Segurança Cibernética Vai Muito Além da TI – Fatores de Impacto dos Ataques ao Negócio

É fundamental para a sobrevivência das empresas e avanço dos seus negócios compreender o real impacto de um ataque cibernético e a importância do envolvimento de todas as áreas neste processo. Contudo, há um longo trabalho de conscientização neste sentido.

Paulo Pagliusi, Ph.D., CISM

Todas as indústrias, sem exceção, quando sofrem ataque ou ameaça cibernética, costumam achar que se trata de um problema de TI. Porém, Segurança Cibernética transcende essa área. É um tema multidisciplinar que envolve a combinação de avaliação de risco aos negócios, métodos de quantificação financeira, treinamento e conscientização de pessoas, avaliação de impactos à marca etc. Exige esforços do Jurídico, Comunicação, TI, Financeiro, RH, Segurança Corporativa, Auditoria, Gestão de Riscos, Cyber Security e Liderança (C-Level e Board). O programa Cybersecurity Nexus (CSX) da ISACA já aponta nesta direção.

Uma pesquisa de âmbito mundial da Deloitte, chamada “Por dentro de um ataque cibernético – Um olhar mais profundo para os impactos nos negócios” traz uma análise sobre como os líderes empresariais avaliam os impactos dos ciberataques em suas organizações. Se há medição para todos os riscos (financeiros, patrimoniais, jurídicos etc.), é preciso mensurar também os cibernéticos, que têm forte impacto para o negócio (incluindo marca, reputação) e podem ocasionar grandes perdas.

É comum as empresas improvisarem uma análise muito superficial sobre este impacto. A visão costuma ser curta, quando é preciso analisar o amplo e extenso prejuízo, considerando os custos diretos e os intangíveis (desvalorização da marca, perda de propriedade intelectual, impacto nos negócios) em um intervalo de tempo maior do que se costuma empregar.

O estudo mostra que apenas 5% dos impactos financeiros de um ataque cibernético são analisados para tomada de decisão. Os outros 95% ficam “submersos”, como mostra a ilustração abaixo. Assim, a situação costuma ser subavaliada. As empresas costumam olhar a questão por algumas semanas realizando triagem dos incidentes e por mais alguns meses para a gestão do impacto e acham que está tudo solucionado, quando na verdade é preciso projetar para o longo prazo para a completa recuperação do negócio, pois os efeitos de tais ataques podem ser sentidos por até cinco anos.

COMO LIDAR COM OS ATAQUES CIBERNÉTICOS?

De maneira distinta do que ocorria no passado, os ataques cibernéticos não acontecem mais por desafio ou diversão: há empresas especializadas nesta prática, visando realmente afetar os negócios das companhias, sendo tais ataques cada vez mais monetizados, silenciosos, persistentes e avançados. Uma decisão errada em minutos, na área de Risco Cibernético, é capaz de afetar o futuro dos negócios da empresa na próxima década.

No ano passado, em média, demorou 117 dias para que as empresas descobrissem ter sido alvo de um ataque cibernético. Diante deste cenário, muitas companhias podem já ter sofrido ataque e ainda não sabem disso. A condução do incidente, depois de descoberto, deveria ser a seguinte:

DIAS/SEMANAS:

– interrupção da operação;
– aplicação de controle de segurança, para reduzir vulnerabilidade;
– comunicação de parceiros e clientes;
– movimento para continuidade dos negócios.

SEMANAS/MESES:

– definição de estrutura interina da operação;
– busca de respaldo jurídico;
– observação das questões regulatórias;
– manutenção da relação com clientes e parceiros (busca de continuidade).

MESES/ANOS:

– esforço voltado a reparar dados aos negócios;
– redesenho do processo;
– investimento em segurança, vigilância e, em especial, resiliência cibernética para emergir mais forte, ao sair da crise.

COMO EVITAR INCIDENTES CIBERNÉTICOS?

O caminho está em integrar as múltiplas competências com os executivos da empresa e os profissionais de segurança, tendo a consciência de que uma crise pode realmente acabar com o negócio. Mais do que gestor de ativos de TI e tecnologista, o CISO hoje precisa ter uma postura mais estrategista e conselheira, orientando as áreas de negócio em atividades com implicações em riscos cibernéticos.

É necessário, portanto, estabelecer a combinação de conhecimento do risco cibernético com a avaliação do impacto do ataque para cada uma das áreas do negócio, considerando os custos financeiros e os intangíveis.

Desta forma, há necessidade de se adotar na empresa uma postura proativa, por meio de um modelo de inteligência e gestão de risco cibernético que considere três pilares:

SEGURANÇA: assumir um olhar preventivo, observar as ciberameaças conhecidas e se proteger delas, mantendo a conformidade com padrões e regulamentações. Fazer frente às ameaças conhecidas.

VIGILÂNCIA: conhecer e acompanhar as novas ameaças, detectar violações e anomalias no ambiente. Adotar comportamento mais proativo. Com base no que já aconteceu, ou acontece à sua volta, observar atentamente novas e possíveis variáveis. Estar preparado para ameaças previsíveis.

RESILIÊNCIA: estar pronto para as ameaças imprevisíveis, contando com uma estrutura resiliente, ou seja, que sinta o impacto, mas resista a ele. Retorno rápido às operações normais, mediante reparo dos danos causados ao negócio, lidar com a crise cibernética de modo que a empresa consiga emergir dela fortalecida.

Fontes: relatório Deloitte - Por dentro de um ataque cibernético - Um olhar mais profundo para os impactos nos negócios, 2016. Tradução: Estadão.

Como falar ao Conselho sobre Cibersegurança

As discussões sobre segurança da informação com o Conselho de Administração devem destacar os riscos cibernéticos mais graves enfrentados pelo negócio e os métodos utilizados para gerenciá-los

Paulo Pagliusi, Ph.D. in Information Security

A perpetuidade do negócio deve ser o grande objetivo de seus administradores, e a Segurança da Informação (SI) tornou-se tema crucial para a sobrevivência das instituições. Hoje é bastante evidente que toda empresa fica vulnerável ao lidar com dados digitais, pois há sempre alguém querendo entrar em seus sistemas. É inegável também que Cibersegurança – a preservação da SI no ciberespaço[1] – não abrange apenas tecnologia nem vale somente dinheiro; também custa às corporações tempo, conveniência, capacitação, liberdades, e assim por diante.

Assim sendo, este tema não deve mais ser conduzido apenas no âmbito da Tecnologia da Informação, mas por meio de uma governança corporativa consciente e responsável. Tal consciência deve começar de cima, e o Conselho de Administração – como representante dos acionistas – deve fazer com que a empresa assuma papel efetivo no combate a ataques cibernéticos, violações e vazamentos de dados. Ela deve aproveitar oportunidades de melhoria na defesa e cumprir com suas obrigações perante seus representados, clientes, fornecedores, colaboradores e comunidades.

A ameaça cibernética é uma realidade no mercado e coloca em risco o que as instituições têm de mais valioso: a informação. A conhecida onda de violações de dados e ataques cibernéticos ao longo dos últimos anos levou muitos Conselhos a começar a fazer perguntas incisivas sobre as práticas de segurança da informação em suas empresas. Eles desejam conhecer as chances da empresa experimentar uma danosa violação na sua segurança, e o que está sendo feito para impedir isso.

A fim de que o Conselho possa enfrentar de modo eficiente e eficaz tais riscos cibernéticos, não basta simplesmente seguir o que dizem os legisladores ou os códigos de melhores práticas de governança corporativa. Diante de um mundo cibernético cada vez mais volátil, incerto, complexo e ambíguo[2], é preciso ir além. Se o ciberespaço externo mudou, ao invés de apenas confrontar esta realidade, os tomadores de decisão nas empresas precisam aproveitar o momento para realizar internamente as reformas que irão contribuir para um posicionamento mais sustentável no longo prazo. Isto envolve transformar a cultura e a forma com que a gestão do risco cibernético é feita nas corporações, adaptando-as aos novos tempos.

Diante deste cenário, os CIOs e CISOs são cada vez mais chamados a responder a perguntas nas reuniões do Conselho. A clareza de suas respostas pode alavancar ou invalidar as agendas de segurança da informação. Para que o Conselho se sensibilize quanto a seu papel fundamental neste combate e possa vir a confiar cada vez mais no CIO e CISO da sua empresa, é vital que tais executivos saibam se comunicar com clareza, foco e discernimento quando chamados a falar, incentivando deste modo a necessária inclusão das questões de Cibersegurança no topo da agenda corporativa.

Por exemplo, quando se discute com o Conselho incidentes cibernéticos ou temores de potenciais incidentes, é preciso separar bem o conceito de vulnerabilidade da ideia de ameaça. Uma porta destravada constitui uma vulnerabilidade, mas não uma ameaça se ninguém quiser entrar. Por outro lado, uma vulnerabilidade pode levar a muitas ameaças: aquela porta destravada pode levar a terroristas esgueirando-se para instalar uma bomba, concorrentes levando embora segredos comerciais, ladrões furtando bens valiosos, vândalos locais depredando a propriedade, ou até mesmo gatos perambulando e distraindo a atenção da equipe ao brincar com os teclados. Os dois aspectos que melhor definem as ciberameaças são o ator e a consequência.

O reconhecimento da existência de um ator obriga o Conselho a pensar estrategicamente sobre ciberameaças. Pois o ciberatacante sempre pode escolher que vulnerabilidade explorar para atingir determinado objetivo. Isto implica que, em relação a uma determinada ameaça cibernética, a empresa deverá não apenas resolver uma série de vulnerabilidades, mas também compreender que esta ameaça poderá evoluir dinamicamente, em resposta a cada uma de suas ações defensivas.

Como há vários tipos de atores maliciosos, é fácil o Conselho se confundir ao ouvir do CIO ou CISO alguns clichês da mídia, como o termo “hackers”. O objetivo de cada ator é uma boa forma de se começar a separá-los adequadamente, para que o Conselho possa entender melhor as ameaças que cada um representa e potenciais consequências de seus ataques. Às vezes, o objetivo final do ator é realizar uma fraude financeira, outras vezes o ciberatacante deseja espionar a empresa em busca de segredos-chave do negócio, realizar ativismo hacker (hacktivismo) ou até mesmo interromper processos de controle industrial, sabotando as instalações corporativas.

Fornecer respostas claras, que reflitam as ameaças mais iminentes à segurança e privacidade da organização, as principais tendências do mercado, que falem também das estratégias de mitigação de risco – atuais e previstas – pode contribuir para ganhar a confiança dos membros do Conselho e aprimorar a agenda de segurança. Por outro lado, respostas excessivamente detalhadas, que mergulhem em operações de segurança do dia-a-dia, podem sobrecarregar ou até frustrar o Conselho. Não é incomum a CIOs e CISOs, que antes nunca puderam levar ao Conselho questões de segurança da informação, cometer o erro de fornecer muita informação.

Um CIO ou CISO não habituado a se dirigir a Conselhos tende a querer demonstrar conhecimento e profundidade na sua abordagem, exibindo dezenas de métricas que mostram diferentes dimensões do risco cibernético. Mas isto só distrai os membros com relação aos poucos indicadores de risco crítico mais importantes ao negócio. Há três mensagens essenciais que os CIOs e CISOs precisam transmitir ao Conselho:

1. Criar uma lista sucinta dos quatro a seis principais riscos cibernéticos que a empresa enfrenta, com indicadores de risco sinalizando o nível de exposição a eles. Os riscos de segurança da informação a que uma empresa está sujeita podem incluir furto de propriedade intelectual, violação de dados que comprometa informações sigilosas de clientes, ou fraude financeira de terceiros. Os indicadores que os CIOs e CISOs elegem para ajudar a avaliar a exposição ao risco de suas empresas podem incluir, por exemplo, o número de tentativas mensais de acesso à rede corporativa a partir de países conhecidos como patrocinadores de espionagem cibernética e furto de propriedade intelectual; ou perdas de receitas trimestrais associadas a incidentes de vazamento de dados de clientes. É importante que tais indicadores dos principais riscos cibernéticos sejam notificados ao Conselho, pois eles ajudam a ilustrar os pontos fortes e fracos da postura geral de cibersegurança de uma empresa. 
2. Identificar se principais indicadores de risco estão tendendo para cima, para baixo ou permanecendo estáveis trimestre a trimestre. Se os indicadores de risco estão se movendo, deve-se explicar ao Conselho o que pode estar causando tais mudanças. Por exemplo, se forem notados picos de ataques cibernéticos durante as semanas ou meses que antecederam lançamentos de produtos, tais correlações devem ser levadas ao Conselho. O Conselho deve ficar sempre atento às tendências de ameaças cibernéticas relacionadas à performance dos negócios e à natureza cíclica do risco de segurança da informação. 
3. Explicar como a empresa está gerindo riscos de segurança e mantendo-os dentro de limites aceitáveis. Por exemplo, se a distribuição não autorizada de informações corporativas sigilosas representa elevado risco à empresa, pode ser preciso explicar ao Conselho, em alto nível, as tecnologias e processos que se dispõe para monitorar informações enviadas dentro e fora da instituição, detectar comunicações suspeitas, e restringir sua transmissão até que a legitimidade possa ser verificada. Caso o acesso não autorizado de terceiros a informações sensíveis represente uma ameaça, pode-se descrever os rigorosos processos de avaliação de segurança da empresa ao lidar com fornecedores terceirizados. 

Falar ao Conselho sobre Cibersegurança torna-se complicado pelo fato de que, em uma típica reunião de dois dias dos membros, costuma-se dedicar apenas 15 minutos a este tópico. Por isto, é essencial aos CIOs e CISOs apresentar os poucos indicadores de risco mais importantes para os Conselheiros assimilarem, e dar-lhes tempo para suas perguntas. Outra prática recomendada é fornecer resumos concisos ao Conselho antes das reuniões, que servem para focar sua atenção em preocupações críticas de segurança da informação, bem como planos para potencial mitigação.

Finalmente, recomenda-se aos CIOs e CISOs apresentar uma visão objetiva do que a empresa está fazendo bem, além das suas vulnerabilidades críticas. As reuniões do Conselho são um momento oportuno para o CIO e o CISO ser sincero sobre as implicações de segurança de várias decisões envolvendo pessoal, orçamento e priorização de iniciativas e interesses de TI, sejam planejados ou em andamento.

Por derradeiro, convém lembrar que ninguém se beneficia por apresentar uma mensagem tendenciosa ao Conselho, pendendo positiva ou negativamente. É importante ao Conselho obter uma visão equilibrada da segurança e postura de risco da empresa. Seus membros precisam entender, de modo tão transparente quanto possível, quais os principais riscos cibernéticos e o que a empresa está fazendo a respeito deles, para que possam fazer as perguntas certas para conduzir o processo.

Matéria veiculada no Jornal Estadão em 31/05/2016

Referências: 

• Singer, P.W. and Friedman, A. Cybersecurity and Cyberwar – What Everyone Needs To Know. Oxford University Press, 2014.http://www.cybersecuritybook.com/
• Deloitte Insights. “How To Talk To The Board About Security”. The Wall Street Journal, CIO Journal, 20 de novembro de 2012.http://deloitte.wsj.com/cio/2012/11/20/how-to-talk-to-the-board-about-security/
• Azeredo, M. “Risco Cibernético Em Alerta Máximo”, Revista Relações com Investidores nº 194, seção: Gestão de Risco, junho de 2015.http://www.revistari.com.br/194/985
• Vasconcellos, P. C. “O conselho de administração ideal de uma empresa”. Portal BM&FBOVESPA, artigo acessado em 30 de dezembro de 2015.http://www.bmfbovespa.com.br/pdf/CiasListadasArtigo3.pdf
• Araújo, J. L. “A chance de transformar a própria casa”, Revista Mundo Corporativo nº 50, seção: Mensagem ao mundo corporativo, outubro – dezembro de 2015. http://www2.deloitte.com/br/pt/pages/about-deloitte/articles/mundocorporativo50.html
• Rai, S. Cybersecurity – What The Board Of Directors Needs To Ask. ISACA & The Institute of Internal Auditors Research Foundation (IIARF), 2014.http://www.isaca.org/Knowledge-Center/Research/Documents/Cybersecurity-What-the-Board-of-Directors-Needs-to-Ask_res_Eng_0814.pdf
• Pundmann, S., Juergens, M. Cybersecurity and the role of internal audit: An urgent call to action. Deloitte Perspectives, EUA, 2015.http://www2.deloitte.com/us/en/pages/risk/articles/cybersecurity-internal-audit-role.html

[1] Ciberespaço: Ambiente complexo, resultante da interação de pessoas, software e serviços na Internet, por dispositivos de tecnologia e redes conectadas.

[2] Estes quatro termos – em inglês: Volatile, Uncertain, Complex e Ambiguous – geram uma expressão bastante utilizada em estudos da Deloitte: “VUCA World”, originalmente cunhada pelo exército norte-americano na década de 1990, quando idealizava o mais desafiador dos potenciais cenários de combate.

#ameaça cibernética #ciberespaço #cibersegurança #governança corporativa #riscos #segurança da informação #VUCA #vulnerabilidades

Uma corrida com barreiras digitais nas Olimpíadas

A abertura das Olimpíadas de Londres, em 2012. Hackers tentaram causar um blecaute na cerimônia (Foto: Tim Wimborne/ REUTERS)

Evitar ataques de hackers é um grande desafio para a organização das Olimpíadas do Rio de Janeiro

Dá para imaginar o estrago se, na cerimônia de abertura das Olimpíadas de Londres em 2012, vista por 900 milhões de pessoas ao redor do planeta, o estádio ficasse às escuras. Seria terrível a ocorrência de um blecaute no meio do discurso da rainha Elizabeth II ou da apresentação de Paul McCartney. As autoridades inglesas afirmaram, um ano depois dos Jogos, que hackers atacaram o sistema de fornecimento de energia ao estádio pouco antes da cerimônia, mas foram detidos pela equipe de segurança digital a postos. Ao longo dos Jogos de Londres, foram registradas seis ameaças graves de invasão digital, num total de 97 ataques. Nenhum atingiu o alvo, mas a situação preocupa. Nos Jogos, quase tudo depende de sistemas digitais – vendas de ingressos, exibição de resultados no placar e até a definição de alguns resultados. A par da situação, o comitê organizador da Rio 2016 afirma que segurança cibernética é prioridade.

Há um ano, o comitê organizador pôs em funcionamento um laboratório de testes de integração de sistemas. Ele deve fazer 200 mil horas de avaliações para asseverar a confiabilidade da estrutura digital dos Jogos, a exemplo de uma bem-sucedida experiência realizada em Londres. Entre os objetivos está barrar ataques cibernéticos. A Agência Brasileira de Inteligência (Abin) mapeou os grupos de hackers com maior possibilidade de atuar em grandes eventos. “Os grupos nessa lista trabalham com escala maior de ataques e demonstram mais conhecimento técnico”, afirma Rodrigo Colli, profissional da área de contrainteligência cibernética na Abin. Em Londres, para perceber os 97 ataques, o aparato de defesa digital detectou quase 200 milhões de incidentes que poderiam indicar ameaças (tão prosaicos quanto a digitação errada de uma senha). Precaver-se contra esse volume de problemas é uma tarefa interminável. “Para diminuir a vulnerabilidade do sistema, fazemos testes a partir de recomendações internacionais”, diz Bruno Moraes, gerente de segurança da informação da Rio 2016. “Mas nunca se consegue chegar a 100% de segurança. É uma busca contínua.” Além da Abin, a força-tarefa conta com a colaboração do Centro de Defesa Cibernética do Exército e do Comitê Gestor da Internet no Brasil.

A estrutura digital dos Jogos cariocas se organizou ao redor de duas redes digitais. Uma funciona como grandes redes corporativas. Concentra a organização das operações da Rio 2016, permite a execução de pesquisas e uso de e-mail pelos integrantes. A outra administra as provas. É a responsável por cronometragem e resultados. Por não ser conectada à internet, é bem mais segura que a primeira.

As precauções aumentam não só no Brasil. Para as Olimpíadas de Tóquio, em 2020, o governo japonês espera treinar 50 mil pessoas no setor público e empresas, a fim de aumentar o nível de segurança digital. A preocupação cresce diante da expansão do hacker ativismo – os agressores digitais que, em vez de lucro, buscam expor suas causas. Hackers ladrões continuam na ativa. Durante os Jogos, eles poderão se aproveitar da concentração de turistas para invadir, clonar e usar cartões de crédito, celulares e tablets. Mas o elemento mais novo e imprevisível nessa equação são os hackers ativistas. Por motivação política, eles podem simplesmente querer mostrar que conseguem penetrar em qualquer rede, causar danos à infraestrutura, exibir slogans e criticar patrocinadores e governos – basta multiplicar as inimizades políticas pelos 200 países presentes. Outro alvo óbvio é o site olímpico. A expectativa dos organizadores é atingir, ao longo da competição, em torno de 15 bilhões de visualizações de páginas, quatro vezes mais que na última edição.

A julgar pelos Jogos de Londres e Pequim, neste exato momento há muitos hackers em ação, mirando nas Olimpíadas. “A Copa do Mundo no Brasil foi mais atacada que a anterior, na África do Sul, e a tendência é que nossas Olimpíadas sejam também mais alvejadas que as de Londres”, diz Paulo Pagliusi, especialista em segurança cibernética. Será um teste ótimo para a competência cibernética de organizações e para os profissionais de segurança digital no país.

Fonte: Revista Época, 24.04.2016

Como não se perder com senhas

E-mail, conta de banco, redes sociais... Em meio a tantas exigências, vale seguir dicas de especialistas, como as do Dr. Paulo Pagliusi nesta entrevista ao jornal "O Globo"

Fonte: "O Globo - Economia & Tecnologia - 09Fev2016.

Por causa de uma senha esquecida, o professor Luiz Guilherme Santos perdeu o acesso a uma conta de e-mail que mantinha há dez anos, e sofreu com as consequências de ficar temporariamente sem um dos seus principais canais de comunicação. Mensagens de trabalho ou recados de amigos se perderam em algum servidor inacessível, provocando broncas e reclamações. E o pequeno drama vivido por Santos é cada vez mais comum, dado o crescente número de códigos para se guardar. Conta de banco, cartão de crédito e e-mails pessoal e profissional. Redes sociais aos montes, Netflix, programa de milhagem e outros serviços. Tudo protegido por senha, tudo passível de ser esquecido ou hackeado.

— Eu tenho o costume de deixar a conta conectada no computador e no celular, mas tive que alterar a senha há cerca de dois meses, e esqueci a senha nova. Tentei recuperar, mas não tinha cadastrado o meu número de telefone. Acabei tendo que criar uma nova conta — diz o professor. — As pessoas achavam que eu não estava respondendo às mensagens de propósito, mas não era o caso. Agora está tudo resolvido. Pelo menos eu recebo menos spams.

Para evitar os problemas com a memória, muitas pessoas escolhem o caminho mais simples: usar senhas fáceis. Um levantamento realizado pela firma de segurança digital SplashData apontou que as cinco piores senhas do ano passado foram “123456”, “password” (senha em inglês), “12345678”, “qwerty” e “12345”. A análise foi feita com a compilação de aproximadamente duas milhões de contas vazadas na internet ao longo de 2015. Pela primeira vez, a sequência “1234567890” apareceu na lista das 25 piores senhas, o que mostra que a exigência de mais caracteres nem sempre aumenta a segurança.

AJUDA DE APLICATIVOS

Além das sequências de números e letras, muitas pessoas recorrem a datas e informações pessoais para criarem suas senhas, o que também não é recomendado por especialistas. Elas são fáceis de lembrar, mas também são fáceis de serem descobertas por criminosos.

— As pessoas tendem a utilizar senhas que façam parte do seu universo, como time favorito, tendência política, nome do cachorro e datas especiais. O problema é que os criminosos cibernéticos também sabem disso — diz Paulo Pagliusi, diretor de Gestão de Riscos Cibernéticos da Deloitte. — Uma senha forte precisa ter maiúsculas, minúsculas, números e pontuação, com tamanho mínimo de oito caracteres. E a linguagem não pode ter nexo. Um hacker consegue varrer um dicionário em minutos usando força bruta.

Mas o problema das senhas seguras é lembrar. Anotá-las em um papel guardado embaixo do teclado não é recomendado, tampouco armazená-las em um arquivo de texto no computador. Pagliusi explica que é comum hackers utilizarem a chamada engenharia social para arquitetarem seus crimes, e essa técnica envolve espionagem. O hábito de usar a mesma senha para diferentes serviços também deve ser abandonado, pois se uma conta for comprometida, todas ficarão vulneráveis.

TÉCNICAS

Existem algumas técnicas que podem ajudar, como o uso de frases em vez de palavras. Edward Snowden, conhecido por ter vazado documentos sobre o esquema de vigilância global do governo americano, fez essa recomendação em entrevista no início do ano passado, brincando que uma boa chave seria “MargaretThatcheris110%SEXY”. Outra saída é o uso de aplicativos desenvolvidos especialmente para este fim, como Last Pass e F-Secure Key. Eles prometem armazenar de forma segura todas as senhas, que são acessadas por uma senha mestre.

— Basicamente, as pessoas têm que guardar apenas uma senha — explica Ariel Torres, gerente de serviços técnicos da F-Secure para a América Latina. — É como uma caixa virtual, todas as senhas ficam armazenadas lá dentro, criptografadas. Para entrar no aplicativo, basta lembrar uma senha.

Outra dica é criar códigos que mesclem letras e números para formar palavras e frases.

— Torres, por exemplo, se tornaria “T0RR3S” — diz o especialista.

Essa simples mudança faz com que os termos sejam mais difíceis de serem descobertos em ataques de força bruta, quando o criminoso cibernético usa poder computacional para testar milhões de combinações. Alguns sites na internet oferecem testes de força das senhas, como o “How Secure Is My Password” (http://bit.ly/Kz6V00).

FIM DAS SENHAS?

A preocupação com as senhas não é apenas dos usuários, mas também das empresas. Muitos prestadores de serviços on-line oferecem a autenticação de dois fatores, uma camada adicional de segurança para a entrada em contas, além do login e senha. Redes sociais, como Twitter e Facebook, por exemplo, usam o sistema de código por SMS. Bancos e outros serviços financeiros apostam nos tokens, que geram códigos temporários.

— A senha como conhecemos hoje tende a acabar. Existem outras formas de você provar que é você — prevê Pagliusi. — A tendência é que serviços críticos ofereçam a autenticação de dois fatores. Eles exploram não apenas algo que você sabe, no caso, a senha, mas o que você possui e o que você é, com códigos transmitidos por SMS e tokens e biometria.

O ‘ABC’ DAS SENHAS

FORÇA: Os especialistas recomendam, para ter uma senha “forte”, usar no mínimo 8 caracteres, se possível mais. O ideal é mesclar letras maiúsculas, minúsculas, números e caracteres especiais. Não se deve usar sequências óbvias ou pessoais como, por exemplo, datas de aniversário

PARA MEMORIZAR: Há aplicativos que guardam todas as senhas e são acessados por apenas uma chave. Outra dica é criar frases, em vez de palavras. Ou mesclar letras e números para formar palavras. Um exemplo: se seu nome é Sérgio, use uma mescla de letras maiúsculas e minúsculas e números que, escritos, formarão a palavra Sérgio, como na sequência S3rGl0

EVITAR: Os especialistas orientam a não anotar senhas em papéis ou arquivos no computador. Deve-se evitar usar informações pessoais e usar a mesma chave para diferentes serviços.

Webinar: Inteligência de Ameaças - Como Identificar os ataques que mais importam

Apresentador: Scott Simkin, Palo Alto Cybersecurity. Realização: ISACA CSX.

Para a grande maioria das equipes de segurança, há uma enorme quantidade de alertas a lidar em um determinado dia. Passando pelos vários dispositivos de segurança, feedback de terceiros até as fontes de inteligência de ameaças, o mar de informação gerada faz com que seja praticamente impossível para as organizações responderem rapidamente aos alertas antes que qualquer dano ocorra.

Como as equipes de operações, análise e investigação de segurança podem eliminar todo este ruído e acertar em cheio quais são os eventos de segurança que mais importam?

Junte-se ao Scott Simkin e à equipe da ISACA CSX (CyberSecurity Nexus), responsável pela realização desta apresentação, em um webinar que se concentrará em descobrir como a inteligência de ameaças à segurança cibernética pode ajudar as equipes de segurança a:

• Determinar que ataque é único, crítico e direcionado;

• Adicionar a (muito necessária) análise de contexto aos indicadores de comprometimento; e

•  Adotar indicadores de malícia (maliciousness) e transformá-los em novos mecanismos de proteção.

Segurança digital nos jogos Rio 2016

Saiba quais são as principais preocupações dos especialistas

O Programa "Tema Livre" da Rádio Nacional do Rio | Rádio MEC FM promoveu uma discussão sobre segurança digital durante os Jogos Olímpicos Rio 2016. A menos de um ano para a realização das Olimpíadas no Rio de Janeiro, quando a cidade vai receber, além do grande público, 10.500 atletas, de 206 países e mais de 100 mil pessoas envolvidas em sua organização, entre voluntários e funcionários, a segurança de toda a informação que será gerada é uma questão de grande preocupação.

Para esta edição do programa, gravado em 12Ago e que foi ao ar em 03Nov2015, estiveram presentes Paulo Pagliusi, especialista em Gestão de Risco Cibernético, militar da reserva, doutor em Segurança da Informação, Diretor da Consultoria em Gestão de Riscos Cibernéticos da Deloitte, Vice-Presidente da CSA BR (Cloud Security Alliance Brasil) e Vice-Presidente da ISACA (Information Systems Audit and Control Association) Rio de Janeiro; Guilherme Caselli, inspetor da Polícia Civil do Estado do Rio de Janeiro, representante da Delegacia de Repressão a Crimes de Informática; e Alexandre Knoploch, analista de sistemas e presidente da Associação Brasileira de Profissionais e Empresas de Segurança da Informação e Defesa Cibernética.

Ouça esta edição do Programa na íntegra clicando aqui ou na imagem acima!

MPSafe agora chama-se Pagliusi Cibersegurança

Informamos que a MPSafe CyberSecurity & CounterEspionage alterou o nome para Pagliusi Cibersegurança.

Os novos endereços do site e das redes sociais da empresa são:

www.pagliusi.com.br

twitter.com/PagliusiCyber

www.facebook.com/PauloPagliusi

www.linkedin.com/company/pagliusi-cybersecurity


As mensagens ao CEO poderão ser encaminhadas para:

ceo@pagliusi.com.br

Para entrar em contato com a área de Comunicação e Marketing:

marketing@pagliusi.com.br

Para contatar, respectivamente, a área de Suporte Técnico e Relacionamento com Clientes, utilize:

ciberseguranca@pagliusi.com.br e

contato@pagliusi.com.br

Abraços e bons ventos!