Translate

19 dezembro 2017

Internet das Coisas: um Plano de Ação para o Brasil - Aspectos de Segurança

Em 03 de outubro, durante a Futurecom 2017 em São Paulo (evento em que este autor foi palestrante), foi lançado pelo BNDES e o MCTIC o estudo “Internet das Coisas: um plano de ação para o Brasil” (Produto 8: Relatório do plano de ação – Iniciativas e Projetos Mobilizadores), que subsidiará elaboração do Plano Nacional de IoT (Internet of Things). O estudo reúne mais de 70 proposições para guiar as políticas públicas e ações para IoT entre 2018 e 2022.
O estudo destaca – no seu item 4.4.3 –  que um dos principais pontos necessários para o adequado desenvolvimento da Internet das Coisas está relacionado com a disponibilidade de conectividade. Desse modo, a análise e revisão do quadro regulatório de telecomunicações é de suma importância para se assegurá-la, com as especificidades necessárias, em especial diante da variedade de aplicações e de novos modelos de negócio em IoT.
Além dos desafios na regulamentação de telecomunicações, é essencial endereçar os atuais gargalos nos temas de privacidade e proteção de dados pessoais e de segurança da informação. Embora se tratem de temas maiores do que IoT, são catalisadores para seu adequado desenvolvimento, em especial em ambientes como o de cidades e de saúde. Há um conjunto de questões regulatórias específicas dos ambientes cidades, saúde, rural e indústria que devem ser analisadas para o desenvolvimento da IoT.
Portanto, no que tange à garantia da Segurança das conexões, o estudo lista os 4 objetivos específicos da horizontal de Regulatório, Segurança e Privacidade, que possui diversos aspectos que são mais amplos do que IoT e cuja análise detalhada excede o escopo do estudo:
  • Endereçar questões da regulamentação de Telecom com vistas a acelerar o desenvolvimento de aplicações IoT.
  • Identificar e tratar questões regulatórias específicas nas verticais priorizadas.
  • Estruturar a criação de um marco regulatório de proteção de dados pessoais adequado para fomentar a inovação e a proteção aos direitos individuais.
  • Estabelecer desenho institucional adequado para enfrentar os desafios em privacidade e segurança para IoT.
Os três elementos dessa horizontal em pauta foram descrito sucintamente no item 6.4 do estudo:
  • Regulação de Telecomunicações (6.4.1) – um dos requisitos essenciais de aplicações Internet das Coisas é a existência de conectividade, conceito este diretamente relacionado à infraestrutura de suporte à prestação de serviço de telecomunicações, o que traz para o debate de Internet das Coisas a necessidade de uma análise aprofundada da regulamentação setorial para identificar potenciais obstáculos ao desenvolvimento de IoT no país.
  • Privacidade e Proteção de Dados Pessoais (6.4.2) – com a proliferação de novos dispositivos conectados à Internet aptos a armazenar, coletar e tratar uma significativa quantidade de dados, tem sido recorrente a discussão sobre usos legítimos dos dados e sobre as vulnerabilidades das bases de dados gerados. Em adição, a formulação de políticas públicas, a gestão eficiente e transparente dos órgãos governamentais e a criação de novos modelos de negócios são influenciados pelo crescimento exponencial de análises baseadas em grandes volumes de dados. Assim, o desenvolvimento de soluções de IoT demanda edição de norma sobre proteção de dados pessoais que lide com a complexidade deste contexto tecnológico. É preciso existir instância regulatória para lidar com estes desafios, com uma autoridade capaz de apresentar opiniões técnicas específicas com controle unificado e homogêneo do cumprimento das disposições sobre proteção de dados pessoais.
  • Segurança da Informação (6.4.3) – diante do desenvolvimento da IoT no Brasil, da expansão de vulnerabilidades em redes e da natureza “sem fronteiras” de incidentes em segurança da informação, a discussão sobre medidas relacionadas à cibersegurança nos âmbitos do Poder Público e da iniciativa privada ganha destaque. Discutem-se modelos de governança tanto para a cooperação internacional, quanto em relação ao arranjo institucional interno brasileiro. No âmbito local, faz-se necessário, ainda, encontrar alternativas para incentivar a adoção de medidas protetivas à segurança da informação pela iniciativa privada, seja pela adoção de mecanismos voluntários de certificação de dispositivos ou pelo respeito a critérios mínimos de segurança em infraestruturas críticas. Uma alternativa prevista no estudo seria a certificação voluntária sobre a segurança de dispositivos ligados à IoT. A estruturação de sistema de certificação baseado na autoavaliação voluntária, sem imposição de obrigações legais, tem potencial de criar cultura de transparência na prestação de informações ao usuário e incentivar a adoção de alto padrão de segurança pela iniciativa privada. Para viabilizá-lo, uma alternativa seria a criação de aliança por representantes da iniciativa privada, responsável pela organização estrutural e elaboração de diretrizes. Possíveis encaminhamentos:
    • Cooperação internacional – Aprimorar mecanismos de cooperação internacional para prevenção e tratamento de incidentes de segurança da informação, como pela adesão a Acordos de Troca e Proteção Mútua de Informações Classificadas; Incentivar a adoção de standards internacionais na temática de segurança da informação pela iniciativa privada.
    • Arranjo institucional brasileiro – Estruturar governança baseada em modelo multissetorial, com criação ou designação de estrutura para coordenar atividades baseadas em segurança da informação, na forma de conselho permanente, entidade pública ou agência reguladora, visando apoiar a elaboração de políticas nacionais, criação de mecanismos de resposta a incidentes, dentre outras; Estimular a cooperação e interação entre o Poder Público, sociedade civil, iniciativa privada e academia, com o fim de promover medidas de conscientização e fomento da segurança da informação.
    • Incentivo à adoção de certificação voluntária de dispositivos – Incentivar a criação de sistema de certificação de segurança da informação em dispositivos em Internet das Coisas, baseada em modelo de autorregulação pela iniciativa privada, baseado em autoavaliação voluntária, com adoção de selo/sinalização de conformidade ao consumidor, o que evitaria alto custo de entrada; Estruturar modelo de corregulação ou regulação híbrida para certificação de dispositivos IoT, com participação de conselho multissetorial ou agência pública focada em segurança da informação.
    • Segurança da informação em infraestruturas críticas – Fortalecer a estrutura institucional dedicada à segurança de infraestruturas críticas no âmbito da Administração Pública Federal, e incentivar os setores regulados a respeitarem aspectos mínimos de segurança da informação em setores de infraestrutura crítica.
Por fim, ressalta-se que o item 7.2.2.2 do estudo em pauta considera, no tema de competências tecnológicas, a alta complexidade inerente aos sistemas IoT, decomposta nas camadas de dispositivos, conectividade, suporte à aplicação e segurança. No que tange à camada de segurança, o estudo destaca a importância da tecnologia para:

  • Segurança embarcada: o desenvolvimento de robustos mecanismos de segurança passa a ser mais difícil quando executados em ambientes com restrições de capacidade computacional e disponibilidade energética. Assim, é alto o grau de competência necessário nesta área para garantir que os sistemas atendam aos requisitos exigidos por muitas aplicações sensíveis ao roubo de dados ou em que a atuação no mundo físico pode trazer perdas financeiras ou mesmos da seguridade das pessoas.
  • Segurança de redes: A criticidade na segurança da informação de algumas aplicações IoT também se estende à rede de comunicação. Duas questões se destacam nesta área: o ingresso dos dispositivos na rede de acesso e a prevenção de ataques de negação de serviço.
  • Acreditação da informação: várias operações realizadas a partir da interação com o mundo físico geram registros digitais armazenados em nuvem, que precisam ser acreditados com grande confiabilidade. Neste aspecto, tecnologias para a realização de assinaturas digitais e armazenamento confiável das informações ganham importância.
Dr. Paulo Pagliusi, Ph.D., CISM

06 julho 2017

Por que Usar uma Webcam Cover

Uso de capa deslizante protetora de webcam frontal em celular
Ninguém está livre de olhares alheios e é fato mais do que comprovado que você pode ser espionado pela sua webcam. Hackers ou adolescentes entusiastas da TI têm acesso a ferramentas fáceis de se usar, incluindo técnicas de phishing para "sequestrar" câmeras de pessoas inocentes, armazenar imagens e vídeos delas em situações embaraçosas que, na maioria das vezes, são enviadas para sites mal intencionados.  
Além disso, há também vários registros de espionagem de governos e agências estatais de inteligência. Isso acontece não só em câmeras web tradicionais de computador ou nas embutidas no laptop, mas também em smartphones - inclusive quando desligados, pois há ferramentas maliciosas que agem nos celulares em modo de hibernação.
Muitas pessoas acham que suas vidas não são tão interessantes assim para serem espionadas, mas na verdade é muito fácil que alguém consiga infectar seu dispositivo e invadir sua privacidade visando alguma vantagem indevida.
Diante do exposto, só confie na sua câmera quando você a estiver usando por algum motivo, como para tirar selfies ou conversar no Skype, e lembre-se sempre que, mesmo com a luz indicadora da webcam informando que ela está desligada, o problema não está resolvido. Daí a importância do uso de uma capa deslizante para proteção de sua câmera web - ou seja, uma Webcam Cover.
Paulo Pagliusi

04 abril 2017

Segurança Cibernética Vai Muito Além da TI – Fatores de Impacto dos Ataques ao Negócio

É fundamental para a sobrevivência das empresas e avanço dos seus negócios compreender o real impacto de um ataque cibernético e a importância do envolvimento de todas as áreas neste processo. Contudo, há um longo trabalho de conscientização neste sentido.
Paulo Pagliusi, Ph.D., CISM
Todas as indústrias, sem exceção, quando sofrem ataque ou ameaça cibernética, costumam achar que se trata de um problema de TI. Porém, Segurança Cibernética transcende essa área. É um tema multidisciplinar que envolve a combinação de avaliação de risco aos negócios, métodos de quantificação financeira, treinamento e conscientização de pessoas, avaliação de impactos à marca etc. Exige esforços do Jurídico, Comunicação, TI, Financeiro, RH, Segurança Corporativa, Auditoria, Gestão de Riscos, Cyber Security e Liderança (C-Level e Board). O programa Cybersecurity Nexus (CSX) da ISACA já aponta nesta direção.
Uma pesquisa de âmbito mundial da Deloitte, chamada “Por dentro de um ataque cibernético – Um olhar mais profundo para os impactos nos negócios” traz uma análise sobre como os líderes empresariais avaliam os impactos dos ciberataques em suas organizações. Se há medição para todos os riscos (financeiros, patrimoniais, jurídicos etc.), é preciso mensurar também os cibernéticos, que têm forte impacto para o negócio (incluindo marca, reputação) e podem ocasionar grandes perdas.
É comum as empresas improvisarem uma análise muito superficial sobre este impacto. A visão costuma ser curta, quando é preciso analisar o amplo e extenso prejuízo, considerando os custos diretos e os intangíveis (desvalorização da marca, perda de propriedade intelectual, impacto nos negócios) em um intervalo de tempo maior do que se costuma empregar.
O estudo mostra que apenas 5% dos impactos financeiros de um ataque cibernético são analisados para tomada de decisão. Os outros 95% ficam “submersos”, como mostra a ilustração abaixo. Assim, a situação costuma ser subavaliada. As empresas costumam olhar a questão por algumas semanas realizando triagem dos incidentes e por mais alguns meses para a gestão do impacto e acham que está tudo solucionado, quando na verdade é preciso projetar para o longo prazo para a completa recuperação do negócio, pois os efeitos de tais ataques podem ser sentidos por até cinco anos.

COMO LIDAR COM OS ATAQUES CIBERNÉTICOS?
De maneira distinta do que ocorria no passado, os ataques cibernéticos não acontecem mais por desafio ou diversão: há empresas especializadas nesta prática, visando realmente afetar os negócios das companhias, sendo tais ataques cada vez mais monetizados, silenciosos, persistentes e avançados. Uma decisão errada em minutos, na área de Risco Cibernético, é capaz de afetar o futuro dos negócios da empresa na próxima década.
No ano passado, em média, demorou 117 dias para que as empresas descobrissem ter sido alvo de um ataque cibernético. Diante deste cenário, muitas companhias podem já ter sofrido ataque e ainda não sabem disso. A condução do incidente, depois de descoberto, deveria ser a seguinte:

DIAS/SEMANAS:
– interrupção da operação;
– aplicação de controle de segurança, para reduzir vulnerabilidade;
– comunicação de parceiros e clientes;
– movimento para continuidade dos negócios.

SEMANAS/MESES:
– definição de estrutura interina da operação;
– busca de respaldo jurídico;
– observação das questões regulatórias;
– manutenção da relação com clientes e parceiros (busca de continuidade).

MESES/ANOS:
– esforço voltado a reparar dados aos negócios;
– redesenho do processo;
– investimento em segurança, vigilância e, em especial, resiliência cibernética para emergir mais forte, ao sair da crise.

COMO EVITAR INCIDENTES CIBERNÉTICOS?
O caminho está em integrar as múltiplas competências com os executivos da empresa e os profissionais de segurança, tendo a consciência de que uma crise pode realmente acabar com o negócio. Mais do que gestor de ativos de TI e tecnologista, o CISO hoje precisa ter uma postura mais estrategista e conselheira, orientando as áreas de negócio em atividades com implicações em riscos cibernéticos.
É necessário, portanto, estabelecer a combinação de conhecimento do risco cibernético com a avaliação do impacto do ataque para cada uma das áreas do negócio, considerando os custos financeiros e os intangíveis.
Desta forma, há necessidade de se adotar na empresa uma postura proativa, por meio de um modelo de inteligência e gestão de risco cibernético que considere três pilares:

SEGURANÇA: assumir um olhar preventivo, observar as ciberameaças conhecidas e se proteger delas, mantendo a conformidade com padrões e regulamentações. Fazer frente às ameaças conhecidas.

VIGILÂNCIA: conhecer e acompanhar as novas ameaças, detectar violações e anomalias no ambiente. Adotar comportamento mais proativo. Com base no que já aconteceu, ou acontece à sua volta, observar atentamente novas e possíveis variáveis. Estar preparado para ameaças previsíveis.

RESILIÊNCIA: estar pronto para as ameaças imprevisíveis, contando com uma estrutura resiliente, ou seja, que sinta o impacto, mas resista a ele. Retorno rápido às operações normais, mediante reparo dos danos causados ao negócio, lidar com a crise cibernética de modo que a empresa consiga emergir dela fortalecida.

Fontes: relatório Deloitte - Por dentro de um ataque cibernético - Um olhar mais profundo para os impactos nos negócios, 2016. Tradução: Estadão.