O mundo, como o conhecemos, mudou completamente por causa da pandemia de covid-19. Com a quarentena adotada em quase todo o mundo, as grandes e pequenas empresas se viram diante de novos e inesperados desafios. Agora, ao iniciarmos a jornada na longa estrada para a recuperação, temos prioridades diferentes daquelas de alguns meses atrás.
A pandemia está sendo um desafio para os chefes de segurança da informação (CISOs) – um teste em tempo real de resiliência e robustez. As equipes de tecnologia têm trabalhado para manter a continuidade das funções e oferecer suporte à novas formas de trabalho.
Obviamente, todas as organizações consideram um desafio garantir a capacidade de a segurança cibernética se reinventar sob essas circunstâncias extremas. No entanto, quatro princípios orientadores podem ajudá-las a manter as operações de negócios funcionando com eficácia e enfrentar com êxito os riscos críticos de segurança.
Centros de operações de segurança em todo o mundo rastrearam armadilhas de phishing relacionadas à covid-19 voltadas para usuários. O objetivo é roubar credenciais de acesso e alcançar uma infinidade de sistemas corporativos, até mesmo mensagens instantâneas. Os ataques de phishing geralmente têm como alvo executivos seniores e de nível C – pois, além de disporem de dados confidenciais, seus perfis são mais poderosos na manipulação de outros usuários.
O primeiro passo para enfrentar esse problema é a conscientização. As empresas têm maior probabilidade de sucesso quando educam os usuários sobre como devem ser as comunicações internas relacionadas à pandemia. Também é importante ensinar a vigilância relacionada a e-mails externos não solicitados. É relativamente simples treinar os usuários a olhar para e-mails de colegas e gerentes que não pareçam adequados – por exemplo, com tom inapropriado, erros gramaticais, temas específicos referidos apenas em termos genéricos (como “o projeto”) – e tratá-los com suspeita.
O acesso seguro e confiável à rede corporativa é mais importante do que nunca. Se sua empresa tiver um aplicativo, ferramenta ou dispositivo aprovado, certifique-se de que seja usado. Às vezes, isso pode não ser tão popular quanto uma alternativa não compatível – mas é comprovadamente seguro.
Uma mudança importante a ser considerada pelos CISOs é repensar o antigo conceito de que qualquer dispositivo dentro da rede segura pode ser confiável, enquanto qualquer dispositivo fora da rede, não. Com dispositivos corporativos e pessoais solicitando acesso legítimo a dados e sistemas de dentro e fora da rede, as equipes de segurança de TI devem considerar modelos de Zero Trust, que só permitem acesso com base em perfis de usuários individuais.
O debate sobre quando e como corrigir o software em execução dura décadas, com muitos líderes de TI adotando uma abordagem altamente regulamentada para minimizar a chance de um patch ruim afetar negativamente as operações da equipe.
É bastante provável o aumento de invasores que tentarão explorar massivamente a mudança nas práticas de trabalho, já que as equipes de operações de TI são significativamente afetadas pela pandemia. Sugerimos que as empresas atualizem com frequência e gerenciem os resultados finais, em vez de esperar meses para fazer o patch com perfeição.
Uma coisa que se tornou cada vez mais evidente nos últimos meses é a necessidade de trabalho conjunto. Isso é realmente relevante para as equipes de segurança. Como elas estão sobrecarregadas pelo “novo normal” temporário, este é o momento certo para compartilhar as práticas recomendadas e as lições aprendidas com seus colegas em segurança cibernética.
Via CIO
Em tempos de coronavírus e de isolamento social, estamos utilizando mais do que nunca o comércio eletrônico. Para garantir segurança a todos os consumidores, as empresas estão diante de novos desafios como o uso de sistemas antifraude para garantir segurança e proteção para as transações financeiras.
Afinal de contas, você já imaginou quantos dados estão circulando nesse exato instante no Brasil para manter em dia os pedidos e pagamentos feitos por meio de smartphones, computadores, caixas eletrônicos, maquininhas móveis e até mesmo TVs? Se antes da pandemia os números do comércio digital brasileiro já indicavam forte crescimento, agora o horizonte indica um caminho ainda mais desafiador pelo exponencial aumento de vendas por causa da quarentena do COVID-19.
Estimamos que o número de pedidos on-line em alguns segmentos mais que dobrou durante o mês de março, período que o Brasil e diversos países adotaram medidas restritivas de mobilidade. Até mesmo áreas que ainda não tinham grande expressão no comércio digital, como a de supermercados, estão trabalhando para se adaptar o mais rápido possível a esse panorama de vendas multicanais.
Estamos diante de uma nova realidade, com um volume maior de transações a serem gerenciadas. São bilhões de operações ocorrendo simultaneamente, e muitas delas produzidas – ou interceptadas – por agentes maliciosos dos mais diversos tipos e origens. É preciso entender esse cenário e proteger as informações.
Vale destacar que os clientes têm um papel importante como agentes de segurança. Manter as medidas de proteção é um cuidado indispensável e que precisa ser encarado com serenidade por todos nós, incluindo ações para checagem de sites, links, promoções e afins. Ainda assim, é inegável que toda a inteligência interna, que fica escondida dentro dos sistemas, é essencial para evitar que problemas aconteçam.
A boa notícia é que já contamos com uma série de soluções e suítes específicas para proteção contra fraudes on-line (OFD, de On Line Fraud Detection, em inglês). A indústria está evoluindo essas ofertas, agregando ferramentas que permitem o cruzamento ativo de registros gerados por inúmeros dispositivos com um banco de dados continuamente alimentado e avaliado.
Hoje, ao unir diferentes informações e implementar tecnologia avançada para a autenticação ininterrupta das transações, a indústria de automação bancária e de pagamentos pode oferecer aos consumidores uma gama completa de recursos de segurança extra, com suporte recorrente e análises inteligentes – capaz, inclusive, de avaliar as operações em uma abordagem baseada em comportamentos suspeitos para diminuir fraudes eletrônicas.
Seja via smartphone, PC ou em um ATM, os serviços de proteção antifraude mais modernos estão prontos para rastrear e identificar as origens das transações, oferecer blindagem dos endpoints, com estrutura instalada nos dispositivos de pagamento e monitoramento ativo, em tempo real. O compromisso deve ser dividido em três pilares: proteção do cliente, proteção do canal e operação BackOffice contínua.
As soluções de OFD são estratégicas para o crescimento dos negócios no mundo digital, sobretudo por permitir que bancos, empresas de cartões de crédito e demais companhias da cadeia de negócios de pagamentos possam ampliar a segurança da informação de seus clientes e a confiabilidade de seus serviços. É importante ressaltar, ainda, que o cuidado com os dados pessoais não é apenas importante diante do avanço das ofertas e ameaças do comércio digital em tempos de coronavírus, mas também porque as legislações e processos regulatórios são cada vez mais exigentes em relação a esse tema.
Trabalhar incessantemente para reduzir os crimes de fraude e combater as ações maliciosas certamente ajudará a atrair novos consumidores às empresas de e-commerce, bem como novos usuários de serviços de pagamento digital.
É hora da aproveitar as oportunidades que surgem, mesmo em tempos de coronavírus, para otimizar o atendimento e a experiência dos consumidores. Isso exige, de todos nós, a busca constante por inovações, unindo experiência e inteligência estratégica para o aprimoramento constante da segurança digital disponível aos usuários. Essa é a condição essencial para habilitar o comércio conectado, abrindo os caminhos para ampliar as vendas dos canais físicos e virtuais. [https://www.businessleaders.com.br/]
Quatro meses após a adoção das medidas de quarentena serem tomadas mundo afora para contenção do novo coronavírus, organizações começam a se preparar para retomar as atividade presenciais. Entretanto, o mundo pós-covid não será certamente mais o mesmo. “A medida que as economias começam a abrir está claro que estamos voltando para um mundo muito diferente daquele que deixamos”, sinalizou Sundar Pichai, CEO da Alphabet e Google em keynote do Google Cloud Next ’20: OnAir, evento do Google Cloud que teve programação virtual lançada nesta semana.
Era final de maio quando a gigante de tecnologia se sentiu confiante para anunciar que a partir de julho retomaria parcialmente as atividades em alguns escritórios dos Estados Unidos. Na ocasião, o próprio Pichai falava sobre planos de um retorno escalonado, respeitando medidas de segurança. Entretanto, no início deste mês, voltou atrás, decidindo adiar a abertura dos escritórios devido ao aumento de casos de covid-19 em alguns estados dos EUA. O Google espera agora poder retornar a partir de setembro.
Para Pichai, é ainda cedo para saber como todas as mudanças provocadas pelo coronavírus irão impactar no longo prazo, mas o executivo enxerga três tendências para o futuro do trabalho.
“Nós já estamos vendo a aceleração de longo prazo de negócios movendo para serviços digitais, incluindo, o trabalho online, educação, medicina, compras e entretenimento. Essas mudanças serão significativas e duradouras”, disse o executivo. Segundo Pichai, mais de 75% dos clientes da companhia dizem que planejam acelerar suas transformações digitais. Tais intenções refletem, claro, em oportunidades para a divisão de nuvem da companhia. “Estimativas recentes mostram que a penetração da nuvem pública aumentará em 20% até o ano de 2023”, frisou Pichai.
“Colaboração é a chave do sucesso e empresas estão investindo para criar comunidades virtuais. Usando plataformas de colaboração virtuais e videoconferências. Mas ainda estamos trabalhando sobre uma fundação que foi feita ao redor de mesas de conferência há alguns meses”, argumentou Pichai.
A próxima fase do trabalho, disse o executivo, será mais inestruturada, e exigirá, portanto, investimentos em soluções e ferramentas que facilitem a colaboração de qualquer lugar.
“Você não precisa estar na sua mesa para fazer o seu trabalho”, lembrou Pichai. “A pandemia nos reafirmou que o trabalho não é definido por um espaço físico, ele pode ser feito de qualquer lugar”.
O executivo citou uma pesquisa com CFOs nos EUA, que indica que a maioria afirma que a covid-19 terá um impacto duradouro em oferecer formas mais flexíveis de trabalho.
O Google Cloud, assim como outras fornecedoras de tecnologia e de infraestrutura, tem corrido para atender as demandas digitais de clientes em meio ao que se convencionou chamar de “novo normal”. Pichai, em seu keynote, lembrou que no último quarter da companhia, a divisão de cloud cresceu mais de 50% no comparativo anual e faturou mais de US$ 10 bilhões no ano.
A expectativa, segundo estimativas de consultorias como o Gartner e IDC, é que a nuvem seja um dos setores de tecnologia que serão poupados dos cortes de orçamento das áreas de TI das companhias. A relação é direta. “A medida que o mundo se torna mais digital e flexível, os clientes se orientam para a nuvem para inovar, para crescer no futuro e navegar em meio a mudanças econômicas”, declarou Pichai.
Atualmente, o Google Cloud conta com 24 regiões de nuvem e 73 zonas de disponibilidade espalhadas pelo mundo. Uma das mais recentes a ser inaugurada fica em Santiago, Chile.
Nesta semana, o Google Cloud anunciou novas ofertas de segurança e análise de dados para atender esta nova fase na nuvem pública e híbrida. Tecnologia de computação confidencial, que criptografa dados enquanto eles são processados e a chamada BigQuery Omni, plataforma desenvolvida na oferta multicloud Anthos do Google e que permite analisar dados em nuvens concorrentes.
“Nós queremos que as pessoas se sintam confortáveis em saber que elas podem mover para nuvem e não se preocupem com a segurança de seus dados”, disse Thomas Kurian, em keynote do Next OnAir desta semana. [via CIO]
Em tempos de home office, implementar políticas de segurança para proteger informações fundamentais e sensíveis às empresas é ainda mais importante para o bom andamento das atividades diárias com o mínimo de impacto possível. Com milhões de pessoas trabalhando em casa e acessando ambientes corporativos a partir de redes domésticas, na mesma medida em que as responsabilidades dos gestores de segurança da informação se voltaram para medidas de proteção desse novo cenário, cresceram também os olhares criminosos para obter dados considerados preciosos em aplicação de golpes e fraudes usando os temas atuais como pano de fundo.
Envolver os times de colaboradores nas políticas de segurança, ao lado de uma gestão das informações com tecnologia e processos que evitem brechas, passa a ser fundamental, já que as pessoas, caso não sigam à risca as condutas de proteção, acabam se tornando as portas de entrada para o cibercrime. Assegurar essa proteção de forma cada vez melhor será necessidade máxima no pós-pandemia, num mundo onde o trabalho e as práticas digitais se consolidarão.
“Quando pensamos em segurança da informação, precisamos pensar em três pilares: pessoas, processos e tecnologia”, aponta Joaquim Campos, VP da IBM Cloud & Cognitive Software da IBM Brasil. “A pandemia pegou diversas empresas de surpresa. Muitas não estavam preparadas para gerenciar o trabalho remoto, e seus funcionários não tinham uma camada básica de segurança para acessar sistemas ou informações corporativas de forma segura”, afirma.
Devemos lembrar que criminosos do mundo físico também migraram e se adaptaram para o mundo digital. O ganho financeiro por meio do uso de informações obtidas de maneira fraudulenta é a motivação mais comum de ameaças que visam a ambientes de nuvem, segundo dados do IBM Security Incident Response coletados desde 2019.
Para envolver as pessoas e abrir as portas para as atividades criminosas, os criminosos se servem de meios de engenharia social, utilizando palavras-chave e temas ligados às últimas notícias e preocupações. A pandemia é tema que aparece com frequência na lista dos golpes. “O time de pesquisa e inteligência IBM X-Force vem detectando um aumento expressivo no número de sites fake para tratar o tema da Covid-19. Encontramos ainda 500 mil downloads de apps falsos e também campanhas de e-mail (spam) sobre o tema”, explica Campos.
Pelo lado das companhias, com a utilização das soluções em nuvem híbrida em larga escala nos ambientes corporativos, as questões de segurança devem ser endereçadas com prioridade, para evitar erros de configuração e criação de ataques específicos para este tipo de ambiente. “Recomendamos que as empresas pensem na ampliação das capacidades de monitoração da infraestrutura tradicional para ambientes cloud em um único centro de comando, com mais camadas de criptografia nos dispositivos de colaboradores, adequando-se também às principais normas globais de privacidade e proteção de dados”, diz o executivo.
Nesta pandemia, dois setores ̶ o de varejo e o bancário ̶ acabaram se tornando atores chave para suportar a movimentação da economia junto aos consumidores e, exatamente por causa disso, aceleraram a transformação digital de modo a atender às demandas. Também por esse motivo, redobraram a atenção para prevenir a ação dos cibercriminosos.
Campos revela dados que mostram quanto uma violação pode custar. “A IBM e o Instituto Ponemon lançam anualmente um estudo que analisa o custo de uma violação de dados. No Brasil, o vazamento no setor financeiro, por exemplo, custa US$ 2,5 milhões. O impacto financeiro de um vazamento vai desde os custos operacionais para contê-lo até os de notificação e perda de negócios. Já no varejo, o prejuízo também é grande: um vazamento custa, em média, US$ 800 mil.”
Um dos maiores desafios nessas empresas é o tempo de contenção: são, em média, 361 dias para uma organização identificar e conter um ataque. “Por isso, são mais do que necessários: o investimento em programas de governança, gerenciamento de riscos e conformidade, na manutenção da proteção clara na gestão de mobilidade; e principalmente o trabalho junto ao elo humano, com programas de conscientização, com um plano multidisciplinar de comunicação”, destaca Campos.
Após a crise, a área de segurança digital assumirá grande protagonismo nas corporações, justamente porque será a tecnologia que poderá habilitar a virada que os negócios precisarão para emergirem com ainda mais força. Nesse cenário, serão mais 20 bilhões de dispositivos conectados no planeta, segundo dados da IBM. Por conta disso, as estratégias de crescimento de empresas de todas as áreas e tamanhos precisarão contar com a cibersegurança como um fator decisivo.
Via https://economia.estadao.com.br/
A pandemia de coronavírus teve um impacto chocante em praticamente todas as facetas da vida e dos negócios – incluindo a TI. À medida que os bloqueios terminam e muitas empresas começam a reabrir, pelo menos de forma limitada, os executivos de tecnologia estão buscando um retorno a alguma aparência de normalidade.
Com certeza, a crise mundial da saúde mudou drasticamente a maneira como os departamentos de TI fornecem serviços para suas organizações. Isso inclui apoiar a mudança massiva para um modelo de trabalho em casa que poucos poderiam ter imaginado alguns meses atrás.
Como em qualquer outro evento dessa escala, há lições a serem aprendidas. Aqui estão alguns deles, compartilhados por líderes de TI e outros especialistas.
A crise da saúde tornou o trabalho em casa a norma e, para muitas empresas, a mudança pode ser de longo prazo, se não permanente.
“Uma das maiores lições que aprendi com a pandemia é sobre a necessidade de os líderes estabelecerem uma estrutura para trabalhar remotamente, incluindo incentivar os membros da equipe a definir e indicar as horas de trabalho em seus sistemas de calendário e, em seguida, redefinir os prazos e tempos de cobertura do suporte técnico para acomodar essa nova matriz de disponibilidade”, diz Wendy Pfeiffer, CIO da empresa de software Nutanix.
“Sem essa estrutura, os funcionários tendem a continuar operando no modo ‘emergência’, sentindo a necessidade de estar disponível 24 horas por dia, 7 dias por semana”, diz Pfeiffer.
A missão do CIO foi ampliada para permitir que os funcionários sejam produtivos em seu ambiente doméstico. “Quando fomos pela primeira vez à distância, vimos uma queda inicial na produtividade devido a todos serem ajustados. Mas agora […] vimos um aumento de produtividade em 108%”, diz Pfeiffer.
Claramente, os serviços em nuvem têm assumido um papel cada vez mais importante nas organizações nos últimos anos. Mas a pandemia elevou o nível de urgência a um novo patamar, devido à implantação e manutenção de ferramentas de colaboração e fornecimento de aplicativos, além de capacidade e armazenamento, que facilitaram para a transição de uma força de trabalho remota.
“Ser uma empresa pioneira na nuvem superou nossa capacidade de continuidade de negócios e nos permitiu rapidamente viabilizar que mais de 90% de nossos funcionários trabalhassem em casa durante a primeira semana de pandemia”, diz Della Villa.
“Agora, regularmente, trabalhamos de maneiras que antes não eram o padrão, como colaborar com a equipe em vídeo, em vez de uma chamada antiquada”, diz Della Villa. “Estamos recebendo um feedback extremamente positivo em toda a empresa sobre essa transição, em grande parte devido à tecnologia da Microsoft e à nossa mudança para a nuvem”.
No Pittsburgh Technical College (PTC), a tecnologia de virtualização, como as ferramentas de desktop virtual da VMware, ajudou a instituição a mudar para o aprendizado remoto e fornece pontos de acesso à Internet para estudantes e funcionários que não têm acesso a alta velocidade.
“Grande parte do nosso sucesso foi resultado de investimentos e esforços anteriores feitos para virtualizar nossa infraestrutura de TI subjacente”, diz o CIO William Showers. A infraestrutura do campus é cerca de 95% virtualizada, incluindo servidores e estações de trabalho.
Isso não quer dizer que a transição não tenha sido sem desafios. “Muitos de nossos alunos vivem em áreas rurais sem acesso à Internet de alta velocidade. […] Para acomodar esses desafios de conexão, nossa equipe enviou pontos de acesso a esses indivíduos para que eles pudessem acessar seu ambiente de aprendizado virtual e permanecer produtivos até a reabertura do campus”, diz Showers.
As equipes de TI não tinham muito tempo para se preparar para as mudanças monumentais causadas pela pandemia; portanto, era essencial ter um conjunto de plataformas de software que pudesse ser rapidamente implementado e dimensionado para dar suporte às operações.
Isso é fundamental por duas razões, diz Scott Mastellon, Comissário do Departamento de TI do condado de Suffolk, Nova York, uma área que foi duramente atingida por casos de coronavírus. Primeiro, é importante poder implementar rapidamente a funcionalidade. Segundo e mais importante, “ele me permite distribuir a carga de trabalho geral entre minha equipe de aplicativos para que um grupo não fique totalmente sobrecarregado”, diz ele.
Segundo Mastellon, isso permitiu que certos membros da equipe permanecessem “atualizados” durante os tempos difíceis e continuassem sendo altamente produtivos. Mas para isso, ele trabalho um total de 47 dias sem descanso, em uma média de 13,5 horas por dia. “Manter os recursos atualizados para lidar com a demanda era essencial”, diz.
Sem a existência de plataformas de fornecedores como Salesforce, ServiceNow, Accela e Infor, todo o trabalho de aplicativos do município dependeria de sua equipe interna de desenvolvimento personalizado.
“Com nosso ambiente atual de aplicativos, fomos capazes de distribuir muita demanda de aplicativos entre nossos produtos comerciais, deixando os requisitos de aplicativos mais especializados para nosso grupo de desenvolvimento personalizado”, diz Mastellon. “Nas minhas experiências, muitas agências governamentais gostam de personalizar todos os aplicativos para evitar custos de licenciamento e manutenção. Embora isso possa funcionar para governos menores, simplesmente não funciona para um município do nosso tamanho, com 10.000 funcionários e 1,5 milhão de residentes”.
A demanda por tecnologia durante a pandemia “foi significativa e nunca experimentei esse alto nível em meus 25 anos de carreira”, diz Mastellon.
Os funcionários remotos tendem a abandonar os procedimentos de segurança que interferem em seu fluxo de trabalho e produtividade e, como resultado, muitas vezes desejam ignorar as verificações de proteção de dados, se puderem, diz Vishal Salvi, CISO da Infosys, uma empresa de serviços e consultoria digital.
Os hackers estão cada vez mais mirando em trabalhadores remotos, e é vital que esses funcionários possam trabalhar produtivamente sem serem prejudicados pelos processos de segurança, diz ele. “Quando ocorre um incidente, a reação padrão costuma ser a de culpar o funcionário, até penalizá-lo por não seguir os procedimentos”, diz Salvi.
“É valioso, no entanto, analisar por que esse incidente aconteceu. Que lacunas existiam nas defesas que expunham o funcionário a ameaçar os atores? O que houve com as soluções e processos de segurança que levaram o funcionário a contorná-los e a criar riscos adicionais?”, complementa.
As equipes de TI devem fornecer uma experiência de trabalho simplificada e sem problemas ao criar controles transparentes de segurança cibernética.
Via CIO
Postergada mais uma vez, a Lei Geral de Proteção de Dados (LGPD) vai mudar a forma como as empresas coletam, tratam, armazenam e utilizam os dados de clientes. A legislação foi criada justamente para proporcionar maior autonomia para os usuários e aumentar a responsabilidade das empresas com relação aos dados armazenados.
A LGPD é essencial evitar a exposição de informações pessoais e responsabilizar as empresas — nos últimos anos, de acordo com o Avast, diversas empresas sofreram com vulnerabilidades que causaram a exposição das informações dos clientes.
Uma pesquisa realizada pelo Serasa Experian mostra que boa parte das empresas ainda não está preparada: cerca de 85% diz ainda não estar pronta. Será que as empresas de tecnologia já estão se adaptando? Conversamos com 4 especialistas para entender quais as mudanças necessárias e por onde as adequações podem começar.
Wilson Keske, arquiteto de soluções da WK Sistemas, empresa de Blumenau referência em ERP (software de gestão de empresas), recomenda que se comece pelo começo, entendendo os conceitos da LGPD e realizando um mapeamento de todos os locais onde são utilizados dados pessoais dentro da organização. Esse mapeamento precisa buscar os dados além do óbvio, e levar em consideração para qual finalidade e como essas informações estão sendo coletadas e compartilhadas, seja interna ou externamente.
Para Keske, contratar um bom ERP nesse momento pode ser uma boa saída para se adequar de forma mais rápida e segura. “Os ERPs já colocam os dados em um fluxo de processos empresariais que facilitam esse mapeamento. Além disso, um bom software de gestão vai ter os controles de acesso a processos e informações, garantindo a privacidade dos dados conforme a política de adequação de cada empresa”, comenta.
Na visão de Naiara Cattoni, advogada e integrante da Comissão LGPD na Unifique – operadora eleita a melhor banda larga do Brasil segundo pesquisa da Anatel, o primeiro passo para a adequação à lei é criar um grupo interdisciplinar com a participação das áreas de segurança da informação, jurídica, governança corporativa, marketing, departamento pessoal e relacionamento com o cliente. “Essa equipe terá a incumbência de estudar a legislação sob diversas perspectivas, mapear processos internos e riscos do negócio, propor ideias práticas para implementação da norma e disseminar conhecimento a respeito da proteção de dados para todos os colaboradores”, explica.
Ainda conforme Cattoni, o segundo passo é a realização de inventário dos dados pessoais. “Esta etapa é trabalhosa e exigirá o envolvimento de diversos setores da empresa, porém, é de extrema relevância, já que o inventário servirá como guia para todo o projeto de implementação”, complementa. Tendo levantado todos os riscos e ajustadas as principais recomendações, será possível elaborar políticas de governança, de proteção de dados, de privacidade, de segurança da informação e outras que a empresa entender necessárias.
A criptografia é uma aliada quando se fala em proteção de dados. A tecnologia usada para codificar mensagens e documentos está cada vez mais acessível conforme ocorre a transformação digital em empresas privadas e órgãos públicos.
O recurso pode ser usado para fortalecer o compliance dentro das corporações, que é fundamental para a eficiência do projeto da LGPD. “Uma medida de segurança que pode ser usada internamente é emitir certificados digitais corporativos para as equipes que tratam dados”, explica Carlos Roberto De Rolt, fundador da BRy Tecnologia.
A empresa especializada em soluções de criptografia é pioneira no uso dessa solução em diferentes áreas, como recursos humanos e administrativo. “O certificado digital corporativo é uma espécie de identidade do colaborador e tem mecanismos para protegê-lo de fraudes. Pode ser usado na assinatura de contratos e é muito mais seguro, tem maior durabilidade e é mais fácil de armazenar do que o papel. Além disso, pode ser acessado em diferentes dispositivos, uma facilidade quando se fala em trabalho remoto”, completa.
As instituições financeiras, dentre elas as fintechs, sofrerão um grande impacto, isso porque os dados dos clientes são fundamentais para a operação dos negócios, explica Rafael Negherbon, CTO da Transfeera, startup open banking.
O especialista ainda afirma que: “com a LGPD, o consentimento do usuário poderá ser revogado a qualquer momento, caso não exista clara finalidade ou outra base legal vigente que obrigue o armazenamento dos dados. Aqui, cabe ressaltar que alguns dados, no que diz respeito ao sistema financeiro, não podem ser apagados, pois existem bases legais que se sobrepõe à LGPD, como regulamentações específicas do setor promovidas pelo Banco Central do Brasil”.
Oferecemos todo o Suporte técnico necessário para a adequação à Lei Geral de Proteção a Dados.
As ameaças digitais estão se aproveitando da preocupação das pessoas com a Covid-19, doença causada pelo novo coronavírus. Com tantas pessoas em busca de informações sobre a doença, hackers enviam mensagens com notícias falsas fingindo serem informações reais da OMS (Organização Mundial da Saúde), de universidades de renome e de outras organizações, espalhando assim uma série de malwares criados para roubar ou alterar dados dos seus dispositivos e ter acesso irrestrito a arquivos, sejam eles corporativos ou pessoais.
Recentemente, a CISA (Agência de Infraestrutura de Segurança dos Estados Unidos) emitiu um alerta pedindo atenção aos golpes virtuais relacionados à enfermidade. Segundo a agência, os criminosos enviam e-mails com links para sites fraudulentos e anexos maliciosos, induzindo as vítimas a revelar informações confidenciais ou fazer doações para instituições que não existem.
Na lista abaixo, confira cinco dicas para evitar que você e seus colaboradores caiam em golpes, mantendo seus dispositivos e informações a salvo.
Pode ser que já acontecido com algum conhecido, ou até mesmo foi você quem recebeu e-mails com logotipos parecidos ao da OMS ou de universidades famosas com um anexo para fazer o teste de coronavírus. Pois se você abriu o documento, más notícias. Quando é baixado, ele solicita a instalação de um programa que infecta seu computador com um malware conhecido como Koadic. Outro golpe que tem sido comum é o de um link para um vídeo que mostra a construção dos hospitais temporários na China durante o surto de COVID-19 no país. Isto só para citar dois exemplos de truques que os hackers estão usando para invadir computadores no mundo todo.
Estas práticas têm nome. Uma das mais corriqueiras é o phishing, aquele em que usuário recebe um e-mail que parece vir de fontes confiáveis, mas na verdade são notícias falsas usadas para adulterar ou roubar informações pessoais.
Outra fraude comum é o envio mensagens disfarçadas de documentos importantes sobre o COVID-19 ou relacionadas ao seu trabalho. O e-mail geralmente pede aos usuários para que baixem e abram vários anexos do Office. Acontece que estes anexos instalam tipos de vírus perigosos para sua máquina, como Adwind, FormBook, TrickBot, entre outros.
“A principal orientação nesses casos é: suspeite de todos os e-mails sobre o coronavírus. Evite clicar em links de e-mail suspeitos, fazer download de documentos desconhecidos e use apenas fontes confiáveis para se informar sobre o COVID-19. Nunca revele informações pessoais ou financeiras por e-mail e sempre confirme a autenticidade de uma instituição antes de fazer doações “, orienta Dean Coclin, diretor sênior de desenvolvimento de negócios da DigiCert.
Lembre-se de deletar mensagens suspeitas de remetentes desconhecidos. E se tiver dúvidas sobre algum link que recebeu, abra uma nova página do navegador e insira a o endereço do site para qual o link supostamente está enviando você, desta maneira dá para comparar o endereço do site falso com o verdadeiro na barra de navegação, recomenda o executivo.
Outra coisa importante é se certificar de que seu e-mail pessoal e de trabalho estão em dispositivos diferentes, pois se um dos correios eletrônicos for atingido por um hacker, o outro estará protegido. É muito comum que um vírus do seu e-mail pessoal também infecte um e-mail comercial.
Enquanto circula por sites, mídias sociais e aplicativos, não abra e baixe arquivos de sites suspeitos, nem clique em qualquer link enviado em redes sociais. E mantenha todos os seus dispositivos com antivírus atualizado.
É importante observar se está navegando por sites com certificados confiáveis. A TLS (Transport Layer Security) / SSL (Secure Sockets Layer) é uma tecnologia padrão usada para manter uma conexão à internet com menos riscos e proteger todos os dados confidenciais enviados entre dois sistemas, impedindo assim que criminosos leiam e modifiquem qualquer informação, inclusive pessoais. Para saber se um site é seguro, clique no cadeado que aparece na barra de navegação e automaticamente aparecerá as informações de certificado que atestam se o site é confiável ou não.
Uma rede invadida pode significar acesso ao sistema por usuários não autorizados. Elimine essa chance controlando quem pode ter acesso a ela. Para isso use a Autenticação Multifator (MFA), ela garante que apenas usuários autorizados possam acessar sistemas controlados. Além disso crie uma senha forte para sua internet doméstica.
“Se você optar por usar seu dispositivo em uma cafeteria ou outro espaço público, tome cuidado com o Wi-Fi público e não confie em redes abertas. Sempre verifique se o dispositivo não está configurado para se conectar automaticamente a qualquer sinal Wi-Fi e, se estiver, desabilite esta função. Com estes cuidados, você já reduz bastante o risco de crimes cibernéticos “, explica Coclin.
Se necessário, use seu telefone como ponto de acesso e configure seu dispositivo para que ele fique no modo invisível ou oculto para os outros dispositivos conectados à mesma internet.
Veja as soluções que a Seno oferece
O risco de ataques cibernéticos é ainda maior agora no período de isolamento social ou quarenta, já que muitas pessoas estão trabalhando de casa. Nessa hora, adotar hábitos de segurança é mais importante do que nunca.
Além de seguir as dicas listadas acima, lembre-se de trabalhar em um ambiente seguro e de todas as noites guardar seus dispositivos em lugares fechados, como em armários ou gavetas. Nunca se afaste do seu computador com ele desbloqueado e não permita que outras pessoas da família usem seus dispositivos de trabalho. Tente sempre usar um computador apenas para o trabalho e outro pessoal, que pode ser compartilhado com a família. Além disso, siga as diretrizes da equipe de TI da empresa e relate a ela qualquer problema ou e-mail suspeito que você receba.
Veja as soluções que a Seno oferece
Os hackers estão aplicando golpes cada vez mais elaborados e sofisticados, prejudicando muitos usuários durante este período de pandemia da COVID-19. Para evitar ataques, sempre atualize o software e o navegador com suas versões mais recentes (Microsoft Edge e Mozilla Firefox). O mesmo vale para navegadores de outros fornecedores que vêm equipados com filtros anti-phishing.
Tecnologias como PKI (Infraestrutura de Chave Pública), que fornece garantia de criptografia e identidade criptográfica em cada fluxo de dados e verifica todos os usuários, têm um papel fundamental na proteção de redes residênciais e empresariais. Com os golpes por e-mail cada vez mais frequente é possível proteger usuários através dos certificados digitais, garantindo a identidade, autenticação e criptografia do cliente.
“Uma plataforma PKI forte pode ajudar a garantir a autenticidade dos e-mails dentro das empresas, evitando a ação de cibercriminosos. Como muitos dos golpes forjam identidades, a PKI vai garantir a criptografia e a identidade criptográfica, diminuindo os riscos de vírus”, conclui Dean Coclin.
Via CIO
Cerca de 40% das empresas brasileiras não têm políticas de cibersegurança estabelecidas ou não informaram seus colaboradores de sua existência, mostra estudo realizado pela Kaspersky, empresa global de cibersegurança, em parceria com a CORPA, organização internacional de pesquisa. O relatório mostra ainda que apenas 45% das organizações brasileiras já implementaram regras para essa área, enquanto 15%, apesar de já as terem, não obrigam os profissionais a cumpri-las.
A Colômbia é o país em que as empresas são mais cautelosas – mais da metade delas conta com diretrizes internas obrigatórias de segurança da informação. Brasil (45%) e Chile (41%) ocupam a segunda e terceira posição, respectivamente, seguidos por México (39%) e Peru (38%). Em último lugar está a Argentina, onde apenas uma em cada três empresas têm medidas deste tipo.
A investigação também mostrou que 49% dos funcionários brasileiros acessam a rede interna da empresa que trabalham tanto no computador corporativo quanto em seus dispositivos pessoais e, em média, 12% não possuem soluções de segurança para manter os dispositivos protegidos contra ciberameaças. Neste quesito, o Brasil lidera o ranking dos países latino-americanos com trabalhadores sem proteção no celular, seguido pelos chilenos (10%).
Além disso, o estudo também revelou que um em cada dez funcionários latino-americanos tende a aceitar ou clicar em um link suspeito, utilizando um dispositivo de sua empresa, caso lhe ofereçam US﹩ 30 mil. Os mais dispostos a realizar a ação são os argentinos, com um em cada cinco colaboradores propensos a clicar em links inseguros em troca de dinheiro; seguido pelos peruanos (12%), chilenos (9%), colombianos (8%) e mexicanos (7%). Os mais cautelosos, entretanto, são os brasileiros, com apenas 6% cogitando aceitar oferta similar.
Já um em cada cinco funcionários brasileiros avaliaria conectar o dispositivo de sua empresa a uma rede desconhecida, em um aeroporto, por exemplo, para ter melhor conexão. Os argentinos são os mais dispostos a fazer isso, sendo um terço dos entrevistados; enquanto isso, apenas 21% dos mexicanos e brasileiros pensariam nessa alternativa.
Os resultados deste estudo fazem parte da campanha de conscientização ‘Iceberg Digital’, cujo objetivo é analisar a atual situação da segurança dos internautas da Argentina, Brasil, Chile, Colômbia, México e Peru, bem como desvendar os riscos que empresas e usuários finais enfrentam quando se conectam à rede de forma despreocupada. Já as ações da campanha visam impedir que usuários se tornem vítimas dos “icebergs digitais” – sites, aplicativos, links ou imagens que, à primeira vista, parecem inofensivos e superficiais, mas que escondem perigos desconhecidos. O intuito é que os usuários saibam reconhecer os perigos que se escondem na internet, aprendam a distinguir bom e ruim, real de falso e, assim, fiquem longe dos ciberataques.
“Não me surpreende o Brasil liderar a lista dos países latinos que menos se preocupam com a proteção no celular. Somos um dos países com maior presença nas redes sociais e costumamos adotar as novidades sem nos preocupar com a segurança. Ainda confiamos nas ofertas imperdíveis e no ‘grátis’ – como quando chegamos em um bar ou restaurante e pedimos a senha do Wi-Fi. O destaque do estudo é a relação entre este comportamento e o risco para os negócios. E, considerando que as políticas de segurança não são bem difundidas para os funcionários, temos o cenário perfeito para golpes que resultarão em prejuízos para as empresas, principalmente as pequenas e médias. É essencial que elas ensinem os princípios básicos de cibersegurança para seus colaboradores”, avalia Roberto Rebouças, gerente-executivo da Kaspersky no Brasil.
• Oriente constantemente os funcionários para que eles não abram ou armazenem arquivos de e-mails ou links desconhecidos, já que são atitudes potencialmente prejudicais para toda a empresa.
• Lembre-os também sobre como tratar dados confidenciais. Por exemplo, ao usar um serviço na nuvem para armazenar informações importantes, selecione um provedor confiável e que tenha autenticação ativada. Se o dado é crítico, avalie o uso de criptografia.
• Torne obrigatório o uso de softwares legítimos e que sejam baixados de fontes oficiais, além de mantê-los atualizados. A pirataria é um vetor de ataque muito comum no Brasil.
• Pequenas e médias empresas devem criar uma estrutura de segurança adaptável, escalável e flexível para atender aos novos e complexos desafios de segurança na internet.
“A melhor maneira para evitar problemas com cibersegurança é uma boa prevenção, ou seja, garantir que a empresa tenha as soluções de segurança certa e configuradas corretamente, independentemente do seu tamanho”, acrescenta Rebouças.
Via www.itforum365.com.br
Dois anos atrás, as transformações digitais começaram a acelerar, com novos processos e desenvolvimento de produtos avançando a uma velocidade vertiginosa. À medida que iniciativas de TI e de negócios aceleraram, como o Agile e o DevOps, para melhorar o ritmo do mercado, as considerações sobre segurança acabaram frequentemente deixadas em segundo plano. Na época, o Gartner previa que 60% das empresas digitais sofreriam grandes falhas de serviço até 2020 por conta da incapacidade das equipes de segurança em gerenciar riscos.
Grandes lapsos de segurança ocorreram como o esperado, embora seja difícil identificar que os projetos digitais tenham sido a principal causa. “Independentemente de as violações altamente divulgadas estarem diretamente ligadas à transformação digital, os líderes de negócios voltaram a pensar em soluções que minimizem os riscos”, diz Pete Lindstrom, vice-presidente de pesquisa de segurança da IDC.
Hoje, 62% dos executivos globais classificam os ataques cibernéticos e as ameaças como uma das maiores prioridades de gerenciamento de riscos das suas organizações para 2020, segundo pesquisa da Marsh & McLennan com 1.500 executivos. No geral, o papel da segurança na transformação digital melhorou tanto na conscientização quanto no envolvimento do processo de design, mas os CISOs ainda estão buscando visibilidade da amplitude dos projetos em seus ecossistemas.
Os tomadores de decisão de TI não incluem apenas a segurança cibernética entre as suas principais considerações quando se trata de transformação digital, mas também a segunda maior prioridade de investimento (35%), logo abaixo da nuvem (37%), conforme dados de uma pesquisa recente da Altimeter. Investimentos em tecnologias transformadoras podem não fazer sentido se não puderem proteger os negócios, seus clientes ou outros ativos vitais, e a complexidade e a velocidade do desenvolvimento continuam a desafiar até as maiores operações de segurança.
“A batalha travada está se movendo mais rápido que o nosso ciclo de decisão. Se você está se movimentando mais devagar, se torna irrelevante do ponto de vista da liderança”, afirma o Dr. Abel Sanchez, diretor executivo e cientista de pesquisa do Laboratório de Manufatura e Produtividade do Instituto de Tecnologia de Massachusetts. “Agilidade, flexibilidade e rapidez na tomada de decisões são necessárias tanto em segurança quanto em desenvolvimento”, acrescenta.
Na empresa global de soluções de energia Schneider Electric, a cibersegurança está no centro da estratégia de transformação. O CISO global Christophe Blassiau lutou para ganhar visibilidade de toda a organização por conta das combinações complexas de aquisições e das diferentes atividades da empresa – da P&D à cadeia de suprimentos e serviços. A integração de TI e tecnologia operacional (OT) também traz novas conectividades, fontes de dados e possíveis vulnerabilidades que precisam ser protegidas, e a equipe deve conectar os pontos entre a segurança da empresa e seu ecossistema de parceiros e fornecedores.
“Não tínhamos o nível certo de propriedade ou aptidão em todos os lugares, então começamos projetando e organizando uma nova governança estabelecida em toda a empresa”, explica Blassiau. “Eu não queria formar equipes maiores porque dá a impressão de que as questões serão corrigidas por outra pessoa. Aqui, a segurança é responsabilidade de todos.” Em vez disso, a Schneider adotou uma abordagem dupla de segurança, criando uma prática de cibersegurança digital e incorporando profissionais de cibersegurança (gerentes de risco digital e CISOs regionais) em cada prática e em toda a empresa para criar uma comunidade de líderes treinados e focados em riscos cibernéticos específicos. A mudança deu a Blassiau “uma sensação de controle no espaço digital. Há um líder cibernético se reportando a todo líder executivo de prática digital e se reportando a mim”, comenta.
O desafio para as equipes de segurança continua sendo como adicionar segurança na velocidade da transformação digital e garantir que as suas práticas abranjam todos os novos processos digitais internos e produtos externos desenvolvidos. Para Sanchez, grande parte da solução se resume à cultura dos departamentos de TI e segurança. “As equipes de segurança também precisam passar por uma transformação. Não é fácil, e muitos funcionários devem estar dispostos a aprender novas habilidades para poder interagir com a organização comercial.”
Parte disso pode ser alcançada por meio de uma reorganização. Os testadores em muitas práticas, por exemplo, estão desaparecendo, e agora os testes são feitos por engenheiros de software. “Quem sabe como proteger esse produto melhor do que quem o criou?”, questiona Sanchez. O mesmo pode ser feito com outras áreas de desenvolvimento. “Você também pode precisar de talentos diferentes. O mundo está se movendo rápido demais”, acrescenta.
A boa notícia é que as equipes de segurança como um todo estão se tornando mais acessíveis e a fazer parte dos negócios, criando melhores relacionamentos, diz Matt Handler, CEO da Security for the Americas da NTT. “As equipes de segurança estão aprendendo que não podem ser o ‘Escritório do Não’ o tempo todo. Eles precisam ser ágeis, flexíveis e vistos como um facilitador em vez de um bloqueador”, observa Handler. “Isso começou a acontecer no último ano, mais ou menos.”
O CISO também deve evoluir e assumir o papel de consultor e colaborador interno nos departamentos que estão implantando os aplicativos ou novas tecnologias, afirma Handler. “Em vez de ‘não’, digamos ‘vamos ver como podemos fazer isso o mais rápido possível e com segurança’. Acho que essa frase muda o jogo para um CISO.”
Os CISOs falam há anos que a segurança precisa ser inserida no início do processo de design. Agora, graças a componentes mais ágeis e dinâmicos, isso é mais fácil de alcançar. “Com a nuvem em particular”, e os recursos de segurança incorporados que podem ser utilizados, “podemos brincar para lidar com riscos”, diz Lindstrom, “e estamos trabalhando mais na pilha – longe da rede e do host.”
Além disso, os investidores estão prevendo que as empresas de segurança cibernética que utilizam aprendizado de máquina provavelmente se destacarão em 2020, conforme o número de fornecedores do nicho de segurança cibernética se consolida. As empresas com grandes conjuntos de dados de segurança podem combinar algoritmos, análises e aprendizado de máquina para identificar e reagir a ameaças na velocidade da luz – quase tão rapidamente quanto ocorrem. As máquinas podem ser tão boas quanto os humanos que as selecionam – e os dados com os quais eles correspondem, o que levará tempo.
“Do ponto de vista do CISO, se você é capaz de fornecer segurança com rapidez e ajudar a empresa a alcançar os seus objetivos e metas, e a segurança é incorporada ao processo desde o início, você vence. Mas esse é definitivamente uma situação futura”, declara Handler. Já estamos lá? Quando se trata de segurança cibernética nas transformações digitais, Sanchez diz que mais organizações estão “no meio do caminho”.
Elas passaram pelo processo de automação e estão começando a olhar para a IA e a modelagem preditiva. “Estamos no caminho certo, mas isso não significa que não haverá compromissos” enquanto isso, afirma. “Assim como o desenvolvimento de software em geral não havia sido integrado (antes da transformação digital) e agora é, o mesmo vale para a segurança. Tudo tem que ser unido. Isso leva tempo.”
Via: CIO