Página inicial / Segurança da Informação

Segurança da Informação

Assinatura eletrônica tem validade jurídica?

Grandes contratos fechados com a velocidade de um clique. E assinatura eletrônica tem validade jurídica? Leia até a última linha

Texto por Tatiana Vieira

Maior contato por meios digitais abre novas frentes e cria oportunidades mais flexíveis. Imagine trabalhar para uma empresa bacana, com todos os benefícios ou vender um imóvel, sem sair de casa. Parece um sonho. Receber e assinar um contrato por e-mail e… Mas, pera aí! Será que assinatura eletrônica tem validade jurídica no Brasil?

O termo assinatura eletrônica refere-se a qualquer mecanismo eletrônico — não necessariamente criptográfico, determinado na Medida Provisória (MP) Nº 2.200-2 — para identificar alguém, seja por meio de escaneamento de uma assinatura, identificação por impressão digital ou simples escrita do nome completo para identificar o remetente de uma mensagem eletrônica ou partes em um contrato ou documento.

Acesse a matéria completa no Tecnoblog

Segurança da informação: aprendendo com 30 anos de evolução dos ciberataques

Texto por Chris Santos

Américo Spachacquercia, Analista de sistemas e consultor em Cibersegurança da Panda Security Brasil

Ciberataques estão continuamente evoluindo. Com a internet agora uma ferramenta cotidiana em nossas vidas, os ataques aumentaram tanto em frequência quanto em sofisticação. Por causa disso, eles têm um enorme impacto global nas economias, segurança nacional, eleições, roubo de dados e privacidade pessoal e da empresa.

Para desenvolver as melhores estratégias, ferramentas ou serviços para parar esses ataques ou minimizar seu impacto, é vital aprender com a história e incorporar o que ela pode nos ensinar sobre como os cibercriminosos agem.

Por isso, identificamos os ataques cibernéticos que mais causaram impacto nas últimas três décadas, que mostram a evolução dos ciberataques e a permanência de técnicas, como a de engenharia social e distribuição de malwares por meio de software pirata. Pode ser que você identifique outros ataques não listados neste artigo e suas observações serão bem-vindas. Confira:

Barrotes (1993): conhecido como o primeiro vírus espanhol, esse malware era enviado por meio de um disquete infectado, que eram comumente usados na época para compartilhar arquivos ou software pirata. Era um pequeno programa que, ao entrar em sistemas, escrevia seu código malicioso em arquivos executáveis (.com e .exe no MS-DOS), onde permaneceu escondido até 5 de janeiro, quando foi lançado e ativado para substituir o disco de inicialização. Como resultado, toda vez que o computador era iniciado, a tela era coberta por barras, impossibilitando o uso do dispositivo.

CIH/Chernobyl (1998): originário de Taiwan, este é considerado um dos vírus mais prejudiciais da história por causa dos milhões de dólares de perdas que causou em todo o mundo, e da rapidez com que se espalhou. Seu modus operandi era letal: uma vez instalado em um computador, ele excluía todas as informações de todo o computador, até mesmo corrompendo bios para que o sistema não pudesse inicializar. Estima-se que afetou mais de 60 milhões de usuários do Windows 95, 98 e ME.

Melissa (1999): um dos primeiros ataques cibernéticos realizados usando técnicas de engenharia social. Os usuários receberiam um e-mail com um anexo (chamado List.doc), que supostamente continha detalhes de login para acessar sites de pornografia. No entanto, uma vez que o documento aberto, o vírus acessava a agenda do Microsoft Outlook da vítima e encaminhava um e-mail para os primeiros 50 contatos da agenda de endereços. Também infectava todos os documentos do Word no computador.

Eu te amo (2000): este worm, programado em Visual Basic Script, também usou engenharia social e e-mail para infectar dispositivos. O usuário recebia um e-mail com o tema “Eu TE AMO” e um anexo chamado “LOVE-LETTER-FOR-YOU” TXT.vbs”. Quando este documento era baixado e aberto, ele substituía uma infinidade de arquivos (.jpeg, .css, .jpg, .mp3, .mp2 e outros) por um Trojan que visava obter informações confidenciais. O impacto deste malware foi tão grande que infectou milhões de computadores em todo o mundo, incluindo dispositivos no Pentágono e no Parlamento britânico.

Mydoom (2004): outro pedaço de malware enviado por e-mail, mas desta vez usando uma mensagem de erro. Mydoom usava a maioria das ferramentas e opções de segurança do Windows para se espalhar pelo sistema e por cada arquivo. Teve consequências dramáticas, pois reduziu, na ocasião, o tráfego mundial de Internet em 10% e causou perdas de cerca de US$ 40 bilhões.

Stuxnet (2010): é o primeiro exemplo conhecido de uma arma de guerra cibernética, pois foi projetado para atacar a infraestrutura crítica iraniana. Este worm, que se espalhou através de dispositivos USB removíveis, realizou um ataque direcionado contra empresas com sistemas SCADA, com o objetivo de coletar informações e, em seguida, ordenar que o sistema se autodestruísse. Ele explorava a vulnerabilidade do Windows MS10-046, que afetou atalhos, para se instalar no computador, especificamente no Windows 2003, XP, 2000, NT, ME, 98 e 95. Ele também foi capaz de entrar em dispositivos que não estavam conectados à Internet ou a uma rede local.

Mirai (2016): é o mais conhecido botnet por trás de grandes ataques de negação de serviço (DDoS) até o momento. Isso afetou grandes empresas como Twitter, Netflix, Spotify e PayPal. Este malware infectou milhares de dispositivos IoT, permanecendo inativo dentro deles. Os criadores do Mirai o ativaram em 21 de outubro de 2016, usando-o para atacar o provedor de serviços DNS Dyn. Tanto seus serviços quanto seus clientes caíram ou enfrentaram problemas por horas.

WannaCry (2017): foi um ataque de ransomware que começou com um criptoworm dos mesmos computadores Windows, criptografou os dados e exigiu pagamentos de resgate de US$ 300 em bitcoins. Ele foi interrompido alguns dias depois, graças a patches de emergência lançados pela Microsoft e à descoberta de um kill switch que impediu que computadores infectados continuassem a espalhar o malware. Estima-se que o ataque tenha afetado mais de 200.000 computadores em cerca de 150 países.

Petya/NotPetya (2016-2017): ransomware Petya, descoberto em 2016, é executado em computadores, criptografando certos arquivos, enquanto bloqueia o setor de inicialização do sistema comprometido. Dessa forma, impede que os usuários acessem seus próprios computadores a menos que digitem um código de acesso, depois de terem pagado o resgate, o que restaura o sistema operacional como se nada tivesse acontecido. A variante NotPetya, que surgiu em 2017, teve como alvo principalmente o setor empresarial. Uma coisa que o tornou particularmente notório foi o fato de que, mesmo quando o resgate foi pago, os arquivos da vítima não foram recuperados. Apesar desse ransomware ter infectado redes em vários países, os pesquisadores suspeitam que ele realmente pretendia esconder um ataque cibernético direcionado a instituições ucranianas.

Ryuk (2019): o ransomware Ryuk colocou em risco a infraestrutura crítica de grandes empresas nacionais e internacionais no último trimestre de 2019. Entre suas vítimas estão a prefeitura do condado de Jackson, na Geórgia (EUA). Este malware, cujas origens são associadas ao grupo russo Grim Spider, criptografa os arquivos em dispositivos infectados, e só permite que a vítima recupere seus arquivos se pagar um resgate em bitcoins. Ryuk parece ser derivado de Hermes, um pedaço semelhante de malware que pode ser comprado na dark web e personalizado para atender às necessidades do comprador.

Incidentes como esses permitiram acumular décadas de experiência para o desenvolvimento de modelos únicos de cibersegurança, baseados na lógica contextual gerada com aprendizado de máquina para revelar padrões comportamentais maliciosos e criar defesas cibernéticas avançadas contra ameaças conhecidas e desconhecidas. As modernas soluções são baseadas em tecnologias como inteligência artificial, big data e cloud computing.

Fonte: Segs

Especialistas debatem impactos da pandemia na área de Informática

Professores do Centro Paula Souza (CPS) analisam a produção de jogos digitais, segurança da informação e desenvolvimento de aplicativos

Crédito: Depositphotos/ABCdoABC

Ainda é cedo para desenhar com clareza o futuro pós-pandemia, mas é muito provável que a vida se transforme profundamente após um dos episódios mais impactantes da história recente da humanidade. Para debater os reflexos dessa crise, o Centro Paula Souza (CPS) lança a série Transformações do mercado de trabalho, que vai apresentar as apostas de especialistas para as novas configurações das atividades profissionais. Nesta primeira matéria, o tema é Informática.

Para o  professor do curso de Jogos Digitais da Faculdade de Tecnologia do Estado (Fatec) Carapicuíba Álvaro Gabriele, a área de games é uma das poucas que estão sendo muito beneficiadas pela crise sanitária. “O mercado está bem aquecido, o número de downloads vem aumentando”, afirma. “Tem muita gente aproveitando para jogar.”

Além da produção de jogos em si, Gabriele vislumbra outras oportunidades para os profissionais com essa formação. “Haverá grande demanda por reuniões e eventos em ambientes virtuais”, acredita. Segundo ele, existe a possibilidade de trabalhar com a criação do espaço tridimensional e também com gamificação. “Numa feira, por exemplo, você poderia ter pontuação e prêmios durante a participação do público.”

O educador destaca outro aspecto importante que o trabalho a distância trouxe para quem atua no ramo digital, que  também é válido para os profissionais de todas as áreas. “O mercado já valorizava as soft skills, conhecidas como habilidades comportamentais”, conta. “O trabalho remoto, porém, faz com que se valorize ainda mais a capacidade de atuar em equipe, a criatividade e a empatia para se relacionar a distância.” Neste vídeo, Gabriele fala um pouco mais sobre as soft skills.

Plano de Continuidade de Negócios

Abordando outro aspecto, a coordenadora da área de Segurança da Informação da Fatec São Caetano, Edna Mataruco Duarte, diz que a pandemia expôs o fato de que muitas empresas não haviam feito o dever de casa e se preocupado com seu Plano de Continuidade de Negócios e Resposta a Incidentes, acionado, geralmente, em situações como enchentes, falta de energia elétrica ou greves. “É o que garante a continuidade de processos críticos, aqueles que, se pararem, farão a empresa perder muito dinheiro.”

A área de Tecnologia é uma das que devem fazer parte desse plano, a depender do ramo de atuação da empresa e das intempéries às quais ela possa estar sujeita. “Vejo que uma ou outra já começa a fazer esse plano”, afirma. “Mas o foco das empresas agora é sobreviver.”

Edna acredita que a preocupação com segurança deve aumentar bastante no cenário em que vivemos. “Como vamos garantir que não haverá vazamento de informações, por exemplo?”

Outra atividade com tendência a ser valorizada é o desenvolvimento de aplicativos e softwares para atender às necessidades criadas pelo trabalho remoto: ponto eletrônico, gestão de horários e projetos, entre outros. “São ferramentas que dão suporte ao home office”, explica o coordenador de projetos do eixo de Informação e Comunicação, Carlos Eduardo Ribeiro, do Centro de Capacitação do CPS.

O educador lembra de outro setor que deve ter alta demanda, a de Telecomunicações. “É preciso dar acesso a famílias inteiras que estão acessando a internet ao mesmo tempo”, avalia. “Acredito que assim que passar esse momento mais crítico, a parte de infraestrutura será totalmente renovada.” Segundo Ribeiro, haverá uma procura muito grande por profissionais com essa especialização. “Sem a pandemia já faltavam especialistas nessa área.”

Cursos

As unidades do CPS oferecem uma série de cursos na área de Informática. Nas Escolas Técnicas Estaduais (Etecs), as opções são as habilitações técnicas de Desenvolvimento de Sistemas, Informática, Informática para a Internet, Manutenção e Suporte em Informática, Programação de Jogos Digitais, Redes de Computadores e Telecomunicações. Já nas Fatecs, é possível fazer os cursos superiores tecnológicos de Análise e Desenvolvimento de Sistemas, Banco de Dados, Big Data no Agronegócio, Ciência de Dados, Design de Mídias Digitais, Geoprocessamento, Gestão de Tecnologia da Informação, Informática para Negócios, Jogos Digitais, Redes de Computadores, Segurança da Informação e Sistemas para Internet.

Fonte: ABC do ABC

Como a pandemia aumenta os riscos cibernéticos – e como empresas podem se proteger

Texto por Paulo de Tarso Andrade Bastos Filho

Falta de sistemas de segurança de informação e uso de redes por pessoas sem treinamento adequado estão entre os fatores de risco; com trabalho remoto, perigos se intensificam

Esforços imediatos devem ser direcionados à segurança do funcionamento das redes (Foto: Mika Baumeister/Unsplash)

Analisando as tendências para 2020, alguns elementos se confirmam com bastante força, impulsionados pelo aumento exponencial da utilização da internet para fins de trabalho remoto, comércio online e comunicação pessoal e profissional, devido à pandemia que se abateu sobre o mundo, situação catastrófica que ninguém previu.

Seu impacto mais negativo, além das óbvias questões humanas e sanitárias, foi justamente o crescimento ainda mais relevante dos crimes cibernéticos, principalmente devido à utilização maciça da rede por pessoas sem treinamento adequado, e geralmente atuando em ambientes corporativos ainda sem a devida implantação de um sistema de segurança da informação.

Entretanto, também se constata impacto cultural desejável, com o mercado e a população em geral mais atentos a possíveis abusos do Direito à Privacidade e às ferramentas para mitigar a indevida exposição dos dados pessoais.

Estamos inseridos em momento muito volátil, sem certeza quanto a como e quando será a retomada das atividades corporativas presenciais. Sendo assim, os esforços imediatos devem ser direcionados à segurança do funcionamento das redes.

Tanto o Congresso Nacional quanto o Poder Executivo estão buscando atrasar os efeitos da Lei Geral de Proteção de Dados, muito embora ainda não esteja claro qual das iniciativas será adotada como norma de fato, há certeza quanto à necessidade de garantir às empresas tempo adicional para se adequarem às obrigações e demandas da LGPD.

Enquanto a Medida Provisória n° 959/20 adia a vigência da LGPD para maio de 2021, o Projeto de Lei n° 1.179/20 posterga a vigência da LGPD para janeiro de 2021, e mesmo com toda turbulência na relação entre Executivo e Legislativo, podemos assumir que esse prazo permitirá que as empresas tenham oportunidade de se preparar melhor para cumprir com as demandas normativas já existentes, assim como antecipar as prováveis demandas regulatórias da futura Agência Nacional de Proteção de Dados.

Com esse cenário, de extensão do prazo para adaptação à LGPD, devemos adotar uma postura que pareça mais oportuna para as empresas enfrentarem o cenário de incertezas, tendo como objetivo a necessidade de se precaver para riscos cada vez maiores.

Riscos cibernéticos durante a pandemia

Antes mesmo dos acontecimentos de 2020, já sofríamos demais na mão dos criminosos cibernéticos, que criam por ano em torno de 120 milhões de tipos de malwares. Na última década tivemos ataques de espionagem industrial a empresas da Europa e da América do Norte, pela organização criminosa conhecida como Dragonfly, e também ataques ramsonware propagados pela ameaça WannaCry, que vitimou entidades privadas e públicas. Recentemente tivemos ameaças que exploraram vulnerabilidades de hardware, entre elas o malware conhecido como Spectre.

Na medida em que a pandemia força o mercado a explorar cada vez mais o trabalho remoto, expandindo de maneira improvisada suas capacidades de TI, é importante ressaltar que as empresas já se encontravam despreparadas para os riscos cibernéticos, agravados agora pela pandemia. De acordo com levantamento realizado pela Consultoria Mckinsey, apenas 16% das empresas no mercado norte-americano se encontram preparadas para lidar com os riscos cibernéticos da atualidade, e as brasileiras infelizmente se encontram ainda menos preparadas. Aliados aos riscos conhecidos, surgem novos desafios a cada segundo, já que os criminosos estão em constante busca de fragilidades em cada sistema.

As empresas em média precisam de mais de 100 dias para identificar um ataque bem sucedido contra seu sistema. Sendo assim, estão cada vez mais vulneráveis, devido ao aumento do trabalho remoto que envolve toda a rede. A expectativa do mercado era que no final de 2020 haveria 30 bilhões de equipamentos de operação com Internet das Coisas (IoT), e com a pandemia essa evolução tecnológica já está se acelerando, expondo significativamente fraquezas que podem ser facilmente exploradas, por exemplo, em ataques de negação de serviço distribuída (denial-of-service).

Entre esses riscos, há um em especial que considero dos mais importantes, que se materializa quando as empresas tratam ameaças cibernéticas como uma questão meramente técnica, que poderia ser resolvida de forma isolada por seu departamento de TI. Na verdade, as ameaças cibernéticas são e devem ser encaradas como uma questão de gestão de riscos, e a administração corporativa poderá enfrentar adequadamente essa realidade apenas quando se organizar para dar prioridade à sua estrutura digital.

A governança corporativa colaborativa como ferramenta para segurança cibernética

Logo, os riscos cibernéticos devem ser encarados como um problema de todos empresários  e colaboradores, sendo considerados desde a constituição das empresas e priorizados nos modelos de negócio, numa cultura pela segurança cibernética, principalmente para enfrentar as novas ameaças trazidas neste contexto de pandemia.

Com todas as pessoas operando em rede, cresce o potencial elo a ser explorado por criminosos. Portanto, não adianta apenas investir em capacidade técnica. Sem treinamento aos usuários, um sofisticado firewall seria inútil contra a maioria das ameaças que geram dano efetivo, levando as pessoas a caírem em ataques de phishing, que dependem de colaboração passiva ou ativa da vítima.

A empresa EQUIFAX, por exemplo, sofreu em 2017 um ataque que permitiu a criminosos roubar dados de milhões de americanos. Nesse caso foi necessário envolvimento multilateral de vários entes públicos e privados para conseguir recuperar a segurança do sistema, e a empresa agora lida com multas a pagar e com processos judiciais daquelas pessoas prejudicadas por golpes com seus dados pessoais.

Considerando que uma crise como essa prejudica a disposição para gastos e investimentos, o foco da empresa deve ser no planejamento cuidadoso, levando em conta todos os stakeholders, para evitar possíveis ameaças.

A Oportunidade Trazida pela Medida Provisória n° 959/20 e o Projeto de Lei n° 1.179/20

Apesar da suspensão dos efeitos da LGPD até 2021, a adequação aos Princípios Gerais de Proteção de Dados trará necessariamente às empresas maior segurança cibernética, pois para cumprir as normas as empresas que manuseiam dados pessoais devem tomar medidas tecnicamente razoáveis para proteger os mesmos de indevido acesso, utilização ou divulgação.

Olhando o lado positivo, apesar da crise humanitária e sanitária que nos afeta, o prazo concedido pelas iniciativas concorrentes do Legislativo e o Executivo traz algum alento para o empresário, que pode usar esse período extra para se inteirar sobre quão preparada sua organização realmente se encontra frente aos riscos cibernéticos que se avolumam.

As empresas devem definir quais bens devem ser protegidos, e inventariar os pontos de acesso à rede da empresa que podem vulnerabilizar esses bens, para então adotar a postura de envolver, senão toda a empresa, todas as pessoas que tenham acesso a essas informações e dados, capacitando-as com treinamento adequado e, assim, evitando fragilidades do sistema.
O trabalho remoto já é uma realidade, independentemente de quando a humanidade vencerá o COVID19, e cada vez mais existirão pontos de acesso conectados às redes das empresas, e, portanto, ameaças a seus bens. Cabe a elas priorizar as iniciativas de colaboração como caminho para se preparar coletivamente para os riscos cibernéticos e outros que virão.

* Paulo de Tarso Andrade Bastos Filho é advogado especialista em compliance, que atua na implementação de programas de governança nas áreas de tratamento de dados pessoais, livre concorrência , tributário e anticorrupção.

Fonte: Revista PEGN

Certificação Digital, Segurança da Informação e as Transformações Impostas pela Pandemia

Texto por Fernanda Sauer 

A certificação digital não é exatamente uma novidade, mas, como tudo ligado à tecnologia, evoluiu, ganhou mais adeptos e visibilidade com a promulgação da Lei 13.709 de 14 de agosto de 2018 – Lei Geral e Proteção de Dados (LGPD)

Fernanda Sauer – Sócia do escritório Villemor Amaral e Presidente da Comissão de Direito Digital do IAB

O certificado digital funciona como uma identidade virtual que permite a identificação segura e inequívoca de uma mensagem ou transação virtual, assinada pela autoridade certificadora que associa o titular da transação a um par de chaves criptográficas.

A assinatura digital identifica o remetente de uma mensagem eletrônica ou documento, possuindo autenticidade, integridade e confiabilidade.

A tecnologia aplicada permite a verificação da autoria do documento e estabelece a intangibilidade de seu conteúdo, na medida em que qualquer mínima alteração compromete a integridade do documento e torna inválida a assinatura.

Dessa forma, a assinatura digital é mais do que uma simples assinatura digitalizada, mas também uma ferramenta que garante a integridade do documento.

O uso de certificado digital permite maior agilidade, segurança e redução de custos nas transações, pois possibilita que processos e negócios que se davam burocrática e presencial e, por vezes, com uma quantidade considerável de papel, possam se dar integralmente pela via eletrônica e a qualquer distância.

A certificação digital, hoje, tem aplicação na assinatura de contratos e documentos digitais; processos judiciais e administrativos por meio eletrônico; assinatura da declaração de renda e serviços prestados pela Secretaria da Receita Federal; obtenção e envio de documentos cartorários; transações com instituições financeiras e até mesmo receitas médicas vêm sendo assinadas digitalmente via certificado (o que será cada vez mais comum após a aprovação do exercício da telemedicina).

Entre os advogados, principalmente aqueles que lidam com processos judiciais e administrativos eletrônicos, o certificado digital passou a ser indispensável, visto que a Lei do Processo Eletrônico – Lei 11.416/2006 – exige o certificado para assinatura de documentos e petições, através de chip criptográfico instalado em uma mídia removível (formatoA3),  que conhecemos como “token”.

Desde abril desse ano, os advogados podem emitir e renovar seus certificados à distância, de acordo com a resolução nº 170 do Comitê Gestor da ICP-Brasil. Não é possível hoje praticar a advocacia contenciosa sem o certificado e a tendência é de que mesmo para atividade de advocacia consultiva e para transmissão segura de documentos o seu uso tenderá a ser amplamente difundido.

Do ponto de vista legal e regulatório, foi a  Medida Provisória nº 2.200-2/2001 responsável pela criação do sistema nacional de certificação digital, conhecido como ICP-Brasil (Infraestrutura de chaves públicas brasileira) para garantir a autenticidade, integridade e validade jurídica de documentos em formato eletrônico, das aplicações de suporte e habilitadas que utilizem certificados digitais, bem como para a realização de transações eletrônicas seguras.

Integram a estrutura hierárquica da ICP-Brasil: Gestora de Políticas, Certificadora Raiz e Certificadoras e de Registro.

Há um Comitê Gestor, ao qual as autoridades são submetidas, vinculado à Casa Civil da Presidência da República e a quem cabe estabelecer a política e normas técnicas para credenciamento das autoridades certificadoras e registradoras em todos os níveis da cadeia de certificação, além de controlar a execução das políticas públicas relacionadas à ICP-Brasil, inclusive nos aspectos de normatização e procedimentos administrativos, técnicos, jurídicos e de segurança.

O Instituto Nacional de Tecnologia da Informação (ITI) exerce a função de Autoridade Certificadora Raiz da ICP-Brasil, sendo responsável pela execução das políticas de certificados e de normas técnicas e operacionais aprovadas pelo Comitê Gestor para o credenciamento das autoridades certificadoras e registradoras. Caberá às certificadoras a emissão, expedição, distribuição e gerenciamento dos certificados digitais, que uma vez emitidos, vinculam pares de chaves criptográficas a um titular (pessoa física ou jurídica).

Ao contexto legal anterior, somou-se, recentemente, a LGPD, promulgada em agosto 2018,que exige daqueles que tratam dados pessoais a implementação das melhores práticas na gestão de informação. A nova lei estabelece uma nova cultura em relação à segurança da informação, transparência, privacidade e proteção de dados pessoais, cujo descumprimento pode levar a multas de até R$ 50 milhões.

No cenário da entrada em vigor da LGPD, o certificado digital será um importante aliado na implementação das boas práticas na gestão e segurança da informação, pois provê garantias e proteção aos envolvidos na transação ou mera comunicação (autenticidade da assinatura do remetente, intangibilidade do conteúdo da informação transmitida etc.)

Por fim é relevante notar que, como consequência da pandemia, empresas dos mais variados ramos de negócios, inclusive escritórios de advocacia, estão revendo suas formas de atuar à distância, utilizando e investindo massivamente em tecnologia, ao mesmo tempo em que organizam a redução de suas estruturas físicas e fechamento de filiais.

Nesse contexto,a utilização da certificação digital é um caminho sem volta, pois cumpre com o fim de dar agilidade às transações à distância garantindo a segurança da informação transmitida e se alinhando não só à legislação interna como internacional.

*O Instituto dos Advogados Brasileiros é a instituição jurídica mais antiga das Américas. https://www.iasp.org.br

Fonte: CRYPTOID

Segurança da informação e proteção de dados na pandemia da Covid-19

Texto por Valéria Reani

Em isolamento social por causa da pandemia do novo coronavírus, o recurso da internet vem crescendo para finalidades como o teletrabalho, a comunicação com parentes, amigos e colegas, a busca por informações e momentos de lazer no consumo de músicas e vídeos. Com isso, é preciso aumentar também os cuidados para evitar acessos indevidos, entrada de vírus ou golpes aplicados pela web, para garantir a segurança das informações.

A grande ferramenta que possibilita uma mobilidade real para transportar o trabalho para qualquer lugar é o laptop, ou notebook. Hoje esses computadores portáteis possuem as mesmas funcionalidades e capacidades dos computadores de mesa, mas com a vantagem da portabilidade, acesso à internet sem fio (wi-fi) e baterias com capacidade para horas de funcionamento contínuo (LOPES, 2008).

A banda larga proporciona a mobilidade e a comunicação via Skype ou outras plataformas. Além da possibilidade de tornar a conversa à distância mais realista, como as por videoconferência, que também podem ser de alta resolução.

Nesse contexto, a pergunta é: como o colaborador pode garantir a segurança da informação em teletrabalho? (1)

 Verifique seu firewall

Em informática, um firewall (em português: parede de fogo) é um dispositivo de uma rede de computadores, na forma de um programa (software) ou de equipamento físico (hardware), que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede, geralmente associado a redes TCP/IP.

Certifique-se de que o seu firewall está ativado para manter os cibercriminosos fora. Além disso, se você não quer que seus arquivos estejam visíveis em outro computador, desative por completo a opção de compartilhar documentos.

 Backup dos seus dados

Fazer o backup dos seus dados protege sua informação no caso de uma pane no computador ou falha elétrica. Também ajuda se você cair na armadilha de um ransomware*, que criptografa os seus dados confidenciais. Você pode fazer o backup manualmente através da transferência de documentos importantes para um disco rígido externo. Se você não tem uma quantidade significativa de dados para armazenar, use um serviço como o Dropbox, em que você recebe 2 GB de armazenamento gratuito.
*Obs: 
Ransomware é um tipo de malware (software malicioso) que afeta sistemas informáticos ou redes inteiras de computadores, tornando alguns dos dados disponíveis no equipamento totalmente inacessíveis, sendo que somente poderão ser desbloqueados a partir do pagamento de um resgate (ransom) por parte do usuário.

 Sites desonestos

Ainda que seja difícil saber se uma página web é confiável ou não, existem certas medidas que podemos tomar para melhorar nossas habilidades de identificação. Por exemplo, procure um bloqueio verde na barra de navegação e o prefixo do código “https://” no início da URL quando visitar sites em que é necessário introduzir os seus dados de cartão de crédito. Tenha cuidado ao fazer compras em sites do exterior e não clique em links enviados por e-mail, pois isso fará com que você seja direcionado ao site em si.

 Informações confidenciais

Não importa o site, sempre tenha cuidado com o tipo de informação que você disponibiliza. Embora seja de conhecimento geral, não custa nada reiterar que você não deve passar dados de cartão de crédito e seguro social, a menos que você confie no site completamente. Também é importante ser cuidadoso com seus perfis nas redes sociais. Revelar informações inocentes como, por exemplo, o nome do seu animal de estimação ou o nome de solteira da mãe pode resultar no roubo da sua identidade, já que usa esses mesmos dados em algum outro site para a verificação

 Senhas

Senhas podem ser insuficientes, para garantir a segurança de suas contas é necessário habilitar a verificação em duas etapas.

 Conexões seguras

Use sempre conexões seguras, como “https:” para acesso a sites web e remoto à empresa em que você trabalha, por exemplo.

— Atualização de software

Além de ficar em casa e se proteger, lembre-se de proteger também seus softwares mantendo-os atualizados e instalando mecanismos de segurança.

— NÃO abrir e-mails de desconhecidos

Nunca abra um e-mail de uma fonte desconhecida ou suspeita e, definitivamente, nunca abra os anexos. Também tenha cuidado com e-mails estranhos enviados por conhecidos, já que a conta desse contato pode ter sido hackeada. Nesse caso, apague a mensagem e o avise imediatamente de que sua conta pode ter sido comprometida. Isso irá ajudá-lo a evitar golpes de hackers e phishing, e que você seja um alvo.

A segurança do seu computador pessoal é, provavelmente, algo com que você já esteja lidando por um longo tempo. Se você atualiza o seu antivírus e cria senhas fortes para suas contas online, alterando-as regularmente, você tem todas as suas bases cobertas.

Outrossim, vale lembrar que a adoção do trabalho remoto, em temos de crise da Covid-19, pode trazer uma série de riscos de cibersegurança às empresas mais desavisadas. “O coronavírus não apenas está colocando a saúde das pessoas em cheque, como também está sendo usado como isca por cibercriminosos para propagação de malwares. Se por um lado o aumento do trabalho remoto ajuda a proteger a saúde dos trabalhadores, por outro, criminosos tentam tirar proveito do interesse por informações sobre a doença, ocultando arquivos maliciosos em documentos supostamente relacionados a este surto. Enquanto estivermos preocupados com as ameaças à saúde, é possível que surjam mais e mais golpes”, explica Dmitry Bestuzhev, diretor da equipe de pesquisa e análise para a América Latina da Kaspersky. (2)

Nesse contexto, vale o questionamento de como as empresas devem reduzir os riscos de seus colaboradores no home office e garantir a segurança da informação em teletrabalho.

Eis algumas dicas da Kaspersky: (3)

  • Forneça uma VPN (Rede Privada Virtual) para as equipes se conectarem com segurança à rede corporativa;

  • Restrinja os direitos de acesso dos usuários que se conectam à rede corporativa;

  • Eduque as equipes sobre os perigos de responder mensagens não solicitadas e acessar links ou baixar arquivos com origem desconhecida.

  • Instale as atualizações mais recentes dos sistemas operacionais e de aplicativos.

  • Proteja todos os dispositivos da empresa (incluindo smartphones, laptops e tablets) com uma solução de segurança adequada.

A telemedicina

A telemedicina não é exatamente uma novidade. A prática permite que médicos prestem atendimento à distância por meio de telefones, computadores e tablets, e tem sido discutida há bastante tempo. No Brasil, o Ministério da Saúde publicou Portaria Nº 467, de 20 de março de 2020, em resposta emergencial ao novo coronavírus, para complementar a Resolução CFM nº 1.643/2002 (4), de agosto de 2002, que regulamenta a telemedicina em território nacional. 

“Dispõe, em caráter excepcional e temporário, sobre as ações de telemedicina, com o objetivo de regulamentar e operacionalizar as medidas de enfrentamento da emergência de saúde pública de importância internacional previstas no artigo 3º da Lei nº 13.979, de 6 de fevereiro de 2020, decorrente da epidemia de COVID-19”. (5)

 Nesse contexto, a pandemia do novo coronavírus abriu uma exceção na rotina das consultas médicas. Agora, quem precisar pode ser atendido à distância por um médico. A telemedicina foi autorizada pelo Ministério da Saúde  em caráter de emergência e vai funcionar apenas enquanto houver recomendação de isolamento social

Os serviços, porém, não se restringem aos ligados à Covid-19, mas abrangem todas as especialidades médicas, que vão desde uma orientação pediátrica até uma consulta com um cirurgião plástico. Não existe uma lista restritiva de especialidades imposta pelo ministério e nem pelo Conselho Federal de Medicina (CFM).

Mas, mesmo sem proibição a qualquer tipo de atendimento, a orientação é que o atendimento médico online seja indicado especialmente para os idosos, que são hoje o maior grupo de risco para o coronavírus.

Privacidade e segurança das informações em telemedicin

E é preciso estar atento a algumas questões depois dessa consulta. No prontuário eletrônico é preciso constar data, hora e meio de comunicação utilizado, porque é um atendimento e existe responsabilidade civil do médico. Por segurança, é importante que o paciente guarde essas informações. Caso o médico tenha a tecnologia específica, como a assinatura eletrônica, é possível emitir, inclusive, um atestado à distância.

A telemedicina é uma inovação poderosa, com potencial para  a privacidade do paciente (a LGPD terá enorme papel nesse sentido).

Referência bibliográfica

LOPES, Airton. A Nova Safra de Laptops. Em Info Exame. São Paulo, n.265, p.52-57, 2008.

(1) Dicas para manter seu computador seguro. Acesso em https://www.kaspersky.com.br/blog/6-dicas-para-manter-seu-computador-pessoal-seguro/1637/

(2) e (3) Coronavírus: dicas para empresas adotarem home office , acessado em 15/04/2020: https://www.kaspersky.com.br/blog/coronavirus-dicas-home-office/14497/

(4) Resolução CFM nº 1.643/2002  disponível em https://sistemas.cfm.org.br/normas/visualizar/resolucoes/BR/2002/1643

(5) Diário oficial da União Portaria 467 de 20 de março de 2020, acessado em 15/04.2020 disponivel em http://www.in.gov.br/en/web/dou/-/portaria-n-467-de-20-de-marco-de-2020-249312996

Fonte: Consultor Jurídico

Coronavírus e home office: como compartilhar informações com segurança e manter a performance do funcionário

Por causa da pandemia, empresas estão oferecendo trabalho remoto como forma de atuação, mas precisam ficar atentas para evitar possíveis problemas, como vazamentos de dados

Com o aumento exponencial de infectados, o home-office como forma de trabalho é excelente alternativa. Mas gestores e funcionários têm de tomar medidas de segurança
(foto: Gerd Altmann/Pixabay )

Circulando pelo mundo desde a primeira quinzena de fevereiro, o coronavírus (COVID-19) foi declarado oficialmente como uma pandemia na última quarta-feira, dia 11 de março, pela Organização Mundial da Saúde (OMS). No Brasil, o primeiro caso da doença foi confirmado em 25 de fevereiro em um homem que reside em São Paulo e havia viajado para a Itália.

Com o aumento exponencial de infectados, grandes eventos que terão aglomerações de pessoas como shows e partidas de futebol estão sendo adiados por tempo indeterminado. Para tentar evitar a possibilidade de transmissão, que ocorre a partir do contato com fluídos do doente, empresas do mundo todo estão adotando o home-office como forma de trabalho. Apesar de uma excelente alternativa, essa modalidade exige que gestores e funcionários tomem medidas de segurança.

Sylvia Bellio, que é especialista em infraestrutura de TI e CEO da it.line, empresa eleita por quatro vezes consecutivas a maior revendedora da Dell no Brasil, comenta que o trabalho remoto tem crescido no país e é a forma principal de trabalho de quase 4 milhões de brasileiros.

“Nesse contexto de coronavírus, o home-office é uma medida que pode literalmente salvar vidas. Contudo, é preciso ficar atento a questões como que tipo de softwares e hardwares estão sendo usados para que o trabalho seja feito. Medidas simples de checagem e instalação de programas podem fazer com que a atuação do funcionário em casa seja quase tão segura quanto na empresa, que tem todo um departamento próprio de segurança digital”, argumenta a especialista.

Sylvia pontua que essa decisão de realocar o funcionário para atuar em casa pode ser extremamente perigosa se os cuidados corretos não forem tomados. “Apesar do home-office ser uma alternativa mais confortável, ao atuar dessa forma o funcionário está carregando informações preciosas da empresa e está tirando essas informações do ambiente seguro”, complementa.

Proteção de redes privadas

Alguns tipos de empresas dependem que o funcionário tenha acesso a uma rede interna para que ele realize suas funções. Nessas situações, os empregadores precisam lembrar que a segurança das informações estará sujeita, por exemplo, às redes de internet inseguras. Nesse tipo de situação é altamente recomendado que a governança de TI do empregador tenha regras claras sobre procedimentos que devem ser adotados pelos trabalhadores.

“Questões como qual computador será utilizado, da empresa ou pessoal, e quais sites e programas podem ou não ser acessados no home-office devem estar claros nas regras da empresa. Esse tipo de definição é essencial para diminuir a chance de que informações sejam vazadas ou roubadas por criminosos cibernéticos, que estão sempre atentos às fragilidades dos sistemas digitais”, explica Sylvia.

Sylvia Bellio, CEO da it.line, alerta que os gestores têm de respeitar os horários, muitos extrapolam enviando demandas, o que é abusivo
(foto: Diego Fernandes/Divulgação)

Por causa disso, Sylvia Bellio pontua quatro questões importantes de segurança para funcionários que acessarão redes privadas em suas residências:

  1. Definição de computador usado: a escolha de qual computador será usado é importante porque ela definirá quais os procedimentos de segurança serão tomados. Caso o computador da empresa seja levado para casa pelo funcionário, os cuidados terão que ser em relação à rede de internet utilizada, por exemplo. Além disso, é preciso que a empresa avalie esse dispositivo assim que ele voltar para o ambiente de trabalho. Apesar do controle, nem sempre é possível verificar o que foi acessado e o que estará no computador quando ele for reconectado na empresa. Na situação em que o computador pessoal do trabalhador for utilizado, é preciso alertá-lo e treiná-lo em relação a utilização de softwares como antivírus e firewall. Essa segunda situação precisa ser ainda mais fiscalizada, já que dispositivos pessoais costumam ser ainda menos vigiados do que os profissionais.

  2. Monitoramento: o monitoramento do tráfego dos dados de rede do computador do trabalhador remoto é importante para verificar possíveis anomalias, como acesso a servidores desconhecidos e até mesmo arquivos baixados de fontes estranhas. Para realizar esse acompanhamento são utilizados programas específicos que são instalados nas máquinas dos funcionários. Além de fiscalizar acessos, esses softwares conseguem monitorar horários de entrada e saída dos funcionários. Isso é importante porque faz com que a jornada de trabalho fique idêntica ou simular a que o funcionário realiza presencialmente. Apesar do funcionário estar atuando em casa, as empresas precisam respeitar horários combinados.

  3. VPN: VPN (Rede Privada Virtual, em português) tem por objetivo integrar dispositivos remotos às redes corporativas da forma mais segura possível. Por meio dela, é possível conectar dois ou mais computadores, permitindo o tráfego de dados de forma segura entre eles. Ou seja, a VPN permite que um funcionário que está trabalhando em casa tenha acesso a uma rede interna de uma empresa, por exemplo. Essa funcionalidade possibilita até mesmo a criptografia do tráfego de informações, o que significa que os dados trocados entre os computadores estarão completamente seguros. É preciso ficar atento, porém, porque além da VPN privada, também existem as chamadas VPN’s públicas, que apenas mascararam a conexão dos computadores e não protegem totalmente os dados dos usuários, podendo causar graves perdas ou transtornos.

  4. Armazenamento em nuvem: o salvamento de arquivos na nuvem, tecnologia chamada de “cloud computing”, é uma das formas mais eficientes de troca de arquivos digitais. Ela pode ser utilizada, por exemplo, em casos de empresas que não precisam dar acesso total ao sistema interno. Nesses casos, o arquivo em que o funcionário irá trabalhar pode ser colocado na nuvem e somente aquele dado será acessado para o trabalho. Esses programas e serviços são úteis porque não utilizam a memória física do computador e permitem o acesso e até edição de documentos por pessoas permitidas. O uso da nuvem é ideal para backups e para quem costuma lidar com transferências de arquivos pesados também.

Outras dicas de produtividade

Sylvia Bellio comenta que nesse novo cenário, empresas e funcionários precisam estar atentos ao que há de mais moderno para que o trabalho seja feito da forma mais eficiente possível. Além disso, ela lembra que a adoção de premissas básicas pode fazer com que o trabalho remoto seja até mais produtivo do que na empresa:

  • Softwares: é muito importante informar para que o funcionário tenha uma suíte de aplicativos office e uma solução de redes confiável. Para não ter problemas com segurança, é essencial que o trabalhador não utilize softwares piratas, e atualize-os quando o fabricante recomendar. No caso do antivírus, firewall e sistemas operacionais, é preponderante deixá-los atualizados.

  • Gerenciamento de trabalho: os softwares de gerenciamento de projetos estão sendo muito utilizados por todos os tipos de empresas. Por causa da não presença física dos trabalhadores no ambiente de trabalho, a forma de comunicação entre gerentes e funcionários acaba mudando e as empresas precisam encontrar soluções de gerenciamento. Assim, os programas de organização de trabalho servem para que as tarefas e prazos sejam definidos. A partir dessas aplicações também é possível planejar as atividades e disponibilizar para todos abas com anotações com o que precisa ser realizado. Além disso, existem appliances e aplicações que monitoram produtividade, que podem chegar a um nível de granularidade de análise na qual é possível saber quanto tempo o funcionário passou em cada aplicação, além de detectar se a aplicação estava em uso real ou apenas aberta na máquina remota. “Desta forma, os gestores conseguem cruzar dados e analisar detalhadamente a produtividade do usuário”, observa Sylvia. Normalmente, os sistemas empresariais também possibilitam o controle dos horários de logins, de acordo com as políticas das empresas. “Além disso, mais do que a parte que se refere a tecnologia, existe toda a política trabalhista, que precisa ser bem acompanhada por uma assessoria jurídica”, ressalta Bellio.

  • Mensageiros: tão utilizados na comunicação diária para fins recreativos, os mensageiros acabaram se tornando essenciais para quem quer se comunicar de maneira instantânea. Eles estão substituindo, inclusive, os e-mails, já que contas corporativas já são usadas pelas empresas. As empresas podem encarar os aplicativos de mensagens como uma forma eficiente e rápida para trocar informações com os funcionários. Nesses casos, porém, é preciso respeitar os horários dos colaboradores. Uma vez que esses programas estão na linha fina de recreação e trabalho, alguns gestores acabam extrapolando e enviando demandas fora do horário de trabalho, o que é bastante abusivo.

Sobre a it.line: www.itltech.com.br 

Fontes: Estado de Minas

Em tempos de quarentena, isolamento também é solução para dados sensíveis

Foto: Shutterstock

Ameças de cibersegurança crescem em período de distanciamento social, mas é possível adotar medidas para diminuir riscos

Texto por Mauricio Cataneo*

O mundo vive um desafio sem precedentes. E em meio à pandemia de coronavírus, que afeta o funcionamento de sociedades inteiras, a Organização Mundial da Saúde (OMS) sofreu tentativas de invasão de hackers de elite em seus sistemas.

Felizmente, os ataques não foram bem-sucedidos, mesmo com o número de tentativas de invasão a sistemas da OMS ter quase dobrado nos últimos dias.

Da mesma forma, conseguimos mensurar que, desde o início do isolamento social, houve um aumento de 400% nas invasões de redes de Virtual Private Network (VPN), plataforma de acesso remoto corporativo mais utilizada no mundo.

Com a realidade que impôs 80% a 100% dos funcionários trabalhar em home office, algo que poucas companhias estavam preparadas, a vulnerabilidade desses ambientes aumentou e os hackers viram uma oportunidade nisso.

Mesmo companhias que não eram entusiastas do teletrabalho tiveram de adotar a prática, o que acendeu o alerta de segurança da informação no meio corporativo.

Práticas como phishing – ou “pescaria” de dados sensíveis por meio de e-mails falsos – podem provocar invasões de hackers com severos danos a organizações. Segundo informações da Microsoft, 91% dos ataques cibernéticos começam com um simples e-mail.

Não é difícil imaginar os danos que um ataque desse porte pode causar: interrupção de atividades, prejuízos financeiros, alteração de bancos de dados oficiais e riscos à imagem e à reputação, entre tantos outros.

No mundo físico, hábitos como lavar as mãos com frequência e conservar os ambientes limpos deveriam ser corriqueiros. Assim como nos ambientes digitais, a segurança da informação não deveria ser novidade para os negócios.

Ações de proteção

Tanto empresas quanto pessoas estão constantemente expostas a todos os tipos de invasões cibernéticas e vírus. O fato é que não estávamos preparados para lidar com o coronavírus e também não estamos preparados para lidar com os cyber virus.

Como prefiro olhar o copo meio cheio, não está tarde para se proteger. O ponto é que pessoas e empresas podem ficar mais seguros de ameaças
virtuais seguindo quatro dicas simples.

  • Primeiro, ter atenção a golpes por e-mail. Nunca clicar em links suspeitos já deveria fazer parte da nossa “etiqueta virtual”. Mensagens de destinatários desconhecidos com solicitações de informações pessoais, códigos e senhas provavelmente são armadilhas que nos levam a sites de phishing. Somos induzidos a inserir dados que, no final, abrem uma porta para o roubo de informações pessoais e empresariais.

  • Em segundo, abandone sites não seguros. Isso significa acessar endereços eletrônicos precedidos por “HTTPS” na URL, em vez de apenas “HTTP”. Esse “s” garante que as informações enviadas estão seguras e criptografadas.

  • Terceiro, evitar o wi-fi público. A maioria dos pontos de acesso de conexão sem fio não tem criptografia de dados, o que significa que as informações ficam vulneráveis ao roubo de identidade e podem ser violadas.

  • Por fim, em quarto, estar conectado a uma VPN pode não ser o suficiente, mas é um bom começo, já que essas plataformas permitem a transmissão de dados em redes compartilhadas ou públicas de forma segura. Mas é bom ter em mente que as VPNs foram desenhadas para acomodar, em média, até 30% da força de trabalho, enquanto atualmente as demandas são até o triplo disso. Como alternativa, um processo de verificação em várias etapas confirma que as informações comerciais confidenciais estão sendo recuperadas apenas por um destinatário confiável.

É claro que quando falamos de ataques realizados por hackers de elite – como foi o caso da OMS –, é necessário um cuidado a mais. Para essas situações, uma ferramenta de isolamento de dados pode ser a resposta.

Explico: já existem sistemas que garantem a segurança de máquinas, isolando informações sensíveis no momento em que se identificam ameaças cibernéticas. As maiores companhias do mundo lançam mão de tecnologias assim para proteger seus dados.

Por analogia, essa técnica de isolamento dinâmico de dados pode ser comparada ao isolamento social que estamos vivendo.

Essas soluções conseguem isolar dinamicamente ameaças em menos de dez segundos, impedindo que infecções se espalhem para outros dispositivos ou sistemas.

Identificar e isolar a ameaça em segundos, e não em minutos ou horas, pode ser a diferença entre vencer ou sair ferido nesta batalha no campo digital. O isolamento garante a continuidade das operações, mesmo durante o tratamento à invasão identificada.

São tempos de reflexões imprescindíveis sobre a segurança da saúde dos seres humanos e dos negócios. Não por acaso, o Relatório de Riscos Globais 2020, publicado pelo Fórum Econômico Mundial, coloca os ataques cibernéticos a operações como preocupações emergentes da próxima década, ao lado de questões climáticas e sistemas de saúde oscilantes.

O aprendizado que fica é que, em consonância com as medidas tomadas por grandes organizações e por governos, nossas atitudes individuais também têm um grande impacto no conjunto da obra, tanto no mundo real, quanto no mundo digital e cibernético.

*Presidente da Unisys Brasil e Chief Financial Officer para a América Latina

Fonte: Computerworld

Digitalização e home office exigem que empresas do agro cuidem mais da segurança

Integridade, confidencialidade e disponibilidade são os três pilares de uma política de segurança da informação

ANTÔNIO CARLOS ORTIZ* E GUILHERME BELLOTTI**

gestao-no-agro-curso-milho-tecnologia (Foto: Shutterstock)

(Foto: Shutterstock)

As empresas do agronegócio, da mesma forma que todos os demais setores no Brasil, maximizaram o trabalho em casa para minimizar o risco de contaminação com o coronavírus – pandemia que paralisou a economia mundial no último mês. Isso traz um novo elemento de gestão de risco para a atividade agrícola: a segurança da informação.

A digitalização e o trabalho remoto em muitos outros setores já vinha avançando e, com eles, os problemas relacionados ao “cibercrime”. Cibercrime tem causados prejuízos bastante relevantes. De acordo com a Organização das Nações Unidas (ONU), as perdas no mundo com falhas de segurança de informação somam aproximadamente US$ 1 trilhão ao ano.

Imagine se o sistema de folha de salários ou de controles bancários, por exemplo, sofre interferência de um “hacker”? E se seu histórico de informações detalhadas dos talhões plantados em milhares de hectares desaparecerem de sua base de dados?

Diante dessas ameaças, faz-se necessária uma política de segurança da informação (PSI) que tenha como premissa três principais pilares:

(1) Integridade da informação, ou seja, garantir que os dados sejam mantidos no estado original, visando protegê-los, no armazenamento ou na transmissão, contra alterações indevidas, intencionais ou acidentais;

(2) Confidencialidade, o que significa assegurar que o acesso à informação seja obtido somente por pessoas autorizadas;

(3) Disponibilidade, garantir que os usuários autorizados obtenham acesso ao banco de dados e aos ativos correspondentes sempre que necessário.

“A empresa precisa investir em infraestrutura e recursos para assegurar proteção e boa armazenagem da informação”

Uma vez estabelecida essa política de segurança, a empresa deve estimular e monitorar os funcionários e gestores para que tenham muita disciplina, aplicando boas práticas, seguindo diretrizes e resguardando a proteção da informação. Vale lembra de que nada adianta uma política bem feita sem a disciplina dos seus usuários.

Da mesma forma, a empresa precisa investir em infraestrutura e recursos para assegurar proteção e boa armazenagem da informação. Esse tema tornou-se importantíssimo atualmente e ficará ainda mais relevante com o tempo – na medida em que a agricultura se digitalizará mais e mais.

*Antônio Carlos Ortiz é associado sênior do Centrec Consulting Group

**Guilherme Bellotti é gerente de consultoria Agro do ItaúBBA

Fonte: Revista Globo Rural

Como garantir a segurança de dados no trabalho remoto?

O impacto mundial da pandemia do coronavírus demandou uma série de adaptações das empresas para garantir a saúde e a segurança de seus colaboradores, clientes e parceiros. Neste cenário de incertezas, o trabalho remoto tornou-se uma medida essencial para combater a rápida disseminação do vírus

Por Wagner Hiendlmayer

Wagner Hiendlmayer – Diretor de infraestrutura e Cyber Risk da Digisystem

De acordo com recente pesquisa realizada pela consultoria Betania Tanure Associados (BTA), que ouviu 359 empresas brasileiras, quase metade das companhias adotaram o home office como medida preventiva à evolução do COVID- 19 no país.

No entanto, o trabalho remoto requer profunda atenção no que diz respeito à segurança de dados. Como podemos garanti-la efetivamente?

O home office, pontualmente para momentos de crise, pode criar circunstâncias de riscos diferentes das enfrentadas no cotidiano das empresas. Companhias que não possuem essa cultura tendem a se preocupar com uma segurança mais perimetral, pois mesmo que haja o consumo de serviços em nuvem ou em provedores externos, o ponto de partida dessas conexões costuma ser mais restrito.

Neste cenário, a proteção dos dispositivos (notebooks, smartphones) é essencial, já que esta é a primeira barreira de proteção. O fornecimento de acessos seguros aos sistemas da empresa, por exemplo, também é fundamental, pois impõe criptografia nas camadas de transporte e realiza o controle de acesso aos dados e sistemas.

Se considerarmos que um usuário preparado é capaz de se proteger de situações de risco onde os softwares de controle não conseguem atuar, nenhuma companhia deveria deixar de implementar programas de capacitação e conscientizar os colaboradores sobre os riscos de se conectarem a partir de qualquer rede, ou ainda sobre os cuidados com o uso destes dispositivos em espaços públicos.

Atualmente, existem várias atividades que demandam o deslocamento de informações em meio físico (papel) para que esses colaboradores possam trabalhar remotamente. Para esses casos, é necessária uma política clara com relação às regras de transporte do acervo, ou seja: quem pode retirar esses documentos da empresa e quais podem ser tramitados, além de um rigoroso controle quanto à estas movimentações.

Com relação às soluções em nuvem, as companhias que já adotaram este recurso no passado, têm sofrido menos com gargalos em função do número de conexões remotas. Uma das principais características da nuvem é prover uma infraestrutura elástica, capaz de se adaptar aos diferentes volumes de demanda.

Outro aspecto importante é que os principais provedores já implementam camadas de segurança em suas estruturas, auxiliando as empresas na proteção de dados. Desta forma, a mobilidade dos usuários, a simplificação do processo de gestão e a segurança das informações são os principais pontos positivos da adoção de soluções em cloud.

Segurança de dados no home office 

Existem algumas medidas que as empresas podem tomar para garantir a segurança de dados no home office. A capacitação dos colaboradores para exercer as tarefas remotamente é o primeiro passo para minimizar os riscos de um episódio de segurança. Usuários com conhecimento dos perigos das redes públicas, das redes Wi-Fi fora das organizações e de boas práticas no uso dos e-mails, serão capazes de reconhecer e impedir situações de ameaça antes mesmo que elas ocorram.

Outro ponto crítico que deve ser levado em consideração é a segurança dos dispositivos. Mantê-los atualizados e com as soluções de segurança é essencial para impedir que softwares maliciosos tenham sucesso em um eventual episódio de ataque. Além disso, é importante que a empresa fique atenta a segurança dos meios de conexão, ou seja, no momento de fornecer aos colaboradores acessos seguros de conexão.

Existem diversas opções, como soluções de acesso privado, VPN’s, VDI’s, entre outros. Por isso, é essencial que as liberações de acesso sejam criteriosas, garantindo que cada colaborador tenha acesso apenas aos dados relevantes à execução de suas funções.

A restrita política de acesso, ou seja, o mapeamento de permissões aos sistemas e dados é uma atividade que deve ser constantemente revisada pelos departamentos dentro de cada companhia. Garantir que as informações estejam restritas apenas a quem deveria ter esse acesso, minimiza a quantidade de dados vazados em caso de incidente.

Por fim, é necessário estabelecer uma conexão direta com o cliente, já que em diversas atividades, os usuários conectam-se à infraestruturas e sistemas para o desenvolvimento de suas atividades. Nesses casos específicos, é recomendável que o cliente forneça esse acesso diretamente ao colaborador, reduzindo a quantidade de conexões desnecessárias e utilizando a infraestrutura de segurança do próprio cliente.

Segurança de dados: desafios do trabalho remoto

A falta de visibilidade do departamento de Tecnologia da Informação (TI) é o maior risco do trabalho remoto, em casos onde existe uma escassez de soluções de segurança. Dependendo das ferramentas disponíveis, a área de TI pode não ser capaz de identificar essa violação e o invasor ainda poderia utilizar a conexão deste equipamento com a empresa e, de forma indetectável, usar este canal seguro para estender essa invasão para a infraestrutura interna da companhia.

O maior desafio é que não existe uma receita pronta para a adoção do home office. Dentro da mesma instituição, departamentos diferentes respondem de maneira distinta a este modelo de trabalho, o que vai muito além de apenas desafios tecnológicos. O modelo de comunicação entre os membros do time, o uso de cada aplicação e a forma como cada departamento interage com os clientes impõe desafios específicos para esta modalidade de trabalho.

Em relação à LGPD, nada muda. A instituição continua sendo a responsável pela proteção das informações, e havendo um episódio que comprometa essas informações, seja ele decorrente ou não do trabalho remoto, será responsabilizada nos termos da lei.

Mas, cabe ressaltar que existem situações atenuantes e a implementação de um bom Programa de Proteção de Dados, que busque minimizar os riscos do teletrabalho no que tange à capacitação dos usuários, o controle dos processos e a implementação de sistemas de segurança poderá abrandar as possíveis sanções aplicadas, além de certamente reduzir os riscos de um episódio de vazamento ou comprometimento de dados sigilosos.

Fonte: CryptoID

Roda de conversa sobre home office

por André Saito

Na última sexta-feira, 20/3, a SBGC realizou uma roda de conversa virtual sobre os desafios do home office e como se adaptar a esta nova rotina. Confira as muitas dicas compartilhadas pelos participantes sobre as principais questões levantadas.

1. Como se organizar? Como manter o foco?
2. Como conciliar trabalho e família?
3. Como coordenar atividades com colegas?
4. Quais as ferramentas necessárias?
5. Como cuidar da segurança da informação?1. Organização, foco, atenção

Uma das principais questões foi como se organizar para o trabalho remoto. Como lidar com as muitas demandas? Como manter o foco? Como definir prioridades?

Algumas recomendações compartilhadas na conversa:

  • Organizar o espaço: encontrar um canto da casa em que possa se concentrar no trabalho.
  • Cuidar da infraestrutura técnica: providenciar equipamentos, internet e ferramentas adequados.
  • Manter disciplina: ficar longe da TV, celular e outras distrações na hora de trabalhar.
  • Montar uma rotina: definir um ritual para começar o dia, períodos para produzir, momentos de pausa para relaxar, etc.
  • Manter contato com a equipe: conversar com os colegas ajuda a se organizar e manter o ritmo.

2. Conciliar trabalho e família

Neste período de distanciamento social, todos estão em casa: filhos, pais idosos, vizinhos, para quem mora em apartamento… Como fazer home office com tanta gente em volta, com tantas demandas, barulho, distrações?

Este desafio não é simples, e mesmo quem já fazia home office enfrenta um novo cenário.

  • Compreensão e tolerância: este é um momento excepcional, e precisamos praticar a tolerância. Tolerância com os filhos correndo pela casa, com os idosos pedindo atenção, com o vizinho fazendo barulho… Os colegas também serão mais tolerantes e vão entender que há crianças em casa, que uma interrupção na conversa é normal, que as condições atuais não são as ideais.
  • Rotina combinada: dica que surgiu na questão seguinte, sobre coordenação, e que se aplica aqui também. Combinar com os familiares uma rotina ajuda a reduzir atritos. Momentos em que cada um faz suas coisas, momentos de interação e convívio, momentos de reunião em que é preciso ficar quieto, etc.

3. Coordenação com colegas, gestores, etc.

Algumas pessoas já faziam trabalho remoto uma ou duas vezes por semana, mas o momento é diferente. Além de ser todos os dias, agora todos estão em home office: colegas de equipe, gestores, a empresa inteira, além de clientes, parceiros, fornecedores. Como coordenar o trabalho com todo mundo remoto? Como mostrar que se está trabalhando? Como acompanhar o trabalho dos outros? Como saber quem está fazendo o quê?

Este parece ser o principal desafio no momento, coordenar nosso tempo e atividades com colegas, gestores, clientes, e todos que estão enfrentando esta nova situação. Várias dicas bastante úteis foram compartilhadas:

  • Conversas regulares: alguns combinaram conversas no início e no final do dia para organizar atividades e acompanhar o que andou. Outros conversam uma vez por dia, ou então duas ou três vezes por semana.
  • Ponto de encontro virtual: sala de conferência que funciona como o cafezinho do escritório. Quem estiver disponível para um bate-papo, entra na sala e conversa com quem estiver lá. Serve como espaço de descontração, interação, atualização, etc., assim como o espaço do cafezinho.
  • Trabalho em voz alta: técnica que consiste em avisar os demais sobre a tarefa em que se está trabalhando. Assim, todos sabem o que os demais estão fazendo e as eventuais dificuldades que enfrentam, facilitando a coordenação das atividades.
  • Concentrar-se em entregas: alguns estão preferindo combinar entregas e prazos, ao invés de acompanhar as atividades. Isso reduz a necessidade de alinhamento constante e dá alguma flexibilidade para cada um trabalhar no horário mais conveniente.
  • Repensar processos: alguns processos podem ser revistos e simplificados para o trabalho remoto. Talvez não seja necessário todas as etapas atuais, algumas verificações ou autorizações podem ser suprimidas ou compensadas de outra forma. É um bom momento para rever processos.

4. Ferramentas de interação e colaboração

Muitas empresas não estavam preparadas para o trabalho remoto. Ainda não há infraestrutura suficiente, os sistemas não estão adequados, não temos as ferramentas certas. Como acessar as informações da empresa? Qual a infraestrutura necessária? Que ferramentas utilizar para quê?

Foram sugeridas diversas ferramentas para facilitar o trabalho remoto, agrupadas em categorias conforme a funcionalidade:

  • Conversas e reuniões: Skype, Hangouts, Google Meet, Zoom, Webex.
  • Mensagens rápidas: WhatsApp, Yammer.
  • Interação assíncrona: Slack, Teams, Workplace, Google Grupos, Socialcast, OnlyOffice.
  • Compartilhamento de documentos: Google Drive, Dropbox, OneDrive.
  • Edição colaborativa de documentos: Google Docs, Office, wikis.
  • Gestão de projetos/coordenação de atividades: Asana, Trello, Monday, Pipefy, Zenkit.
  • Divulgação em áudio (podcasts): Soundcloud, Spotify, BlogTalkRadio.
  • Divulgação em vídeo (webcasts): YouTube Live, Facebook, Instagram, Adobe Connect.
  • Ferramentas integradas: Sharepoint. Confluence.

5. Segurança da informação

Não houve tempo para conversar sobre todas as questões levantadas, mas conseguimos ainda falar sobre segurança da informação no trabalho remoto. Como evitar acesso indevido a documentos e informações? Como evitar perda de informação relevante?

Como o tempo da roda de conversa estava no fim, a troca foi rápida, mas houve dicas interessantes a respeito:

  • Controle de acesso: as principais ferramentas de compartilhamento de arquivos têm mecanismos para restringir acesso. É preciso investir um tempo para identificar papéis e definir políticas de acesso adequadas.
  • Versionamento: o controle de versões de documentos também é uma funcionalidade típica de muitas ferramentas de colaboração. O uso adequado de versões pode evitar a perda de informações devido a alterações simultâneas ou indesejadas em documentos.
  • Separação de ambientes: adotar repositórios diferentes para uso pessoal e profissional, ou para projetos e clientes diferentes, por exemplo, pode evitar a distribuição indevida de informações.

A roda de conversa foi uma troca muito rica entre todos que puderam participar. Neste momento em que todos estamos aprendendo um novo jeito de trabalhar, a troca de insights e boas práticas pode ser a diferença para uma rotina produtiva e efetiva.

Participe das rodas de conversa da SBGC e troque também suas experiências!

Sobre o autor:
André Saito é especialista em gestão do conhecimento e inovação. Atuou em projetos recentes com avaliação de maturidade em gestão do conhecimento, promoção de redes colaborativas e aceleração de projetos de inovação. Atual presidente do Conselho Deliberativo da SBGC e professor convidado da FGV-SP. PhD em knowledge science por JAIST-Japão, mestre em administração pela FGV-SP e graduado em engenharia pela UNICAMP.

Como a Inteligência Artificial transformou a segurança da informação?

Uma das grandes contribuições desse fenômeno tecnológico repousa na proteção de informações armazenados pelas empresas

Por Luiz Marcelo Penha*

Foto: Shutterstock

Cada vez mais sentimos os efeitos práticos da Transformação Digital no cotidiano empresarial. Isso se aplica em diversas frentes, desde ferramentas simplificadoras a sistemas de gestão organizacional. O conceito de Inteligência Artificial reflete diretamente nesses fatores, mas destaca-se igualmente como uma nova forma de se enxergar a segurança da informação.

Organizações de todos os tamanhos se deparam com um fluxo pesado de dados relativos a empregados e clientes, e um dos maiores desafios é garantir a integridade desse conteúdo a fim de evitar vazamentos e abordagens indevidas. Com a chegada da Lei Geral de Proteção de Dados (LGPD), a urgência do assunto aumentará consideravelmente.

No último panorama estabelecido pelo Relatório de Riscos Globais do Fórum Econômico Mundial, especialistas classificaram fraudes e ataques cibernéticos como um dos grandes males do cenário atual. Para companhias, essa insegurança pode ser determinante para o insucesso do negócio.

É possível se defender de ameaças digitais e evitar falhas críticas. Nesse artigo, explicarei o papel da Inteligência Artificial na missão de se criar um sistema de segurança informacional eficiente.

Afinal, como a IA funciona?

Quando cedemos ao imaginário popular, pensamos em Inteligência Artificial como robôs automatizados realizando tarefas de forma padronizada. Apesar de existir certa coerência nessa ideia, os processos que envolvem a terminologia são bem mais complexos e subjetivos.

Softwares e dispositivos que buscam desenvolver, com fidelidade, o raciocínio humano em sua maior essência. Na prática, as máquinas estão preparadas para aprender e retirar conclusões de informações disponíveis em suas memórias. É inegável a influência direta do avanço tecnológico como fator potencializador do uso da IA nas empresas. Com o tempo, encarou-se a alternativa como uma grande aliada em funções distintas, principalmente em termos de proteção e segurança.

Observar padrões de comportamento e identificar, através de análises assertivas, chances reais de ameaças e anormalidades. Com essa premissa, podemos nos aprofundar nos reais benefícios por trás da Inteligência Artificial.

Protagonismo na segurança da informação

Partindo para o campo de soluções de análise, a unificação de IA e segurança da informação tem se mostrado uma alternativa de valor para executivos que desejam implementar um sistema coeso de proteção de dados.

O valor informacional cresceu exponencialmente nos últimos anos. Trata-se de um ativo das empresas, e o nível de exigência, tanto do mercado consumidor, quanto do governo através de formatos regulatórios, acompanhou essa tendência. Os antivírus, que antes limitavam-se a identificar arquivos maliciosos compatíveis com registros anteriores, agora serão otimizados.

Com alto poder analítico, a Inteligência Artificial será responsável por examinar uma alta quantidade de dados, inofensivos e prejudiciais, a fim de formular um algoritmo sobre eles. Através do parâmetro criado, os sistemas de segurança terão facilidade em identificar potenciais riscos à infraestrutura interna. Há de se destacar que a IA também conta com o poder de aperfeiçoamento gradual, aprendendo com suas próprias projeções.

Porta de entrada para o Compliance

Uma cultura organizacional orientada a Compliance é um dos objetivos compartilhados pela grande maioria das empresas nacionais. Com o passar do tempo, evidencia-se a importância de uma política interna comprometida em respeitar normas vigentes e permanecer em harmonia com a lei. Isso têm relação direta com a implementação da Inteligência Artificial como pilar sistêmico.

Afinal, a segurança de uma organização vive interligada com a economia da mesma. Se uma falha crítica ocorrer, o prejuízo não refletirá somente na reputação, mas na saúde financeira como um todo. As ameaças são variadas e os efeitos, dependendo da gravidade do caso, podem desestabilizar um negócio.

A ocorrência de ataques cibernéticos e vazamentos de dados é real, cabendo aos líderes a oportunidade de utilizar de um olhar estratégico para transformar a perspectiva de segurança em suas empresas. E você? Sente que poderia melhorar esse aspecto em seu cotidiano empresarial? Participe desse debate e faça essa reflexão.

*Luiz Marcelo Penha é Co-founder e COO da Nextcode.

Fonte: CIO

Curso – Gestão da Privacidade da Informação – próximas turmas de apresentação da norma ABNT NBR ISO/IEC 27701:2019

Em dezembro de 2019 foi lançada uma norma de extrema importância: a ABNT NBR ISO/IEC 27701.

Esta norma orienta a implementação de um sistema de gestão da privacidade da informação e estende as normas 27001 e 27002 de segurança da informação de forma que sejam normas de segurança da informação e privacidade.

Sua importância está vinculada a necessidade das organizações em geral de se adequarem aos requisitos e princípios das legislações de proteção de dados, atualmente em vigor em mais de 100 países, entre eles o Brasil com a Lei Geral de Proteção de Dados (LGPD).

Ao apresentar as melhores práticas internacionais de proteção de dados, a norma fornece as empresas um direcionamento seguro para as suas ações de adequação. Mais que isso, um direcionamento que não traz perdas dos esforços já feitos em muitas empresas para a implantação de um sistema de gestão de segurança da informação de acordo com a norma ABNT NBR ISO/IEC 27001.

A norma também abre novas perspectivas para os profissionais de segurança da informação, treinados de acordo com a ABNT NBR ISO/IEC 27002, acrescentando os conhecimentos necessários para qualifica-los como profissionais de segurança da informação e privacidade. Profissionais que serão necessários para apoiar tecnicamente o Encarregado de Proteção de Dados ou, se este for o encaminhamento tomado pelo mercado, atuar neste papel.

Para apoiar empresas e profissionais na adoção da norma, a ABNT também lançou em dezembro de 2019 o curso introdutório à 27701 (Fundamentos do Sistema de Gestão da Privacidade da Informação-SGPI, de acordo com a norma ABNT NBR ISO/IEC 27701).

Com carga horária de 16 horas, o curso apresenta os fundamentos do sistema de gestão da privacidade da informação definido na norma, mostrando a estrutura de privacidade na qual ela se baseia (ISO/IEC 29100), seus requisitos e controles.

O curso não exige conhecimento prévio das normas NBR ISO 27001 e NBR ISO 27002, porém, com certeza, este contribui para um melhor aproveitamento do conteúdo apresentado.

Seu público alvo são pessoas envolvidas na implementação, gestão ou acompanhamento da proteção de dados pessoais. Particularmente: profissionais de segurança da informação, encarregados de proteção de dados, Data Protection Officers (DPOs), especialistas em tecnologia da informação, consultores técnicos, advogados interessados em normas técnicas que deem apoio a medidas de adequação à legislação, profissionais da área de Compliance e de gestão de riscos de TI, bem como prestadores de serviços de TI em geral.

São abordados no curso orientações, requisitos e controles relacionados a:

  • Estrutura de Privacidade da Informação
  • Governança e organização da segurança da informação e privacidade
  • Gestão de riscos de segurança da informação e privacidade
  • Política de segurança da informação e privacidade
  • Gestão dos ativos de acordo com a segurança da informação e privacidade
  • Segurança da informação e privacidade nos Recursos Humanos
  • Segurança física
  • Segurança da informação e privacidade na comunicação e operação
  • Controle de acesso
  • Desenvolvimento seguro
  • Gestão de incidentes de segurança da informação e privacidade
  • Continuidade dos negócios
  • Compliance
  • Condições para a coleta e tratamento dos dados
  • Obrigações para com os titulares de dados pessoais
  • Compartilhamento e transferência de dados pessoais
  • Instrutor da ISO (Genebra) no curso oficial sobre as normas ISO IEC 27001 E ISO IEC 27002, nos anos de 2011 e 2012;
  • Instrutor da ABNT, desde 2006, no curso oficial sobre as normas ISO IEC 27001 e ISO IEC 27002
  • Líder da Delegação do Brasil nas reuniões do ISO/IEC JTC 1/SC 27, Comitê responsável pela elaboração das normas ISO 27001, ISO 27002, ISO 27701 e demais normas que apoiam a ISO 27701
  • Coordenador da Comissão da CE-021.000.027, espelho no Brasil do Comitê ISO/IEC JTC 1/SC 27 .
  • Relator do projeto NBR ISO/IEC 27701
  • ISO 27001 Sênior Lead Auditor
  • Consultor em Sistemas de Gestão da Segurança da Informação e Privacidade
  • Consultor de Segurança da Informação e Gestão de Riscos de TI
  • Membro da Comissão da CE-021.000.027
  • Relator do projeto NBR ISO/IEC 29100
  • Professor no curso LGPD na Prática da Fundação Vanzolini

O material didático do curso é composto pela apostila, pelas normas ABNT NBR ISO/IEC 27001, ABNT NBR ISO/IEC 27002 e ABNT NBR ISO/IEC 27701, e por vários exercícios de fixação de conceitos. O curso é ministrado pelos seguintes instrutores:

Ariosto Farias Júnior:

  • Instrutor da ISO (Genebra) no curso oficial sobre as normas ISO IEC 27001 E ISO IEC 27002, nos anos de 2011 e 2012;
  • Instrutor da ABNT, desde 2006, no curso oficial sobre as normas ISO IEC 27001 e ISO IEC 27002
  • Líder da Delegação do Brasil nas reuniões do ISO/IEC JTC 1/SC 27, Comitê responsável pela elaboração das normas ISO 27001, ISO 27002, ISO 27701 e demais normas que apoiam a ISO 27701
  • Coordenador da Comissão da CE-021.000.027, espelho no Brasil do Comitê ISO/IEC JTC 1/SC 27 .
  • Relator do projeto NBR ISO/IEC 27701
  • ISO 27001 Sênior Lead Auditor
  • Consultor em Sistemas de Gestão da Segurança da Informação e Privacidade

Carlos Alberto Iglesia Bernardo:

  • Consultor de Segurança da Informação e Gestão de Riscos de TI
  • Membro da Comissão da CE-021.000.027
  • Relator do projeto NBR ISO/IEC 29100
  • Professor no curso LGPD na Prática da Fundação Vanzolini

As inscrições para as duas próximas turmas do curso já estão abertas no portal de cursos da ABNT. Os cursos ocorrerão nos dias 13 e 14 de fevereiro, e 12 e 13 de março de 2020. As vagas são limitadas e, pela importância da norma, a previsão é de que a procura seja significativa. Assim, sugerimos que não deixe sua inscrição para a última hora.

Também há a possibilidade da contratação de cursos para turmas fechadas em empresas. Se tiver interesse, entre em contato com a área de cursos da ABNT (capacitacao@abnt.org.br).

Fonte: Associação Brasileira de Normas Técnicas (ABNT)

Quanto valem os seus dados?

Com a chegada da Lei Geral de Proteção de Dados (LGPD) no Brasil prevista para agosto de 2020, empresas começam a investir em segurança cibernética.

*Nathan Smolenski

Foto: Shuterstock

Empresas como Google e Facebook não escondem que lucram com os dados dos usuários.  Como elas, grande parte das empresas esperam monetizar de alguma forma as informações dos clientes, mesmo que seja apenas para oferecer serviços mais adequados e personalizados. Por esse motivo, temos hoje um grande volume de dados nas empresas, embora a maioria não tenha a menor ideia do que fazer com eles.

Com a chegada da Lei Geral de Proteção de Dados (LGPD) no Brasil prevista para agosto de 2020 (e com proposta em andamento de prorrogação para 2022), as empresas começaram a investir mais em soluções de segurança cibernética, preocupadas em manter o compliance. Nessa hora surge o dilema: Quanto valem esses dados?

Saber tipificar e qualificar os dados armazenados para definir o grau de importância de cada um para a empresa é essencial para o controle de custo. Sem isso, existe o risco de realizar um investimento sem qualquer retorno financeiro ou ainda de multa pela falta de controle dos dados.

Infelizmente, algumas empresas só devem parar pra pensar no assunto quando a lei as atingir, como aconteceu com algumas empresas europeias quando a General Data Protection Regulation (GDPR) entrou em vigor. Um dos casos com maior notoriedade na mídia foi a multa de quase 200 milhões de libras esterlinas aplicada na British Airways após o vazamento de informações por falta de controles básicos, conforme constatado durante a fiscalização.

Para evitar esse tipo de situação, a solução mais eficaz é antecipar o compliance e fazer uma análise para mitigar riscos com base na estrutura de dados da empresa. Pensar não só no volume, mas na relevância dos dados, quais devem ser protegidos de maneira mais crítica, como estão sendo acessados e qual o nível de visibilidade, principalmente quando estão armazenados na nuvem.

Para controlar o risco é preciso remover os elementos de identificação pessoal dos clientes. Há muitas maneiras de fazer isso, como, por exemplo, a partir da criptografia ou ofuscação dos dados, que é uma alteração na forma de leitura do arquivo, dificultando a decodificação por usuários externos. Desta forma é possível manter as informações na empresa sem que elas sejam identificáveis. E, então, caso ocorra um vazamento, esses dados seriam inúteis, pois não teriam significado algum para quem o recebe, apenas para a empresa que entende o contexto da informação e a sua utilidade.

Aplicar o controle dos dados de maneira eficiente é um outro ponto fundamental que pode elevar o nível de proteção. Controles rigorosos aplicados em conteúdos acessados por muitos usuários, por exemplo, não garantem segurança, já que nesses casos os usuários acabam tentando acessar por caminhos mais simples, salvando as informações em outras plataformas não monitoradas pela TI e aumentando o risco de exposição.

Outro ponto essencial é a visibilidade, que se tornou, sem dúvidas, a chave da segurança na nuvem.  É preciso compreender o contexto dos caminhos que os dados percorrem dentro das aplicações na nuvem, identificar os controles necessários e quais atividades devem ser restringidas para não descumprir a regulamentação. Além disso, a preocupação não é apenas local. As empresas precisam saber exatamente, e em tempo real, de onde os usuários estão acessando as informações, para onde os dados estão indo e quais são as leis locais de proteção.

Adotar o conceito de Zero Trust é uma boa opção para mitigar os riscos na nuvem. Em geral são ações para minimizar acesso aos dados sensíveis e a determinados tipos de serviços, além de  utilizar recursos e funções que ajudem a construir regras específicas para os usuários como, por exemplo, o que ele pode fazer ou a quais informações pode ter acesso.

A nuvem já é uma realidade e a aplicação da LGPD no Brasil é apenas uma questão de tempo. Adequar as formas de controle de dados para manter o compliance com os princípios de cibersegurança se tornou um diferencial competitivo, que pode garantir a confiança das marcas e, principalmente, a sobrevivência da maioria das empresas no mercado nos próximos anos.

*Por Nathan Smolenski, diretor de estratégias corporativas da Netskope

Fonte: IT MIDIA

Segurança da informação: um campo de atuação promissor para Bibliotecários

portal do bibliotecario, seguranca da informacao, mercado de trabalho, certificação, iso 27001, emprego, vagas

Segurança da informação é sim um campo de atuação para bibliotecári@s, sabemos que os cursos de graduação nem se quer abordam esse assunto. Mas existem certificações que podem habilitar os profissionais de informação a trabalharem nessa área. Um exemplo de certificação com um grande índice de aproveitamento pelo mercado é a série 27000 da ISO.

Maturidade das empresas brasileiras em Segurança da Informação ainda é baixa

Maioria usa ferramental básico demais para enfrentar novas e crescentes ameaças, e emprega profissionais pouco qualificados para lidar com as armas disponíveis, revela pesquisa da IDC Brasil.

A maioria das empresas brasileiras conta com ferramental básico, e nem sempre suficiente, para enfrentar as novas e crescentes ameaças de segurança às quais estão expostas. E muitas delas (61%) acreditam que poucos profissionais estão qualificados a utilizar as ferramentas disponíveis para certificar a segurança da informação.

Ferramental gerou a pior nota (46,1 pontos), puxando a média geral das empresas brasileiras para 64,9 pontos em um total de 100 possíveis. Pontuação bem abaixo da média geral estimada para mercados considerados maduros pelos organizadores da pesquisa (entre 76 e 83 pontos). “Faltam parâmetros reais de comparação, porque o estudo começou pelo Brasil. Só agora será realizado em outros países ou regiões”.

Falta de profissional qualificado no mercado

Outro aspecto importante na dimensão de Ferramental diz respeito à capacitação dos profissionais de Segurança da Informação. A baixa disponibilidade de profissionais qualificados está refletida na afirmação de quase 62% das empresas entrevistadas, que indicaram que suas equipes estão aquém do desejado em termos de capacidades para operar os ferramentais disponíveis ou que apenas alguns profissionais tem o conhecimento necessário.

Na média, empresas no Brasil têm dois profissionais dedicados à segurança da informação. E 57% das organizações entrevistadas já utilizam Serviços Gerenciados de Segurança (Managed Security Services – MSS) como resposta à falta de profissionais qualificados.

As empresas também reconhecem as capacidades de soluções de segurança no modelo Open Source e avaliam que estas podem ser uma alternativa a um investimento inicial mais intenso para viabilizar aspectos de segurança.

Outras dimensões

Em relação à conscientização, o estudo demonstrou que grandes empresas têm maior dificuldade com a visibilidade dos problemas de segurança. Esta falta de visibilidade está relacionada à complexidade de seus ambientes e sistemas. Em relação à conscientização na quantificação de ataques sofridos ou mitigados, 34% têm visibilidade completa; as outras 66% têm visibilidade parcial ou nenhuma. Já quando perguntadas sobre a mensuração do impacto de incidentes de segurança, 25,5% não sabem e 32% sabem apenas superficialmente, enquanto 42,2% podem detalhar o impacto em cada sistema ou nos sistemas críticos.

Na dimensão prevenção, o estudo comprova que as grandes empresas são ativas na prevenção, estabelecendo e monitorando controles com maior atenção, possibilitando um nível melhor de desempenho. Mas há dados preocupantes.

Quando perguntadas sobre políticas e padrões de segurança da informação estabelecidos e documentados, 28% não possuem um cronograma definido para revisar e atualizá-los, enquanto 33% os revisam e atualizam apenas uma vez ao ano.

Além disso, mesmo com a documentação em dia, gerar indicadores de Segurança da Informação ainda é uma tarefa relativamente distante da realidade das empresas. Enquanto a maioria (58%) dispõe de controles formalizados e documentados, apenas cerca de 42% das organizações afirmam praticar e gerar métricas sobre a observância de suas políticas de SI.

Por fim, em relação à dimensão mitigação, curiosamente ele foi o que mereceu melhor pontuação (76,8). De um modo geral, as empresas se prepararam para se recuperar de situações adversas de maneira organizada e documentada, minimizando assim os impactos percebidos na ocorrência de um desastre em seus ambientes.

O estudo mostra que as habilidades de comunicação e estrutura de ativação são, em muitos casos, informais e não estão bem documentadas. Mas 46% das empresas não mantêm uma frequência na revisão de procedimentos de contingência e segurança. Quando perguntadas sobre o grau de alinhamento em segurança da informação, no item “controles internos para detecção e prevenção de fraude são validados periodicamente”, 41% consideram que isso é realidade em suas empresas, enquanto 59% dos participantes ainda consideram isso distante. Então, também há muito a ser trabalhado nesse aspecto.

Atuação no mercado de trabalho, oportunidade para Bibliotecários certificados

Perspectiva para 2017

Apesar do atual cenário, o estudo mostrou uma perspectiva mais proativa para a segurança da informação em 2017. Das empresas pesquisadas, 52,9% pretendem manter e 37,3% pretendem aumentar seu orçamento de TI em 2017, em comparação a 2016, quando o orçamento de segurança já havia sido menos afetado por cortes e congelamentos que o orçamento de TI.

Fonte: Portal do Bibliotecário