários móveis correm o maior risco de cair neste tipo de golpe devido à forma como muitos clientes de e-mail móveis exibem apenas o nome de um remetente – tornando especialmente fácil falsificar mensagens e enganar uma pessoa a pensar que um e-mail é de alguém que eles conhecem ou confiam.

Na verdade, os usuários têm três vezes mais probabilidade de responder a um ataque de phishing em um dispositivo móvel do que em um desktop, de acordo com um estudo da IBM – em parte, simplesmente porque um telefone é o local onde as pessoas mais provavelmente veem uma mensagem. Enquanto apenas 4% dos usuários clicam em links relacionados a phishing, de acordo com o Relatório de Investigações de Violações da Verizon de 2018, as pessoas mais ingênuas tendem a ser reincidentes: a empresa observa que quanto mais vezes alguém clica em um link de campanha de phishing, o mais provável é que eles façam isso novamente no futuro. A Verizon relatou anteriormente que 15% dos usuários que foram infectados com sucesso serão violados pelo menos mais uma vez no mesmo ano.

“Nós vemos um aumento geral na suscetibilidade a dispositivos móveis impulsionada pelo aumento da computação móvel e pelo crescimento contínuo dos ambientes de trabalho BYOD”, diz John “Lex” Robinson, estrategista de segurança da informação e anti-phishing da PhishMe – uma empresa que usa simulações do mundo real para treinar os funcionários no reconhecimento e resposta a tentativas de phishing.

Robinson observa que a linha entre o trabalho e a computação pessoal também continua a se confundir. Cada vez mais trabalhadores estão vendo várias caixas de entrada – conectadas a uma combinação de contas de trabalho e pessoais – juntas em um smartphone, observa ele, e quase todo mundo conduz algum tipo de negócio pessoal on-line durante a jornada de trabalho. Consequentemente, a noção de receber o que parece ser um e-mail pessoal ao lado de mensagens relacionadas ao trabalho, não parece de todo incomum à primeira vista, mesmo que de fato possa ser uma fraude.

3. Interferência Wi-Fi

Um dispositivo móvel é tão seguro quanto a rede pela qual transmite dados. Em uma época em que todos estamos constantemente nos conectando à redes Wi-Fi públicas, isso significa que nossas informações geralmente não são tão seguras quanto podemos supor.

Quão significativa é essa preocupação? De acordo com uma pesquisa da empresa de segurança corporativa Wandera, os dispositivos móveis corporativos usam o Wi-Fi quase três vezes mais do que os dados celulares. Quase um quarto dos dispositivos se conectou a redes Wi-Fi abertas e potencialmente inseguras, e 4% dos dispositivos encontraram um ataque man-in-the-middle – no qual alguém intercepta maliciosamente a comunicação entre duas partes – no mês mais recente. A McAfee, por sua vez, diz que o spoofing de rede aumentou “dramaticamente” nos últimos tempos, e ainda assim, menos da metade das pessoas se preocupam em garantir sua conexão enquanto viajam e dependem de redes públicas.

“Hoje em dia, não é difícil criptografar o tráfego”, diz Kevin Du, professor de ciência da computação da Syracuse University, especialista em segurança para smartphones. “Se você não tem uma VPN (rede privada virtual), você está deixando muitas portas abertas em seus perímetros.”

Selecionar a VPN de classe empresarial certa, no entanto, não é tão fácil. Como na maioria das considerações relacionadas à segurança, uma troca é quase sempre necessária. “A entrega de VPNs precisa ser mais inteligente com dispositivos móveis, já que minimizar o consumo de recursos – principalmente de baterias – é fundamental”, destaca Zumerle, do Gartner. Uma VPN eficiente deve saber ativar somente quando for absolutamente necessário, diz ele, e não quando um usuário acessa algo como um site de notícias ou trabalha em um aplicativo que é conhecido por ser seguro.

4. Dispositivos desatualizados

Smartphones, tablets e dispositivos menores conectados – comumente conhecidos como Internet das Coisas (IoT) – representam um novo risco para a segurança corporativa, pois, ao contrário dos dispositivos de trabalho tradicionais, geralmente não oferecem garantias de atualizações de software oportunas e contínuas. Isso é verdade principalmente em relação ao Android, em que a grande maioria dos fabricantes é constrangedoramente ineficaz em manter seus produtos atualizados – tanto com updates do sistema operacional (SO) quanto com as atualizações menores de segurança mensais entre eles – assim como com dispositivos IoT, muitos dos quais não são projetados para receber atualizações em primeiro lugar.

“Muitos deles nem sequer têm um mecanismo de atualização embutido, e isso está se tornando cada vez mais uma ameaça hoje em dia”, diz Du.

Aumentando a probabilidade de ataque à parte, um uso extensivo de plataformas móveis eleva o custo total de uma violação de dados, de acordo com o Ponemon, e uma abundância de produtos IoT conectados ao trabalho apenas faz com que esse número suba ainda mais. A Internet das Coisas é “uma porta aberta”, segundo a companhia de segurança cibernética Raytheon, que patrocinou pesquisas mostrando que 82% dos profissionais de TI previram que dispositivos IoT não seguros causariam uma violação de dados – provavelmente “catastrófica” – dentro de sua organização.

Mais uma vez, uma política forte percorre um longo caminho. Existem dispositivos Android que recebem atualizações contínuas oportunas e confiáveis. Até que o cenário da IoT se torne menos selvagem, cabe a uma empresa criar a sua própria rede de segurança em torno deles.

5. Ataques de Cryptojacking

O cryptojacking é um tipo de ataque em que alguém usa um dispositivo para minerar criptomoedas sem o conhecimento do proprietário, um acréscimo relativamente novo à lista de ameaças móveis relevantes. Se tudo isso soa como um monte de bobagens técnicas, apenas saiba disso: o processo de mineração criptográfica usa os dispositivos da sua empresa para os ganhos de outra pessoa. Ele se apoia fortemente em sua tecnologia para fazê-lo – o que significa que os telefones afetados provavelmente terão pouca vida útil da bateria e poderão sofrer danos devido a componentes superaquecidos.

Embora o cryptojacking tenha se originado no desktop, houve um surto nos aparelhos móveis entre o final de 2017 e o início de 2018. A indesejada mineração de criptomoedas representou um terço de todos os ataques no primeiro semestre de 2018, de acordo com uma análise da Skybox Security, com um aumento de 70% na proeminência durante esse período em comparação com o semestre anterior. E os ataques de cryptojacking específicos para dispositivos móveis explodiram completamente entre outubro e novembro de 2017, quando o número de aparelhos mobile afetados registrou um aumento de 287%, de acordo com um relatório da Wandera.

Desde então, as coisas esfriaram um pouco, especialmente no domínio móvel – uma medida auxiliada em grande parte pela proibição de aplicativos de mineração de criptomoeda da iOS App Store da Apple e da Google Play Store associada ao Android, em junho e julho, respectivamente. Ainda assim, as empresas de segurança observam que os ataques continuam tendo um determinado nível de sucesso por meio de sites móveis (ou mesmo de anúncios indesejados em sites para celular) e por meio de aplicativos baixados de lojas de terceiros não oficiais.

Os analistas também destacam a possibilidade de usar cryptojacking por meio de set-top boxes conectadas à Internet, que algumas empresas podem usar para streaming e transmissão de vídeo. De acordo com a companhia de segurança Rapid7, os hackers descobriram uma maneira de tirar proveito de uma brecha evidente que faz do Android Debug Bridge – uma ferramenta de linha de comando destinada apenas para o uso dos desenvolvedores – acessível e pronto para a violação sobre tais produtos.

Por enquanto, não há uma grande resposta – além de selecionar dispositivos com cuidado e seguir com uma política que exige que os usuários façam download de aplicativos apenas na loja oficial de uma plataforma, onde o potencial para código de roubo é reduzido drasticamente – e realisticamente, não há indicação de que a maioria das empresas estão sob qualquer ameaça significativa ou imediata, particularmente dadas as medidas preventivas tomadas em toda a indústria. Ainda assim, por conta da atividade flutuante e do crescente interesse nesta área nos últimos meses, é algo que vale a pena ficar de olho ao longo do ano.

6. Má higiene de senha

Você acha que já passamos desse ponto, mas, de alguma forma, os usuários ainda não estão protegendo suas contas corretamente – e quando carregam telefones que contêm contas de empresas e logins pessoais, isso pode ser particularmente problemático.

Uma nova pesquisa do Google e da Harris Poll descobriu que mais da metade dos norte-americanos reutiliza senhas em várias contas. Igualmente preocupante é o fato de que quase um terço deles não está usando autenticação de dois fatores (ou nem sabe se está usando – o que pode ser um pouco pior). E apenas um quarto das pessoas estão usando ativamente um gerenciador de senhas, o que sugere que a grande maioria das pessoas provavelmente não possui senhas particularmente fortes na maioria dos lugares, já que elas estão presumivelmente gerando e lembrando delas por conta própria.

As coisas só pioram a partir daí: de acordo com uma análise do LastPass de 2018, metade dos profissionais usam as mesmas senhas para contas pessoais e de trabalho. E se isso não for suficiente, um funcionário comum compartilha cerca de seis senhas com um colega de trabalho ao longo de seu emprego, segundo a análise.

Para que você não pense que tudo isso é muito difícil, em 2017, a Verizon descobriu que as senhas fracas ou roubadas eram responsáveis por mais de 80% das violações relacionadas a hackers nas empresas. A partir de um dispositivo móvel em particular – onde os funcionários desejam acessar rapidamente vários aplicativos, sites e serviços – pense no risco para os dados da sua organização, mesmo que apenas uma pessoa esteja digitando de forma desleixada a mesma senha que eles usam para uma conta da empresa em um prompt em um site de varejo aleatório, aplicativo de bate-papo ou fórum de mensagens. Agora, combine esse risco com o risco mencionado de interferência de Wi-Fi, multiplique-o pelo número total de funcionários em seu local de trabalho e pense nas camadas de pontos de exposição prováveis que estão se acumulando rapidamente.

Talvez o mais irritante de tudo seja que a maioria das pessoas pareça completamente inconsciente de seus descuidos nessa área. Na pesquisa do Google e Harris Poll, 69% dos entrevistados deram a si mesmos um “A” ou “B” em relação à proteção das suas contas on-line, apesar de as respostas subsequentes que indicaram o contrário. Claramente, você não pode confiar na avaliação do próprio usuário sobre o assunto.

7. Brechas em dispositivos físicos

Por último, mas não menos importante, algo que parece especialmente bobo, mas continua a ser uma ameaça perturbadoramente realista: um dispositivo perdido ou abandonado pode ser um grande risco de segurança, especialmente se não tiver um PIN ou senha forte e criptografia de dados completa.

Considere o seguinte: em um estudo do Ponemon de 2016, 35% dos profissionais indicaram que seus dispositivos de trabalho não tinham medidas obrigatórias para garantir dados corporativos acessíveis. Pior ainda, quase metade dos entrevistados disseram que não tinham senha, PIN ou segurança biométrica protegendo os seus dispositivos – e cerca de dois terços disseram que não usavam criptografia.E 68% dos entrevistados indicaram que, às vezes, compartilhavam senhas em contas pessoais e de trabalho acessadas por meio de seus dispositivos móveis.

A mensagem para levar para casa é simples: deixar a responsabilidade nas mãos dos usuários não é suficiente. Não faça suposições; faça políticas. Você vai agradecer a si mesmo depois.

Via CIO