Qual o orçamento ideal para cibersegurança da sua empresa?

A cibersegurança tornou-se uma das áreas mais críticas e discutidas no ambiente empresarial atual. Com o crescimento exponencial da digitalização e a globalização dos mercados, as ameaças cibernéticas tornaram-se cada vez mais sofisticadas e prejudiciais. Então, qual será o orçamento ideal para garantir a cibersegurança da sua empresa?

Antes de determinar um valor, é importante entender que o orçamento ideal depende de vários fatores, incluindo o tamanho da empresa, o setor em que atua, o volume e tipo de dados que gerencia, bem como a maturidade de seus sistemas e processos. Além disso, o cenário de ameaças está em constante evolução, o que exige uma revisão e adaptação periódica do orçamento.

Tamanho da Empresa

Pequenas empresas: As pequenas empresas podem não ter a mesma capacidade de orçamento das empresas maiores, mas também estão em risco e muitas vezes são consideradas alvos fáceis por ciberatacantes devido a possíveis lacunas em suas defesas. Portanto, podemos considerar um orçamento para cibersegurança entre 80 mil a 250 mil reais por ano.

Médias empresas: Estas empresas podem não ter o mesmo volume de dados que as grandes corporações, mas ainda assim são alvos atrativos para os cibercriminosos. O orçamento ideal para estas empresas pode variar entre 350 mil a 1,5 milhões de reais por ano.

Grandes empresas: Para corporações com operações globais e vastos ativos digitais, a cibersegurança é absolutamente crítica. Essas empresas podem considerar alocar entre 800 mil a 8 milhões de reais por ano.

Setor de Atuação

Empresas em setores como financeiro, saúde e defesa, que gerenciam informações sensíveis, devem priorizar ainda mais a cibersegurança. Nestes setores, um investimento mais robusto – até 40% do orçamento de TI – pode ser justificado.

Volume e Tipo de Dados

Empresas que lidam com grandes volumes de dados sensíveis ou pessoais precisam de soluções de segurança mais avançadas, como criptografia de ponta a ponta, sistemas de detecção de intrusão e de SIEM (security information and event management).

Maturidade de Sistemas e Processos

Se uma empresa está apenas começando sua jornada de cibersegurança, pode ser necessário um investimento inicial maior para estabelecer a infraestrutura, treinamento e processos adequados. Empresas com sistemas de segurança já maduros podem focar mais na manutenção e atualização contínua.

É essencial que as empresas reconheçam a importância crítica da cibersegurança e aloquem recursos suficientes para proteger seus ativos digitais. Por fim, o investimento em cibersegurança não deve ser visto apenas como um custo, mas como um investimento essencial para proteger a reputação, os ativos e a continuidade dos seus negócios.

A Pagliusi Inteligência em Cibersegurança disponibiliza serviços de cibersegurança personalizados para cada empresa. Contate-nos agora via e-mail: paulo@pagliusi.com.br

Engenharia Social com Superpoderes da IA

 

Por Paulo Pagliusi

Introdução

A IA vem fazendo um progresso surpreendente, abrindo um novo mundo de possibilidades. Os criadores de IA recentemente permitiram sua adoção de uma forma incrivelmente rápida, equipando chatbots avançados de IA (como Bard e ChatGPT) com a interface de usuário mais simples conhecida: uma janela de texto para consultar a máquina com prompts. Contudo, sob a perspectiva da segurança cibernética, a crescente popularidade dessas ferramentas generativas de IA introduziu uma escalada alarmante de ameaças de engenharia social.

Em artigo publicado em 29Nov23 pela TI Inside, verifica-se a probabilidade de que, em 2024, a engenharia social domine o cenário de ameaças e seja a tática predominante de infiltração usada em ataques cibernéticos. Os principais canais para a engenharia social devem incluir: (i) aplicativos de mensagens; (ii) mídias sociais; (iii) chamadas telefônicas; (iv) mensagens de texto; e (v) e-mail. Neste cenário, os hackers devem usar ainda mais a Inteligência Artificial (IA) para a exploração rápida de vulnerabilidades e a extração automatizada de informações valiosas.

O Fator Humano
O fator humano é frequentemente considerado o elo fraco na segurança da informação. Com o avanço da engenharia social potencializada pela IA, essa fragilidade se torna mais evidente. Os cibercriminosos podem utilizar técnicas persuasivas e manipulativas para explorar os indivíduos e fazê-los comprometer a segurança de suas organizações. Deste modo, a engenharia social potencializada pela IA representa um risco significativo para uma instituição. Essas tentativas enganosas podem levar os indivíduos de uma corporação a divulgar dados sigilosos, como senhas ou informações classificadas, ou a abrir links maliciosos que podem resultar em violações de segurança e exploração de ataques cibernéticos direcionados.

Como a IA pode fazer a Engenharia Social avançar

A engenharia social é a arte de manipular, influenciar ou enganar os usuários para obter controle sobre um sistema de computador. Agentes de ameaças, phishers (golpistas de phishing [1]) e engenheiros sociais – sendo eles próprios “empreendedores” – adotarão qualquer nova tática que lhes dê uma vantagem. Segundo a FORBES, há várias formas com que adversários podem aproveitar a IA para criar ataques avançados de engenharia social:

·       Os ataques de phishing tradicionais chegam com muitos erros gramaticais. Os phishers muitas vezes não são falantes nativos da língua que utilizam para atacar as pessoas. Usando ferramentas de IA como o ChatGPT, os invasores podem redigir e-mails extremamente sofisticados – com correção gramatical e ortográfica adequada – que parecem como se um humano os escrevesse, neutralizando o modo usual de percepção deste tipo de ataque pela incidência de erros de redação.

·       A IA pode ajudar a criar deep fakes (vídeos sintéticos e identidades virtuais falsas) que parecem muito realistas. Os golpistas podem imitar uma pessoa real (um executivo sênior, um cliente, um parceiro de negócios etc.), envolver a vítima em uma conversa e fazer com que ela revele informações confidenciais, realize transações financeiras ou espalhe desinformação.

·       Os agentes de ameaças podem clonar fala e áudio humanos para realizar tipos avançados de ataques de phishing por voz ("vishing"). A Comissão Federal de Comércio (FTC, na sigla em inglês) alertou sobre golpistas que usam tecnologia de clonagem de voz por IA para se passar por familiares e enganar vítimas para transferir dinheiro, a pretexto de sanar uma emergência familiar.

·       Ferramentas de IA também podem ser usadas como uma ferramenta para phishing. Por exemplo, usando uma técnica complexa chamada Injeção Indireta de Prompt, os pesquisadores manipularam com sucesso um chatbot do Bing para se passar por um funcionário da Microsoft e, em seguida, gerar mensagens de phishing que solicitavam informações de cartão de crédito dos usuários.

·       Usando agentes autônomos, bem como scripts inteligentes e outras ferramentas de automação, os agentes de ameaças podem realizar ataques de engenharia social altamente direcionados em escala industrial. Por exemplo, eles podem automatizar as etapas envolvidas, desde a seleção do alvo até a entrega do e-mail de phishing, passando por uma resposta semelhante à humana em um chat de conversação ou em um telefonema.

·       A IA também pode improvisar a partir de seus próprios aprendizados (distinguindo entre o que funciona e o que não funciona) e evoluir suas próprias táticas inteligentes de phishing em busca do melhor caminho a seguir.

O que as empresas podem fazer para se proteger desse risco emergente?

Os ataques cibernéticos baseados em IA provavelmente piorarão significativamente nos próximos cinco anos. Seguir as práticas abaixo recomendadas pode ajudar as corporações a mitigarem o risco de ataques de engenharia social baseados em IA:

1.     Treine usuários para detectar engenharia social.

O elemento humano é a peça mais crítica em um ataque de engenharia social. É fundamental que os usuários desenvolvam uma forma saudável de ceticismo e memória “muscular”, por meio de treinamento regular, testes de phishing e exercícios de simulação, para que os usuários aprendam a identificar, bloquear e relatar ações suspeitas logo quando estas surgem.

De acordo com o estudo de benchmarking da empresa KnowBe4, os usuários que passam mais horas em treinamento de segurança mostram uma taxa de sucesso significativamente maior se defendendo contra phishing, em comparação com aqueles que recebem menos prática. A porcentagem de usuários que são vítimas de golpes de engenharia social cai de 32,4% para 5%, após um treinamento mensal regular realizado por um ano, como o de conscientização em segurança e resistência a phishing para evitar danos causados por crimes cibernéticos, realizado pela nossa empresa, a Pagliusi inteligência em Cibersegurança.

2.     Implante controles de segurança baseados em IA.

Implemente ferramentas de segurança que aproveitem alguma forma de tecnologia de IA para analisar, detectar e responder a formas avançadas de engenharia social. Por exemplo, ferramentas que usam IA para inspecionar o conteúdo, o contexto e os metadados de todas as mensagens e URLs (na web, bate-papo e e-mail) para detectar sinais reveladores de phishing.

A IA pode ajudar a coletar e processar grandes quantidades de dados de várias fontes e aplicar modelos de aprendizado de máquina para detectar atividades não autorizadas e movimentos de ataques laterais. A IA pode ajudar na resposta a incidentes cortando a rede, isolando dispositivos infectados, notificando administradores, coletando evidências e restaurando backups.

3.     Implemente uma autenticação mais forte.

Uma solução de segurança que quase todo especialista em segurança recomenda é a autenticação multifatorial (MFA, na sigla em inglês). O MFA é uma ótima maneira de impedir que um invasor assuma a conta de uma vítima, mesmo que as credenciais dela tenham sido comprometidas.

As evidências revelam que as próprias soluções tradicionais de MFA são propensas à engenharia social. É por isso que é importante investir em MFA resistente a phishing, para que nenhuma IA nem um adversário humano possam aplicar engenharia social no MFA de uma vítima.

Conclusão

A tecnologia de IA vem avançando tão rapidamente que os hackers estão desenvolvendo seus próprios aplicativos de IA personalizados, projetados especificamente para levar a engenharia social para o próximo nível. 

As corporações devem, portanto, ficar atentas e considerar uma abordagem aprofundada de defesa cibernética – uma combinação de ferramentas de segurança baseadas em IA (uma arma secreta contra a engenharia social), coaching/treinamento, processos e procedimentos – porque a IA é bem capaz de criar uma engenharia social com superpoderes.

---

[1] Phishing é uma técnica de crime cibernético que usa fraude e engano para manipular as vítimas para que cliquem em links maliciosos ou divulguem informações pessoais confidenciais.

Pagliusi Inteligência em Cibersegurança - Apresentação

Apresentacão da Pagliusi Inteligência em Ciberseguranca

Guerra Cibernética Russo-Ucraniana – Lições para o Brasil e o Mundo

Guerra Cibernética Russo-Ucraniana - Pagliusi.pdf

Monitoramento de microfone, webcam e publicidade na Internet

 Neste artigo, destacamos a trilha digital que deixamos quando usamos serviços de Internet, e como esta trilha pode vir a ser utilizada em prol de uma publicidade ativa, individualmente direcionada ao nosso perfil. Quando fazemos uma pesquisa, visitamos um site, fazemos uma compra, acessamos uma rede social, tudo isto é interconectado, mesmo quando se navega no modo anônimo (veja aqui). No final das contas, tanto o Google quanto o Facebook sabem tudo o que fazemos, se não utilizarmos um navegador com proteção forte de privacidade e serviços de busca privados (como por exemplo, DuckDuckGo ou outros similares), e extrai um alto valor desta análise de dados.

vale destacar que os assistentes virtuais são todos de escuta ativa permanente. Por este motivo, o que falamos próximo a qualquer aparelho celular pode e é comumente utilizado por tais assistentes virtuais como subsídio para que nos sejam enviadas propagandas bastante direcionadas ao nosso perfil. No que se refere aos assistentes virtuais associados a sistemas operacionais móveis, os existentes no ambiente iOS provavelmente não fazem uso destes dados coletados, uma vez que esta ação, teoricamente, contraria a política de privacidade da Apple; porém, no caso do Android, o Google pode sim utilizá-los – e o faz – para gerar publicidade. Outra questão importante a se destacar é quanto ao uso de e-mails gratuitos, como o Gmail. O Google sabe tudo de nós, pelo conteúdo que temos armazenado e circulamos via Gmail. E pode fazer uso disto também para vender publicidade.

Neste contexto, é importante lembrar que o uso de redes sociais nunca foi, de fato, gratuito – acabamos sempre pagando, só que de outra forma: com o fornecimento de nossos hábitos e preferências, de modo que mecanismos automatizados de marketing, que possuem recursos como o de aprendizagem automática, nos façam bombardeios de anúncios direcionados ao nosso perfil, o que contribui para comprarmos mais, elevando assim a receita dos anunciantes.

Como resultado, vale enfatizar que não há privacidade na Internet quando usamos os principais serviços gratuitos disponíveis. Tudo o que fazemos na Internet, quando utilizamos por exemplo o Google, Facebook, Waze e Instagram é de uma forma ou de outra, rastreado. A quantidade de informações que tais empresas possuem sobre nós é assustadora e suficiente para montar um perfil detalhado sobre nossas vidas, preferências, hábitos e sabe-se lá o que mais.

“Não existe almoço grátis”, diz um famoso ditado. Em todos os serviços virtuais alegadamente “gratuitos” o produto somos nós, as pessoas, sendo os verdadeiros usuários destes serviços as empresas que pagam para que a publicidade do que almejam vender nos seja direcionada, em massa, mas de modo customizado, a cada um de nós, com base em nossos perfis com dados permanentemente coletados e atualizados.

Assim sendo, tais plataformas “gratuitas” sobrevivem vendendo publicidade direcionada e, para se atingir isto, os aplicativos monitoram e coletam tudo o que podem sobre nós. Até mesmo alguns aplicativos que são pagos, como o Spotify, também coletam uma quantidade massiva de dados. No caso do Spotify, um documento em PDF com 191 páginas é necessário para listar tudo o que o aplicativo coleta sobre seus usuários (fonte: The Hack). Ou seja, em última análise, pagamos o aplicativo para sermos espionados.

O que é mais impressionante é nem ser preciso estar usando ativamente tais aplicativos para ser monitorado. O Google e o Facebook possuem uma rede de propaganda gigantesca e praticamente todos os sites que exibem publicidade possuem ambas as plataformas conectadas, o que permite que o simples acesso a um site seja registrado no perfil do usuário nessas plataformas. Se você possui um usuário no Gmail, por exemplo, mesmo que não tenha o aplicativo de e-mail aberto, ao acessar um site que exibe publicidade com a solução do Google AdSense, informará ao Google que seu usuário fez o acesso ao site em pauta.

No caso de usuários do Gmail é ainda maior a quantidade de informação que o Google pode coletar, pois utilizam o conteúdo das mensagens de e-mail para direcionamento de publicidade. Dessa forma, suas mensagens de e-mail pessoais, que você recebe e envia para familiares, amigos e demais, servem de fonte para se montar um perfil detalhado de suas preferências.

Há ainda uma questão controversa sobre os assistentes virtuais inteligentes. A Alexa (da Amazon) e o assistente do Google, por exemplo, escutam de forma ativa em nossos telefones e caixas de som inteligentes. Essa escuta ativa serve para acionar o assistente quando dizemos uma ou duas palavras-chave. Só que isso significa também que tais assistentes podem escutar todas as nossas conversas e utilizar as informações para complementar os perfis que as empresas montam sobre seus usuários. As políticas de privacidade dessas empresas deixam essas questões em aberto ou de forma obscura; mesmo que digam que tais conversas não são armazenadas ou repassadas a terceiros, elas ainda podem ser processadas para incrementar o perfil de consumo e preferências dos usuários. Ou seja, não há como escaparmos deste “Big Brother” virtual.

É por isso que, muitas vezes, temos a sensação de que tem alguém nos espionando (e tem mesmo). Quando você acessa um site e recebe uma publicação ou publicidade sobre algo que estava conversando no carro, ou relacionado a alguma coisa que talvez seja muito pessoal, saiba que isto não é mera coincidência.

Para quem desejar se aprofundar neste tema, indicamos um documentário chamado “O Dilema das Redes”, da Netflix, que também aborda o assunto e mostra como as redes sociais são construídas para monitorar e saber tudo sobre seus usuários.

Por fim, é importante saber que a única forma de mudarmos isso é utilizar, preferencialmente, produtos e serviços que respeitem sua privacidade e declarem, abertamente, em suas políticas como os dados associados ao seu perfil pessoal são utilizados, armazenados e processados.

Por: Paulo Pagliusi e Thiago Martins

CNPJ pode ser titular de dados pessoais pela LGPD?

No Brasil, convencionou-se a seguinte regra: portadores de CPF (Cadastro de Pessoas Físicas) são titulares de dados nos termos da Lei Geral de Proteção de Dados (LGPD), enquanto portadores de CNPJ (Cadastro Nacional de Pessoas Jurídicas), não. 

Essa orientação guiou – e ainda guia – muitas iniciativas de adequação à LGPD, fazendo com que as organizações considerem excluídos do escopo de aplicação da Lei Geral de Proteção de Dados os CNPJs, bem como demais dados e processos que os envolvem. 

No entanto, uma pessoa que exerça suas atividades econômicas por meio de um CNPJ pode, em alguns casos, ser uma pessoa natural, e não jurídica, apesar de constar no Cadastro Nacional de Pessoas Jurídicas. Complexo? Às vezes, é difícil mesmo entender o “juridiquês”. Sendo assim, vamos simplificar a explicação. 

A LGPD define “titular de dados”, sujeito de direito tutelado pela legislação, como “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento” (artigo 5º, V). No entanto, nem todo CNPJ é pessoa jurídica.

É que o nosso Direito admite alguns arranjos por meio dos quais uma pessoa natural pode exercer sua atividade empresarial de maneira vinculada a um CNPJ, sem que isso lhe confira o caráter de pessoa jurídica. 

É o caso do empresário individual (EI) e do microempreendedor individual (MEI), vez que, nessas duas hipóteses, o empresário exerce a atividade econômica de maneira organizada em nome próprio, não possuindo personalidade jurídica – característica conferida exclusivamente às organizações expressamente listadas no rol taxativo do artigo 44 do Código Civil. 

De forma resumida, EI e MEI são pessoas naturais, inscritas no Cadastro Nacional de Pessoas Jurídicas (CNPJ) apenas em razão de questões tributárias, o que, por si só, não lhes confere personalidade jurídica.

Os demais tipos de arranjos possíveis, como associações, organizações religiosas, partidos políticos, fundações, sociedades e empresas individuais de responsabilidade são, por sua vez, pessoas jurídicas, as quais não podem ser “titulares de dados”, segundo a LGPD. 

Em termos práticos, portanto, fornecedores e parceiros de negócio de determinada empresa ou agente de tratamento de dados que forem empresários individuais (EI) e microempreendedores individuais (MEI), mesmo estando registrados no Cadastro Nacional de Pessoas Jurídicas (CNPJ), acabam sendo classificados como “titulares de dados pessoais”, a partir da literalidade da LGPD. 

Isso quer dizer que, em teoria, o mesmo nível de cautela e conformidade que é buscado em relação aos dados de consumidores, colaboradores e demais pessoas físicas, também deveria ser perseguido para os dados de fornecedores ou parceiros que, embora portadores de CNPJ, sejam classificados como EI ou MEI.

Na dura rotina dos profissionais de privacidade, responsáveis por assessorar organizações nos processos de conformidade com a LGPD, nem tudo que reluz é ouro, nem tudo que brilha é prata, nem todo CNPJ escapa.

Fonte: Jornal Contábil

Futuro da Defesa: organizações cada vez mais conectadas e automatizadas

Estudo explora o futuro do ramo, considerando as perspectivas inovadoras que poderão agregar a longo prazo

Nos próximos 12 meses, a maioria (70%) das organizações de defesa investirão em soluções para se tornarem mais conectadas, automatizadas e inteligentes. Além disso, 70% estão priorizando estratégias centradas nos clientes e metade (50%) delas pretende investir 16% ou mais do orçamento disponível na força de defesa conectada. Essas são algumas das conclusões da pesquisa "O futuro da defesa: Defesa e a corporação conectada" (The future of defense: Defense and the connected enterprise, em inglês), conduzida pela KPMG em parceria com a Forrester.

"Tecnologias digitais são fundamentais para uma defesa mais efetiva e eficiente das unidades, sejam elas administrativas, táticas ou operativas. Com recursos automatizados e inteligentes, os líderes dessas organizações podem tomar melhores decisões e obter vantagens estratégicas que os diferenciam dos oponentes", afirma Mauricio Endo, Sócio-líder de Governo e Transporte da KPMG no Brasil e na América do Sul.

O conteúdo também revelou que há três aspectos principais que impactarão o setor mundial de defesa: Connected Enterprise (Corporação conectada), Instantly Informed Enterprise (Corporação instantaneamente informada) e Automated Enterprise (Corporação automatizada).

Ainda de acordo com a pesquisa, são oito os elementos fundamentais a serem seguidos para as unidades de defesa se tornarem mais conectadas: (i) estratégias e ações orientadas por insights; (ii) plataformas e serviços inovadores; (iii) centricidade de missão por design; (iv) interação sem emendas; (v) operações responsivas e cadeia de suprimentos; (vi) força de trabalho alinhada e capacitada; (vii) arquitetura de tecnologia ativada digitalmente; e (viii) ecossistema integrado de parceiros e alianças.

O conteúdo explora também o futuro do setor, considerando todas as perspectivas inovadoras que poderão agregar a longo prazo, como Inteligência Artificial (IA), Internet das Coisas (IoT) e Edge Computing. Outro dado relevante é que o 5G, com seu ecossistema associado, é a tecnologia disruptiva e segura que fará diferença no futuro.

"As soluções digitais permitirão que organizações de defesa obtenham resultados estratégicos em suas operações militares e diplomáticas. Entre os recursos de destaque, estão as armas de energia direcionadas, autônomas e hipersônicas, além de computação quântica", afirma Paulo Pagliusi, Sócio-líder de Defesa da KPMG no Brasil.

As conclusões foram elaboradas a partir de contribuições dos especialistas do setor de defesa da KPMG, entrevistas com profissionais seniores da área, e também por meio de pesquisa com 122 especialistas que atuam em organizações de defesa na Austrália, Canadá, Alemanha, Índia, EUA e Reino Unido. O conteúdo está disponível na íntegra no link - 

http://assets.kpmg/content/dam/kpmg/br/pdf/2020/02/br-organizações-de-defesa.pdf

Sobre a KPMG

A KPMG é uma rede global de firmas independentes que prestam serviços profissionais de Audit, Tax e Advisory. Estamos presentes em 154 países e territórios, com 200.000 profissionais atuando em firmas-membro em todo o mundo. No Brasil, são aproximadamente 4.000 profissionais, distribuídos em 22 cidades localizadas em 13 Estados e Distrito Federal.

Orientada pelo seu propósito de empoderar a mudança, a KPMG tornou-se uma empresa referência no segmento em que atua. Compartilhamos valor e inspiramos confiança no mercado de capitais e nas comunidades há mais de 100 anos, transformando pessoas e empresas e gerando impactos positivos que contribuem para a realização de mudanças sustentáveis em nossos clientes, governos e sociedade civil.