Arquivo da tag: Segurança

Implementando Segurança da Informação – Passo-a-Passo

 

ISO27001

 

Segurança da Informação é o tema do livro " Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your Own", escrito por Dejan Kosutic.

Leia-o e saiba como:

  • Iniciar um projeto de implementação;
  • Obter uma explicação simples da norma ISO 27001;
  • Estruturar a documentação exigida;
  • Obter a certificação - o processo e os critérios para organismos de certificação.

O autor cria um passo-a-passo para a implantação do padrão que se tornou a referência global mais popular para a gestão da Segurança da Informação. Embora seja voltado para profissionais de TI e de segurança interessados em implementar o ISO 27001 em suas empresas, o autor explica que o livro não substitui a aquisição e leitura da norma, mas é um facilitador, ajudando o leitor no processo de implementação durante todos as fases requeridas.

Entre os temas abordados estão:  

  • Avaliação do nível de maturidade da empresa visando à preparação para a implementação do padrão;
  • As principais fases do projeto;  
  • Gestão de Riscos e auditoria dos sistemas de gerenciamento de segurança da informação.

Veja também:

 

Cinco passos para garantir a proteção dos dados de negócios

5proteção

 

A pesquisa mostrou que a perda de dados é uma das principais preocupações dos executivos de TI, segundo a empresa de gerenciamento de dados de Iron Mountain, que compilou cinco passos para proteger os dados, em comemoração ao  Dia da Proteção de Dados .

A iniciativa internacional, agora em seu nono ano, tem como objetivo educar os consumidores e as empresas sobre a importância da salvaguarda de dados, respeitando a privacidade e a constituição da confiabilidade, tendo em vista a confidencialidade, disponibilidade e integridade das informações na Organização.

O 28 de janeiro foi escolhido porque nesse dia, em 1981, o Conselho da Europa adotou a Convenção 108 sobre a proteção dos dados pessoais dos indivíduos, a raiz de toda a legislação relativa à privacidade e proteção de dados.

A gerente sênior de marketing de produtos e soluções de Iron Mountain, Jennifer Burl, disse que  as empresas de todos os tamanhos podem se beneficiar de conselhos sobre como melhorar a segurança de seus dados.

"De acordo com a  National Cyber ​​Security Alliance, apontou-se que 50% dos ataques cibernéticos tiveram como destino empresas com menos de 2.500 funcionários", acrescentou.

Burl apontou cinco passos que as empresas podem tomar para manter seus dados seguros e protegidos para evitar problemas legais e regulamentares.

Passo 1: saber onde seus dados residem

" Não é possível concluir o seu plano de segurança até que você saiba exatamente o que se está protegendo e onde são armazenados os dados", disse Burl.

A maioria das empresas armazenam dados em vários tipos de mídia: discos locais, sistemas de backup baseado em disco, fita fora das instalações e na nuvem. Cada tecnologia e formato requer o seu próprio tipo de proteção.

Passo 2: Implementar uma política de "conhecimento conforme a necessidade de uso'

Para minimizar o risco de erro humano (ou curiosidade), criar políticas que limitam o acesso a determinados conjuntos de dados.

Designar acesso baseado descrições detalhadas de cada cargo ou posto de trabalho.  Também não se esqueça de automatizar registros sobre qualquer um que tenha tido acesso a um conjunto de dados em particular passar não passar despercebido.

Passo 3: Reforçar a segurança da rede

"As redes estão quase certamente protegidas por um software firewall e antivírus. Mas certifique-se de que essas ferramentas são atualizadas frequentemente e que são competentes o suficiente para fazer o trabalho", disse Burl.

A cada dia novas definições de malware são liberadas, e o software antivírus tem de manter-se atualizado.

A filosofia de trazer o seu próprio dispositivo (Bring your own device - BYOD) chegou para ficar, e sua equipe de T  I deve estender seu guarda-chuva de segurança em smartphones e tablets que os funcionários usam para fins comerciais.

Passo 4: Monitore e reporte sobre o ciclo de vida de seus dados

Crie um plano de gestão do ciclo de vida dos dados para garantir a destruição segura dos dados antigos e obsoletos da empresa.

Como parte deste processo, as empresas devem:

  • Identificar os dados a serem protegidas, e durante quanto tempo;
  • Criar uma estratégia que inclui backups em fita de backup off-line e offsite múltiplas;
  • Prever as consequências de um ataque bem sucedido através de um simulado e em seguida, proteger as vulnerabilidades percebidas neste exercício;
  • Tomar em conta os arquivos no formato não informatizado (em papel, por exemplo) tendo em vista que eles também podem ser roubados;
  • Inventariar todos os hardwares que poderiam conter dados antigos e eliminar de forma segura copiadoras, sistemas de correio de voz obsoletos e até mesmo aparelhos de fax.

 

Passo 5: Educar todos           

"A segurança dos dados está, em última análise, nas pessoas", disse Burl. "Todos os funcionários devem compreender os riscos e as consequências das violações de dados e como evitá-los, especialmente com o aumento dos ataques de engenharia social."

" Converse com seus funcionários sobre as vulnerabilidades, links para malwares disfarçados em e-mails não solicitados. Incentive-os a informar se seus computadores começam a agir de forma estranha."

Criar uma cultura de segurança em que todos entendam o valor crítico de seus dados de negócios e da necessidade de sua proteção. "Porque quando você pensa sobre isso, cada dia é uma proteção de dados", disse Burl.

Educar os usuários para proteger a economia

A empresa de gestão de conteúdo Intralinks disse que muitas pessoas trazem até maus hábitos de casa para a empresa, pois a educação do usuário não é apenas para proteger, mas também sobre a proteção da economia.

O CTO para a Europa Intralinks, Richard Anstey disse que pode ser contraproducente  dizer às pessoas usarem senhas fortes, porque se cria uma falsa sensação de segurança de que as pessoas, em seguida, levam ao trabalho.

"Quando se trata de informações altamente sensíveis, tais como protocolo de internet, as pessoas precisam saber sobre medidas muito seguras, como a gestão sobre os direitos das informações", disse.

De acordo com Anstey, a segurança é conhecer o nível de perigo e saber como implementar o nível adequado de proteção.

"Se quisermos uma sociedade verdadeiramente segura de seus dados  temos de começar por assegurar de que as pessoas sabem qual é o valor de seus dados, então você pode tomar uma decisão centrada sobre como protegê-los", disse ele.

Muita ênfase sobre ameaças externas

A empresa de assinatura criptografica Egress alertou que muitas empresas estão se concentrando em ameaças externas.

pedido de liberdade de informação (FOI) da Egress para o Gabinete do Comissário de Informação no Reino Unido revelou que 93% das violações de dados ocorrem como resultado de erro humano.

O Diretor Geral da Egress, Tony Pimenta, afirmou que as empresas devem começar a olhar mais para dentro de casa para evitar violações de dados.

"Erros como a perda de um e-mail sem criptografia no dispositivo ou enviar um e-mail para a pessoa errada estão prejudicando muito as organizações", disse ele.

Pimenta acrescentou que mostram os dados FOI que se gastou um total de 7,7 milhões dólares por erros na manipulação de informações sensíveis, enquanto que até esta data não foram aplicadas multas devido a falhas técnicas que expõem dados confidenciais.

" O erro humano nunca será erradicado, até porque as pessoas sempre cometem erros. Por isso, as organizações precisam encontrar formas de limitar os danos causados ​​por esses erros", disse ele.

Segundo a Egress, a política deve ser apoiada por tecnologia de fácil utilização que permite formas seguras de se trabalhar sem afetar a produtividade, proporcionando uma rede de segurança quando eventualmente os usuários cometem erros.

As empresas precisam de uma abordagem proativa para segurança de dados

A empresa de governança de dados Axway afirma que as empresas precisam adotar uma abordagem proativa para segurança da informação contra hackers maliciosos e violações de dados.

O Vice-presidente de go-to-market da Axway, Antoine Rizk, comenta que, em um mundo cada vez mais conectado,  as empresas precisam monitorar proativamente seus fluxos de dados para evitar violações de dados caros.

"No entanto, muitas organizações grandes ainda estão à espera de algo dar errado para depois abordar as falhas em suas estratégias de segurança - uma atitude que resultou em algumas das mais famosas brechas de segurança em 2014", disse ele.

Axway prevê que em 2015, o habito de trazer seu próprio dispositivo (BYOD) irá evoluir rapidamente o chamado de Internet das Coisas (Internet of Things - IoT), com os funcionários trazendo dispositivos vestíveis no mercado de trabalho.

"Para que estas janelas abertas de oportunidade permitam maior mobilidade nos negócios para as empresas, sem pavimentar o caminho para hackers acessarem dados privados, a segurança deve evoluir ao mesmo ritmo que os próprios dispositivos", disse Rizk.

"As organizações também precisam saber quais os dados que os funcionários estão trazendo e quais os e os dados que estão extraindo para garantir que os ataques maliciosos e atividades conspícuas serão rapidamente bloqueadas", disse ele.

É importante ressaltar que existe o aumento dos riscos em plataformas móveis

A empresa de proteção de aplicações corporativas Arxan disse no dia de Proteção de Dados  é importante destacar o aumento dos riscos em plataformas móveis, especialmente no setor bancário e de pagamentos.

Diretor de vendas para a Europa da Arxan, Marcos Noctor, comentou que a empresa prevê que os riscos de segurança no setor financeiro será uma das áreas-chave de ameaças para 2015.

"Com isso em mente,  é fundamental que a segurança de aplicações móveis tenham prioridade para organizações como bancos, provedores de pagamento e os clientes que procuram fazer operações em dispositivos móveis", disse ele.

Uma investigação da Arxan revelou que 95% dos 100 melhores aplicações financeiras no Android e 70% das aplicações no iOS  foram invadidas no ano passado .

A empresa disse: "Nós recomendamos aos clientes que estão considerando o uso de uma aplicação financeira móvel, para operação bancária ou de pagamentos, tomarem as seguintes medidas para aumentar a segurança":

  • Baixar aplicativos bancários e de pagamentos armazenados apenas em locais que mantenham aplicações certificadas;
  • Perguntar para a sua instituição financeira ou provedor de pagamentos, se o seu aplicativo está protegido contra a engenharia reversa;
  • Não se conecte a um correio eletrônico, banco ou outra qualquer conta sensível através de WiFi pública . Se isso for inevitável, caso você fique muito tempo em cafés, hotéis ou aeroportos, por exemplo, pague para ter  acesso a uma rede privada virtual - VPN, pois isto irá melhorar significativamente a sua privacidade em redes públicas;
  • Pergunte ao seu banco ou provedor de pagamento móvel se mantém proteção automática para aplicações que foram lançados nas lojas de aplicativos. Não confie apenas nas soluções móveis de segurança do seu telefone, antivírus, antispam ou qualquer outro dispositivo da empresa para proteger aplicativos que residem no seu dispositivo móvel, contra hackers ou ataques de malware."

Autor: Warwick Ashford

Fonte: http://searchdatacenter.techtarget.com

 

Veja também:

Curso em PCI-DSS 3.0

O que as pequenas empresas precisam saber sobre a segurança da informação

 

 

 

 

 

 

A Matriz de Riscos de TI como elemento estratégico de Gestão

MatrizRiscoTI

 

As questões ligadas à gestão de riscos associados à Governança Corporativa, em especial aos relacionamentos desta com a Governança de TI já são uma realidade no cenário empresarial brasileiro.  

Procurando-se na etimologia de palavra "Riscos" percebe-se que é frequentemente associada a algo negativo, é produto da incerteza de eventos futuros, fazendo parte das atividades executadas, assim de certo modo Empreender é gerir riscos, sendo que isto não é novo, assim como a etimologia da palavra "Segurança" tem origem no latim e significa "sem preocupações". Na definição mais comum "Segurança é uma mal a evitar". Portanto quando se analisa todos os aspectos ligados a Segurança em Geral e a Segurança da Informação em particular é imprescindível abordar a Gestão dos Riscos e com o crescimento das operações de negócios em direção aos sistemas de informação baseados em tecnologia fez com que os números de ameaças e de vulnerabilidades sobre as redes de computadores e comunicações aumentassem exponencialmente. Deste modo a avaliação dos "Riscos de TI" passam a ser estratégicos para a Gestão da Segurança e continuidade dos negócios.

 

 "Riscos de TI" é o risco associado ao uso, gerenciamento, operação, suporte, inovação, influência ou adoção de TI para dar suporte aos negócios da organização. Através da gestão de riscos com foco em TI torna-se possível controlar e identificar   os rumos tomados e aferir se as diretrizes estabelecidas estão de acordo com os objetivos da instituição. A gestão de riscos em TI atua, também, na garantia da confiabilidade dos indicadores de governança, possibilitando uma governança de TI comprometida com os objetivos estratégicos a serem alcançados, tornando o alinhamento de TI e negócio mais eficiente e eficaz, na medida que o resultante é uma organização mais estável através da continuidade de seus negócios.

 

Portanto, toda a organização, para cumprir a sua missão, necessita de um suporte efetivo de sistemas de informação e de serviços de tecnologia da informação correlatos. Neste contexto, o gerenciamento de riscos de TI tem um papel crítico na proteção dos ativos de informação da organização.

 

Vários são os desafios de estruturação e implementação de uma área de gestão de riscos dentro das empresas. A segurança da informação, vista frequentemente como um assunto ligado a tecnologia, passa a ser entendida cada vez mais como um processo de negócio, e consequentemente, uma grande vantagem competitiva para o mundo empresarial e neste sentido a MATRIZ DE RISCOS DE TI  é o caminho natural a ser adotado em qualquer planejamento que tem por meta a Analise de Impacto de cada ameaça.

 

A MATRIZ DE RISCO, considerando o processo de gerenciamento de risco, seja ele baseado no COSO ou na ISO 31.000, é um dos seus elementos mais importantes, pois permite determinar a partir de uma avaliação qualitativa do risco, a magnitude dos riscos identificados.

 

A MATRIZ DE RISCOS torna- se assim, o principal elemento para a determinação das estratégias de riscos e das respectivas respostas aos riscos.

 

A análise inicial parte do conhecimento das necessidades específicas que são demandas pelos negócios da empresa e os serviços de TI, sendo que neste caso a existência de um Catálogo de Serviços formal ajuda muito. O Catálogo de Serviços, conforme definido pelo ITIL, é um subconjunto do Portfólio de Serviços da Organização, que consiste de todos os serviços ativos e aprovados que podem ser oferecidos aos atuais e futuros clientes da TI na organização. É, inclusive, uma projeção da eventual capacidade do provedor de serviços de TI para entregar valor aos seus clientes (Office of Government Commerce, 2007).

 

Outro aspecto fundamental é saber exatamente quais são os Ativos/Recursos de TI. O mapeamento dos ativos de TI que atendem o Negócio é essencial à Governança de TI e geralmente, há uma relação "muitos para muitos" entre as funções de negócio e a infraestrutura de TI. Por exemplo, em um  determinado servidor é possível armazenar ambos, dados de negócios e sistemas automatizados de processamento de dados,  o qual pode suportar muitas funções de negócios. Por outro lado, ao contrário, uma única função de negócios pode invocar vários servidores. Sugerimos o uso de ferramentas automatizadas que possam gerar para os sistemas automatizados o relacionamento dos processos de negócio com os sistemas de TI.

 

Antes de tudo é necessário definir o perfil profissional dos envolvidos neste processo de avaliação dos riscos, sendo que podemos destacar as principais qualificações necessárias:

 

Principais Conhecimentos:

 

  • Conhecer quais são os riscos de TI e saber mensurá-los;
  • Saber determinar as formas de prevenção;
  • Saber monitorar o desempenho dos equipamentos.

 

Principais Habilidades

 

  • Ter capacidade de coordenação;
  • Saber analisar os riscos;
  • Saber tratar e criar estratégias de resolução de problemas.

 

O próximo passo importante é conhecer os Indicadores de Governança e avaliar seus desempenhos relacionados aos Riscos de TI. Por exemplo, se elegermos o indicador "Quantidade de Equipamentos de TI em uso", primeiro deve-se saber se é um Tipo de Indicador relacionado com o Desempenho ou com o Resultado, depois o que ele demonstra, sendo que pode ser uma Eficiência, uma Perda ou simplesmente o número de Computadores/ funcionário; Servidores/ funcionário; Impressoras/ funcionário, portanto a análise do contexto estratégico de cada um é fundamental, daí a necessidade de um profissional com conhecimentos, habilidade e competências para tal, conforme citamos anteriormente.

 

 

A seguir é importante definir a meta de cada indicador. Por exemplo, o indicador "Quantidade de Equipamentos de TI em uso dentro/fora da garantia" tem como meta "Garantir a disponibilidade e continuidade do serviço", sendo que esta meta deve estar dentro de um período definido, uma "Data de Revisão da Meta" e um critério para a "Avaliação Atual do Cumprimento da Meta".

 

Finalmente, quando temos os Riscos de TI identificados, podemos perceber, por exemplo:

 

  • Carência de uma melhoria contínua;
  • Inexistência de um Comitê para identificar, avaliar, prevenir e solucionar os Riscos de TI apresentados;
  • A atenção e cooperação dos envolvidos que devem prover informações e implantar os controles determinados;
  • Ausência de metas claras quanto à segurança das informações;
  • Falta de uma cultura de segurança;
  • Ausência de checklists;
  • Impossibilidade de quantificar e mensurar o impacto dos riscos.

 

 

Caso você queira saber como criar e implementar a MATRIZ DE RISCOS PARA TI para a sua organização participe de nosso Curso online elaboração de Matriz de Riscos de TI

 

 

 

Cybercrime gera prejuízo de R$ 18 bilhões no Brasil

 SecurityTom

 

Cerca de 22 milhões de pessoas foram vítimas de ameaças virtuais últimos 12 meses.

Segundo a Symantec, o número de vítimas de ataques virtuais chegou a 22 milhões nos últimos 12 meses no Brasil. Entretanto, no Norton Report 2013, a companhia afirma que o número diminuiu, mas o custo médio por vítima dobrou.

A companhia afirma que o valor dos crimes cibernéticos dos últimos 12 meses foi superior a R$ 18 bilhões, e 45% dos adultos tiveram uma experiência de crime virtual e comportamento de risco no último ano.

O levantamento afirma que 49% dos usuários de smatphones e 61% dos de tablets têm sistema de segurança online instalado em seus equipamentos, mesmo assim, 57% dos usuários de smartphone o Brasil foram vítimas de crime virtual móvel. Apesar de quase metade dos usuários de smartphones se importarem com seus dispositivos, 48% não tomam cuidados básicos, como a utilização de senhas e software de segurança, e backup de arquivos.

Dos entrevistados, 58% usam aparelho pessoal para trabalho e diversão, e 39% dos usuários smartphones não deletam e-mails suspeitos. 33% dos brasileiros não se desconecta dos perfis sociais após o uso e 31% se conecta com pessoas desconhecidas. Entre os adultos, 61% usam redes de WiFi públicas ou inseguras.

"Se fosse um teste, os usuários móveis seriam reprovados", alerta Marian Merritt, Advogada de Segurança na Internet da Symantec. "Enquanto os consumidores protegem seus computadores, existe uma falta geral de consciência para proteger seus equipamentos móveis. É como se eles tivessem sistemas de alarme em suas casas, mas deixassem seus carros destravados e com as janelas abertas", finaliza.

fonte: http://www.ipnews.com.br

Shodan, um poderoso e polemico mecanismo de busca

 

Shodan é um motor de busca que permite encontrar tipos específicos de computadores (roteadores, servidores, etc) usando uma variedade de filtros. Alguns também o descrevem como um motor de busca de banners de serviços, que são meta-dados que o servidor envia de volta ao cliente.  Pode ser informações sobre o software de servidor, que opções o serviço suporta, uma mensagem de boas-vindas ou qualquer outra coisa que o cliente gostaria de saber antes de interagir com o servidor.

Shodan coleta dados principalmente em servidores web no momento (porta HTTP 80), mas há também alguns dados de FTP (21), SSH (22) Telnet (23), SNMP (161) e (5060) serviços SIP.  

Foi lançado em 2009 pelo programador de computador John Matherly, que, em 2003,   concebeu a ideia de dispositivos de busca ligados à Internet.  

Este serviço começou a ficar famoso principalmente porque em maio de 2013, a CNN Money lançou um artigo detalhando como SHODAN pode ser usado para controlar sistemas de missão crítica na Internet, incluindo controles de semáforos, por exemplo. O software "varre" a internet para encontrar cada aparelho conectado. Juntamente com portas de garagem e roteadores, o Shodan também já pode encontrar painéis de controle de usinas de energia, serviços públicos, equipamentos científicos voláteis e até de uma barragem na França. O que significa que, com o know-how mal intencionado, alguém pode muito bem rastrear esses aparelhos, acessá-los e cortar a energia de uma cidade, inundar outra ou provocar um derretimento numa usina de energia com um simples clique.

O problema consiste em não haver uma forma abrangente de barrar ao acesso de informações dos dispositivos conectados na rede, pois  existir muita coisa listada pelo Shodan que não deveria ser acessível por qualquer usuário nem passível de ser controlada.

Especialistas como Dan Tentler, Engenheiro de Segurança da Informação e Team Red no Twitter, disse em palestra em 2012  que a maioria dos esquemas de segurança "é horrivelmente, horrivelmente ruim". "Eu posso controlar uma usina hidrelétrica francesa pela internet. Ela possui duas turbinas com produção de cerca de 3 megawatts cada, o que pode ser interessante. Ou simplesmente entrar no sistema que controla um lava-rápidos", afirma.

Ou seja, grande parte do que foi encontrado pelo Shodan poderia ser usada para causar estragos e danos, mas não é o intuito de Matherly, criador da ferramenta. Quem entra no site recebe dez resultados sem a necessidade de abrir uma conta no sistema. Ou 50 resultados com uma conta. Para conseguir mais informações, é preciso abrir uma conta paga, e informar Matherly do propósito das buscas a ser feitas no Shodan.

Se os resultados foram utilizados para causar problemas não se sabe, mas é fácil imaginar potenciais conflitos: mexer com sistemas de controle de semáforos certamente levaria pessoas à morte. Ou seja, existem muitos sistemas conectados à internet, de forma completamente insegura, sem qualquer motivo para estar na rede.

John Matherly afirma que começou  com uma máquina Dell de £100 no seu tempo livre e trabalhou  continuamente nisso por três anos. Quando começou,  adicionava uns 10, 100 mil registros por mês, agora adiciona centenas de milhões ao mês. A velocidade com que consigue rastrear pela internet tem se acelerado bastante. Disse que criou o Shodan basicamente para que as companhias pudessem rastrear onde seus softwares estavam sendo usados.  O que aconteceu é que pesquisadores de segurança são capazes de usar isso para achar todos esses softwares, todos os aparelhos que rodam e por aí a fora.

Ainda segundo John Matherly, o Shodan é similar ao Google, sendo que o Google procura por URLs, mas o Shodan não faz isso. A única coisa que faz é escolher aleatoriamente um IP entre os vários que existem, estando ele em funcionamento ou não, e tenta se conectar a ele por diferentes portas. Provavelmente isso não é parte da rede visível no sentido que não dá para simplesmente usar um navegador qualquer. Todavia não é algo que a maioria das pessoas conseguiriam descobrir facilmente, não é algo visual da mesma maneira que um site.

 

 

 

Fontes:

http://en.wikipedia.org/wiki/Shodan_(website)

http://www.forbes.com/sites/kashmirhill/2013/09/04/shodan-terrifying-search-engine/

http://securityinformationnews.files.wordpress.com/2013/09/shodan.png?w=209&h=143

http://jornalggn.com.br/blog/luisnassif/a-ferramenta-de-buscas-shodan

http://www.shodanhq.com/

http://www.vice.com/pt_br/read/o-shodan-e-realmente-o-mecanismo-de-busca-mais-perigoso-do-mundo

 

Penetration Test ou Teste de Penetração – Saiba porque isto é importante

Penetration Test

 

O crescimento da ocorrência de ataques cibernéticos e ações de inteligência e contra inteligência (espionagem) tem elevado o interesse da sociedade e da comunidade científica em conhecer e classificar as origens e os efeitos destas ações. De fato tem aumentado os investimentos das organizações na busca por novas soluções que sejam capazes de lidar com essas técnicas de invasão de sistemas computacionais.

O Brasil está prestes a atingir a relevante marca de um bilhão de dólares em segurança da informação, segundo dados da consultoria IDC.  Em 2011, o mercado atingiu US$ 779 milhões, dos quais 32% destinados a software, 25% a hardware e 43% destinados a serviços. O cenário é positivo, apesar da lenta recuperação econômica nos Estados Unidos e da estagnação em que se encontra a Europa.

Ainda segundo o IDC, apenas 15% das empresas sabem o que desejam contratar, contra 40% de empresas que têm alguma noção do que querem contratar, mas que precisam de orientação e outros 40% de empresas que realmente não sabem nem por onde começar quando o assunto é segurança da informação. De acordo com o Computer Security Institute (USA), estes são os tipos da criminalidade informática e outras perdas: Erros humanos - 55%; Problemas de segurança física - 20% (por exemplo, desastres naturais, problemas de falta de energia); Ataques internos realizados com o objetivo de lucrar com crime de computador - 10%; Funcionários descontentes em busca de vingança - 9%; Vírus - 4%; Ataques de origens desconhecidas - 1-3%.

Por outro lado o mercado de comércio eletrônico tem apresentado uma significativa evolução nos últimos anos. Este setor teve seu surgimento no final dos anos de 1970 mudando o modelo de  vendas e nos últimos dez anos tem crescido em média, 43,5% (E-BIT, 2012). Alguns dos motivos que levaram a isso foram a popularização da internet e o aumento das velocidades de conexão. Além disso, a grande variedade de produtos, preços baixos, facilidade do uso, a agilidade na comparação de preços e a comodidade foram elementos valiosos para o aumento de 37% no número de consumidores no ano de 2011 em relação a 2010, bem como a disseminação desses serviços (E-BIT, 2012).

O desenvolvimento tecnológico trouxe consigo novas oportunidades, tanto para  operadoras de telefonia móvel, em conjunto com as operadoras de cartão de crédito, quanto para os bancos. Estas parcerias e a near field comunication (tecnologia que permite conectividade sem fio, de curto alcance) possibilitam aos consumidores de comércio eletrônico, um novo meio para se realizar um pagamento, e de forma mais cômoda por meio de seus aparelhos celulares.  

O crescimento do comércio eletrônico trouxe inúmeras preocupações, uma delas refere-se à segurança da informação transmitida nesses serviços. Paralelas a esta evolução e ao grande número de consumidores, estão as ameaças de crimes virtuais cuja finalidade é obter informações pessoais dos consumidores. Além disso, há outra questão que preocupa o usuário: a falta de segurança do software. Segundo Hoglund e McGraw "uma invasão, na maioria das vezes, tem como ponto vulnerável o software que, geralmente, em qualquer computador, é a raiz do problema".

Com a popularização das aplicações web, a sua utilização nos últimos anos apresenta alguma importância para diversos fins, tais como: comércio eletrônico, homebanking, gestão empresarial, etc. Tais aplicações necessitam de soluções mais seguras pelo fato de processarem informações sigilosas. Portanto, é indispensável uma atenção maior durante a fase de desenvolvimento, assim como na especificação dos aspectos de segurança quanto no uso de ferramentas apropriadas, a fim de garantir mais segurança.

Assim cresce a demanda por especialistas em segurança da informação, que é um profissional responsável por prestar consultoria e serviços especializados de projeto, configuração e administração de aspectos relativos à segurança da informação. Não basta apenas saber quais são as etapas geralmente envolvidas no ataque a uma rede local ou quais são os principais tipos de vulnerabilidades exploradas por um atacante ou ainda conhecer maneiras de detectar se um sniffer  encontra-se presente em uma rede local. As exigências são muitas, incluindo experiências relativas a ameaças e vulnerabilidades comuns, associadas com soluções desenvolvidas em arquitetura Web e em projetos de desenvolvimento de software.

A experiência necessária deve incluir também o desenvolvimento da política de segurança, educação, testes de penetração, avaliações de vulnerabilidade de aplicativos, análise de risco e testes de conformidade e também certificações de segurança. Adicionalmente algumas empresas exigem que analista deverá ter domínio das normas de segurança da informação (por exemplo, ISO 17799 / 27002, ISO 17799, ISO 27001, BS7799, PCI-DSS), e outras normas e regulamentos relacionados à segurança da informação e a confidencialidade dos dados, como por exemplo, FERPA, HIPAA e desktop, servidor, aplicação, banco de dados, princípios de segurança de rede para identificação de riscos e análise.

Entre essas técnicas, observa-se a capacidade de conhecer o desenvolvimento de ações no sentido de tomar vantagem de uma vulnerabilidade presente em um sistema, como também se procura identificar as ferramentas desenvolvidas para explorar estas vulnerabilidades. Fato que vem sendo destacado por diversos autores como uma das principais armas dos atacantes nas últimas décadas.

Por esse motivo, o conhecimento do desenvolvimento desses artefatos tem sido incorporado também por analistas de segurança às metodologias de testes de penetração, como estratégia para prevenção de ataques, contribuindo para a pesquisa de novos mecanismos de defesa. Daí a importância dos testes de penetração ou penetrations tests, em inglês.

Teste de Penetração é um teste orientado para a segurança de um sistema de computador ou rede para buscar as vulnerabilidades que um atacante possa explorar. Além de buscar as vulnerabilidades, este teste pode envolver tentativas reais de penetração. O objetivo de um teste de penetração é detectar e identificar as vulnerabilidades e sugerir melhorias na segurança. Entenda-se que vulnerabilidade é uma falha (também conhecido como bug), presente na segurança de um elemento do sistema, que pode ser utilizada por um atacante para deturpar o comportamento esperado deste elemento (normalmente uma componente de software), sujeitando o sistema afetado a problemas como indisponibilidade, obtenção indevida de acessos privilegiados e controle externo por indivíduos não autorizados.

Os profissionais que trabalham com a execução de testes destinados a levantar vulnerabilidades em sistemas acabam invariavelmente se deparando com questões ligadas à validade e a ética de suas ações. Afinal, esses procedimentos são executados através da utilização das mesmas técnicas empregadas por pessoas com intenções maliciosas.

Apesar de algumas dessas ações serem justificadas por "boas intenções", autores como Wilhelm e Engebretson concordam que é necessário uma permissão clara daqueles que serão objeto do teste invasivo para diferenciar um teste de penetração legítimo de uma tentativa de invasão maliciosa.  Tratados coletivamente como "Hackers", este grupo é subdividido normalmente em duas categorias: Black Hat Hackers - indivíduos que executam ataques não autorizados contra sistemas de informação, motivados por ganho material ou financeiro, por mera curiosidade, ou ainda por questões políticas e religiosas.

Seja qual for o motivo, entretanto, todos estão sujeitos a ações legais por parte daqueles que foram alvo de seus ataques; White Hat Hackers, atividade também chamada de Ethical Hacking - indivíduos que executam avaliações de segurança com base em contratos formais, trabalhando em companhias responsáveis pela melhoria das características de segurança dos ambientes computacionais de seus clientes ou procurando vulnerabilidades que poderiam ser exploradas em ataques maliciosos.

Testes de penetração são importantes por várias razões, dentre as quais podemos destacar:

Determinar a viabilidade de um determinado conjunto de vetores de ataque;

Identificar vulnerabilidades de alto risco que resultam de uma combinação de vulnerabilidades de menor risco explorado em uma determinada sequência;

Identificar vulnerabilidades que podem ser difíceis ou impossíveis de detectar com rede automatizada ou software de digitalização de vulnerabilidade de aplicativos;

Na avaliação da magnitude do potencial de negócios e os impactos operacionais de ataques bem sucedidos;

Testar a capacidade dos defensores de rede para detectar e responder com sucesso aos ataques;

Fornecer evidências para apoiar o aumento dos investimentos em pessoal de segurança e tecnologia.

Normalmente os dispositivos analisados são as estações de trabalho, os servidores corporativos, os aplicativos Web, serviços de rede, incluindo DNS, DHCP, entre outros. Em análises mais focadas são avaliados os bancos de Dados e sistemas de armazenamento de arquivos ou, por exemplo, os demais serviços disponíveis em rede como os Firewall, Switches e Roteadores. Existem também serviços específicos como o de Aplicações Web, onde podemos contemplar o de  injeção de código (como SQL Injection),  quebra da autenticação e do gerenciamento de sessões, execução de Scripts entre sites (XSS), referência insegura e direta a objetos, uso de configurações inseguras, exposição de dados sensíveis, ausência de funções de controle de acesso, requisição forjada entre sites (CSRF), uso de componentes com vulnerabilidades conhecidas e redirecionamentos e/ou encaminhamentos sem validação.

 

Se você deseja saber mais sobre este assunto veja a seguir alguns livros em Segurança da Informação:

 

ShowNotes
How to Read a Book: The Classic Guide to Intelligent Reading 
How Learning Works: Seven Research-Based Principles for Smart Teaching The History of Information Security: A Comprehensive Handbook Security in Computing

Security Engeneering
Link para compra na AmazonLink para download dos capítulos (o download é disponibilizado pelo próprio autor)
Segurança da Informação: Princípios e Melhores Práticas para a Proteção dos Ativos de Informação nas Organizações Secrets and Lies: Digital Security in a Networked World

The New School of Information Security
Edição em inglês Edição em português Applied Cryptography: Protocols, Algorithms, and Source Code in C Practical Cryptography Handbook of Applied Cryptography (Discrete Mathematics and Its Applications) Building Internet Firewalls The Visible Employee: Using Workplace Monitoring and Surveillance to Protect Information Assets-Without Compromising Employee Privacy or Trust Unauthorised Access: Physical Penetration Testing For IT Security TeamsWho Goes There?: Authentication Through the Lens of Privacy (link para download)

 

Fontes:

 

http://hackbbs.org/article/book/ethical%20hacking,%20student%20guide.pdf

 

http://en.wikipedia.org/wiki/Penetration_test

 

http://www.amazon.co.uk/Professional-Penetration-Testing-Thomas-Wilhelm/dp/1597494259

 

http://books.google.com.br/books/about/COMO_QUEBRAR_CODIGOS.html?id=h2RhPgAACAAJ&redir_esc=y

 

http://webinsider.com.br/2013/03/22/os-investimentos-em-seguranca-da-informacao-no-brasil/

 

http://tconline.feevale.br/tc/files/0001_3298.pdf

 

http://dainf.ct.utfpr.edu.br/~maziero/lib/exe/fetch.php/ceseg:2012-sbseg-mc1.pdf

 

https://www.pcisecuritystandards.org/pdfs/portuguese_pci_dss_glossary_v1-1.pdf

 

http://www.segurancalegal.com/2013/09/episodio-34-livros-de-seguranca-da.html

 

 

Governança em Segurança da Informação

 

Governança em SI

 

Os investimentos em Segurança da Informação já estão na lista de prioridades dos CIOs de grandes corporações há tempos, todavia esta preocupação já começa a ser questionada do ponto de vista estratégico, notadamente sob a ótica do gerenciamento de risco. Organizar a TI para crescer de forma sustentável é um objetivo comum das organizações, no entanto ao dar os primeiros passos as questões de governança da sua segurança se tornam cada vez mais prioritárias, tornando cada vez mais claro que há um GAP entre o que existe hoje de real na maioria delas e a distância que tais empresas ainda precisam percorrer para sua governança sob os aspectos e enfoques de um sistema efetivo de gestão da segurança da informação - SGSI com a Gestão de Riscos.  Enquanto a Gestão da Segurança da Informação atende as demandas pontuais (visão de curto prazo ou operacional) para garantir confidencialidade, integridade e disponibilidade dos ativos, a Governança da Segurança da Informação alinha as ações de Governança aos objetivos estratégicos da organização, o que permite a área de Segurança da  Informação  venha agregar  valor  ao  negócio  e esteja apta para atender não somente as demandas atuais mais também as futuras.  

 

Nesse contexto fica evidente que governar a Segurança da Informação é uma tarefa complexa, que exige o apoio da alta direção e que é mais facilmente atendida quanto maior for o nível de maturidade do processo de gestão da segurança da informação.

 

Esta visão deve partir desde a criação de plano formal de negócios e preparar a organização para eventuais incertezas, desenvolver um modelo de governança compatível com o futuro planejado, que permite identificar e gerir os riscos associados ao negócio, levando-se em conta  que na avaliação dos riscos potenciais não passará despercebido os temas ligados a ações de hackers e vírus, eventuais perda de informações dos clientes, indisponibilidade operacional, falha de conduta e falta ética de parceiros e colaboradores, roubo de propriedade intelectual, espionagem, vazamento de informações e até fraude.

Neste esforço, a experiência nos diz que ainda há uma enorme dificuldade em demonstrar para a alta direção das organizações, o valor real da Segurança da Informação e o retorno do investimento necessário nessa área quando ainda não ocorreu um incidente grave de segurança. O mesmo se passa frequentemente na implementação de um sistema de gestão de continuidade de negócio, por exemplo.

Para os dirigentes de uma organização o número de vulnerabilidades corrigidas em determinada aplicação ou a quantidade de ataques sofridos no último mês não são informações relevantes se não forem relacionadas com as principais interrupções nos principais processos de negócio, ou prejuízos de ordem financeira.  Daí a importância em direcionar as ações e o planejamento da gestão de maneira que "falem a mesma língua" da direção do negócio.

Esta capacitação que propomos - Curso Governança em Segurança da Informação - habilita o participante a ampliar o conhecimento sobre a Governança da Segurança da Informação, sua importância estratégica e descreve detalhadamente os seus principais componentes. Por outro lado, dá subsídios para que a Governança Corporativa possa interagir e controlar a Governança de TI nos seus aspectos relativos 'a segurança da informação permitindo que a organização estabeleça seus objetivos,  determine os meios necessários para alcançá-los e monitore seu desempenho com elementos garantidores suportados por um SGSI.

Sempre é bom lembrar que a visão integrada da segurança da informação e as novas quatro "ondas" (mobilidade, social network, cloud e Big data) que estão se "quebrando" sobre as empresas e a própria indústria de TI vão provocar uma descontinuidade na maneira de como se adquire e usa tecnologia garantindo a confiabilidade, disponibilidade e integridade das informações que a partir desta nova visão será distribuída e gerenciada por toda a cadeia produtiva, indo desde a indústria até o ponto de venda. Mas para "surfar estas ondas" de forma segura temos que ir além das tecnologias que as suportam, e para isso precisamos dar muita atenção à preparação, contratação e reciclagem dos profissionais de TI, processos e todos os componentes envolvidos com a segurança de forma ampla e de todo risco relacionado.

 

Este conteúdo aborda várias metodologias,  modelos de boas práticas, frameworks e normas ISO, partindo-se de um tópico muito comum da administração baseado na ferramenta da qualidade, o enfoque PDCA. Esta ferramenta visa garantir o alcance das metas necessárias à sobrevivência dos negócios e, embora simples, representa um avanço sem limite para o planejamento eficaz e também é a base do planejamento para a Governança com foco na segurança da informação.

Este ciclo é necessário para que todas as experiências sejam constantemente revisadas, para que os ajustes sejam realizados e para que o aprendizado com os erros seja possível. Desta forma é possível sempre identificar necessidades de melhoria, principalmente nas áreas suportadas por processos de apoio onde os recursos em todos os sentidos são mais escassos, devendo dessa forma alcançar a melhor produtividade possível nos processos implantados.

Diversos fatores influenciam a implantação de uma Governança de Segurança da Informação, começando pela nomenclatura, dialetoum tanto estranho à realidade dos principais executivos das empresas. O Perfil do profissional gestor de TI é outro fator que é decisivo para o sucesso de um projeto desse nível. Além das habilidades técnicas, tornam-se necessárias outras características, como um perfil de negociador e de liderança transformacional independente da hierarquia que ocupa. O gestor deve buscar obter alinhamento estratégico da segurança da informação. A organização precisa, por exemplo, desenvolver e divulgar de forma conjunta com a Governança em geral uma politica de segurança da informação de acordo com um plano de continuidade de negócio, se possível.

Já no que diz  respeito  a  gestão  de riscos   as   diretrizes gerais devem focar em uma   análise sistemática e avaliação dos riscos, identificar, monitorar e reportar incidentes de segurança, estimar e reduzir a probabilidade e o impacto dos riscos.

 

A Governança em Segurança da informação deve ter como diretrizes mestras o Alinhamento Estratégico, a Gestão de Riscos, Gestão de Infraestrutura (incluindo todos os recursos de forma eficaz), Gestão de Indicadores de Desempenho de Segurança da Informação e principalmente estar alinhada a entrega de Valor do negócio como um todo.

 

 

Sobre a gestão de desempenho através de indicadores é bom frisar que não basta criar e implementar controles, é preciso checar a eficácia dos mesmos. Exemplos de metas para monitorar esse objetivo: número de incidentes e quantidade de sistemas que não atendem aos requisitos de segurança.

 

Minimizar o impacto de incidentes e reduzir a probabilidade de interrupção dos serviços são exemplos de metas que podem ser utilizadas para verificar se a organização está alcançando  seu  objetivo principal,  a  entrega  de valor.

 

 

Plano de Continuidade de Negócios, você precisa de um!

Dominós

 


Um bom Plano de Continuidade de Negócios vai manter a sua empresa em funcionamento através de interrupções de qualquer espécie: falhas de energia, falhas no sistema de TI, desastres naturais, problemas de cadeia de suprimentos e muito mais.
Saiba mais sobre o "porque", "como", "onde" e "principalmente os benefícios com a sua implementação".

(O que é, Por que)
Objetivo-> Juntamente com o corpo executivo da organização, dimensionar os riscos e estabelecer um PCN - Plano de Continuidade dos Negócios aos serviços mais críticos de sua empresa.

Alguns dos principais fatores motivadores, os quais determinam possíveis objetivos são: "recuperar os processos críticos de  negócio" ;  "proteger a reputação"; "proteger os colaboradores"; "cumprir com obrigações legais/regulatórias"; e "proteger os interesses dos  acionistas".

Basicamente, um PCN é um conjunto de três outros planos, sendo que cada um  destes  planos  é  focado  em  uma determinada variável de risco, numa situação de ameaça ao negócio da empresa (ou ambiente):

* O Plano de Gerenciamento de Crises  (PGC)

(Para atividades que envolvem as respostas aos eventos)

* O Plano  de  Continuidade  Operacional  (PCO) 
(Voltado para as atividades que garantam a realização dos processos)

* O Plano  de Recuperação  de  Desastres  (PRD)
(Focado na substituição ou reposição de componentes que venham a ser danificados)

Como todo projeto a definição de linguagem semântica, nível de abordagem e escopo é fundamental. Todos os envolvidos devem saber o que significa Plano de Continuidade de Negócios, Planejamento da continuidade do negócio, Dimensionamento de Desastres, Níveis Críticos de Disponibilidade, Critérios de Avaliação de Confiabilidade, Classificação e Integridade dos dados e capacidade de Sobrevivência.

Mesmo sem ter planos formais de continuidade, através dos questionamentos abaixo a alta gerência poderá saber se a sua organização está preparada para uma fatalidade operacional:

*  Quais são os principais negócios da minha organização?
*  Quais são os fatores de risco operacionais que podem afetar seriamente os negócios da organização?
*  Quais são os fatores de risco estratégicos que podem afetar seriamente os negócios da organização?
*  Devemos englobar o risco da  cadeia de  fornecimento no  Plano?
*  Qual seria o impacto nas receitas geradas pelos negócios da empresa se um ou mais fatores de risco acontecesse?
*  Como a empresa está preparada para lidar com o inevitável ou uma ameaça?
*  Que tipo de  incidentes houveram e se positivo, quais foram ás maiores perdas nos últimos dois  anos?
*  Quais são os principais fatores motivadores para o PCN ("Boas Práticas"; "experiência do passado"; "cumprimento regulatório"; "pressão do cliente"; "vantagem competitiva"   ou "pressão de  seguradoras")?

Caso a empresa já tenha pensado ou até iniciou iniciativas anteriores neste sentido quais foram as barreiras encontradas?
Por exemplo:  "falta de  tempo", "conflito de  prioridades", "falta de  recursos", "falta de  entendimento",  "falta de  orçamento", "más experiências", "falta de  capacidades" ou "falta de  apoio executivo".




(Como, Onde)
Meios-> Um plano de continuidade exige a delimitação de um escopo de trabalho baseado na seleção dos serviços mais críticos e os respectivos ativos tangíveis e intangíveis relacionados (infraestrutura física, propriedade intelectual, pessoas, processos que compõem a cadeia de valor e tecnologias) envolvidos no atendimento destes processos-chave de negócios.

O projeto começa a partir da etapa de avaliação BIA (Business Impact Analysis), onde os processos críticos de negócios da empresa são ordenados em função do seu custo e impactos de não continuidade, até a etapa de Análise de Criticidade, onde os mesmos são avaliados de forma detalhada de acordo com os impactos que a organização venha a sofrer com a sua interrupção, as informações apresentadas agregam importantes indicadores para os gestores e responsáveis pela direção da empresa.


Neste aspecto são determinados diversos cenários de eventos inesperados que podem levar a interrupção de sua empresa e com base nesta realidade são realizadas as seguintes atividades:

*  Determinação do escopo da continuidade do negócio;
*  Mapeamento dos fluxos e ativos contingenciados;
*  Estabelecimento e implementação das estratégias de continuidade do negócio;
*  Completa documentação dos planos e procedimentos;
*  Realização e acompanhamento de testes, reavaliação, aceitação e manutenção do plano.

Em linhas gerais uma abordagem metodológica passa pelas seguintes etapas:
*  Assessment do PCN.
*  Capacitação da Equipe, indo desde da Estratégia até ao nível Operacional(*1).
*  Elaboração do Plano de Continuidade.
*  Implementação.


(O que eu ganho com isso)
Produtos Finais->

*  Relatório de impacto nas operações do negócio (BIA).
*  Plano de Administração de Crises, Plano de Contingência e Plano de Recuperação de Desastres.
*  Procedimentos de teste do plano e preparação das áreas envolvidas no PCN.

 Benefícios->

O principal benefício de  ter um PCN é, evidentemente, garantir que a sua empresa está preparada se um incidente ocorrer e principalmente na recuperação mais rápida após incidentes ocorridos. E acrescentando a esta preparação, elencamos a seguir vários outros fatores favoráveis, onde, se atender pelo menos uma das afirmações já se justifica    implementar um programa de  PCN: 


*    Um melhor entendimento dos seus negócios como um todo.
*    Ter parâmetros reais para uma melhor tomada de  decisão estratégica notadamente pela melhoria de tomada de decisão sobre situações de risco.
*    Diminuição de impactos aos negócios em casos de crise de disponibilidade.
*    Atendimento de necessidades normativas e regulatórias incluindo aspectos da BS 25999(*2) ,  ISO 27002(*3) e ISO 15999(*4).
*   Aumento da credibilidade do negócio e possibilidade de reduzir os valores dos seguros da organização.
 
 (*1)
Curso Disaster Recovery - Objetivo
O principal objetivo do curso é capacitar o aluno a elaborar planos e estratégias para Recuperação de Desastre visando manter a operação da organização, mesmo perante a um cenário adverso. Elaborar o mapeamento de Processos de Negócio e ativos críticos de uma Organização fictícia; Realizar as seguintes Analises: Ameaças, Riscos e Vulnerabilidade - realização de entrevistas; Apurar os resultados e orientar ao comitê executivo uma estratégia para Gestão de Recuperação de Desastre; Elaboração dos Planos; Construir um planejamento de testes para os planos e estratégia; Apresentar o resultado dos testes, custos e demais informações. Todos os passos serão elaborados em sala de aula - contextualizando todo o programa de Gestão de Continuidade de Negócios. Aulas práticas com a formação de 2 empresas fictícias, dividindo a turma em dois grandes grupos.
Para maiores informações: http://www.grupotreinar.com.br/treinamentos/riscos-governan%C3%A7a/curso-disaster-recovery-em-rio-de-janeiro.aspx


Curso Gestão de Continuidade de Negócios - Objetivo
O principal objetivo do curso é capacitar o aluno a elaborar planos e estratégias para Contingência para manter a operação da organização, mesmo perante a um cenário adverso. Elaborar o mapeamento de Processos de Negócio de uma Organização fictícia; Realizar as seguintes analises: Ameaças, Riscos e Impacto nos Negócios - realização de entrevistas; Apurar os resultados e orientar ao comitê executivo uma estratégia para Gestão de Crise; Elaboração dos Planos; Construir um planejamento de testes para os planos e estratégia; Apresentar o resultado dos testes. Todos os passos serão elaborados em sala de aula - contextualizando todo o programa de Gestão de Continuidade de Negócios. Aulas práticas com a formação de 2 empresas fictícias, dividindo a turma em dois grandes grupos.
Para maiores informações: http://www.grupotreinar.com.br/treinamentos/riscos-governan%C3%A7a/curso-gest%C3%A3o-de-continuidade-de-neg%C3%B3cios-em-s%C3%A3o-paulo.aspx


Curso de Gerenciamento de Crise Corporativa em São Paulo - Objetivo
O principal objetivo do curso é capacitar o aluno a elaborar planos e estratégias para Recuperação de Desastre visando manter a operação da organização, mesmo perante a um cenário adverso. Elaborar o mapeamento de Processos de Negócio de uma Organização fictícia; Avaliar as seguintes Analises: Ameaças, Riscos e Impacto nos Negócios - realização de entrevistas; Apurar os resultados e orientar ao comitê eecutivo uma estratégia para Gestão de Crise; Elaboração dos Planos; Construir um planejamento de testes para os planos e estratégia; Apresentar o resultado dos testes. Todos os passos serão elaborados em sala de aula - contextualizando todo o programa de Gestão de Crise Corporativa. Aulas práticas com a formação de 2 empresas fictícias, dividindo a turma em dois grandes grupos.
Para maiores informações: http://www.grupotreinar.com.br/treinamentos/riscos-governan%C3%A7a/curso-de-gerenciamento-de-crise-corporativa-em-s%C3%A3o-paulo.aspx


Curso PCN - Plano de Continuidade de Negócios - Objetivo
Este curso tem como objetivo prover conhecimento das melhores práticas de Planejamento e Continuidade de Negócios, capacitando o aluno para a formulação, planejamento e execução de um plano de continuidade de negócios, aprofundando o conhecimento do aluno nas áreas de Gestão de Risco, Resposta a Incidentes e Gerenciamento de crises.
Para maiores informações: http://www.grupotreinar.com.br/treinamentos/riscos-governan%C3%A7a/curso-plano-de-continuidade-de-neg%C3%B3cios.aspx

 

(*2)O BS 25999  é um standard do Reino Unido que regula a implementação e a gestão de  um programa de  Continuidade de  Negócio que foi lançado em  2007.   Apesare  ser  um standard do Reino Unido, teve também relevância fora deste, e é uma ferramenta útil para qualquer empresa que esteja a tentar implementar um PCN.

(*3)A norma ISO 27002 (anteriormente conhecida como a norma ISO 17799), é um código de práticas para a segurança da informação. Descreve centenas de potenciais controles e mecanismos de controle, que podem ser aplicadas para a orientação fornecida dentro da framework ISO 27001.
A norma estabelece as diretrizes e princípios gerais para iniciar, implementar, manter, bem como a melhoria da gestão da segurança da informação dentro de uma organização. Os controlos que estão listados dentro da norma reconhecem os requisitos específicos identificados através de uma avaliação de risco formal. A norma também se destina a fornecer orientação para o desenvolvimento de padrões de segurança organizacional e práticas eficazes de gestão da segurança.
A base da norma foi originalmente publicada pelo governo do Reino Unido, que se tornou num padrão em 1995, quando foi republicada pela BSI como BS7799. Em 2000, foi novamente republicada, desta vez pela ISO, como ISO 17799. A nova versão apareceu em 2005, juntamente com uma nova publicação, a ISO 27001. Estes dois documentos estão  destinados a ser utilizados em conjunto, complementando-se.
Para saber mais sobre esta norma e nosso Curso correspondente acesse:
http://www.grupotreinar.com.br/videos/seguran%C3%A7a-da-informa%C3%A7%C3%A3o/curso-e-certifica%C3%A7%C3%A3o-em-iso-27002-exin-synercorp.aspx
Neste vídeo se explica as aplicabilidades da famílias de normas ISO 27000 e dá detalhes importantes sobre as normas ISO 27001 e ISO 27002 mostrando a importância de iniciar o processo de aprendizado pela ISO 27002 e os benefícios de se obter a certificação. 


(*4) Originária da BS 25999-2, a norma ABNT NBR 15999-2 especifica os requisitos de um plano para manter a operação em funcionamento em caso de algum alguma ocorrência grave no ambiente de negócio. O seu objetivo é garantir os processos fundamentais para que a empresa após ter passado por um incidente gerador de uma ruptura do negócio, retorne à sua condição normal, conseguindo desta forma, minimizar os prejuízos.
Criada pelo BSI em 2006, a norma britânica BS 25999 foi publicada no Brasil em outubro de 2007 pela ABNT com o nome ABNT NBR 15999, sendo a primeira norma para o gerenciamento da continuidade do negócio, que estabelece os processos, princípios e terminologias da Gestão da Continuidade do Negócio (GCN) ou Business Continuity Management (BCM). Ela prove a base para o entendimento, desenvolvimento e implementação da continuidade do negócio dentro das organizações, bem como proporciona confiança nos negócios entre empresas e seus pares. Ela foi desenvolvida por praticantes da comunidade global e é desenhada para propiciar à organização, uma grande capacidade de restabelecer seus principais processos dentro de uma condição e prazo anteriormente acordados.

FastSalas.com

Estudo Mostra que Funcionários Roubam Dados Corporativos

 

 

Segurança da Informação

 

Empresas falham em conscientizar os funcionários sobre roubo de propriedade intelectual. No Brasil, 62 por cento dos colaboradores que mudaram de emprego mantêm dados corporativos confidenciais e 56 por cento planejam usá-los na nova companhia para a qual trabalharão.

 

Mais da metade dos funcionários de empresas brasileiras (62 por cento) que deixaram ou perderam seus empregos nos últimos 12 meses mantêm dados corporativos confidenciais, de acordo com uma Pesquisa Global da Symantec   (Nasdaq: SYMC). Além disso, 56 por cento no Brasil planejam usá-los em seus novos empregos. O número é maior que o resultado global, de 40 por cento. Os resultados mostram que as atitudes cotidianas e crenças dos funcionários sobre o roubo de Propriedade Intelectual (PI) estão em desacordo com a maioria das políticas nas empresas.

Os funcionários não só acham que é aceitável levar e usar a PI quando deixam uma empresa, mas também acreditam que as organizações não se importam. Apenas 47 por cento em todo o globo (33 por cento, nos resultados do Brasil) dizem que suas empresas tomam alguma atitude quando os funcionários se apropriam de informações confidenciais em desacordo com as políticas internas. E 68 por cento no mundo dizem que suas organizações não tomam medidas para assegurar que os funcionários não utilizem informações competitivas sigilosas de terceiros. As organizações falham em criar um ambiente e uma cultura que promovam a responsabilidade dos funcionários em relação à proteção da Propriedade Intelectual. 

"As empresas não podem concentrar suas defesas unicamente em invasores externos e funcionários mal intencionados que planejam vender PI. O funcionário que leva dados corporativos confidenciais sem segundas intenções, porque não entende que é errado, também pode ser muito prejudicial para uma organização. A orientação isolada não vai resolver o problema de roubo de PI. As empresas precisam de tecnologias de prevenção contra perda de dados para monitorar o uso da PI e alertar sobre os comportamentos que colocam dados corporativos confidenciais em risco. O momento de proteger sua PI deve vir antes que ela saia pela porta", afirma Vladimir Amarante, Gerente de Engenharia de Sistemas e Especialista em Segurança da Symantec. 

Destaques da pesquisa

  • Funcionários levam PI para fora da empresa e nunca a apagam.  Enquanto 62 dois por cento dos entrevistados globalmente dizem que é aceitável transferir documentos de trabalho para dispositivos pessoais - computadores, tablets, smartphones ou aplicativos de compartilhamento on-line de arquivos - 76 por cento dos executivos brasileiros que pensam da mesma maneira. E apenas seis por cento destes apagam os dados transferidos porque não veem nenhum mal em mantê-los;
  • A maioria dos funcionários não acredita que seja errado usar dados sobre competitividade de um empregador prévio.Quarenta e quatro por cento dos entrevistados brasileiros (56 por cento no resultado global) não acreditam que seja crime usar informações de sigilo comercial de um concorrente. Essa crença equivocada coloca seus empregadores atuais em risco por serem receptadores involuntários de PI roubada;
  • Os funcionários atribuem a posse da PI à pessoa que a criou.Quarenta e quatro por cento dos entrevistados no mundo (61 por cento, no caso brasileiro) acreditam que um desenvolvedor de software que cria código-fonte para uma companhia tem alguma propriedade sobre seu trabalho e invenções; enquanto isso, 42 por cento dos entrevistados (55 por cento entre os brasileiros) não acreditam ser crime reutilizar o código-fonte de sua autoria sem autorização em projetos de outras empresas;
  • As organizações falham em criar uma cultura de segurança.Apenas 23 por cento dos entrevistados no Brasil dizem que seus gerentes veem a proteção dos dados como uma prioridade para os negócios. No cenário global esse número é de 38 por cento. Outros 51 por cento no globo acham que é aceitável levar dados corporativos porque suas empresas não cumprem rigorosamente suas políticas.



O mais importante, porém, é que os inovadores estão obtendo um crescimento da receita quase 50 por cento mais alto do que os tradicionais (44 por cento contra 30 por cento). Considerando tudo, as empresas observam resultados positivos líquidos com a mobilidade.

Recomendações

  • Orientar funcionários:  As organizações precisam informar seus funcionários de que se apropriar de informações confidenciais é errado. A conscientização sobre o roubo de PI deve ser parte integrante do treinamento de segurança;
  • Usar Acordos de Confidencialidade:  Em quase metade dos casos de roubo de informação corporativa, a organização tinha acordos de PI com o funcionário, o que indica que apenas a existência de uma política, sem aplicação rigorosa e a compreensão do funcionário, é ineficaz . É necessário utilizar uma linguagem mais forte e específica em acordos de trabalho e se certificar de que as entrevistas de demissão incluam conversas sobre a contínua responsabilidade dos funcionários em proteger as informações confidenciais e devolver todas as informações e elementos de propriedade da empresa (quando estiverem armazenadas). Os funcionários devem estar cientes sobre as violações de políticas e que o roubo de informações da empresa terá consequências negativas para eles e para seu futuro empregador;
  • Implementar tecnologias de monitoramento:  Adote uma política de proteção de dados que monitore o acesso e o uso inadequados de PI e notifique automaticamente os funcionários sobre violações. Essas medidas vão aumentar a conscientização sobre segurança e impedir roubos.




AFIRMAÇÕES ESPECULATIVAS: Todas as indicações especulativas de planos para produtos são preliminares, e todas as datas de lançamentos futuros são experimentais e estão sujeitas à alteração. Todos os lançamentos futuros do produto ou modificações planejadas nos recursos, funcionalidades ou habilidades do produto estão sujeitos à constante avaliação da Symantec, e poderão não ser implementados, não devendo ser considerados como compromissos firmados pela Symantec, nem considerados para decisões de compra.

 

 


Sobre a Pesquisa
A pesquisa da Symantec  O que É Seu É Meu: Como os Funcionários Estão Colocando sua Propriedade Intelectual em Risco   foi realizada pelo The Ponemon Institute em Outubro de 2012, para examinar o problema de roubo ou abuso de PI por parte dos funcionários no local de trabalho. Os resultados se baseiam nas respostas de 3.317 indivíduos em seis países, incluindo Estados Unidos, Reino Unido, França, Brasil, China e Coreia.

 

fonte:http://www.symantec.com/pt/br/about/news/release/article.jsp?prid=20130313_01


O que as pequenas empresas precisam saber sobre a segurança da informação

 

 

Segurança da Informação

 

O texto a seguir foi traduzido do original escrito por Neil Hanks

 

Enquanto a internet tem proporcionado ao empresário acesso sem precedentes tanto para o mercado local como também para o global, tem também aumentado a vulnerabilidade e exposição a roubos de dados, fraudes on-line e muitos outros crimes cibernéticos.

Infelizmente, a maioria dos empresários de pequenos negócios no Canadá (isto é verdade também para o Brasil e outros países) não tem a segurança da informação adequada, ou porque não se preocupam em fiscalizar, ou porque eles superestimam o custo da segurança. Não surpreendentemente, as estatísticas mostram que especialmente as pequenas empresas estão em risco porque são alvos fáceis.

Como proprietário de uma empresa de pequeno porte, para você um pouco de conhecimento e algumas medidas preventivas são a melhor maneira de protegê-lo, bem como suas informações de negócios de roubos e suas consequências.

 

Roubo de informações pode ser comum que você imagina

Estudos revelam que as violações de informação são comuns, e podem ser catastróficos. Pequenas empresas que experimentaram roubos de dados podem sofreram perdas financeiras e muitas foram à falência. Segundo o Centro Anti-Fraude canadense( Canadian Anti-Fraud Centre), foram 139.771 denúncias de fraudes de marketing de massa entre 2009 e 2011 - 43.691 foram vítimas reais. Juntos, vítimas perderam para fraudadores e golpistas $ 184.044.451,51 (dólares canadenses), incluindo o dinheiro perdido por indivíduos que foram enganados.

Os criminosos são organizados e sofisticados

Os criminosos empregam muitos métodos diferentes para roubar seus dados, operando frequentemente de forma altamente organizada e sofisticada. Eles às vezes usam dispositivos eletrônicos de escuta para espionar sua Internet e comunicações de rede. No entanto, na maioria das vezes eles usam e-mails, software de phishing(é um tipo de golpe eletrônico cujo objetivo é o furto de dados pessoais, tais como número de CPF e dados bancários) e malware(espécie de apelido para o termo malicious software - é um programa que tem por objetivo capturar informações de um computador de forma ilícita ou, ainda, danificar o sistema) para reunir informações confidenciais do seu computador e rede, visando geralmente dados de conta bancária, cartão de crédito e números de segurança social dos empregados e seus clientes.

 

Nem todos os criminosos utilizam de métodos baseados em alta tecnologia

Os criminosos nem sempre utilizam alta tecnologia. Utilizam de relacionamentos com seus colaboradores e acabam por ir até o seu escritório e assim descobrem uma maneira de ter acesso a materiais confidenciais. Isto é chamado de Engenharia Social. Outros criminosos utilizam de vandalismo, descobrindo meios de causar danos nos equipamentos ou locais que retém as informações.

 

A negligência é muitas vezes o grande culpado

As vezes, a negligencia permite que a informação seja manipulada inadvertidamente permitindo que  registros confidenciais sejam enviados para os criminosos por meio de e-mail ou mídias sociais. Eles podem incidentalmente acessar informações confidenciais transmitidas através de uma rede pública de forma não criptografada, para que todos que possuam programas tipos "snifers" vejam e capturem as mensagens. Alternativamente, você ou um de seus empregados podem perder dados e dispositivos contendo registros confidenciais em casa ou em locais públicos, como um smartphone ou unidade de disco rígido portátil, por exemplo.

 

Investir em segurança da informação não é caro

Enquanto muitos proprietários de pequenas empresas subestimam o risco de segurança da informação, outros têm a ideia equivocada de que a segurança da informação é muito caro. De acordo com a Industry Canada, cerca de 3.600 pequenas empresas vão a falência todos os anos, embora o número real de falhas de negócio pode ser muito maior. Enquanto as consequências de violações de informação podem ser devastadoras, proteger seus dados pode ser mais fácil do que você pensa porque muitos métodos não são nem caros e nem complicados, como descrito a seguir.

 

Prevenção custa menos do que a cura

Quando se trata de segurança das informações, você pode não estar ciente de uma violação, até que seja tarde demais. No momento em que você descobre você já pode ter incorrido em grandes perdas financeiras ou em algo que danificou a imagem de sua empresa. Recuperar a sua informação perdida ou remendar sua reputação pode exigir muitos esforços pessoais, financeiros e legais. Adicionalmente, compensações a clientes pode colocar um pesado pedágio financeiro para a sua empresa.

Algumas dicas úteis para proteger seus dados

Aqui estão a seguir alguns métodos simples e eficazes para ajudar a proteger seus dados de criminosos, concorrentes, funcionários mal-intencionados, visitantes e invasores casuais:

 

1. Eduque seus funcionários

Implementar medidas de segurança sem educar seus funcionários é como fechar a porta sem bloqueá-la, portanto educar seus funcionários sobre os princípios básicos de segurança e práticas é um principio fundamental. Estabeleça procedimentos de segurança da informação e cuide que seus funcionários os cumpram.

 

2. Instale software anti-malware  

A maneira mais fácil para os criminosos cibernéticos reubarem seus dados ou causar danos ao seu sistema de informação é usando malware (software malicioso). Instale um bom  software anti-malware que seja confiável e um firewall em cada computador conectado à rede do escritório.

 

3. Criptografe dados confidenciais

A proliferação da tecnologia móvel (incluindo laptops, iPads, tablets e celulares) aumentou drasticamente a probabilidade de informações confidenciais caiam nas mãos erradas. A única maneira de proteger dados importantes é criptografá-los. Software de criptografia de boa qualidade pode exigir um investimento inicial, mas quando você ou um empregado realmente perder um dispositivo, você perceber que mais do que vale o que você pagou por ele.

 

4. Use SSL somente para dados sensíveis

Ao receber ou enviar informações confidenciais, como números de cartão de crédito ou outros dados financeiros através da internet, use o Secure Socket Layer (SSL)*1 ou uma tecnologia semelhante. O SSL fornece proteção completa contra a informação que está sendo interceptado por cibercriminosos.

*1 Secure Socket Layer (SSL) é um padrão global em tecnologia de segurança desenvolvida pela Netscape em 1994. Ele cria um canal criptografado entre um servidor web e um navegador (browser) para garantir que todos os dados transmitidos sejam sigilosos e seguros. Milhões de consumidores reconhecem o "cadeado dourado"que aparece nos navegadores quando estão acessando um website seguro. 

Quando escolher ativar o SSL no seu servidor web você terá que responder algumas questões sobre a identidade do seu site (ex. a URL) e da sua empresa (ex. a Razão Social e o endereço). Seu servidor web então criará duas chaves criptográficas - a Chave Privada (Private Key) e a Chave Pública (Public Key). Sua Chave Privada não possui esse nome à toa - ela deve ser mantida privada e segura. Já a Chave Pública não necessita ser secreta e deve ser colocada na CSR (Certificate Signing Request) - um arquivo de dados contendo os detalhes do site e da empresa. Você deverá enviar esta CSR através do formulário de solicitação em nosso site, seus dados serão validados e se estiverem corretos seu certificado digital será emitido.

Seu servidor web irá associar o certificado emitido com a sua Chave Privada. Seu servidor irá estebelecer um link criptografado entre seu website e o navegador do seu consumidor.

 

5. Faça cópias de segurança de dados sensíveis

Você ou um de seus funcionários podem acidentalmente apagar arquivos importantes, ou qualquer mídia de armazenamento, ou até danos em outros dispositivos. Fogo e outras calamidades naturais ou artificiais também podem danificar o seu escritório e infra-estruturas de informação. Faça cópias de segurança de vários dados sensíveis, operações financeiras e todos os outros arquivos importantes. Criptografá-los e armazená-los em locais seguros, incluindo em um local seguro na nuvem deve ser um procedimento rotineiro a ser adotado.

 

6. É extremamente recomendável adorar o procedimento de segurança que manda destruir documentos descartados

Os documentos em papel que você não precisa mais pode fornecer um tesouro de informações para os criminosos e oportunistas. Há rigorosas leis federais e provinciais no Canadá e em outros países que você deve observar na destruição de documentos que contenham informações sigilosas.

Segundo o estudo por Shred-It, cerca de 28% das pequenas empresas no Canadá não estão cientes de conformidades legais e legislações que se aplicam à segurança de seus negócios. Surpreendentemente, mais de metade (56%) das pequenas empresas não têm um método seguro de descarte de documentos. Verifique seus procedimentos atuais ou com o seu provedor de serviços de trituração de papel para ver se cumprem todos os regulamentos.

Fonte: http://www.smallbusinessbc.ca/growing-a-business/what-small-businesses-need-know-about-information-security