Translate

23 abril 2015

Curso de Cibersegurança - Maturidade na gestão do risco cibernético

A MPSafe apresenta seu novo curso de Cibersegurança de vinte horas do Professor Dr. Paulo Pagliusi, PhD. in Information Security, CISM. Programa em PDF.  Você ainda não viuseguranca@mpsafe.com.br
Carga Horária
Vinte (20) horas/aula.

Modalidade e Regime Escolar
Presencial In-Company. Cinco aulas, com sessões de 3 horas/aula diárias e intervalo de 20 minutos, às terças e quintas-feiras, das 18h40min às 22h00min. Há uma aula final diurna, com sessão de 5 horas/aula e intervalo de 20 minutos, em um sábado, das 08h40min às 14h00min.

Público alvo
Formado por até 20 (vinte) alunos, com perfil de membros de Conselhos, executivos C-Level, Gerentes, Chefes de Departamento, Gerentes de Projeto, Supervisores e Técnicos, das áreas de Auditoria, Negócios, Finanças, Marketing, Jurídica, TI, Administração, Recursos Humanos e Segurança Corporativa, além de profissionais gestores e técnicos de qualquer área, com necessidade profissional ou interesse em conhecer cibersegurança. O curso pode ser ajustado para campanhas internas de conscientização em Segurança da Informação.

Ementa
Fundamentos de Segurança da Informação (SI) e Cibersegurança. Conhecimento básico de gestão de riscos e vulnerabilidades. Crescente ameaça de fraudes e ataques cibernéticos ao ambiente operacional. Cenário de Espionagem Globalizada e Guerra Fria Cibernética. Implicações futuras e novos riscos trazidos pela evolução da Tecnologia na Era da Computação Social. Categorias de ataques cibernéticos. Engenharia Social e coleta não autorizada. Como evitar ser hackeado. Estar compliance é estar seguro? Necessidade de inovação na postura de Cibersegurança. Cinco Sensos (5S) da Qualidade no Estilo Japonês, aplicados à SI. Medidas práticas para proteção, continuidade e resiliência do Ciclo de Vida da Informação.

Objetivo
Aprimorar conhecimento e conscientização do Aluno, sobre a relevância da segurança da informação e da maturidade na gestão do risco cibernético, sob o escopo global da cibersegurança corporativa, a fim de se obter sucesso na gestão do risco do negócio.

Conteúdo Programático
·                         Apresentações iniciais e fundamentos de Cibersegurança.
o    Nossa “mascote” DICA e sua previsão do tempo.
o    Introdução à Segurança Cibernética – Objetivos e Papéis.
o    Diferenças entre Segurança da Informação (SI) & Segurança Cibernética.
o    Princípios de Segurança Cibernética (DICA):
§  Disponibilidade.
§  Confidencialidade.
§  Integridade.
§  Autenticação e Não repúdio.
o    A SI no cenário da gestão do ciclo de vida da informação.
o    Processos e ferramentas de arquitetura de segurança.
o    Categorias de Incidentes cibernéticos. Resposta e recuperação.
o    Conceituando forense computacional.
·                     Conhecimento básico de gestão de riscos e vulnerabilidades.
·               Crescente ameaça de fraudes e ataques cibernéticos ao ambiente operacional.
·                     Cenário de Espionagem Globalizada e Guerra Fria Cibernética.
o    Quem é a NSA e quem são os Five Eyes (FYES)?
o    Tipos de Interceptação, Back Doors em empresas de Internet.
o    Quebra de Criptografia – repercussões no Brasil.
·                         Implicações futuras e novos riscos trazidos pela evolução da Tecnologia:
o    Tecnologia nova e emergente da TI & SI.
o    Os quatro Pilares da 5ª Era da TI – Era da Computação Social.
·                     Desafios à proteção da Segurança da Informação (SI) dos quatro pilares:
o    Computação em nuvem – noções envolvendo dados e colaboração.
o    Mobilidade – Segurança móvel: riscos e vulnerabilidades.
o    Big data – implicações à privacidade.
o    Redes sociais – riscos e perigos existentes.
·                     Vulnerabilidade dos usuários não conscientizados.
·                     Desafios associados à Web Oculta (Deep Web).
·                     Riscos da Internet das Coisas.
·                     Desafio trazido pelos Malwares.
·                     Categorias de ataques cibernéticos.
o    Hacking e sua Linha do Tempo evolutiva.
o    Como reconhecer e evitar Ataques Persistentes Avançados (APA).
o    Phishing e Spear Phishing.
·                     Engenharia Social e coleta não autorizada.
·                     Sete maneiras fáceis para evitar ser hackeado.
o    Desconfie de e-mails. Verifique os locais dos links. Nunca abra anexos (exceto se tiver certeza da origem). Use autenticação de dois fatores.
o    Utilize senhas poderosas. Tenha cuidado com a nuvem.
o    Em Wi-Fi pública, não compartilhe dados pessoais.
·                Estar compliance é estar seguro? Inovação na postura de Cibersegurança.
o    Necessidade de Mudança Radical no Modelo Aceito de Segurança.
o    Hoje não estamos ganhando a luta cibernética... Mas podemos virar o Jogo. Integrando o Risco Cibernético aos Riscos do Negócio.
o    Gráfico: grau de Maturidade na Gestão de Risco Cibernético.
·                 Cinco Sensos (5S) da Qualidade no Estilo Japonês, aplicados à SI:
o    Utilização – Seiri, Organização – Seiton, Limpeza – Seisou, Saúde (melhoria contínua) – Seiketsu e Autodisciplina – Shitsuke.
§  Política de mesa limpa.
§  Cuidados no descarte de informações classificadas.
§  Documentos sigilosos em salas de reunião, copiadoras e impressoras. Uso de termos de responsabilidade.
§  Construção de senhas fortes e fáceis de memorizar.
§  Ações contra Engenharia Social, Malwares e coleta não autorizada.
§  Organização de arquivos sigilosos (tanto físicos, quanto digitais).
§  Ações contra o uso de Pendrives e e-mails de forma displicente.
§  Cuidados com os Dispositivos Móveis dos colaboradores.
·            Medidas práticas para garantir proteção, continuidade e resiliência do Ciclo de Vida da Informação corporativa:
o    No Planejamento e Produção.
o    No Acesso e Utilização.
o    No Envio e Recebimento.
o    No Armazenamento e Recuperação.
o    Na Eliminação.
o    Em Emergência e Continuidade.
·         Legislações e Referências Normativas. Sugestão de Leitura e Estudo Futuro.
·         Exercício, Dinâmica de Grupo e Avaliação:
o    Política de Mesa Limpa – Jogo dos 20 Erros.
o    Dinâmica de Grupo. Trabalho final individual.

Metodologia

Apresentações de Slides, Vídeos, Filmes e páginas na Internet. Estudo dirigido. Pesquisa. Discussões em grupo. Estudo de problemas. Trabalhos Individuais.



Avaliação
A avaliação é realizada por nota de 0 a 10 (zero a dez), envolvendo: participação em sala de aula (Valor: 2 pontos); entrega e apresentação de trabalho (2000 palavras – Valor 8 pontos). O trabalho expõe exemplo de serviço voltado para segurança da informação da entidade a que o aluno pertence, em que seriam destacadas duas medidas de segurança adotadas, com os respectivos riscos minimizados. O aluno deve incluir as dificuldades encontradas no processo de implementação das medidas, bem como relatar iniciativas para superá-las, adotadas com base no conhecimento adquirido no curso. Receberá certificado de conclusão do curso o aluno que obtiver avaliação igual ou superior a 7 (sete).

Bibliografia (Básica e Complementar)
  • Andress, Jason.  The Basics of Information Security – Understanding the Fundamentals of InfoSec in Theory and Practice.  Elsevier, 2011.
  • Campbel, D. Inside ECHELON. The history, structure and function of the global surveillance system known as Echelon. Eridu, 2000. Clique


  • Cockram, Dominic and Van Den Heuvel, Claudia. Organisational Resilience.  BCI Membership Subgroup, 2012. Clique
  • Hinson, Gary. Business case for an Information Security Awareness Program. IsecT, 2010.Clique
  • NIST – National Institute of Standards and Technology. Framework for Improving Critical Infrastructure Cybersecurity. Version 1.0. EUA, 12Fev2014. Clique
  • Pagliusi, P.S. Livro:  Internet Authentication for Remote Access - Authentication Solutions for Internet Remote Access Networks Aiming Ubiquitous Mobility. Scholar's Press, Saarbrücken, Alemanha, Jul2013. Clique
  • Pagliusi, P.S. 7 Maneiras Fáceis para Evitar ser Hackeado, em 14Abr2015, no blog MPSafe. Clique
  • Pagliusi, P.S. A Internet Profunda – Segredos, Riscos e Ameaças, em 26Fev2015, no portal CryptoID. Clique e Blog MPSafe. Clique
  • Pagliusi, P.S. A Máscara – Brasil entre Maiores Alvos, Jul2014, pg. 22 e 23, Revista do Clube Naval nº 371. Clique Blog MPSafe. Clique Revista Linux Magazine nº 110. Clique
  • Pagliusi, P.S. Segurança de Dispositivos Móveis – Como proteger Smartphones & Tablets, em Set2014 pela Revista Linux Magazine nº 114, da Linux New Media do Brasil. Clique  e pelo Blog MPSafe. Clique
  • Pagliusi, P.S. O cibercrime joga no ataque, em Ago2014, Revista Linux Magazine nº 113, da Linux New Media. Clique e PDF
  • Pagliusi, P.S. Ciberespionagem e inovação em cibersegurança, em Jul2014 pela Revista Linux Magazine nº 112, da Linux New Media do Brasil. Clique e no Blog MPSafe. Clique
  • Pagliusi, P.S. A Era da Computação Quântica, em 13Fev2014 no blog MPSafe. Clique e no blog Segurança da Informação. Clique
  • Pagliusi, P.S. Criptografia pode servir de mapa da mina, matéria de capa do jornal “O Globo”, Rio de Janeiro, de 09Set2013. Página 3 do jornal impresso, e link do Portal G1. Clique 
  • Pagliusi, P.S. Nuvem como Arma Secreta? Agentes Silenciosos da Guerra, no blog MPSafe, em 24Mar2013. Clique
  • Pagliusi, P.S. Novos desafios de segurança da nuvem e do BYOD, na Revista CIO - Estratégias de negócios e TI para líderes corporativos - seção Opinião, de 12Dez2012. Clique
  • Pagliusi, P.S. O Anonymous e Os Pássaros, de Hitchcock, no Jornal “O Globo”, Rio de Janeiro, de 09Abr2012, blog e coluna do repórter especialista em TI André Machado. Clique
  • Pagliusi, P.S. Reduzir custos sem abrir mão da proteção. Decision Report, 12Mar2012. Clique
  • Pagliusi, P.S. Quem está compliance também está seguro? Jornal Brasil Econômico, versão impressa e em mídia, 27 a 29Jan2012. Clique
  • Pagliusi, P.S. Fraudes financeiras & Segurança da Informação. Information Week, 02Nov2011. Clique
  • Pagliusi, P.S. Correio Eletrônico na Nuvem - Migração, Riscos e Recomendações de Proteção. Portal Segurança da Informação – Blog SegInfo, 21Mar2012. Clique e blog MPSafe. Clique
  • Pagliusi, P.S. A segurança da geração que voa na Nuvem. Portal Decision Report, 10Jul2011. Clique e blog MPSafe. Clique
  • Pagliusi, P.S. Conversa na Nuvem sobre SIEM e BYOD. Podcast de 17/04/2013, blog SegInfo. Clique
  • Pagliusi, P.S. PSSPodcast #6 - Segurança em Cloud Computing. Podcast de 08/06/2011, Information Week Brasil. Info | SegInfocast. Clique
  • Ross, Steven and Masters, Risk.  Creating a Culture of Security.  ISACA, 2011.
  • Salomon, David.  Elements of Computer Security.  Springer, 2010.
  • Senado Federal. Audiência pública do Dr. Paulo Pagliusi, outros especialistas em SI e diversas autoridades à CPI da Espionagem - destinada a investigar a denúncia de existência de um sistema de espionagem estruturado pelo governo dos Estados Unidos. Brasília – DF, em 22Out2013. [Senado] Clique [EBC] Clique [Relatório Final da CPI] PDF
  • Sommer, Peter and Brown Ian.  Reducing Systemic Cybersecurity Risk. OECD/IFP “Project on Future Global Shocks”, 2011. Clique
  • Suter, Manuel. A Generic National Framework for Critical Information Infrastructure Protection. Center of Security Studies, ETH Zurich. Clique
  • Whitcher, Robert.  BS25999 – White PaperBCI Seminar, 2009. Clique
Plano de Aula

AULA
DATA
ATIVIDADES
01
3ª-Feira
(3 horas)
Apresentações iniciais e fundamentos de Cibersegurança.
Conhecimento básico de gestão de riscos e vulnerabilidades.
02
5ª-Feira
(3 horas)
Crescente ameaça de fraudes e ataques cibernéticos ao ambiente operacional.
Cenário de Espionagem Globalizada e Guerra Fria Cibernética.
Implicações futuras e novos riscos trazidos pela evolução da Tecnologia.
03
3ª-Feira
(3 horas)
Desafios à proteção da Segurança da Informação (SI) dos quatro pilares (Nuvem, Mobilidade, Big data, Redes sociais).
Vulnerabilidade dos usuários não conscientizados.
Desafios associados à Web Oculta (Deep Web).
Riscos da Internet das Coisas.
Desafio trazido pelos Malwares.
04
5ª-Feira
(3 horas)
Categorias de ataques cibernéticos.
Engenharia Social e coleta não autorizada.
Sete maneiras fáceis para evitar ser hackeado.
Estar compliance é estar seguro?
(Necessidade de) Inovação na postura de Cibersegurança.
05
3ª-Feira
(3 horas)
Cinco Sensos (5S) da Qualidade no Estilo Japonês, aplicados à SI.
Medidas práticas para garantir proteção, continuidade e resiliência do Ciclo de Vida da Informação corporativa.
Exercício (Política de Mesa Limpa – Jogo dos 20 Erros).
Legislações e Referências Normativas.
Sugestão de Leitura e Estudo Futuro.
06
Sábado
(5 horas)
Entrega e Apresentação dos Trabalhos Individuais.
Dinâmica de Grupo e Avaliação.
Dinâmica do Curso
Data de início – Em uma terça-feira, a ser definida.
Local – Instalação (auditório, sala de aula ou reunião) provida pela corporação Cliente.
Infraestrutura – Solicitamos à corporação Cliente providenciar: suporte computacional para slides (PowerPoint), equipamentos de áudio (microfones, alto-falantes), projetor, recursos de mídia digital para passar vídeos (imagem e som) e acesso à Internet.

Valor e Condições do Investimento
O valor do curso é R$ 2.500,00 (dois mil e quinhentos reais) por aluno, em turma composta por, no mínimo 6 (seis) e, no máximo, 20 (vinte) alunos. O valor é pago em duas parcelas, como a seguir. Estão inclusos no investimento: autorização de uso de nome e imagem do Professor, h/h referente à preparação, despesas de viagem, hospedagem, alimentação, e deslocamentos. Não estão inclusos direitos autorais nem exclusividade.

Forma de pagamento
O pagamento da primeira parcela ocorrerá em até 10 (dez) dias corridos antes da atividade prevista e o da segunda parcela, ao término do serviço prestado e em até 10 (dez) dias corridos após a atividade, mediante recebimento de nota fiscal com o valor da parcela, por parte do cliente.

Parcela
Período de:
Valor (R$)
Atividade
 
20%)
Em até 10 (dez) dias corridos antes da atividade
   500,00 por Aluno
Sinal e Preparativos
(80%)
Em até 10 (dez) dias corridos após a atividade
2.000,00 por Aluno
Realização do Curso
Total:
R$ 2.500,00 por Aluno

Mini curriculum do Professor Dr. Paulo Pagliusi
         Consultor PhD. in Information Security, pela Royal Holloway, University of London, Mestre em Ciência da Computação pela UNICAMP, Pós-Graduado em Análises de Sistemas, pela PUC – RJ e certificado CISM (Certified Information Security Manager).  O Dr. Paulo Pagliusi é autor de livro e conferencista conhecido com mais de 20 anos de atuação em SI, CEO e Sócio-Diretor da MPSafe CyberSecurity & CounterEspionage, Vice-Presidente da CSABR (Cloud Security Alliance Brasil) e Vice-Presidente da ISACA (Information Systems Audit and Control Association), Rio de Janeiro. Reconhecido pelo Governo Federal com especialista em contraespionagem, fez parte da audiência pública da CPI (Comissão Parlamentar de Inquérito) da Espionagem do Senado Federal sobre Segurança Cibernética. É também um dos mentores do movimento denominado “Cyber Manifesto”, que tem o objetivo de estimular o apoio e a criação de uma visão compartilhada para proteger o Brasil de ataques cibernéticos.
E-mail: seguranca@mpsafe.com.br
Programa do Curso: em PDF 
Você ainda não viu?

14 abril 2015

7 Maneiras Fáceis para Evitar ser Hackeado

Tecnicamente, tudo o que se conecta à Internet pode ser hackeado. Mas há várias coisas que você pode fazer para proteger a si e a seus dados de um ciberataque.
Aqui estão algumas dicas que irão mitigar o risco de ter seus dados pessoais roubados.

1. Desconfie de e-mails

Uma enorme quantia de ataques cibernéticos é lançada por meio de simples campanhas de e-mail maliciosos. E-mail é uma maravilhosa plataforma de comunicação, pois você pode enviar qualquer coisa a qualquer um, mas isso significa que também pode ser um enorme risco de segurança. Phishing, por exemplo, envia e-mails aparentemente inócuos que irão levar as vítimas a visitarem sites falsos, pedindo para atualizar suas informações pessoais.
A melhor maneira de evitar ser enganado por e-mails falsos é apenas se certificar de que o remetente é quem você pensa que é. Verifique o endereço do e-mail para ver se ele combina com o site de onde você pensa que ele se origina. Para ser mais cauteloso, você pode verificar o endereço IP do remetente.
Você pode fazer isso procurando as informações de origem do e-mail e localizando o endereço IP, que se segue à linha "Recebido: de". Você, então, pode procurar no Google o endereço IP para identificar a origem do e-mail. Aqui está uma boa cartilha para se encontrar endereços IP em e-mails.

2. Verifique os locais dos links

Mensagens de desconhecidos costumam conter links para sites desconhecidos. Navegar em um site misterioso pode trazer consequências indesejadas. Por um lado, ele pode imitar um site que você conhece e confia, o que o ajuda a se tornar vítima de uma tentativa de phishing. Por outro lado, ele pode ser um site inseguro, infectado com software malicioso.
Se você está tentado a clicar em um desses links, é melhor você saber exatamente para onde ele o está levando. A melhor maneira é copiar e colar o link no local um novo navegador, para ver que site está do outro lado do link. Se for um link encurtado, você pode usar ferramentas como o URL X-ray, a fim de descobrir o verdadeiro destino de um link antes de você clicar nele.
Além disso, os sites criptografados são normalmente os mais seguros para se visitar. Você sabe que eles são seguros quando você vê HTTPS na URL e o ícone de um cadeado verde e fechado no seu navegador.

3. Nunca abra anexos (a menos que você tenha certeza da origem)

Uma boa regra a seguir é nunca abrir anexos, a menos que você esteja com 120% de certeza de onde eles vieram. Uma das maneiras mais fáceis para os hackers baixarem códigos maliciosos nos computadores das vítimas é através do envio de e-mails com arquivos contendo vírus ou trojans.
Uma forma frequente das empresas serem hackeadas é por meio de um funcionário desavisado que baixa (faz download de) software malicioso que se infiltra em toda a rede corporativa. Os tipos de arquivos mais perigosos são Word, PDFs e com extensão executável, como os .EXEs.

4. Use a autenticação de dois fatores

Com as maiores empresas sendo hackeadas, a probabilidade de que sua senha seja vazada aumenta. Uma vez que os hackers tenham obtido senhas, eles tentam descobrir que contas pessoais na Internet eles podem acessar com os dados que roubaram.
A autenticação de dois fatores - que exige que os usuários não só digitem uma senha, mas também confirmem entrando com outro item, como um código transmitido por mensagem (SMS) a um telefone - é uma boa maneira de se parar os atacantes que roubam suas senhas. Mais empresas estão tornando-se padrão para iniciar a sessão.
Uma plataforma para comunicação de equipes, chamada Slack, por exemplo, instituiu a autenticação em duas etapas, uma vez que sofreu uma recente violação de dados. Isso significa que, se os hackers roubarem dados de algum usuário da plataforma Slack, ainda assim muito provavelmente não serão capazes de entrar em uma conta de usuário, a menos que eles tenham acesso a outro item pessoal que pertença ao usuário, como um telefone. Se a autenticação de dois fatores for uma opção disponível para proteger suas contas na Internet, é sábio escolhê-la.

5. Utilize senhas poderosas

Esta pode ser a dica mais óbvia, mas ainda assim é negligenciada. Uma senha forte inclui letras maiúsculas, minúsculas, números, pontuação e linguagem sem nexo. Não faça na senha nenhuma referência pessoal, e não armazene uma lista de senhas salvas em um arquivo.
Mais importante ainda, não use a mesma senha para várias contas.
Há algumas grandes ferramentas, como o LastPass e 1Password, que armazenam senhas de forma segura. Além disso, é crucial alterar suas senhas com frequência - especialmente as de contas vulneráveis, como as de e-mail e bancárias.

6. Tenha cuidado com a nuvem

Aqui está uma boa regra de ouro - se você não quer que as pessoas acessem sua informação, não a compartilhe. Isso inclui o armazenamento em nuvem. Não importa o quão segura uma plataforma diz que é, você deve ter em mente que você está dando sua informação a alguém para cuidar. Embora esteja no melhor dos interesses da empresa que a recebe mantê-la segura, muitos especialistas em privacidade sustentam que, para qualquer coisa que você colocar on-line, existe a chance dela ser publicada online.
Isto significa que você não deva armazenar qualquer coisa na nuvem? Não necessariamente, mesmo porque tudo está caminhando para a nuvem. Até a década de 2020, o termo computação em nuvem pode ficar redundante, pois tudo deverá estar mesmo na nuvem. É apenas útil manter-se a par de onde os arquivos sensíveis estão indo. E é muito importante conhecer as práticas de seu provedor de armazenamento em nuvem. Por exemplo, se ele segue as boas práticas recomendadas pela Cloud Security Alliance - CSA.
Além disso, certifique-se de que, se você excluir arquivos em seu computador ou smartphone, eles também sejam excluídos em todos os backups que você tenha feito na nuvem.

7. Em Wi-Fi pública? Não compartilhe dados pessoais

Pensando em comprar o bilhete de avião ou verificar sua conta bancária ao sentar-se em uma cafeteria? Você pode querer pensar duas vezes sobre isto, se não tiver ideia do quanto essa conexão é segura.
mesmo vale para locais como hotéis e centros de conferência. Pesquisadores de segurança recentemente descobriram uma vulnerabilidade que torna o tráfego Wi-Fi em alguns dos maiores hotéis do mundo vulnerável a ataques. Não há nenhuma maneira de um indivíduo saber se isto está acontecendo, por isso é melhor ser bastante criterioso com o local de onde você está navegando.
Se você precisa mesmo acessar informações privadas enquanto estiver navegando nestas redes, seria bom usar ferramentas como redes privadas virtuais (VPNs), que criptografam o tráfego para que a rede Wi-Fi não possa enxergar onde você está navegando. Ou, ainda melhor, basta configurar um hotspot usando seu smartphone com rede de dados móveis.


Por: Paulo Pagliusi, Ph.D., CISM
CEO da MPSafe CyberSecurity & CounterEspionage
Vice-Presidente da ISACA Rio e da Cloud Security Alliance - CSA Brasil

02 abril 2015

Segurança de Dispositivos Móveis – 4 Dicas sobre Como proteger Smartphones & Tablets

Destaca-se que o crescente aumento nas vendas de dispositivos móveis atraiu cibercriminosos e levou à criação de mais de 50 milhões de novas ameaças. O Android, sistema operacional do Google, concentra quase 80% das ameaças criadas para dispositivos móveis. Cuidados simples, antes de acessar um link ou instalar um app, podem evitar a maioria das infecções.
Na coluna anterior, foi descrita a ciberespionagem global e a necessidade de inovação na cibersegurança, em seu conceito mais holístico e estratégico, evitando as armadilhas dos pontos cegos nas corporações. Neste artigo, abordaremos um tema comum ao nosso cotidiano: a segurança de dispositivos móveis, categoria que inclui desde smartphones até tablets.
Há dois anos, a tecnologia móvel se consolidou de vez no Brasil. Segundo pesquisa da consultoria Morgan Stanley, as vendas somadas de smartphones e tablets em 2013 superaram pela primeira vez a de PCs e notebooks, e os tablets se tornaram o segundo tipo de computador mais popular do País, ultrapassando os desktops (PCs). Mas apesar de trazerem avanços, os dispositivos móveis não conseguiram evitar problemas que há anos atormentam os usuários de PCs: os vírus e os chamados malwares (softwares maliciosos).
Desde então, as principais empresas de segurança emitiram alerta sobre o crescimento do número de ameaças. A McAfee advertiu que, nos primeiros nove meses de 2013, o número de novos códigos maliciosos cresceu 50 milhões, chegando a 172 milhões em setembro. O principal motivo seria o crescimento do mercado móvel – ao todo, mais de 70 milhões de celulares em uso no Brasil, segundo a Morgan Stanley – o que levaria os cibercriminosos a ter como alvo tablets e smartphones, deixando os PCs e notebooks em segundo plano.
Segundo o Instituto Ponemon, os dispositivos móveis foram o maior foco das ameaças em 2014. Os principais ataques teriam origem em três fontes: SMS, phishings e aplicativos falsos, a maioria baixada fora de lojas oficiais de aplicativos como a App Store, do sistema iOS da Apple, e o Google Play, do Android.
Destaca-se que mais de 90% das infecções de vírus em dispositivos móveis podem ocorrer pela falta de atualização dos sistemas operacionais dos aparelhos. E podem ser evitadas se o usuário adotar hábitos de prevenção. Contudo, muitas pessoas são “clicadoras” compulsivas e, como resultado, não prestam atenção onde clicam. E, via de regra, os aplicativos só são instalados quando o usuário autoriza. De certa forma, instalar um aplicativo do qual não se sabe a procedência é o mesmo que abrir a porta de casa à noite para um estranho.
Portanto, baixar aplicativos ou apps somente de lojas oficiais é uma boa maneira de minimizar as chances de instalar arquivos maliciosos em tablets e smartphones. Apesar de haver riscos envolvidos, as empresas responsáveis por tais lojas costumam remover rapidamente aplicativos com problema, visando proteger o usuário.
Ao instalar aplicativos de outra fonte, o usuário promove uma quebra da proteção do sistema operacional por permitir a instalação de aplicativos não autorizados pela empresa, o que torna o sistema mais vulnerável a ameaças. E, muitas das vezes, o problema fica tão sério que o usuário se vê obrigado a formatar todo o celular.
Ressalta-se que há vários tipos de malwares para celulares, incluindo Cavalos de Tróia, spywares e vírus destrutivos. Uma das ameaças mais recentes é o Fake Defender, um malware exclusivo para Android, que trava o aparelho do usuário e exige o pagamento de um determinado valor como resgate.
No Brasil, ao invés de apps falsos, o que mais acontece é o ataque de phishing, em formato específico para usuários de smartphones e tablets, que manda uma mensagem falsa, via SMS ou redes sociais, como armadilha para “fisgar” vítimas incautas. Outra fonte de problemas para usuários de tablets e smartphones são redes Wi-Fi em locais públicos, como shoppings, aeroportos e restaurantes. 
Há o risco de haver, nestes lugares, falsos pontos de acesso Wi-Fi implantados por criminosos. O brasileiro precisa parar de usar tais redes sem preocupação. Não é recomendado usar aplicativos de bancos ou redes sociais nessas redes. Há sério risco de roubo da senha.
A adoção da prática conhecida como BYOD (sigla em inglês para “traga seu próprio dispositivo”) nas empresas também traz problemas para companhias e funcionários. As empresas ficam vulneráveis aos hábitos digitais dos colaboradores. De acordo com a Symantec, o custo médio anual causado às empresas brasileiras por incidente cibernético advindo de dispositivos móveis é de US$ 296 mil. Um cenário que tende a se agravar, já que a Gartner estima que, até 2018, 70% dos trabalhadores do mundo usarão dispositivos móveis no trabalho.
Observa-se que o sistema operacional móvel mais usado no mundo, o Android, é hoje também o principal alvo de vírus do mercado. Em 2012, o sistema do Google concentrou 79% das ameaças digitais criadas para dispositivos móveis, segundo pesquisa da finlandesa F-Secure. Na sequência, estaria o Symbian da Nokia, que foi descontinuado, com 19%, seguido pelo iOS da Apple, com 0,7%.
Além de ser a plataforma mais usada no mundo, com cerca de 70% do mercado – o equivalente a sete em cada dez smartphones –, o Android é um sistema aberto, o que pode aumentar os riscos.
Sistemas como Windows Phone e Blackberry OS, embora também sujeitos a infecções, são fechados e atualmente possuem menos vírus. Já o usuário de Android não pode se dar ao luxo de não usar antivírus, como os disponibilizados (gratuitamente) pela PSafe e pela Avast.
Muitas pessoas hoje enfrentam problemas de segurança no smartphone mesmo tendo instalado aplicativos diretamente da loja oficial Google Play. Em alguns casos, depois da instalação, as pastas do smartphone (como as de música, vídeos, entre outras) começam a se multiplicar sozinhas.
Quando se tenta apagar algumas, elas todas desaparecem e se perde todo o conteúdo. A solução muitas vezes passa por restaurar o sistema inteiro. Muitos aplicativos também carregam spam e propagandas que deixam o celular lento, ocupando um enorme espaço na memória do telefone.
Mas vírus e malwares não são mais privilégio de um único sistema operacional. Todos estão sendo cada vez mais visados, com ataques concentrados no Android e nos dispositivos móveis da Apple.
Até 2012, havia o mito da “imunidade a vírus” no sistema iOS. Este mito se desfez quando surgiu naquele ano o cavalo de Tróia Flashback, que se disfarça como um plugin do Adobe Flash. Foi um pesadelo para os devotos dos dispositivos móveis da Apple, pois este cavalo de Tróia conseguiu roubar milhares de nomes de usuários e senhas.
Um estudo da empresa SourceFire apontou, no ano passado, que o iOS acumulou um número maior de vulnerabilidades do que todos os seus concorrentes juntos nos últimos anos – 81%, contra 6% do Android. Mas o mesmo estudo destaca que a utilização do iTunes e as regras da Apple para apps em sua loja virtual acabam ajudando a proteger usuários e a reduzir casos de malware.
Veja agora a que se deve ficar atento, em relação a ameaças e proteção dos dispositivos móveis. Seguem nossas 4 dicas:
  • Sinais de que um dispositivo foi infectado por vírus: a bateria descarrega rapidamente; o aparelho tenta se conectar sozinho a outros, via Bluetooth; a conta do celular fica mais alta do que a de costume ou os créditos acabam muito rápido.
  • Riscos a que o usuário está exposto, se o dispositivo for infectado: vazamento de informações pessoais, como senhas e dados bancários; furto de imagens do álbum de fotografias; vazamento de dados da lista de contatos; destruição do sistema operacional do aparelho, podendo causar danos também ao hardware; ter ligações interrompidas ou impedidas.
  • Como remover vírus de tablets ou smartphones: apague o aplicativo suspeito de causar a infecção; instale um antivírus no aparelho e faça uma varredura; conecte o celular ao computador e faça uma varredura com um antivírus, como em um pen drive; se os passos anteriores não resolverem, restaure as configurações originais do aparelho (esta operação apaga todos os dados salvos no dispositivo).
  • Como proteger o dispositivo e evitar possíveis infecções: use senha para bloqueio e desbloqueio do aparelho; desconfie de SMS, mensagens de WhatsApp, redes sociais e e-mails que peçam senhas de acesso; procure instalar aplicativos somente de fontes seguras, tais como lojas oficiais; mantenha o sistema operacional atualizado; use um antivírus; jamais clique em links suspeitos; evite usar Wi-Fi gratuito; busque referências de outros usuários antes de instalar um aplicativo em seu dispositivo; verifique a lista de permissões do aplicativo (por exemplo, um app de alarme não deve solicitar acesso aos contatos para ser instalado).

Por fim, esperamos que tenhamos contribuído com nossas explicações e dicas de segurança para aparelhos móveis. Bons ventos a todos vocês, queridos leitores, e até o nosso próximo artigo!

06 dezembro 2014

Ciberespionagem e Inovação em CiberSegurança - 3 Passos para Obter um Círculo Virtuoso

Os avanços e desafios da nova era da ciberespionagem e a necessidade
de inovações urgentes no mundo da segurança da informação
No artigo anterior, foi descrita a Internet profunda, com seus segredos, riscos e ameaças. Neste artigo, abordaremos a ciberespionagem global e a necessidade de inovação na cibersegurança, em seu conceito mais holístico e estratégico, evitando armadilhas dos pontos cegos nas corporações, que muitos executivos de alto nível (C-Level) podem não se interessar em enxergar, mas que episódios recentes os estão obrigando a rever conceitos.
Entre eles, destacam-se as revelações de Edward Snowden[1] sobre o fato de que a NSA e outras agências de inteligência governamentais que formam os “Five Eyes” (EUA, Reino Unido, Canadá, Austrália e Nova Zelândia) têm agido fora do padrão esperado. Ou seja, coletam e fazem uso massivo da informação que emerge do “big data” gerado pelo mundo cada vez mais digital, tendo como foco não mais somente alvos militares, diplomáticos, de terrorismo ou crime organizado, como esperado. Porém, quebrando este paradigma, obtêm vantagens econômicas e competitivas para seus países, golpeando a privacidade de líderes e órgãos de Estados, empresas e, em última instância, de todos os cidadãos do planeta.
Isto ocorre pela coleta e armazenamento massivo e indiscriminado de posts, e-mails, vídeos, fotografias, áudios, telefonemas e mensagens em provedores de acesso e serviços à Internet e em empresas de telecomunicações. Tive inclusive a oportunidade de acessar parte do material revelado por Snowden, durante entrevistas concedidas ao programa “Fantástico”. Fiquei assombrado com o poderio observado, ainda que na última década já viesse fazendo este tipo de pesquisa para palestras e entrevistas, pela experiência como oficial da Marinha ciberespecialista.
Sempre soube, por exemplo, que celular é um aparelho de espionagem que também faz ligações (mesmo desligado, pode ser usado para escuta clandestina se permanecer com bateria, ao ser ativado velada e remotamente). E que, quando todas as demais barreiras são ultrapassadas, uma criptografia forte se torna o obstáculo extremo para proteção dos dados cibernéticos.
O impacto do caso da NSA/Snowden nos negócios brasileiros foi enorme. Segundo pesquisa da Alvarez & Marsal (A&M), 66% das empresas do país afirmam que o caso tem afetado seu nível de confiança em transações na Internet. Corporações e clientes passaram a ter mais cuidado ao fazer negócios com entidades em que não podem confiar para proteger seus dados de forma eficaz.
Mas não foram somente as agências de espionagem que mudaram o modo de agir. Como se não bastasse essa alteração de paradigma na espionagem global, os hackers também modificaram seus métodos de operação ao longo do tempo, passando do uso de vírus destrutivos bastante ruidosos no passado a acessos remotos acobertados e silenciosos, lançando hoje ataques cada vez mais diversificados, direcionados e especializados.
Neste cenário, o crescimento contínuo de ataques cibernéticos acarreta duas implicações chave. A primeira é que, em dado momento, toda organização se verá diante de uma crise cibernética. Como resultado, todo líder corporativo deve conhecer e assumir os riscos cibernéticos. A segunda, é que há necessidade urgente da organização efetuar mudanças radicais no modelo atual e amplamente aceito de Cibersegurança, baseado em compliance com padrões tradicionais. Esta abordagem, simplesmente, não funciona mais.  Para estar preparado para as ameaças cibernéticas emergentes e responder a elas de forma proativa e precisa, as corporações devem desenvolver inteligência das ameaças baseada nas evidências e na consciência situacional.
Neste cenário de novas ameaças, os líderes devem tomar para si a responsabilidade dos riscos cibernéticos de sua empresa. Não é mais suficiente para o CEO simplesmente dizer à equipe de TI: “consertem isso”. Na mesma pesquisa da A&M citada, 52% dos brasileiros entrevistados afirmam que Cibersegurança deve ser preocupação prioritária dos líderes empresariais. No entanto, 28% ainda acha que é uma responsabilidade da TI, o que é um amplo ponto cego. Além disto, 74% das empresas brasileiras afirmam que aumento do orçamento reduzirá nível de risco em Cibersegurança. Porém, este é outro ponto cego: mais dinheiro não é necessariamente a solução, pois antes de se gastar mais, é preciso garantir investimento disponível aplicado em recursos adequados, visando os riscos certos, na hora certa.
Fazer com que a organização esteja preparada para lidar com problemas de cibersegurança não é tarefa fácil e requer iniciativa de toda a organização, que só vem com uma mudança a partir dos altos escalões. Neste contexto, a necessidade de unir negócios e tecnologia exige que a equipe executiva desempenhe um novo papel na intersecção entre tecnologia, negócios e risco, a fim de poder iluminar os pontos cegos existentes. No entanto, 47% das empresas brasileiras, conforme a pesquisa da A&M, afirmam que existe um baixo nível de diálogo entre as equipes de segurança e os líderes empresariais. Os líderes de hoje devem ser preparados para lidar com riscos de tecnologia juntamente com os riscos do negócio, ao invés de deixar os problemas de Cibersegurança sob a responsabilidade do CIO.
Outro ponto cego: 60% das organizações não sentem que têm recursos humanos necessários para se proteger e responder a um ataque. Sem a devida competência, não há defesa cibernética, somente uma ilusão dela, e este é o pior cenário para toda corporação – pensar que está segura, quando de fato não está. Pois, como costumamos afirmar, neste ramo não há espaço para amadores.
Os cenários de ameaças são cada vez mais complexos e não estão apenas correlacionadas à tecnologia, na verdade muitas vezes o uso da tecnologia é parte do problema. Assim, não adianta dispor somente de um bom time técnico, pois há necessidade de envolver toda a corporação de forma holística na defesa cibernética. Como resultado, cresce a importância do CISO para a corporação, que deve ser educado para construir uma estratégia dinâmica e abrangente de Cibersegurança, que una os mundos anteriormente distintos de TI e negócios.
No atual e complexo ambiente operacional, as corporações precisam de um modelo de Cibersegurança inovador e dinâmico. Ao invés de confiar em compliance, elas precisam construir um processo de ciberproteção que se adapte e responda continuamente às suas mudanças, das interfaces com clientes, da cadeia de fornecedores e no universo das ameaças cibernéticas.
Segundo um relatório do Information Security Forum (ISF), nos últimos anos, em muitas organizações a equipe de segurança cibernética tem se concentrado em alinhar a estratégia da função de segurança da informação à do negócio. No entanto, nesta era de espionagem globalizada e de cibercriminosos especializados, isso não é mais suficiente: a crescente dependência do negócio ao ciberespaço colocou uma demanda sobre a função de segurança para definir e executar uma estratégia de segurança da informação que vá mais longe rumo à efetiva integração com o negócio.
A transição do alinhamento para a integração é vital para a função de segurança da informação poder fornecer o que o negócio precisa. Em nosso método, definimos três passos que formam um “círculo virtuoso” para levar às corporações uma estratégia integrada de segurança da informação:
1. Compromisso: pois a função de segurança da informação deve ficar perto do núcleo do negócio e adequadamente representada em fóruns de tomadores de decisões-chave, incluindo o conselho de desenvolvimento da estratégia corporativa.
2. Antecipação: para identificar mudanças no cenário de negócios e ameaças que poderiam comprometer ou aumentar a chance de sucesso do negócio.
3. Resiliência: devido à necessidade de reconhecer que é impossível de se defender contra todos os ataques, mas que o planejamento e preparação podem reduzir o impacto potencial. 
Deixamos para o final uma pergunta derradeira, para reflexão do leitor: qual a importância que governos e empresas que lidam com nossos dados utilizem uma estratégia de cibersegurança inovadora, que possa sanar os pontos cegos? Muita gente pensa: “ah, para mim, tanto, faz; vou levando minha vida e esta história não me afeta em nada, não tenho nada a esconder, é problema do governo e das grandes empresas”. Nossa linha de pensamento é que, sem uma adequada estratégia de segurança cibernética, não há privacidade. Sem privacidade, não há liberdade de expressão. E, finalmente, sem liberdade de expressão, não há democracia. E este não é o futuro que sonhamos para nossas próximas gerações, não é mesmo?
Em nosso próximo artigo, abordaremos um tema comum ao nosso cotidiano: a segurança de dispositivos móveis, categoria que inclui desde smartphones até tablets. Aguardem, queridos leitores, e até lá. Bons ventos!
Paulo Pagliusi, Ph.D., CISM
Palestrante e Consultor em CiberSegurança Estratégica



[1] Veja em: http://www.mpsafe.com.br/2014/05/fantastico-entrevista-edward-snowden-na.html . Uma notícia recente é a de que o novo livro do Glenn, “No Place to Hide” (Sem Lugar para se Esconder) será utilizado em uma nova produção de Hollywood, do mesmo produtor de “Skyfall”, o último filme de James Bond. http://www.hollywoodreporter.com/news/sony-nabs-film-rights-edward-704063