7 Maneiras Fáceis para Evitar ser Hackeado

Tecnicamente, tudo o que se conecta à Internet pode ser hackeado. Mas há várias coisas que você pode fazer para proteger a si e a seus dados de um ciberataque.

Aqui estão algumas dicas que irão mitigar o risco de ter seus dados pessoais roubados.

1. Desconfie de e-mails

Uma enorme quantia de ataques cibernéticos é lançada por meio de simples campanhas de e-mail maliciosos. E-mail é uma maravilhosa plataforma de comunicação, pois você pode enviar qualquer coisa a qualquer um, mas isso significa que também pode ser um enorme risco de segurança. Phishing, por exemplo, envia e-mails aparentemente inócuos que irão levar as vítimas a visitarem sites falsos, pedindo para atualizar suas informações pessoais.
A melhor maneira de evitar ser enganado por e-mails falsos é apenas se certificar de que o remetente é quem você pensa que é. Verifique o endereço do e-mail para ver se ele combina com o site de onde você pensa que ele se origina. Para ser mais cauteloso, você pode verificar o endereço IP do remetente.
Você pode fazer isso procurando as informações de origem do e-mail e localizando o endereço IP, que se segue à linha "Recebido: de". Você, então, pode procurar no Google o endereço IP para identificar a origem do e-mail. Aqui está uma boa cartilha para se encontrar endereços IP em e-mails.

2. Verifique os locais dos links

Mensagens de desconhecidos costumam conter links para sites desconhecidos. Navegar em um site misterioso pode trazer consequências indesejadas. Por um lado, ele pode imitar um site que você conhece e confia, o que o ajuda a se tornar vítima de uma tentativa de phishing. Por outro lado, ele pode ser um site inseguro, infectado com software malicioso.
Se você está tentado a clicar em um desses links, é melhor você saber exatamente para onde ele o está levando. A melhor maneira é copiar e colar o link no local um novo navegador, para ver que site está do outro lado do link. Se for um link encurtado, você pode usar ferramentas como o URL X-ray, a fim de descobrir o verdadeiro destino de um link antes de você clicar nele.
Além disso, os sites criptografados são normalmente os mais seguros para se visitar. Você sabe que eles são seguros quando você vê HTTPS na URL e o ícone de um cadeado verde e fechado no seu navegador.

3. Nunca abra anexos (a menos que você tenha certeza da origem)

Uma boa regra a seguir é nunca abrir anexos, a menos que você esteja com 120% de certeza de onde eles vieram. Uma das maneiras mais fáceis para os hackers baixarem códigos maliciosos nos computadores das vítimas é através do envio de e-mails com arquivos contendo vírus ou trojans.
Uma forma frequente das empresas serem hackeadas é por meio de um funcionário desavisado que baixa (faz download de) software malicioso que se infiltra em toda a rede corporativa. Os tipos de arquivos mais perigosos são Word, PDFs e com extensão executável, como os .EXEs.

4. Use a autenticação de dois fatores

Com as maiores empresas sendo hackeadas, a probabilidade de que sua senha seja vazada aumenta. Uma vez que os hackers tenham obtido senhas, eles tentam descobrir que contas pessoais na Internet eles podem acessar com os dados que roubaram.
A autenticação de dois fatores - que exige que os usuários não só digitem uma senha, mas também confirmem entrando com outro item, como um código transmitido por mensagem (SMS) a um telefone - é uma boa maneira de se parar os atacantes que roubam suas senhas. Mais empresas estão tornando-se padrão para iniciar a sessão.
Uma plataforma para comunicação de equipes, chamada Slack, por exemplo, instituiu a autenticação em duas etapas, uma vez que sofreu uma recente violação de dados. Isso significa que, se os hackers roubarem dados de algum usuário da plataforma Slack, ainda assim muito provavelmente não serão capazes de entrar em uma conta de usuário, a menos que eles tenham acesso a outro item pessoal que pertença ao usuário, como um telefone. Se a autenticação de dois fatores for uma opção disponível para proteger suas contas na Internet, é sábio escolhê-la.

5. Utilize senhas poderosas

Esta pode ser a dica mais óbvia, mas ainda assim é negligenciada. Uma senha forte inclui letras maiúsculas, minúsculas, números, pontuação e linguagem sem nexo. Não faça na senha nenhuma referência pessoal, e não armazene uma lista de senhas salvas em um arquivo.
Mais importante ainda, não use a mesma senha para várias contas.
Há algumas grandes ferramentas, como o LastPass e 1Password, que armazenam senhas de forma segura. Além disso, é crucial alterar suas senhas com frequência - especialmente as de contas vulneráveis, como as de e-mail e bancárias.

6. Tenha cuidado com a nuvem

Aqui está uma boa regra de ouro - se você não quer que as pessoas acessem sua informação, não a compartilhe. Isso inclui o armazenamento em nuvem. Não importa o quão segura uma plataforma diz que é, você deve ter em mente que você está dando sua informação a alguém para cuidar. Embora esteja no melhor dos interesses da empresa que a recebe mantê-la segura, muitos especialistas em privacidade sustentam que, para qualquer coisa que você colocar on-line, existe a chance dela ser publicada online.
Isto significa que você não deva armazenar qualquer coisa na nuvem? Não necessariamente, mesmo porque tudo está caminhando para a nuvem. Até a década de 2020, o termo computação em nuvem pode ficar redundante, pois tudo deverá estar mesmo na nuvem. É apenas útil manter-se a par de onde os arquivos sensíveis estão indo. E é muito importante conhecer as práticas de seu provedor de armazenamento em nuvem. Por exemplo, se ele segue as boas práticas recomendadas pela Cloud Security Alliance - CSA.
Além disso, certifique-se de que, se você excluir arquivos em seu computador ou smartphone, eles também sejam excluídos em todos os backups que você tenha feito na nuvem.

7. Em Wi-Fi pública? Não compartilhe dados pessoais

Pensando em comprar o bilhete de avião ou verificar sua conta bancária ao sentar-se em uma cafeteria? Você pode querer pensar duas vezes sobre isto, se não tiver ideia do quanto essa conexão é segura.
O mesmo vale para locais como hotéis e centros de conferência. Pesquisadores de segurança recentemente descobriram uma vulnerabilidade que torna o tráfego Wi-Fi em alguns dos maiores hotéis do mundo vulnerável a ataques. Não há nenhuma maneira de um indivíduo saber se isto está acontecendo, por isso é melhor ser bastante criterioso com o local de onde você está navegando.
Se você precisa mesmo acessar informações privadas enquanto estiver navegando nestas redes, seria bom usar ferramentas como redes privadas virtuais (VPNs), que criptografam o tráfego para que a rede Wi-Fi não possa enxergar onde você está navegando. Ou, ainda melhor, basta configurar um hotspot usando seu smartphone com rede de dados móveis.

Por: Paulo Pagliusi, Ph.D., CISM

CEO da MPSafe CyberSecurity & CounterEspionage

Vice-Presidente da ISACA Rio e da Cloud Security Alliance - CSA Brasil

Referência: Fórum Econômico Mundial

Segurança de Dispositivos Móveis – 4 Dicas sobre Como proteger Smartphones & Tablets

Destaca-se que o crescente aumento nas vendas de dispositivos móveis atraiu cibercriminosos e levou à criação de mais de 50 milhões de novas ameaças. O Android, sistema operacional do Google, concentra quase 80% das ameaças criadas para dispositivos móveis. Cuidados simples, antes de acessar um link ou instalar um app, podem evitar a maioria das infecções.

Na coluna anterior, foi descrita a ciberespionagem global e a necessidade de inovação na cibersegurança, em seu conceito mais holístico e estratégico, evitando as armadilhas dos pontos cegos nas corporações. Neste artigo, abordaremos um tema comum ao nosso cotidiano: a segurança de dispositivos móveis, categoria que inclui desde smartphones até tablets.

Há dois anos, a tecnologia móvel se consolidou de vez no Brasil. Segundo pesquisa da consultoria Morgan Stanley, as vendas somadas de smartphones e tablets em 2013 superaram pela primeira vez a de PCs e notebooks, e os tablets se tornaram o segundo tipo de computador mais popular do País, ultrapassando os desktops (PCs). Mas apesar de trazerem avanços, os dispositivos móveis não conseguiram evitar problemas que há anos atormentam os usuários de PCs: os vírus e os chamados malwares (softwares maliciosos).

Desde então, as principais empresas de segurança emitiram alerta sobre o crescimento do número de ameaças. A McAfee advertiu que, nos primeiros nove meses de 2013, o número de novos códigos maliciosos cresceu 50 milhões, chegando a 172 milhões em setembro. O principal motivo seria o crescimento do mercado móvel – ao todo, mais de 70 milhões de celulares em uso no Brasil, segundo a Morgan Stanley – o que levaria os cibercriminosos a ter como alvo tablets e smartphones, deixando os PCs e notebooks em segundo plano.

Segundo o Instituto Ponemon, os dispositivos móveis foram o maior foco das ameaças em 2014. Os principais ataques teriam origem em três fontes: SMS, phishings e aplicativos falsos, a maioria baixada fora de lojas oficiais de aplicativos como a App Store, do sistema iOS da Apple, e o Google Play, do Android.

Destaca-se que mais de 90% das infecções de vírus em dispositivos móveis podem ocorrer pela falta de atualização dos sistemas operacionais dos aparelhos. E podem ser evitadas se o usuário adotar hábitos de prevenção. Contudo, muitas pessoas são “clicadoras” compulsivas e, como resultado, não prestam atenção onde clicam. E, via de regra, os aplicativos só são instalados quando o usuário autoriza. De certa forma, instalar um aplicativo do qual não se sabe a procedência é o mesmo que abrir a porta de casa à noite para um estranho.

Portanto, baixar aplicativos ou apps somente de lojas oficiais é uma boa maneira de minimizar as chances de instalar arquivos maliciosos em tablets e smartphones. Apesar de haver riscos envolvidos, as empresas responsáveis por tais lojas costumam remover rapidamente aplicativos com problema, visando proteger o usuário.

Ao instalar aplicativos de outra fonte, o usuário promove uma quebra da proteção do sistema operacional por permitir a instalação de aplicativos não autorizados pela empresa, o que torna o sistema mais vulnerável a ameaças. E, muitas das vezes, o problema fica tão sério que o usuário se vê obrigado a formatar todo o celular.

Ressalta-se que há vários tipos de malwares para celulares, incluindo Cavalos de Tróia, spywares e vírus destrutivos. Uma das ameaças mais recentes é o Fake Defender, um malware exclusivo para Android, que trava o aparelho do usuário e exige o pagamento de um determinado valor como resgate.

No Brasil, ao invés de apps falsos, o que mais acontece é o ataque de phishing, em formato específico para usuários de smartphones e tablets, que manda uma mensagem falsa, via SMS ou redes sociais, como armadilha para “fisgar” vítimas incautas. Outra fonte de problemas para usuários de tablets e smartphones são redes Wi-Fi em locais públicos, como shoppings, aeroportos e restaurantes. 

Há o risco de haver, nestes lugares, falsos pontos de acesso Wi-Fi implantados por criminosos. O brasileiro precisa parar de usar tais redes sem preocupação. Não é recomendado usar aplicativos de bancos ou redes sociais nessas redes. Há sério risco de roubo da senha.

A adoção da prática conhecida como BYOD (sigla em inglês para “traga seu próprio dispositivo”) nas empresas também traz problemas para companhias e funcionários. As empresas ficam vulneráveis aos hábitos digitais dos colaboradores. De acordo com a Symantec, o custo médio anual causado às empresas brasileiras por incidente cibernético advindo de dispositivos móveis é de US$ 296 mil. Um cenário que tende a se agravar, já que a Gartner estima que, até 2018, 70% dos trabalhadores do mundo usarão dispositivos móveis no trabalho.

Observa-se que o sistema operacional móvel mais usado no mundo, o Android, é hoje também o principal alvo de vírus do mercado. Em 2012, o sistema do Google concentrou 79% das ameaças digitais criadas para dispositivos móveis, segundo pesquisa da finlandesa F-Secure. Na sequência, estaria o Symbian da Nokia, que foi descontinuado, com 19%, seguido pelo iOS da Apple, com 0,7%.

Além de ser a plataforma mais usada no mundo, com cerca de 70% do mercado – o equivalente a sete em cada dez smartphones –, o Android é um sistema aberto, o que pode aumentar os riscos.

Sistemas como Windows Phone e Blackberry OS, embora também sujeitos a infecções, são fechados e atualmente possuem menos vírus. Já o usuário de Android não pode se dar ao luxo de não usar antivírus, como os disponibilizados (gratuitamente) pela PSafe e pela Avast.

Muitas pessoas hoje enfrentam problemas de segurança no smartphone mesmo tendo instalado aplicativos diretamente da loja oficial Google Play. Em alguns casos, depois da instalação, as pastas do smartphone (como as de música, vídeos, entre outras) começam a se multiplicar sozinhas.

Quando se tenta apagar algumas, elas todas desaparecem e se perde todo o conteúdo. A solução muitas vezes passa por restaurar o sistema inteiro. Muitos aplicativos também carregam spam e propagandas que deixam o celular lento, ocupando um enorme espaço na memória do telefone.

Mas vírus e malwares não são mais privilégio de um único sistema operacional. Todos estão sendo cada vez mais visados, com ataques concentrados no Android e nos dispositivos móveis da Apple.

Até 2012, havia o mito da “imunidade a vírus” no sistema iOS. Este mito se desfez quando surgiu naquele ano o cavalo de Tróia Flashback, que se disfarça como um plugin do Adobe Flash. Foi um pesadelo para os devotos dos dispositivos móveis da Apple, pois este cavalo de Tróia conseguiu roubar milhares de nomes de usuários e senhas.

Um estudo da empresa SourceFire apontou, no ano passado, que o iOS acumulou um número maior de vulnerabilidades do que todos os seus concorrentes juntos nos últimos anos – 81%, contra 6% do Android. Mas o mesmo estudo destaca que a utilização do iTunes e as regras da Apple para apps em sua loja virtual acabam ajudando a proteger usuários e a reduzir casos de malware.

Veja agora a que se deve ficar atento, em relação a ameaças e proteção dos dispositivos móveis. Seguem nossas 4 dicas:

• Sinais de que um dispositivo foi infectado por vírus: a bateria descarrega rapidamente; o aparelho tenta se conectar sozinho a outros, via Bluetooth; a conta do celular fica mais alta do que a de costume ou os créditos acabam muito rápido.
• Riscos a que o usuário está exposto, se o dispositivo for infectado: vazamento de informações pessoais, como senhas e dados bancários; furto de imagens do álbum de fotografias; vazamento de dados da lista de contatos; destruição do sistema operacional do aparelho, podendo causar danos também ao hardware; ter ligações interrompidas ou impedidas.
• Como remover vírus de tablets ou smartphones: apague o aplicativo suspeito de causar a infecção; instale um antivírus no aparelho e faça uma varredura; conecte o celular ao computador e faça uma varredura com um antivírus, como em um pen drive; se os passos anteriores não resolverem, restaure as configurações originais do aparelho (esta operação apaga todos os dados salvos no dispositivo).
• Como proteger o dispositivo e evitar possíveis infecções: use senha para bloqueio e desbloqueio do aparelho; desconfie de SMS, mensagens de WhatsApp, redes sociais e e-mails que peçam senhas de acesso; procure instalar aplicativos somente de fontes seguras, tais como lojas oficiais; mantenha o sistema operacional atualizado; use um antivírus; jamais clique em links suspeitos; evite usar Wi-Fi gratuito; busque referências de outros usuários antes de instalar um aplicativo em seu dispositivo; verifique a lista de permissões do aplicativo (por exemplo, um app de alarme não deve solicitar acesso aos contatos para ser instalado).

Por fim, esperamos que tenhamos contribuído com nossas explicações e dicas de segurança para aparelhos móveis. Bons ventos a todos vocês, queridos leitores, e até o nosso próximo artigo!

Ciberespionagem e Inovação em CiberSegurança - 3 Passos para Obter um Círculo Virtuoso

Os avanços e desafios da nova era da ciberespionagem e a necessidade

de inovações urgentes no mundo da segurança da informação

No artigo anterior, foi descrita a Internet profunda, com seus segredos, riscos e ameaças. Neste artigo, abordaremos a ciberespionagem global e a necessidade de inovação na cibersegurança, em seu conceito mais holístico e estratégico, evitando armadilhas dos pontos cegos nas corporações, que muitos executivos de alto nível (C-Level) podem não se interessar em enxergar, mas que episódios recentes os estão obrigando a rever conceitos.

Entre eles, destacam-se as revelações de Edward Snowden[1] sobre o fato de que a NSA e outras agências de inteligência governamentais que formam os “Five Eyes” (EUA, Reino Unido, Canadá, Austrália e Nova Zelândia) têm agido fora do padrão esperado. Ou seja, coletam e fazem uso massivo da informação que emerge do “big data” gerado pelo mundo cada vez mais digital, tendo como foco não mais somente alvos militares, diplomáticos, de terrorismo ou crime organizado, como esperado. Porém, quebrando este paradigma, obtêm vantagens econômicas e competitivas para seus países, golpeando a privacidade de líderes e órgãos de Estados, empresas e, em última instância, de todos os cidadãos do planeta.

Isto ocorre pela coleta e armazenamento massivo e indiscriminado de posts, e-mails, vídeos, fotografias, áudios, telefonemas e mensagens em provedores de acesso e serviços à Internet e em empresas de telecomunicações. Tive inclusive a oportunidade de acessar parte do material revelado por Snowden, durante entrevistas concedidas ao programa “Fantástico”. Fiquei assombrado com o poderio observado, ainda que na última década já viesse fazendo este tipo de pesquisa para palestras e entrevistas, pela experiência como oficial da Marinha ciberespecialista.

Sempre soube, por exemplo, que celular é um aparelho de espionagem que também faz ligações (mesmo desligado, pode ser usado para escuta clandestina se permanecer com bateria, ao ser ativado velada e remotamente). E que, quando todas as demais barreiras são ultrapassadas, uma criptografia forte se torna o obstáculo extremo para proteção dos dados cibernéticos.

O impacto do caso da NSA/Snowden nos negócios brasileiros foi enorme. Segundo pesquisa da Alvarez & Marsal (A&M), 66% das empresas do país afirmam que o caso tem afetado seu nível de confiança em transações na Internet. Corporações e clientes passaram a ter mais cuidado ao fazer negócios com entidades em que não podem confiar para proteger seus dados de forma eficaz.

Mas não foram somente as agências de espionagem que mudaram o modo de agir. Como se não bastasse essa alteração de paradigma na espionagem global, os hackers também modificaram seus métodos de operação ao longo do tempo, passando do uso de vírus destrutivos bastante ruidosos no passado a acessos remotos acobertados e silenciosos, lançando hoje ataques cada vez mais diversificados, direcionados e especializados.

Neste cenário, o crescimento contínuo de ataques cibernéticos acarreta duas implicações chave. A primeira é que, em dado momento, toda organização se verá diante de uma crise cibernética. Como resultado, todo líder corporativo deve conhecer e assumir os riscos cibernéticos. A segunda, é que há necessidade urgente da organização efetuar mudanças radicais no modelo atual e amplamente aceito de Cibersegurança, baseado em compliance com padrões tradicionais. Esta abordagem, simplesmente, não funciona mais.  Para estar preparado para as ameaças cibernéticas emergentes e responder a elas de forma proativa e precisa, as corporações devem desenvolver inteligência das ameaças baseada nas evidências e na consciência situacional.

Neste cenário de novas ameaças, os líderes devem tomar para si a responsabilidade dos riscos cibernéticos de sua empresa. Não é mais suficiente para o CEO simplesmente dizer à equipe de TI: “consertem isso”. Na mesma pesquisa da A&M citada, 52% dos brasileiros entrevistados afirmam que Cibersegurança deve ser preocupação prioritária dos líderes empresariais. No entanto, 28% ainda acha que é uma responsabilidade da TI, o que é um amplo ponto cego. Além disto, 74% das empresas brasileiras afirmam que aumento do orçamento reduzirá nível de risco em Cibersegurança. Porém, este é outro ponto cego: mais dinheiro não é necessariamente a solução, pois antes de se gastar mais, é preciso garantir investimento disponível aplicado em recursos adequados, visando os riscos certos, na hora certa.

Fazer com que a organização esteja preparada para lidar com problemas de cibersegurança não é tarefa fácil e requer iniciativa de toda a organização, que só vem com uma mudança a partir dos altos escalões. Neste contexto, a necessidade de unir negócios e tecnologia exige que a equipe executiva desempenhe um novo papel na intersecção entre tecnologia, negócios e risco, a fim de poder iluminar os pontos cegos existentes. No entanto, 47% das empresas brasileiras, conforme a pesquisa da A&M, afirmam que existe um baixo nível de diálogo entre as equipes de segurança e os líderes empresariais. Os líderes de hoje devem ser preparados para lidar com riscos de tecnologia juntamente com os riscos do negócio, ao invés de deixar os problemas de Cibersegurança sob a responsabilidade do CIO.

Outro ponto cego: 60% das organizações não sentem que têm recursos humanos necessários para se proteger e responder a um ataque. Sem a devida competência, não há defesa cibernética, somente uma ilusão dela, e este é o pior cenário para toda corporação – pensar que está segura, quando de fato não está. Pois, como costumamos afirmar, neste ramo não há espaço para amadores.

Os cenários de ameaças são cada vez mais complexos e não estão apenas correlacionadas à tecnologia, na verdade muitas vezes o uso da tecnologia é parte do problema. Assim, não adianta dispor somente de um bom time técnico, pois há necessidade de envolver toda a corporação de forma holística na defesa cibernética. Como resultado, cresce a importância do CISO para a corporação, que deve ser educado para construir uma estratégia dinâmica e abrangente de Cibersegurança, que una os mundos anteriormente distintos de TI e negócios.

No atual e complexo ambiente operacional, as corporações precisam de um modelo de Cibersegurança inovador e dinâmico. Ao invés de confiar em compliance, elas precisam construir um processo de ciberproteção que se adapte e responda continuamente às suas mudanças, das interfaces com clientes, da cadeia de fornecedores e no universo das ameaças cibernéticas.

Segundo um relatório do Information Security Forum (ISF), nos últimos anos, em muitas organizações a equipe de segurança cibernética tem se concentrado em alinhar a estratégia da função de segurança da informação à do negócio. No entanto, nesta era de espionagem globalizada e de cibercriminosos especializados, isso não é mais suficiente: a crescente dependência do negócio ao ciberespaço colocou uma demanda sobre a função de segurança para definir e executar uma estratégia de segurança da informação que vá mais longe rumo à efetiva integração com o negócio.

A transição do alinhamento para a integração é vital para a função de segurança da informação poder fornecer o que o negócio precisa. Em nosso método, definimos três passos que formam um “círculo virtuoso” para levar às corporações uma estratégia integrada de segurança da informação:

1. Compromisso: pois a função de segurança da informação deve ficar perto do núcleo do negócio e adequadamente representada em fóruns de tomadores de decisões-chave, incluindo o conselho de desenvolvimento da estratégia corporativa.

2. Antecipação: para identificar mudanças no cenário de negócios e ameaças que poderiam comprometer ou aumentar a chance de sucesso do negócio.

3. Resiliência: devido à necessidade de reconhecer que é impossível de se defender contra todos os ataques, mas que o planejamento e preparação podem reduzir o impacto potencial. 

Deixamos para o final uma pergunta derradeira, para reflexão do leitor: qual a importância que governos e empresas que lidam com nossos dados utilizem uma estratégia de cibersegurança inovadora, que possa sanar os pontos cegos? Muita gente pensa: “ah, para mim, tanto, faz; vou levando minha vida e esta história não me afeta em nada, não tenho nada a esconder, é problema do governo e das grandes empresas”. Nossa linha de pensamento é que, sem uma adequada estratégia de segurança cibernética, não há privacidade. Sem privacidade, não há liberdade de expressão. E, finalmente, sem liberdade de expressão, não há democracia. E este não é o futuro que sonhamos para nossas próximas gerações, não é mesmo?

Em nosso próximo artigo, abordaremos um tema comum ao nosso cotidiano: a segurança de dispositivos móveis, categoria que inclui desde smartphones até tablets. Aguardem, queridos leitores, e até lá. Bons ventos!

Paulo Pagliusi, Ph.D., CISM

Palestrante e Consultor em CiberSegurança Estratégica

---

[1] Veja em: http://www.mpsafe.com.br/2014/05/fantastico-entrevista-edward-snowden-na.html . Uma notícia recente é a de que o novo livro do Glenn, “No Place to Hide” (Sem Lugar para se Esconder) será utilizado em uma nova produção de Hollywood, do mesmo produtor de “Skyfall”, o último filme de James Bond. http://www.hollywoodreporter.com/news/sony-nabs-film-rights-edward-704063

Segurança cibernética no Brasil – Um Manifesto por Mudanças

Movimento congrega mais de 140 assinaturas de empresas, associações e especialistas; documento enfatiza o risco do sistema de segurança no Brasil e sugere ações imediatas

São Paulo, 08 de maio de 2015 – Preocupados com a vulnerabilidade do sistema de segurança cibernético no Brasil, mais de 140 empresas, organizações e especialistas se uniram no esforço de produzir um manifesto público, visando mobilizar empresários, autoridades e a sociedade em geral sobre os riscos de cibersegurança que assolam o Brasil.
O manifesto visa criar uma visão compartilhada sobre como proteger melhor empresas e cidadãos brasileiros, aumentando a consciência e compreensão dos líderes empresariais e de governo para que cibersegurança seja vista como um princípio fundamental de uma governança corporativa moderna e adequada.
O manifesto foi disponibilizado em junho para consulta pública, aberto a contribuições de todos os brasileiros interessados em proteção de dados, privacidade, governança corporativa e integridade das redes de comunicação. Para os especialistas que assinam o manifesto, é fundamental que os usuários da rede estejam atentos ao que acontece no mundo virtual.  O documento se pauta em quatro pontos fundamentais: Formação de líderes experientes em cibersegurança; Aprimorar a privacidade/Colaborar com o setor público; Acabar com a escassez de proficiência em ciber, e Transformar as pessoas na primeira linha de defesa.
"Será imperativo para a continuidade do crescimento do Brasil e sua imersão em uma economia conectada global que as questões de cibersegurança sejam endereçadas não pelo seu mero aspecto técnico, mas por uma ótica de governança e responsabilidade corporativa e social. A comunidade empresarial brasileira precisa reconhecer que a segurança digital, em especial dentro do ambiente corporativo, é uma responsabilidade da empresa como um todo e um dos grandes fatores de risco para os negócios e para a segurança dos indivíduos”, destaca William Beer, Sócio da Alvarez & Marsal e um dos signatários do documento.
Na opinião do especialista doutor em segurança da informação e autor de livro sobre o tema, Paulo Pagliusi, vale um alerta ao aumento significativo em ataques cibernéticos e espionagem globalizada. “Há um aumento significativo tanto em ataques invasivos do crime cibernético quanto na espionagem globalizada, que podem comprometer o bem estar econômico das empresas brasileiras e o interesse do governo, da mesma forma que reputações corporativas e governamentais também estão em grave risco”, destaca Pagliusi. “Novos  temas de pesquisa, como computação em nuvem, mobilidade, big data, redes  sociais e Internet das Coisas exigem nova estratégia para se investir em segurança cibernética, unindo tecnologia, negócios e interesses do país”, finaliza o especialista.
Já o advogado especializado em direito eletrônico, Dr. Renato Opice Blum alerta que "a cada dia fica mais difícil proteger informações. Notamos um aumento na apropriação indevida e vazamentos de grandes proporções, e ao mesmo tempo somam-se esforços legais na tentativa de impedir mais estragos, como o Marco Civil, que em relação à proteção de dados, é um impulso. A questão que se coloca é: como acompanhar a evolução tecnológica com uma legislação a seu tempo?”, questiona Opice Blum.

Riscos iminentes rondam o Brasil
Os membros do grupo Anonymous ameaçaram atacar diversos sites relacionados à Copa do Mundo. A ação foi orquestrada para atingir instituições públicas e empresas ligadas ao evento, com a retirada de sites do ar e invasão de páginas. No dia 14 de maio, eles deram a primeira mostra do que podem fazer invadindo a página do Comitê Paulista da Copa do Mundo. Vale destacar que durante a Copa do Mundo, o Exército Brasileiro foi o responsável pelo monitoramento e contra-ataque a grupos invasores.

Podcast sobre  Cyber Manifesto
Ouça o podcast de Ricardo Castro com os dois especialistas que iniciaram o Cyber Manifesto, Paulo Pagliusi e William Beer, para conhecer melhor a iniciativa:

* * *

Sobre o manifesto “Segurança cibernética no Brasil – Um Manifesto por Mudanças”
O manifesto é uma iniciativa de empresas privadas, organizações e especialistas do setor de segurança cibernética no Brasil no intuito de levar o assunto à discussão pública. Depois de passar por período de consulta pública, o manifesto “Segurança cibernética no Brasil – Um Manifesto por Mudanças” - no ar no endereço www.cyber-manifesto.org - angariou mais de 120 assinaturas de empresas, organizações e especialistas que mandaram seus comentários e sugestões a serem adicionados ao documento. O principal objetivo é mobilizar empresários, autoridades e a sociedade em geral sobre os riscos de cibersegurança que assolam o Brasil.

O manifesto continua aberto a novos apoiadores. Em 13Nov2014, o grupo mentor do projeto realizou o primeiro evento em São Paulo, a Conferência do Cyber Manifesto. 

Da esquerda para a direita, Renato Opice Blum, Paulo Pagliusi e William Beer na 1ª Conferência do Cyber Manifesto, em 13Nov2014, no auditório da Editora Abril, em São Paulo. Abaixo, Ricardo Castro se junta ao time para a fotografia.

Agora, o Grupo pretende realizar novos eventos focados no tema em diversas cidades do país (mais detalhes no site do manifesto).  Paralelamente, especialistas trabalharão em projetos com possíveis soluções para o que, na opinião deles, são os principais pontos a serem analisados, são eles: 

Formar líderes experientes em cibersegurança,
Aprimorar a privacidade/Colaborar com o setor público,
Sanar a escassez de proficiência em cibersegurança e
Transformar as pessoas na primeira linha de defesa.

Twitter oficial: @cyber_manifesto

‪Hashtag oficial: #CyberManifesto

www.cyber-manifesto.org 

Segue o conteúdo do nosso Manifesto.

Leia nosso Cyber Manifesto, na íntegra

Acreditamos que o bem-estar econômico das empresas brasileiras e os interesses do Governo estão em grave risco de ataques cibernéticos, violações e vazamentos de dados.
Perdas de propriedade intelectual e fraude generalizada já estão contribuindo para elevar os custos de produtos e serviços. Ataques invasivos efetuados por cibercriminosos procurando ganho financeiro, espiões de governos e particulares, ativistas e até mesmo terroristas podem produzir efeitos devastadores sobre as redes de telecomunicações, sistemas de redes elétricas e no sistema financeiro do Brasil.

Reputações corporativas e governamentais também estão em risco. "Dúvidas", com evidente corolário comercial, podem ser suscitadas sobre a capacidade do Brasil de proteger os investimentos, a propriedade intelectual e o bem-estar de funcionários e cidadãos, como forma de reduzir ainda mais o nível de investimento estrangeiro direto em nosso mercado.

Esta campanha visa a estimular o apoio e a criar uma visão compartilhada de como podemos proteger melhor o Brasil de ataques cibernéticos, aumentando a consciência e a compreensão dos líderes empresariais e de governo, incluindo a cibersegurança como um dos princípios fundamentais de uma governança corporativa moderna e adequada.

Este é um desafio de longo prazo, que precisa começar a ser enfrentado desde já. Como primeiro passo, estamos pedindo a gestores de segurança que se comprometam com este “Manifesto Cibernético”, como parte de sua estratégia operacional, e incentivando a inclusão das questões de cibersegurança no topo da agenda corporativa.

Não há uma solução única, e o problema não pode ser resolvido por um pequeno grupo de empresários e pensadores. Mas preferimos acreditar que pequenas ondulações de ideias podem vir a formar gigantescas ondas de opiniões.

Estas são as quatro áreas-chave em que iremos nos concentrar:

   1. Formar líderes experientes em segurança da informação – 

Os líderes empresariais e governamentais precisam compreender os riscos cibernéticos e entender que essas questões não estão mais apenas no âmbito da Tecnologia da Informação, mas sim da governança corporativa consciente e responsável. Não cabe mais apenas ao CIO a resolução das ameaças cibernéticas. Esse é um problema que deve ser atacado de forma sistêmica, sob a liderança de CEOs e autoridades do setor público. Iremos trabalhar com as associações e empresas brasileiras, bem como com o Governo, para oferecer workshops e treinamentos visando a ajudar na capacitação de nossos líderes.

2. Aprimorar a privacidade / Colaborar com o setor público – 
Os cibercriminosos acostumaram-se a agir com certo grau de impunidade. Muitas empresas preferem simplesmente reconhecer os danos decorrentes de ataques cibernéticos como perda, a fim de proteger a confiança em seus sistemas e em suas marcas, o que de certa forma instiga a impunidade. Nós almejamos trazer uma melhor compreensão sobre a adequada aplicação da lei aos líderes de negócio, visando a estabelecer melhores práticas a respeito de como lidar com o crime cibernético, principalmente quando acarretar riscos à reputação ou à confiabilidade dos negócios.

3. Sanar a escassez de proficiência em cibersegurança – Dado o aumento exponencial da demanda por especialistas em cibersegurança, é fundamental a busca por novas formas de inspirar as pessoas com as competências e o desejo de manter as empresas e os governos seguros e atrair profissionais brilhantes e dedicados para o setor. Iremos trabalhar em estreita colaboração com universidades, governos e associações de segurança cibernética, visando a garantir a oferta de treinamentos, oportunidades e trajetórias de carreira claramente definidas.

4. Transformar as pessoas na primeira linha de defesa – Há sempre um elemento humano nos ataques cibernéticos. Negligência, ignorância, raiva ou mesmo curiosidade são a origem de grande parte dos incidentes. Em nossa visão, o desenvolvimento de um portal público pode fomentar comportamentos mais adequados em torno da segurança cibernética e, consequentemente, ajudar a elevar de forma muito favorável o nível de investimento direto em segurança perante os crescentes investimentos em tecnologia. A formação de profissionais e cidadãos conscientes das questões de cibersegurança será vital para a contínua transformação do Brasil em uma economia moderna, globalizada e conectada.

São Paulo, 17 de novembro de 2014.

Assinam este manifesto:

3Elos

Filipe Almada Souto, CEO3Elos
Marcelo Duarte de Gouvêa, Consultor de Segurança e Sócio-Fundador

ABComm
Mauricio Ferreira Salvador, Presidente na Associação Brasileira de Comércio Eletrônico

ALOG Data Centers do Brasil 
Eduardo Carvalho, Presidente

Agenda TI
Eduardo Fedorowicz, Fundador

Alvarez & Marsal
William Beer, Sócio

Antebellum Capacitação Profissional
Fernando Sergio Santos Fonseca, MCSE Security 2003, CISSP-ISSAP, ISO 27001 Lead Auditor, ISFS, ISMAS, Diretor de Educação

APIT Consultoria de Informatica Ltd
Andre Pitkowski, MBA, CGEIT, CRISC, OCTAVE, CRMA-IIA, CEO

Aranha Capanema Advogados
Walter Aranha Capanema, Advogado

Arcon Serviços Gerenciados de Segurança
Marcelo Barcellos, Presidente

Assis e Mendes Sociedade de Advogados
Gisele Arantes, Advogada especialista em Direito Digital

Associação Brasileira de Direito da Tecnologia da Informação e das Comunicações
Ana Luiza Valadares Ribeiro, Presidente

Associação das Empresas de Tecnologia da Informação no Estado de São Paulo (ASSESPRO-SP)
Ricardo Theil, Diretor de Segurança Cibernética e Marcos Sakamoto, Presidente da ASSESPRO-SP

AuditSafe Assessoria Empresarial Ltda.
Fernando Nicolau Freitas Ferreira, Sócio-Diretor

Automatos S/A
Fábio Braz Martins Gonçalves, CEO; Leandro Henrique Alves da Silva, CSO

Axur
Kácio Lopes, Diretor

Banco Máxima S.A
Jorge Carlos P. Vaz, Gerente Geral de TI

BANRISUL – Banco do Estado do Rio Grande do Sul
Jorge Fernando Krug Santos, Superintendente Executivo de Segurança de TI

Beazley Lloyd’s Syndicates
Ricardo Ortega, Head of Market Relations – Latin America

BigBlue Comércio e Serviços de Informática Ltda.
David Ben Svaiter, Diretor de Desenvolvimento de Sistemas e Segurança de Dados

Brazil Kaspersky Lab
Claudio Martinelli, MD Diretor geral

BT Security
Ramiro Rodrigues, Chief Information Security Officer Latin America

Burson-Marsteller Brasil
Francisco Carvalho, Presidente

Citibank
Ricardo Andrian Capozzi, Infosec T.I.C. Specialist

Conselho Regional de Medicina Veterinária do Estado de São Paulo
Marcos Lima, Coordenador de Tecnologia da Informação

COTS Sociedade de Advogados
Márcio Eduardo Riego Cots, Sócio-fundador

Crespo & Santos Advogados
Marcelo Crespo, Sócio titular

Cristian Pereira
Especialista de Segurança da Informação

CSA BR
Paulo Sergio Pagliusi, Vice-presidente; Uélinton Santos, Vice-diretor de Pesquisas e Conteúdo; Eduardo Fedorowicz, Diretor e Luiz Felipe Miranda Ferreira, Vice-diretor administrativo

Digital Legal
Ana Cristina Ferreira, Sócia-fundadora

DDR Network Consulting
Daniel Domingos Rodrigues, Sócio-diretor

EC-Council
Leandro Mainardi, Country Director – Brazil

E-net Security 
Wanderson Castilho, Presidente

Edelman Significa
Yacoff Sarkovas, CEO

Edilson Passador
Supervisor Segurança da Informação e Coordenador do Comitê Corporativo de Segurança da Informação

Edison Luiz Gonçalves Fontes
Professor e Consultor em Segurança da Informação (Autor do livro: “Praticando a Segurança da Informação”)

Eletrobras Eletronuclear S.A.
Ernani Paes de Barros, Supervisor

Eleven Paths
Leandro Bennaton, Chief Security Ambassador

EMBRATEL
Yanis Cardoso Stoyannis, Consultor Sênior em Segurança da Informação

End Security
Rafael Floriano Sousa Sales, CEO

ESET Brasil
Camillo Di Jorge, Country Manager Brasil

Eurasia Group
João Augusto de Castro Neves, Diretor, Latin America

Fabian Martins da Silva
M.Sc, PCIP Professor de Graduação e Pós-Graduação/FIAP

Faculdades Metropolitanas Unidas – FMU-SP
Bernardo Wahl Gonçalves de Araújo Jorge, Analista e Professor de Relações Internacionais

FastHelp
Paulo Ferreira Ribeiro, Diretor Executivo

FECOMERCIO SP
Renato Opice Blum, Presidente, Conselho de Tecnologia da Informação

Fernando Peres e Advogados Associados
Fernando Peres, Advogado especialista em Direito Digital

FireEye
Nycholas Szucko, Country Manager

Flipside Smart Content Provider
Anderson Ramos, CTO

Fundação Trompowsky
Alexandre Hosang, Gerente de Projetos

GC Security
Rodrigo Antão, Sócio-Diretor

GETS Consultoria
Alexandre Hosang, Gerente de Projetos

Global Conscience
Anderson Marques, Advogado e Consultor em Segurança da Informação

Globo Comunicação e Participações S.A. (TV Globo)
Paulo Cesar Abreu, Gerente de Segurança da Informação

Grupo Abril
Rafael Lachi, Gestor de segurança digital

HISSA Advogados 
Carmina Hissa

HTCIA Capítulo Brasília
Marcelo Beltrão Caiado, Diretor-administrativo da HTCIA Capítulo Brasília

HOM
Tawan Pimentel, Sócio-diretor

iBLISS Segurança & Inteligência
Leonardo C. Militelli, Diretor-executivo

Igarapé Institute
Robert Muggah, Research Director

Information Security Forum Limited
Steve Durbin, Managing Director e William Beer, Brazilian Chapter Agent

Instituto Infnet
Eduardo Augusto de Andrade Ramos, Reitor

Instituto COALIZA
Lincoln Werneck Araujo Vaz, Diretor executivo

Insania Publicidade
Regina Salles Tupinambá, CEO da Insania Publicidade e autora do Blog Certificação Digital

Instituto de Tecnologia de Software (ITS)
Ricardo Theil, Chefe do Centro de Inteligência Cibernética e Descastes de Souza Teixeira, Presidente do ITS

Instituto Brasileiro de Direito Digital
Frederico Meinberg Ceroy, Presidente

Instituto Fernand Braudel de Economia Mundial
Peter Knight, Membro do Conselho Diretor

IP Consultores
João Rufino de Sales, Sócio

IPDI Inteligência Digital
Otavio Luiz Artur, CEO

IRB Brasil Resseguros
Ricardo de Azevedo Brandão, Especialista de TI

Iron Mountain
Carlos Alberto Novaes, Information Protection and Compliance Manager Latin America / Global Security Services

Isabel Santos
Doutoranda em Engenharia do Conhecimento – EGC/UFSC

ISACA-RJ
Paulo Sergio Pagliusi, Vice-presidente; Ernani Paes de Barros, Diretor de Controladoria e Administração e Marcos Sêmola, Conselheiro Consultivo

ISACA-SP
Andre Pitkowski, Presidente e Rodrigo Hiroshi Ruiz Suzuki, Diretor de Educação e Certificações

Leverage
André Mazeron CISSP, Sócio-Diretor

Litteris Consulting
Cezar Taurion Chede, Technical Evangelist

LMPG Auditores e Consultores
Silvio R. Pereira, Diretor Sócio

Logical IT
Felippe Barros, IT Security Consultant

Luiz Fernando Pereira Advocacia
Luiz Fernando Pereira

Malware Patrol
André Corrêa, Sócio-fundador

Martha Gabriel Consulting & Education
Martha Carrer Cruz Gabriel

Marsh Risk Consulting
Roberto Zegarra, LatAm Cyber Risk Consulting Leader, Erick S. Kumagai Business Continuity Management & Strategic Risk Coordinator

Mandic Cloud Solutions
Maurício Cascão, CEO

Mentat Soluções Ltda.
Vaine Luiz Barreira, Diretor de Tecnologia e Professor Universitário

Ministério do Planejamento, Orçamento e Gestão
Anderson S. Araujo, Gilson Botta, José Ney de Oliveira Lima e Juliana M. Moreira, Técnicos da Coordenação-Geral de Segurança da Informação – SLTI

Ministério Público Federal
Regilberto Girão, Chefe da Unidade de Segurança Orgânica do MPF em Minas Gerais

Movia
Flavio Carvalho, Diretor de operações

Módulo Security Solutions
Sérgio-Thompson-Flores, CEO; Alberto Bastos, Sócio-fundador; Rodrigo Palo, Gerente de Marketing

MPSafe CyberSecurity Awareness
Paulo Sergio Pagliusi, Ph.D., CISM, CEO

Netshoes
Vitor Sena, SI Gerente Segurança da Informação

Nokia
Messias Maduro, Head of Sales Management – Latin America

NS Prevention Inteligência Cibernética
Thiago Bordini, Diretor de Tecnologia e Pesquisa

Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados
Renato Opice Blum, Rony Vainzof

Paoletti, Dias, Naves & Carvalho – Sociedade de Advogados
Priscila Cortez de Carvalho, Advogada-sócia e Pablo Naves Testoni, Advogado-sócio

Patricia Peck Pinheiro Advogados
Patricia Peck, Sócia Fundadora e Diretora de Inovação

Paulo Brito
Paulo Brito, Editor do Blog Cibersecurity

Portal GRC-TI
Thiago Galvão, Fundador

Positivo Informática
Fábio Tavares Szescsik, Security Officer

Proofpoint
Marcio Andrey Bonifacio, Middle Enterprise Account Manager Latin America & Caribbean

QEMC Engenharia, Qualidade e Compatibilidade Electromagnética
Roberto Menna Barreto, Diretor Técnico

Quasar Technology
Jorge Martins Muzy, Presidente

Real Protect
Daniel Lemos, Diretor Executivo

Reply do Brasil
Giacomo Segalli, Partner

Rodrigo Pace de Barros
Consultor Especialista em Segurança da Informação

SERPRO
Ulysses Machado, Coordenação-Geral de Segurança da Informação

Sergio da Silva Manoel
Professor e Gerente em Segurança da Informação

SestSenat
Milton Ferreira, Head of Information Security and Professor Information of Technology

Site Blindado
Carlos Eduardo Santiago, Analista de Segurança Sênior; Adriano de Paula Rocha Aguirre, Analista de Segurança; Heitor Vital, CTO

Solution Segurança da Informação
Antonio José da Rosa, Diretor Executivo

Sol Tecnologia Comérico, Serviços e Representações Ltda.
Christian R. Bittencourt – Sócio Diretor

SmartCyber
Nilson Rocha Vianna, CEO

SPC Brasil
Longinus Timochenco, Chief Information Security Officer

Strong Security Brasil
Dario Caraponale, Diretor

SUCESU-SP
Leandro Mainardi, VP of IT GRCS

Skylan Technology
Sergio Estrela Martins, Diretor Executivo/CEO

Symantec
Sergio Chaia, VP & General Manager of Symantec Brazil & Latin America

Sysvale Softgroup Ltda.
Eugenio Marques, Sysvale Softgroup Ltda.

Talengy
Fernando Garcia, Managing Partner

Tarcisio Praciano Pereira
Professor Titular (aposentado), Universidade Estadual Vale do Acaraú Sobral Ceárea: Análise Matemática, Análise Numérica

Tempest Security Intelligence
Cristiano Lincoln Mattos, CEO

Terra
Leandro Bennaton, Global Security & Compliance Manager

Thiago Luiz Mendes
Consultor Independente de Segurança da Informação

TI-Safe
Marcelo Branquinho, Diretor Executivo

Trend Micro
Hernan Armbruster, Vice-President Latin America e Fernando Merces, Senior Threat Researcher

Tribunal de Contas do Estado de São Paulo
Fabio Correa Xavier, CSO e Faculdade IBTA

Trustux
Julio Cesar Bueno de Camargo, Diretor de Tecnologia

UNESP – Universidade Estadual Paulista – Campus de São José do Rio Preto, SP
Adriano Mauro Cansian, Livre-docente e Cientista Chefe do Laboratório ACME! de Pesquisa em Cibersegurança

Upper West Soluções (Data Analytics)
Dan Reznik, Diretor

Universidade Estácio de Sá – Campus Centro IV – Praça XI
Antonio José da Rosa, Coordenador da Pós em Segurança de Redes de Computadores

Velours International
Laurent Serafini, Sócio-diretor CEO

VETHRIX Consulting & Compliance
Fabio Sales, Diretor

Viracopos
Leonel Porto Conti, Analista de Segurança da Informação Senior; Guilherme Dalto, Coordenador de Segurança da Informação

Wellington Ávila
Auditor em Segurança da Informação
Especialista em Projeto e Gerência de Redes de Computadores

WCTF
Filipe Almada Souto, CEO

Convidamos sua empresa ou organização a apoiar esta iniciativa.

Esta é uma iniciativa colaborativa. Nenhuma organização, grupo ou entidade possui poder de decisão ou responsabilidade exclusiva pelos esforços deste Cyber Manifesto.

Se você tem perguntas, ou gostaria de apoiar nossos esforços, entre em contato pelo e-mail 
wbeer@alvarezandmarsal.com ou pagliusi@mpsafe.com.br
Twitter: @cyber_manifesto  ‪#CyberManifesto

O manifesto está disponível para consulta e coleta de assinatura de partes interessadas no site:

www.cyber-manifesto.org