Por uma informação mais segura

Empresas estão mais preocupadas com a vulnerabilidade de dados, revela pesquisa da PwC

Por Ricardo Lacerda

As empresas estão cada vez mais preocupadas com a proteção de dados importantes. É o que revela a edição 2011 da “Pesquisa Global de Segurança da Informação”, divulgada recentemente pela PwC. Entre os 12,8 mil entrevistados, 52% afirmam que a organização para a qual trabalham irá aumentar os investimentos em segurança da informação no próximo ano. “É uma excelente notícia. Essa resposta nunca foi tão expressiva”, garante Ricardo Dastis, gerente executivo da PwC para a área de consultoria em segurança da informação na região sul. No Brasil, o a preocupação é ainda maior. Tanto que 66% dos executivos disseram que suas empresas devem incrementar os aportes nos próximos 12 meses. “É uma preocupação que foi para a pauta das áreas de negócio das empresas”, diz Dastis. Segundo ele, as turbulências na economia global geraram uma uma demanda reprimida, que só agora começa a ser retomada.

Pouco tempo atrás, a segurança da informação era vista como algo secundário. Hoje, a realidade mudou – tanto, que as áreas de TI têm conseguido preservar projetos em meio às reduções de custos demandadas pela crise. “Antes, os executivos tinham que justificar qualquer investimento em sistemas de informação, defender uma ideia e ir atrás dos recursos – e ainda corria o sério risco de ser cortado”, lembra Dastis. Uma das razões para que o “moral da segurança da informação” crescesse tem a ver com uma quebra de paradigma: hoje, a proteção de dados é vista como um forte aliado em qualquer negócio. “O público interno também tem se envolvido mais com essas demandas. As áreas de negócio que mais se destacam pedem atenção especial à segurança e buscam soluções. Não são mais simples pontos técnicos”, afirma Dastis.

Entre os resultados da pesquisa, destaque para o item que diz respeito à vulnerabilidade da informação no relacionamento com empresas terceirizadas e fornecedores. “Até que ponto a área de segurança deve atuar com mais vigor, exigindo que os parceiros sigam as práticas, os processos e controles de sua empresa? Essa preocupação é crescente”, assegura Ricardo Dastis. Na questão “seus parceiros sofreram com a crise?”, o índice de respostas positivas saltou de 43%, em 2010, para 52% na versão 2011.

fonte: PWC

MOVIMENTO CRIANÇA MAIS SEGURA NA INTERNET NO CINEMA!

Vírus 'Zombie' infecta 1 milhão de celulares na China!

Mais de um milhão de chineses tiveram o telefone celular infectado por um vírus apelidado de “Zombie” na semana passada. A ameaça, segundo o site ''Shangay Daily'', se propaga por meio de mensagens SMS que são enviadas automaticamente para os contatos do aparelho.

Segundo o Centro de Emergência Computacional da China, depois de infectados, os celulares são controlados remotamente por hackers que os programam para propagar links de download de games e outros aplicativos, aumentando assim a receita dos desenvolvedores.

O prejuízo com o ataque é estimado em dois milhões de Yuans por dia, o equivalente a US$ 300 mil, entre mensagens enviadas e megabytes utilizados para baixar o vírus. O Diretor do Centro de Emergência computacional da China, Zhou Yonglin, diz ser difícil achar os responsáveis, mas alega estar trabalhando para minimizar os prejuízos.

fonte: Tecnologia.Uol

Kris Lovejoy fala sobre segurança

Acesse o Blog para assitir ao video.

Quase 80% das adolescentes estão vulneráveis na internet, aponta estudo

Por Redação do IDG Now!
Publicada em 23 de setembro de 2010 às 08h30
Atualizada em 23 de setembro de 2010 às 08h54

Levantamento realizado pela CPP Brasil revela que apenas um terço sabe como denunciar uma situação de perigo online. 

 

Levantamento realizado pela CPP Brasil (Parceria para a Proteção da Criança e do Adolescente) revela que quase 80% das adolescentes não se sentem seguras na internet, mesmo estando cientes dos perigos. E pior: apenas um terço sabe como denunciar uma situação de perigo online.

O estudo é parte da publicação internacional da ONG Plan "Fronteiras Digitais e Urbanas: Meninas em um ambiente em transformação" ("Digital and Urban Frontiers: Girls in a Changing Landscape").

O documento é um retrato de como as tecnologias de comunicação e informação (TICs) têm impactado a vida das jovens em todo o mundo, bem como os riscos a que elas se expõem nesse ambiente.

Os principais pontos da pesquisa no Brasil são:

• 84% das meninas possuem um celular;
• 60% disseram saber sobre os perigos online;
• 82% já utilizaram a Internet e 27% disseram estar sempre online;
• Quanto mais conhecimento e consciência elas têm sobre as TICs, maior o grau de segurança que sentem online;
• 79% das meninas disseram que não se sentiam seguras na internet;
• Quase metades das meninas que responderam à pesquisa afirmaram que seus pais sabem o que elas acessam;
• Somente um terço sabe como relatar um perigo na web;
• Quase 50% das meninas disseram que gostariam de encontrar pessoalmente alguém que tenham conhecido online.

Leia a matéria na integra em IDGNow

Caixa de entrada: onde mora o perigo

A utilização inadequada do servidor de e-mails pode ser a porta de entrada para as mais diversas "pragas" virtuais. Hoje em dia, alguns tipos de vírus e de trojans são pouco perto do que se pode encontrar em um correio eletrônico mal protegido. Na maioria das vezes, a inabilidade do usuário é a principal causa. Não são raras as pessoas que divulgam aleatoriamente seus endereços de e-mails, ou retransmitem mensagens em massa como piadas, fotos, correntes e outros sem utilizar a opção "cópia oculta", expondo os dados de contato de centenas de pessoas.

Outra maneira de pulverizar dados pessoais na web é através de formulários de websites, onde, aparentemente, há algo de interesse de quem navega. Dessa forma, outro sem número de e-mails são copiados e incluídos em listas que são vendidas pela internet e, até mesmo, nas ruas. Esse tipo de ação é considerada ilegal, no entanto, costuma ser praticada indiscriminadamente pelos criminosos do cyber espaço.

Os golpes virtuais utilizam-se de duas armas para atrair os usuários: aguçar a curiosidade e oferecer benefícios. Quem nunca recebeu e-mails com a oferta de algo que realmente estava querendo? Como é possível, coincidência? Ocorre que, quando acessamos um site e navegamos por ele sem ter conhecimento de sua "política de privacidade", concordamos, muitas vezes ingenuamente, com os métodos de obtenção de informações desse web site.

A política de privacidade e de uso de dados contém informações que todo usuário deve saber antes de postar qualquer informação. Mas, na prática, o que acontece é justamente o contrário. Navegamos e "clicamos" em tudo o que nos interessa sem critério e, quando percerbemos, nossos e-mails estão em uma lista para o recebimento de mala direta e, pior, ficamos abertos para qualquer outro tipo de conteúdo.

O código de e-mail marketing estabelece que as bases de e-mails devem ser opt-in ou soft opt-in. Ou seja, os destinatários devem ter solicitado o recebimento das mensagens enviadas (opt-in) ou o remetente deve ter uma relação comercial ou social já estabelecida com o destinatário e passível de comprovação (soft opt-in). Do contrário, o recebimento desses e-mails é ilegal, e as mensagens não devem ser abertas, porém, essa regra raramente é respeitada.

Para evitar dissabores, o segredo é a informação. É preciso estar muito atento aos detalhes, pois são eles que levam o internauta despreparado a uma cadeia de situações que normalmente resultam em golpes. Ainda mais importante do que ser ter a informação é saber usá-la de forma correta. Faça a experiência e verá como seu PC, ou até mesmo uma rede inteira ficarão muito mais protegidos!

Fonte: Trustsign

Sobre o Autor:

Marisa Viana é gerente comercial da TrustSign, empresa especializada em segurança da informação.

Seis Mitos da Governança Corporativa

O CEB (Corporate Executive Board) divulgou recentemente um artigo bastante interessante sobre os Seis Mitos da Governança Corporativa. Segundo o artigo, a Governança Corporativa deve ser revisada constantemente. As recessões em alguns países têm impulsionado um aumento no comportamento fraudulento, aumentando os desafios dos executivos em melhorar a detecção e táticas de mitigação. Os seis mitos resumem as soluções mais comentadas pelos gestores.

Mito 1: Você não pode esperar um retorno sobre os investimentos em Governança Corporativa

Realidade: Embora muitas empresas vejam os investimentos em Governança Corporativa como despesas obrigatórias, poucas percebem que podem obter retornos significativos, direto ou indiretamente.

Fato: Na Ásia e na América Latina os investidores pagam um ágio médio de 22% para as empresas com boa Governança Corporativa. Além disso, empresas com boa Governança Corporativa recebem melhores avaliações de crédito e taxas de juros.

O que fazer: Não visualize os investimentos em Governança Corporativa como um mal necessário, mas sim como uma oportunidade de mitigar os riscos, melhorar a imagem da empresa e gerar retornos positivos para a organização.

Mito 2: Liderança ética se traduz em boas práticas de Governança

Realidade: Embora seja importante que a administração mantenha os mais altos padrões éticos, é preciso perceber que a maioria das fraudes de menor escala ocorrem entre os colaboradores da área operacional. Isso pode afetar o fluxo de caixa podendo ter consequências devastadoras para o mercado e órgãos regulamentadores.

Fato: Despesas relacionadas com fraudes e outros conflitos de interesse por parte dos trabalhos de nível operacional são menos propensas de serem divulgados, embora 83% dos colaboradores duvidarem da ética profissional de seus colegas. São estimados que 60% a 80% das más condutas financeira não são identificadas.

O que fazer: Implementar controles a nível de entidade (ELC - Entity Level Controls) e controles internos para estabelecer níveis de padrões éticos para a área operacional. Isso envolve conscientização ética rigorosa em todos os níveis organizacionais, capacitando principalmente os gerentes de nível intermediário para atuar como defensores da ética em suas equipes.

Mito 3: Treinamento e divulgação sobre a conduta ética da empresa cria uma boa cultura de governança.

Realidade: A maioria das empresas não consegue estabelecer uma cultura de ética nas organizações.

Fato: Quase 90% das empresas medem o sucesso da conduta ética dos colaboradores através dos treinamentos. Porém, isso não comprova se os colaboradores estão agindo no dia-a-dia conforme a conduta ética.

O que fazer: Medir o sucesso da conduta ética por meio de mudanças comportamentais. Os treinamentos sobre a conduta ética devem ser personalizados para cada nível/área organizacional, aplicando cenários reais ao dia-a-dia do colaborador.

Mito 4: Conformidade com órgãos reguladores garante uma boa governança

Realidade: As empresas não podem achar que estar em compliance ou em conformidade com os órgãos reguladores é garantia que existe uma boa governança.

Fato: Muitas fraudes são cometidas por colaboradores de empresas que cumprem todos os regulamentos necessários.

O que fazer: Não espere que as leis e regulamentações se tornem mais rigorosas para que sua organização tenha uma melhor governança corporativa. Esteja sempre em conformidade com as melhores práticas e padrões, dessa forma sua organização estará à frente das mudanças.

Mito 5: Comitê de Auditoria é o meio mais importante para fortalecer a governança corporativa

Realidade: O Comitê de Auditoria normalmente assume a culpa pelas falhas de governança apesar de o board não definir o escopo do Comitê de Auditoria e apoiar com os processos corretos.

Fato: As responsabilidades dos comitês de auditoria são raramente definidas e normalmente o comitê se torna o responsável pela gestão dos riscos para o board. Isso impede a fiscalização sobre a governança e aumenta o risco de fraude.

O que fazer: Formalizar a responsabilidade do Comitê de Auditoria, os papéis dos membros, o calendário e resultados das reuniões, tornando os mesmos públicos para a confiança do mercado.

Mito 6: Um forte sistema de Gestão de Fraude é a forma mais importante de registro de má conduta

Realidade: Criação de controles e sistemas de detecção de fraudes, embora importantes, não são suficientes para reduzir a má conduta. Para construir um sistema eficaz de governança, as empresas devem criar uma cultura de ‘speaking-up’ em que os empregados denunciam as más condutas sem medo de retaliação.

Fato: De acordo com o relatório de 2010 da ACFE (Association of Certified Fraud Examiners), as denúncias realizadas pelos funcionários foram fundamentais para o esclarecimento de 47% dos casos de fraudes, que é mais do que todas as outras ferramentas de gestão de fraudes (16% auditoria interna; 4% análise de documentos; 1,5% controles de TI).

O que fazer: fortalecer o compromisso de integridade, demonstração de justiça organizacional e aumentar a cultura de utilizar o canal de denúncia.

fonte: GRC news - Governança, Riscos e Compliance

10 segredos para resolver problemas em TI

Por Computerworld/EUA

Publicada em 07 de outubro de 2010 às 09h00

As atitudes dos profissionais são tão importantes quanto os conhecimentos técnicos na hora de resolver indisponibilidades e problemas.

 

Não importa quão profundo sejam os conhecimentos técnicos de uma equipe de TI. Sem metodologia adequada, a solução de problemas torna-se um processo muito mais complicado.

 

O CIO da Escola de Medicina da Harvard e de um dos maiores grupos de assistência médica dos EUA, John Halamka, baseou-se em sua experiência para elaborar uma lista com os 10 principais segredos para resolver os problemas com rapidez e experiência.

Veja a matéria na integra com a lista dos segredos aqui no site da IDGNow

Debate - Segurança em ambientes virtualizados!

Participe!

O debate será transmitido ao vivo pela

TVDecision, na internet, com interatividade.

Inscreva-se Aqui

6 erros no Facebook e no Twitter que podem custar seu emprego

Por CSO/EUA


Publicada em 28 de setembro de 2010 às 08h00
 
Zelosas por sua imagem e segurança, as empresas estão cada vez mais de olho no que funcionários e candidatos publicam nas redes sociais.
 

Travis Megale está feliz com seu emprego. Usuário habitual do Facebook, ele sabe como usar o site de forma apropriada e o que não dizer nem publicar. Infelizmente, muitos usuários do Facebook não pensam assim – e as demissões causadas por comportamento inadequado na rede social parecem ganhar cada vez mais manchetes.

 

Uma pesquisa recente da empresa de segurança de e-mail Proofpoint revelou que 7% das organizações já demitiram um empregado por causa de sua atividade em sites de mídia social. Outros 20% disseram que, por causa das redes sociais, empregados tiveram de ser advertidos. São estatísticas como essas que inspirou Megale a criar um grupo no Facebook, intitulado “Fired because of Facebook” (demitido por causa do Facebook).

Leia a matéria na integra em: IDGNow
Fonte: IDGNOW
Matéria encaminhada por meu amigo Leandro Bezerra.
Obrigado pela colaboração!

O perigo que vem das redes sociais

Engenharia Social. O nome é até bonito, mas está entre os maiores problemas das áreas de TI. O termo preocupa os CIOs, pois trata-se de práticas de má índole utilizadas para obter acesso a dados importantes, realizar invasões e até roubos de identidades. Com o avanço das redes sociais, a prática ficou ainda mais frequente, pois a atividade utiliza a interação humana e desenvolve a habilidade de enganar pessoas com o objetivo de violar os procedimentos de segurança dos sistemas computacionais.

Um estudo da IBM no mercado confirma que as redes sociais já são acessadas no trabalho para prover a interação entre empresas, clientes e parceiros de negócios. A mesma pesquisa apontou que, até 2012, o número de internautas em redes sociais ultrapassará 800 milhões. Vai ficar cada vez mais difícil para uma companhia acompanhar todo o conteúdo que entra e que sai da sua rede.

Leia a matéria na integra aqui: Imasters

Segurança - Aprenda mais sobre Hidrogênio!

Visite o Blog, caso não visualize o video.

Segurança - O Maior risco é acreditar que não existe risco!

20 frases ditas antes de morrer

01. Atira se for homem.
02. Atravessa correndo que dá.
03. Ah, não se preocupe, o que não mata, engorda.
04. Fica tranqüilo que este alicate é isolado.
05. Sabe qual a chance de isso acontecer? Uma em um milhão.
06. Essa camisa do Palmeiras não é minha não….eu sou corintiano como vocês.
07. Adoro essas ruas pois são super tranqüilas.
08. Tem certeza que não tem perigo?
09. Nem acredito que vou saltar de pára-quedas! E, ó, eu mesmo que dobrei!
10. Aqui é o PT-965 decolando em seu primeiro vôo solo.
11. Confie em mim!
12. Aqui é o piloto. Vamos passar por uma ligeira turbulência.
13. Capacete? Imagina, tá calor.
14. Eu sempre mudei a temperatura do chuveiro com ele ligado…
15. Deixa comigo.
16. Desce desse ônibus e me encara de frente, sua bicha!
17. Você é grande mas não é dois!
18. Kung-Fu nada. Eu vou acabar com você.
19. Vamos lá que não tem erro.
20. Pode mexer. É Pitbull, mas é mansinho.

Pode ser engraçado, porém, muitas vezes situações como estas ocorrem no mundo corporativo, principalmente quando nos referimos aos riscos e vulnerabilidades com que muitas informações ficam expostas nas Empresas e mesmo assim é frequente ouvirmos "Vamos lá que não tem erro".

Até breve,

Phishing em ação!

Prezados Leitores,

Primeiramente quero esclarecer (para quem não sabe) que a palavra Fishing com a letra “F” em inglês significa (pesca, pescando).

Porém quando o assunto é segurança da informação, dizemos Phishing com “P”, que analogicamente significa o ato criminoso e fraudulento, na qual pessoas mal intencionadas utilizam meios eletrônicos (principalmente e-mail) para adquirir informações pessoais tais como: senhas e número de cartão de crédito, passando-se por um falso remetente de e-mail, como o da imagem abaixo, onde o nome do Banco Itaú foi utilizado como “isca” para o pescador de informações na internet ou se preferir podemos chamá-lo de “Fisher = pescador” possa fisgar seu peixe – fish -ou seja, você usuário.

Seguem algumas dicas de como podemos nos prevenir destas ações de Phishing:

1. Leia as recomendações de segurança que estão no site do seu banco, pois com certeza lá vai estar escrito, entre outras coisas, que o banco não envia e-mails com links ativos.

2. Verifiquem conforme mostra a imagem acima, que no rodapé é possível perceber que no link existe um aplicativo de nome Token1.2.exe - todo arquivo com extensão .exe são aplicativos/programas que se acionados através de um clique vai executar um processamento - e neste caso com certeza o processamento será a captura de sua senha ou instalar um vírus em seu computador.

3. Para visualizar o nome do aplicativo, basta passar o mouse sobre o link (sem clicar) que o caminho será exibido no rodapé do sistema operacional.

4 A recomendação é clara, nunca clique em links como o exemplo acima, mas se mesmo assim você não ficar convencido de que não foi o banco quem te encaminhou esta mensagem, então ligue na central de relacionamento e questione sobre a veracidade do e-mail, a resposta será obvia, porém, é mais uma forma de comprovar que alguém esta jogando uma isca para ver se você morde.

5 Outra fonte de consulta muito útil é entrar no site do CAIS (Centro de Atendimento a Incidentes de Segurança), inclusive este incidente já esta reportado no site neste link http://www.rnp.br/cais/fraudes.php?tag_extend=1&tag=55 (por medida de segurança, copie e cole o link no seu navegador).

Neste mesmo site você encontra um formulário para notificações de incidentes de segurança na internet.

Espero ter deixado claro que não existe nada saudável em ações de Phishing, pois a vitima, ou melhor, o peixe somos nós!

Até breve,

Segurança da informação é a principal preocupação das empresas, segundo pesquisa

Entrevista com Denny Roger, fundador da EPSEC, empresa especializada em segurança da informação, e membro do ABNT/CB21, Comitê Brasileiro sobre as normas de gestão de segurança da informação.

Ouça a reportagem aqui: Rádio CBN

Future of Screen Technology

Prezados Leitores,

Se hoje encontramos grandes desafios em estabelecer um equilíbrio entre a mobilidade dos dispositivos, computação nas nuvens, redes sociais e a GRC (Gestão do Risco e Conformidade), imaginem então o que o futuro nos reserva.

Tenham uma idéia assistindo ao video abaixo:

Caso não consiga visualizar o video, acessem o Blog
Fonte:
This is the result of TAT's Open Innovation experiment. It is an experience video showing the future of screen technology with stretchable screens, transparent screens and e-ink displays, to name a few.

Como funciona o Google Tradutor!

Prezados Leitores,

Este tema não tem relação com segurança da informação porém achei bem interessante este video postado no YouTube sobre como funciona o sistema de tradução do Google.

Relógio Mundial, números que diminuem nossa segurança!

Prezados Leitores,

Navegando pela internet, encontrei um site onde é possível ter informações tais como:

• Número da população mundial.
• Número de nascimentos
• Número de mortes classificadas por Doenças / Ferimentos e etc...

Os valores, alerta o site, são aproximações de estatísticas anteriores e estimativas, o que não deixa de ser no mínimo impressionante.

Para acessar o site clique  Aqui

Propaganda eleitoral tem falha de segurança!

Prezados Leitores,

Nesta semana estava ouvindo música quando começou o horário eleitoral.

Por segurança deveria ter desligado o rádio, mas resolvi correr o risco de ouvir algo útil.

Foi então que começou a campanha de um candidato que dizia assim:

“O (candidato) - disse uma voz de fundo – gosta tanto do(a)s professore(a)s que faz bem pouco tempo a senha dele do computador era o nome de sua primeira professora.”

Então pensei, tanto esforço por parte dos profissionais de tecnologia, segurança da informação, dos movimentos de inclusão digital e da criança mais segura na internet e aparece uma campanha política induzindo o povo utilizar senhas fracas, como por exemplo, o nome da professora.

É claro que se o autor da campanha for questionado, terá sua justificativa e dirá que ele utilizava e não mais utiliza.

No meu ponto de vista seria melhor nem ter colocado esta frase no ar, primeiro porque tem grande chance de não ser verdade e depois só serve mesmo para confundir a cabeça das pessoas, principalmente dos que tem menos estudo e acesso às informações.

No lugar disso eu colocaria que o ensino das melhores práticas de utilização tecnológica será obrigatório nas escolas, afinal dar condições – treinamento - aos professores para educarem seus alunos neste sentido é uma necessidade que agradaria muito mais ouvir.

Até breve.

Spams usam morte de famosos para enganar usuários

Por Decision Report

A Symantec detectou um aumento significativo no número de spam noticiando supostas mortes de celebridades em acidentes aéreos ou de carro nas últimas semanas.

A intenção dos spammers ao distribuir esse tipo de noticia falsa é disseminar diferentes tipos de virus utilizando comunicados em HTML ou arquivos anexos em formato ZIP, os quais estão relacionados com uma série de ameaças identificadas recentemente, entre eles o Trojan.Zbot, cuja principal função é roubar informações confidenciais do computador infectado.

Utilizar nomes de celebridades no assunto das mensagens desperta a curiosidade dos usuários que, ao abrir o conteúdo falso, baixam em seus equipamentos URLs maliciosas ou documentos infectados.

Dentre os títulos utilizados neste tipo de mensagem maliciosa, os mais comuns são:

• Morre Beyonce Knowles
• Brad Pitt morre em acidente fatal
• Madonna sofre acidente automobilístico fatal
• Cai avião com Tom Cruise
• Morre Tiger Woods
• Jennifer Aniston sofre acidente fatal

Fonte: DecisionReport às 09h50

USUÁRIO – O ELO MAIS FRACO DA SEGURANÇA

Prezados Leitores,

O título acima com certeza foi e ainda é muito debatido na área de segurança da informação, para muitos, diria até que o tema esta “batido”.

Porém, para quem nunca leu sobre, o que melhor resume este título seria:

Do que adianta você usuário instalar um antivírus e habilitar o firewall do sistema operacional, se:

- Visita sites pornográficos e/ou de origem duvidosa.

- Aceita e-mails e clica em links indiscriminadamente.

- Não segue os procedimentos adotados no local de trabalho.

É difícil para um antivírus agir no livre-arbítrio de cada um. A Tecnologia tem evoluído muito e nos surpreende a cada dia, e mesmo com recursos de inteligência artificial, acredito que esta evolução ainda não esta sendo aplicada nas ferramentas de segurança - seria ótimo, mas eu desconheço.

Sendo assim o que temos de real hoje são usuários de todos os níveis hierárquicos e posições lidando com informações e muitas vezes agindo contra as boas práticas de segurança tanto em pequenas como grandes empresas.

Nas pequenas empresas verificamos um grande problema cultural, e de capital para investimento em ferramentas e treinamentos que preservem os ativos intangíveis-informações. “E sem treinamento e ferramentas, fica o usuário sendo o elo mais fraco”.

Nas grandes empresas verificamos exatamente o oposto: orçamento previsto e destinado para segurança, e melhor ainda, GRC (governança, riscos e conformidade), mas ainda persiste o risco – usuário.

Não é por acaso que a maior preocupação dos consultores de segurança da informação, que estão participando da implantação do novo modelo de identidade com chip, é justamente com as pessoas que estarão autorizadas a manipular os dados.

Não é por acaso também que eu ouvi recentemente em sala de aula um professor com várias certificações comentar o seguinte para nós alunos:

“É o seguinte pessoal, não pensem que tudo funciona perfeito, lá no banco onde trabalho, por exemplo, eles não têm controle de muita coisa, licenças de software são compradas em grande número e instaladas como queremos”

“Muitas vezes os responsáveis fornecem acesso de administrador para um grupo inteiro para facilitar o trabalho”

Em seguida vêm as justificativas de um bom brasileiro:

“Você nunca passou no farol vermelho?”

“Você nunca olhou para a bunda da vizinha casada?”

“Às vezes temos que nos sentir vivo e correr alguns riscos e dizer assim, nossa que mer... que eu fiz!”

Então, senhores esta é a realidade:

As pessoas / usuários são o elo mais fraco da segurança e fica claro que a tecnologia avança, mas a conscientização das pessoas nem tanto.

Exemplos não faltam, vou citar apenas mais um:

Em uma reconhecida e certificada instituição de ensino pude encontrar no mural o seguinte aviso:

“Acesso Wi-Fi para os alunos neste andar, senha da semana: bla bla bla bla”.

Sim deveria mesmo ser bla bla bla, porque esta senha não muda no mínimo há dois meses – pelo que percebi – e conforme os instrutores tem muito mais tempo.

Isso demonstra que não adianta definir procedimentos se não existe alguém fazendo a gestão destes.

Esta na hora de repensarmos nossas atitudes, pois:

“Não adianta conquistar a sabedoria, é preciso saber usá-la.”

“O maior risco é acreditar que não existe risco”

“O Mundo ideal talvez não exista, mas melhorar é preciso”

Até breve,

Nova identidade com chip será imune a falsificações, diz PF

Por: Thaís Sabino

Direto de São Paulo

O novo modelo de identidade, que deve ser implantado até o final do ano, vai acabar com as estratégias de falsificação. De acordo com as informações do Instituto Nacional de Identificação (INI) da Polícia Federal, os novos dispositivos de segurança tornam o documento totalmente seguro, ao contrário da carteira de identidade atual, que é de papel.

Leia a matéria na integra aqui
fonte: Noticias Terra

Profissionais ingênuos e que subestimam os riscos, fiquem atento!

Problema ainda afeta usuários e profissionais de TI.

Prezados Leitores,

O assunto que vou tratar hoje teve origem em um e-mail que recebi na semana passada.

Este e-mail eu recebi de um amigo que estava apenas encaminhando outro e-mail de outro amigo dele onde o assunto era “Só repasse, não exclua, por Deus!”.

Sim, trata-se de uma corrente de e-mail, infelizmente ainda muito comum.

A maioria de nós sabe - ou pelo menos deveríamos saber - que e-mails com assuntos apelativos solicitando para repassar, usando o nome de Deus e histórias que comovem são tentativas dos Spamers - quem gera Spam, vide: Spam - de obter endereços de e-mails ou até mesmo ser um Malware / Spyware etc.

Esta é uma questão que envolve o nível de conscientização do usuário (educação digital) que muitas vezes nunca recebeu um treinamento sobre as melhores práticas de utilização tecnológica.

Porém, no caso deste e-mail que recebi todos os envolvidos eram profissionais da área de tecnologia, um desenvolvedor e um consultor de ERP – uma realidade que envergonha a categoria.

E o pior, repassou o e-mail apelativo, com todos os outros e-mails em cópia expostos, e também os dados de sua assinatura: nome completo, telefone, função, departamento e nome da Empresa.

Imagino que estes profissionais ficaram muito sensibilizados com a história do e-mail que dizia que a cada e-mail repassado uma famosa Empresa estaria doando 0,10 centavos para ajudar uma menina conseguir colocar sua prótese, pois não tinha as pernas.

E ainda imagino que estes profissionais ficaram muito orgulhosos em poder contribuir, afinal é muito cômodo utilizar os recursos da Empresa em que trabalha e colocar em risco seus dados e os da Empresa, com apenas um clique de encaminhar.

No meu ponto de vista esta mais do que na hora de amadurecermos profissionalmente, pois atitudes semelhantes à estas não demonstram que você é uma pessoa sensibilizada com os problemas do ser humano, mas demonstram sim que você é mal informado e isca fácil de cair nas armadilhas da Internet.

Se desejar ajudar as pessoas, o melhor a fazer é procurar uma instituição seria de ajuda aos necessitados – e não são poucas as pessoas que precisam – e fazer sua doação sem utilizar e acreditar em e-mails de origem duvidosa nem muito menos utilizar os recursos da Empresa.

Se você é um profissional de Tecnologia e faz isso, pense que seu e-mail com todos seus dados podem ser encaminhados para seu gerente e /ou diretor, afinal é uma corrente e deve ser repassada, concordam?

Mas eu não vou fazer isso, meu objetivo é alertar e não prejudicar!

Obrigado e até breve,

Exposição na internet

"Exposição na internet pode provocar constrangimentos e impedir empregos."

Esta é a manchete de uma matéria publicada no site G1 do Bom dia Brasil que por sinal o tema é interessante.

Leiam a matéria na integra clicando Aqui.

Na matéria, entre outras coisas menciona que a Internet registra tudo.
Isso é verdade veja ,por exemplo, como era o site da UOL em 23 de Dezembro de 1996:

Ficou curioso em saber como era o site de outros endereços?

Simples, basta acessar este link: http://www.archive.org/ (se preferir, copie e cole no seu navegador) e informe a url (endereço da internet) no campo Take me Back, conforme abaixo.

Portanto prezados leitores, reforçando o assunto da matéria e "matando a cobra e mostrando o pau", todo cuidado é pouco ao se expor na NET.

Obrigado e até breve.

Cartões de Crédito e Refeição - O detalhe de Segurança que falta.

Prezados Leitores,

Podemos dizer que as operadoras de cartões de crédito e de um modo geral, as instituições financeiras é um dos setores que mais investem em tecnologia para garantir a segurança das informações, o famoso “pilar da segurança” (Confidencialidade, Integridade e Disponibilidade).

Em termos de evolução podemos listar vários itens, mas vou resumir e citar apenas dois:

1º Intensificação da conscientização em massa das boas práticas de utilização de seu cartão (campanhas nas mídias: TV, Internet,Jornal, Revistas, Correios e etc.)

2º Autenticação com mais de um fator onde além da senha, algo que você conhece, temos também, por exemplo, o Token (dispositivo eletrônico gerador de senhas) ou Biometria (autenticação através da mão, dedo, olhos, face), que é algo que você possui.

Estas ações ajudam sem dúvidas na redução dos vários riscos que estamos sujeitos quando utilizamos o dinheiro de plástico (cartões).

Porém, quando tratamos de segurança da informação, sabemos que os pequenos detalhes não observados representam uma porta de entrada para “ladrões” de dados.

Mas à que detalhe me refiro:

1º Cartões de crédito:

Como o objetivo aqui não é escrever sobre esta ou aquela instituição, mas sim conscientizar sobre, vou focar o assunto no problema e não na origem.

O fato é que algumas das mais comuns orientações com relação ao uso de cartões de crédito são:

a- “Não divulgue o número de seu cartão para desconhecidos”

b- “Não informe este número em sites de origem duvidosa”

c- “Não forneça o cartão para o garçom sem estar por perto”

A partir daí que surgem as perguntas:

Por que algumas operadoras insistem em enviar o extrato da fatura do cartão de crédito com o número do cartão impresso? Até mesmo depois de o cliente optar por não receber.

Por que uma mesma operadora possui um procedimento correto para uma linha de cartão e para outra linha não?

Por que não adianta entrar em contato com a central de relacionamento?

Não é possível que as operadoras não saibam que os clientes tem conhecimento do número do cartão e que a ninguém mais interessa saber, como por exemplo no caso de extravio da correspondência.

2º Cartões de Refeição

Usuários de cartões (Ticket) refeição estão totalmente desprovidos de segurança.

Não é raro ouvir casos (eu mesmo conheço amigos) que tiveram seu cartão clonado, facilitado é claro pela falta de segurança em algumas operadoras.

Basta ter o número do cartão (nada difícil de obter), e acessar o site para obter o extrato e saldo do cartão. (Como estamos falando em cartão de alimentação, isso é que podemos considerar um verdadeiro prato cheio para os oportunistas de plantão).

Antes que me esqueça, tem alguns estabelecimentos que no lugar de imprimir o comprovante com o valor pago e saldo, apenas exibe este valor no display do equipamento.

Este procedimento é claro, deixa à mostra o quanto você tem de saldo para as pessoas que estão na fila atrás de você, ótimo exemplo de confidencialidade, concordam?

Tudo bem, na maioria dos casos a operadora reembolsa o valor em caso de clonagem, mas não é estranho conviver com este prejuízo?

Obrigado e até breve.

Novidade !!!

Prezados Leitores,

Informo que agora também estou colaborando com o Blog Techlider - O Seu diário da Tecnologia, blog que conta com mais de 8.000 seguidores e que esta concorrendo ao TopBlog 2010, acesse e vote você também.

Não deixem de ler minha matéria postada lá:  Clique aqui para ler.

Obrigado e até breve !!!

Desvantagens em não usar Software Original !!!

Prezados Leitores,

Sendo bem claro, fora o valor que por motivos obvios é bem inferior, esta suposta vantagem acaba caindo por terra quando analisamos todas as desvantagens em utilizar os chamados "Softwares Piratas".

1º É crime previsto em lei.

2º Quando instalamos um Software pirata, "aquele comprado na barraquinha", podemos levar junto alguns Virus, Spywares, Malwares e outras pragas como brinde especial pela ótima aquisição.

3º Se um Software Original esta sujeito a falhas, um que não é original com certeza terá falhas e você não terá suporte do fabricante.

4º Tudo bem que os valores de alguns Softwares poderiam ter um custo menor, mas você sabia por exemplo que existem os Softwares Open Source que podem por exemplo substituir seu Sistema Operacional, seu editor de texto e assim por diante ?

Mas quem disse que a maioria dos usuários tentam utilizar estes Softwares, mesmo estes estarem muito mais amigaveis do que há algum tempo?

5º Se você tem instalado  Windows Vista ® ou Windows 7 ® original em sua máquina, você pode por exemplo instalar o Microsoft Security Essentials um antivírus gratuito que pode não ser a melhor ferramenta de segurança existente para uma Empresa (corporação), mas para seu uso pessoal (doméstico) aliado aos seus procedimentos de sempre manter seu SO (sistema operacional) atualizado e cuidados na navegação você pode ter uma boa garantia de proteção.

Caso desejar instalar, acesse o Site do Fabricante em: http://www.microsoft.com/security_essentials/

Sete soluções de segurança da informação que as empresas devem adotar a curto prazo

Por Pedro Goyn

Há muito tempo a segurança da informação faz parte de planos estratégicos das empresas. Os CIOs, preocupados com o assunto, buscam as melhores práticas no mercado para a proteção das informações, porém, é possível observar ainda que muitas companhias não saíram do âmbito da segurança perimetral. Essa é a opinião de Pedro Goyn, presidente da True Access Consulting, empresa especializada em tecnologias de segurança. Embora o cenário seja esse, segundo o executivo, o mercado começa a despertar para a segurança como questão primordial para agregar valor aos negócios. “A preocupação se volta agora para soluções avançadas, com foco na segurança interna e nos processos de negócios. Aquelas que apresentarem eficiência e melhor gestão da segurança despontarão no mercado”, comenta Goyn.

De uma maneira geral, as tendências apontam para uma demanda crescente de empresas no esforço de garantir a segurança e integridade das informações. Ainda segundo Goyn, além de uma política de segurança interna, com base em comportamento de usuários e normas de acesso a dados, as companhias devem se munir de soluções tecnológicas. “O mercado brasileiro já conta com tecnologias de ponta para esses fins. Nelas é possível encontrar um bom retorno sobre o investimento”, afirma.

Para auxiliar as empresas e CIOs na busca por tecnologias de prevenção, Pedro Goyn preparou uma lista de 7 tecnologias que, se ainda não foram adotas pelas empresas, deverão ser adquiridas em breve

1 – IDM – Identity Management ou Gestão de Identidade, solução para acompanhamento e gerenciamento do perfis e de usuários internos ou externos para acesso a sistemas e recursos de uma empresa.

2 – DLP – Data Loss Prevention (Prevenção de perda de dados) – Solução que possibilita que as organizações detectem e classifiquem os dados confidenciais a fim de prevenir e proteger perda acidental ou mal intencionada de informações críticas.

3 – SIEM – Security Information and Event Management (Gerenciamento de eventos e informações de segurança) - Solução com a finalidade de coletar e prover análise, em tempo real, de alertas de segurança gerados.

4 – GRC – Governança, Risco e Conformidade – Solução que consiste na integração das áreas de conhecimento de Gestão de Risco, Governança e práticas de auditoria e controle.

5 – Firewall de Aplicação/ Banco de dados – Solução com inspeção profunda de pacotes, analisando requisições e respostas na camada de aplicação.

6 – HSM (Hardware Security Module) dedicado à função de repositório seguro de chaves de segurança provendo assim uma plataforma para serviços de criptografia, como assinatura digital e encriptação. Essa integração nativa torna o processamento das informações muito mais rápido e seguro.

7 – Autenticação por novos dispositivos, como é o caso dos Tokens ópticos geradores de chave de segurança, cartão de segurança, tabela de senhas, dispositivo de senha eletrônicas etc.

“Essas tecnologias são hoje o que podemos considerar de mais moderno no ramo de segurança. A principal dica é olhar para dentro da sua empresa, verificar o que está em prática e adotar as soluções pendentes. Muitas vezes, nossos dados já estão sendo espionados e não nos damos conta, quanto mais nos adiantarmos aos ataques menos problemas teremos no futuro.” finaliza Goyn.

Pedro Goyn é presidente da True Access

Fonte: http://www.techlider.com.br/2010/07/sete-solucoes-de-seguranca-da-informacao-que-as-empresas-devem-adotar-a-curto-prazo/ às 16h11

Engenharia Social - Cuidado !!!

É impressionante a criatividade das pessoas que estão mal intencionadas.

O fato é que estas pessoas não medem esforços e muitas vezes utilizam técnicas simples porém eficientes de manipulação.

Temos sempre que ter consciência de que 90% do trabalho de quem deseja praticar uma ação criminosa (principalmente os crimes na Internet) é obter as informações necessárias para atingir seu objetivo maior (roubar seus dados, invadir sua rede e etc...).

Os outros 10% restantes, acreditem, podem facilmente serem obtidos e automatizados através de aplicativos / ferramentas prontas.

Engenharia Social, entendendo o que é:

Em Segurança da informação, chama-se Engenharia Social as práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas.

O que devemos fazer?

Se não sabe com quem esta falando ou tem dúvidas, não forneça informações pessoais, nem de sua Empresa (nomes,endereços, horários,quantidade de maquinas, e-mails, número de documentos, sistema operacional, etc...)

A melhor a fazer é QUESTIONAR:

- Por que você deseja saber?

- Qual é seu nome completo?

- De onde esta falando?

- Pode me deixar seu telefone que depois entro em contato?

Cloud Computing x Segurança

Prezados Leitores

Quem hoje pensa que não usa, nunca usou, não é o momento ou nem vai usar  Cloud Computing  (Computação nas Nuvens) continue lendo este post:

1º Você já utilizou o SkyDrive do MSN ?

2º Você já utilizou o Google Docs ?

3º Tudo bem, vamos para exemplos mais comuns. Você já fez upload de fotos no Orkut, FaceBook, Linkedin e etc...?

Pronto, se você respondeu SIM para uma das questões, então você já usa o conceito de Cloud Computing.

Sendo assim, fique atento as questões de segurança nas redes sociais / computação na nuvem.

Aproveito para recomendar que utilizem ferramentas de proteção como por exemplo:

A fabricante de Anti-Virus Panda lançou uma versão Free de Antivirus, o

Panda Cloud AntiVirus.

Caso desejar instalar o Panda Cloud Computing acesse o site do fabricante em:

http://www.cloudantivirus.com/pb/basicProtection/

Segurança é importante?

Prezados leitores,

Pode-se dizer que a palavra Segurança isolada é a sensação de se estar protegido de riscos, perigos ou perdas.

Mas antes de assumirmos que estamos seguro, devemos comparar a segurança com outros conceitos relacionados, como por exemplo: Confiabilidade,Integridade,Legalidade e a própria continuidade desta.

A diferença chave entre a segurança e a confiabilidade é que a segurança deve fazer exame no cliente das ações dos agentes maliciosos ativos que tentam causar a destruição, caso contrário temos a sensação e não a certeza de proteção.

A segurança, como bem comum, é divulgada e assegurada através de um conjunto de convenções sociais, denominadas medidas de segurança.

E para garantir a segurança temos medidas especificas para cada área de atuação, veja abaixo os tipos de segurança mais conhecidos:

• Segurança do trabalho

• Segurança doméstica

• Segurança na escola

• Direção defensiva - segurança do trânsito

• Segurança da informação / computador

• Segurança pública

• Segurança pessoal

• Segurança privada

• Segurança condominial

• Segurança física de instalações

Até aqui sem grandes novidades:

Mas se eu te perguntar “Você sente-se 100% seguro ?” a resposta com certeza será não, até porque não existe 100% de segurança.

Mas e quanto ao planejamento,atitude, mudança de procedimentos / processos, treinamento, comportamento, educação e etc...

“ O que você ou sua Empresa tem feito para melhorar sua sensação de segurança?”

Se a resposta for nada, meu conselho é que você precisa urgente rever seus conceitos e priorizar a Segurança, dando à ela sua merecida importância.

Virus no PC

Acesse o Blog e assista ao video

Como funciona o FireWall

Olhar Digital

Campanha Anti-SPAM - Participe !!!

Prezados Leitores,

Para quem não sabe o significado do termo clique em:  SPAM

Esta campanha digital é uma iniciativa do  Comitê Gestor da Internet no Brasil (CGI.br) através da Comissão de Trabalho Anti-Spam e foi criada como um chamamento para a ação e a educação dos internautas e administradores de rede contra o abuso no envio de e-mails não solicitados e UCEs, do inglês Unsolicited Commercial E-mail, quando o conteúdo é exclusivamente comercial. Muitas vezes você ou usuários de suas redes, portais, provedores de internet e sites podem ser usados como redes de propagação de e-mails causando problemas e sujeito a penalidades sem que voluntariamente você tenha ação sobre este envio de e-mails.

Estabelecer política é primeiro passo para ter segurança da informação eficiente

Segurança da informação (SI) não funciona sem uma política claramente estabelecida e formalmente comunicada dentro da companhia. E, para que ela seja eficiente, é necessário que todos da organização, independentemente do nível hierárquico ou função, se engajem. Ou seja, o primeiro passo para a construção de uma política de SI que será "abraçada" pela empresa está no envolvimento da alta cúpula. O presidente precisa "comprar" o projeto e disseminar as boas práticas. A partir deste ponto, todos os outros - inclusive os mais técnicos - serão conseqüências, sem, lógico, deixar de serem importantes.

Leia a matéria na integra Aqui
Fonte: ITWeb http://www.itweb.com.br/noticias/index.asp?cod=69418

Os deslizes mais cometidos na internet

A segurança do patrimônio de uma empresa está intimamente ligada à garantia de que toda a informação gerada e armazenada no data center esteja protegida contra ataques de crackers, espionagem industrial, e até mesmo adulterações feitas por colaboradores insatisfeitos.

Cabe ao gerente de TI estar a par dos deslizes mais cometidos na internet e atuar junto à sua equipe para evitar a ação de ciberpiratas. São sete os deslizes - ou pecados capitais da internet - mais comuns.

A negligência vem em primeiro lugar. Cuide para que um bom antispam, um antivírus e um firewall (ferramenta que controla o fluxo de informações que entram e saem de cada computador pertencente à rede) estejam devidamente ativados, sempre.

A indiscrição vem logo a seguir, em segundo lugar. Jamais informe suas senhas para quem quer que seja, sob pena de se arrepender do vacilo assim que invadirem seus arquivos mais estratégicos ou sua conta bancária. O mesmo cuidado vale para os dados pessoais, como RG e CPF, que podem atrair os crackers prontos para atacar quem está na ociosidade. Portanto, use a internet com objetividade. Quem navega a esmo pode acabar atracando num ambiente nada seguro. Por mais que se fale, muitas pessoas continuam abrindo spams, fotos e vídeos anexados às mensagens de e-mail.

O oportunismo, ou aquela velha mania de querer tirar vantagem de situações, leva muitas pessoas a cometer erros que custam caro. Viagens gratuitas, crédito fácil, premiações... Nunca participe de sorteios desconhecidos nem acesse links de ofertas tentadoras. A chance de se tratar de uma armadilha para roubar dados e identidades é superior a 98%. Certifique-se de que todos na empresa adotem o mesmo comportamento.

Outro vício a combater é a curiosidade. Quando ela é mais forte que o bom senso, algumas pessoas acabam abrindo mensagens que trazem cenas inéditas de filmes, reportagens, fotos de acidentes etc. E o perigo se esconde inclusive no Twitter e nas redes sociais. Saiba que, por trás de todo esse 'serviço de informação', há uma quadrilha pronta para explorar as fraquezas dos que se acham espertos. Eles invadem o computador de forma sorrateira para roubar senhas e dados confidenciais.

A infantilidade é outro problema. Quando se trata do uso da internet para fins pessoais ou profissionais, infantil ou ingênua é aquela pessoa desatenta, que não presta atenção aos e-mails que recebe, que não desconfia de nada ao receber inúmeros e-mails idênticos, fototorpedos, cartões ou charges de destinatários desconhecidos. Há mecanismos que se apropriam da sua lista de endereços para enviar vírus aos seus conhecidos.

Vale, por fim, pensar mais atentamente na empresa. Por mais estável que esteja sua situação financeira, ninguém deve descuidar da segurança virtual. A ideia de que a instituição tem uma conta bancária abastada pode levar ao deslize do desperdício, de se esquecer das regras e orientações do próprio banco nas movimentações online. Como é do interesse de todos, os bancos costumam deixar lembretes e advertências na página de abertura das homepages para que seus correntistas se previnam contra os mais recentes golpes.

Vestir a camisa da empresa, procurando seguir todas as recomendações de segurança virtual, parece ser o melhor caminho para o progresso de toda a empresa e de cada um de seus colaboradores.

Fonte: http://imasters.uol.com.br/artigo/17295

Segurança... educação começa em casa.

Quando você sai de sua casa para o trabalho, você deixa a porta assim? 

Acredito que em seu local de trabalho você não é assim, correto?










Então, cuide das informações!!!






E diminua os riscos de perdas com invasões, vírus e outras pragas....