Os desafios da segurança na era da internet das coisas (IoT)

Um dos grandes debates atuais é relacionado à IoT (internet of things, traduzido como internet das coisas). A grande polêmica ocorre em função do seu custo benefício para qualquer um que utilize a internet – seja uma empresa ou um consumidor final.

Como ela realmente funciona? Ela traz mais benefícios ou mais riscos? Essas perguntas são a base de boa parte das discussões sobre o assunto. Esse é um tema fundamental quando se fala em segurança da informação. Neste artigo vamos esclarecer alguns desses questionamentos.

O que é IoT

IoT nada mais é, como dissemos, do que a internet das coisas. O que ela busca, basicamente, é criar uma conexão virtual entre os dispositivos eletrônicos e a internet.

Isso vale para todo tipo de objeto, desde aparelhos eletrodomésticos, como geladeiras, até máquinas industriais. Essa conexão entre coisas faz parte de uma revolução tecnológica cujo objetivo é o fluxo de informações.

Quais as “facilidades”

É claro que a favor desta revolução tecnológica existem muitos argumentos favoráveis – assim como também existem os contrários. Quem defende a IoT argumenta que essa interconectividade entre aparelhos é mais positiva do que negativa.

A principal alegação é a de que esse fluxo de informação entre os aparelhos leva à uma melhora no desempenho. Não são desconsiderados os riscos, no entanto afirma-se que eles podem ser combatidos ou minimizados.

Quais os riscos para as empresas

Neste cenário, muitas empresas acabam sofrendo. São inúmeros os casos de invasões digitais que acabam em roubos de grandes quantias de dinheiro e de informações ou que terminam mesmo em extorsão.

Vazamentos históricos, como os de Edward Snowden, demonstram que até mesmo presidentes são invadidos. No caso de empresas, não é diferente – pense em roubo de segredos industriais. Privacidade e segurança constituem nos maiores desafios para empresas e cidadãos na IoT.

 

Dicas de ações para proteção

Caso o leitor tenha ficado preocupado e queira garantir que está protegido, há sim algumas dicas que podem ser seguidas. Alguns especialistas, com base nos casos mais recorrentes, afirmam que pode ser feito o seguinte:

Mantenha sua empresa segura seguindo os seguintes passos:

  1. Opte por dispositivos originais e de qualidade, sempre verificando os critérios de segurança. 

É muito importante checar o fabricante do dispositivo e os critérios de segurança do produto, se certificando da qualidade e a disponibilidade dos fabricantes em realizar atualizações de software com critérios atualizados de segurança.

  1. Mantenha softwares, aplicativos e dispositivos sempre atualizados.

Mantê-los atualizados previne possíveis invasões, ataques ransomware e outros malwares, já que as atualizações mantém os protocolos que identificam as ameaças sempre atualizados, melhorando o desempenho de proteção.

  1. Crie chaves de acessos e senhas mais complexas

Não é recomendado que suas senhas sejam iguais para todos os serviços, além disso, senhas mais longas que combinem opções diversas de caracteres (letras maiúsculas e minúsculas, números e caracteres especiais) diminuem a possibilidade que alguém descubra sua senha. Não é recomendado também manter uma mesma senha por muito tempo, de tempos em tempos atualize suas senhas.

  1. Faça um backup de seu sistema regularmente.

Tenha um HD externo com seus arquivos e faça backup regularmente, pois é melhor prevenir do que remediar a perda de arquivos importantes. O armazenamento na nuvem também é uma opção, mas é necessário optar por um serviço de cloud que seja seguro.

  1. Ative o segundo fator de autenticação

Uma boa maneira de aumentar a segurança de seus arquivos e sistema é optando por uma camada extra de segurança, que pode ser habilitada em diversos sistemas, aplicativos, SMS no celular e até mesmo por biometria. Uma camada extra de segurança que pode ser habilitada em diversos sistemas, seja por aplicativos específicos, SMS por celular ou biometria.

Obs: se quiser saber se seu e-mail já foi “owned” na Internet, utilize o: https://haveibeenpwned.com

Obs 2: quer saber que sistemas tem dupla autenticação habilitada? Confira no site: https://twofactorauth.org

  1. Verifique seus e-mails e certifique-se da veracidade dos remetentes

Uma das armadilhas mais comuns atualmente são as invasões utilizando-se de e-mails falsos conhecido como “phishing”, que vitimiza muitas pessoas todos os dias. Saiba mais sobre phishing clicando aqui. Por isso é importante garantir que os e-mails sejam seguros, na menor dúvida, sempre opte por não abrir o e-mail, principalmente anexos.

  1. Ative o Adblock em seu navegador.

O Adblock é uma extensão que é possível ser instalada em todos os navegadores. Ele tem a função de bloquear quaisquer conteúdos impróprios, como anúncios nas páginas que muitas vezes são utilizados para disseminar ameaças como malwares e outros tipos, por exemplo.

A internet das coisas, ao que parece, veio para ficar. Dentro desse mundo da segurança da informação, estamos à mercê de acontecimentos que nem podemos imaginar. Contudo, há medidas preventivas que podem ser feitas. Fique atento e melhore suas práticas.

Comments (1) Blog

Read more

O que é GDPR e o que mudou para minha empresa

Quando se trata de empresas que atuam no ambiente da internet, uma questão que traz muita polêmica diz respeito à regulação de dados pessoais. Eles são necessários em alguns serviços, como os que envolvem transações. Entretanto, de outro lado há os direitos do consumidor.

Enquanto países como o Brasil possuem regulamentações fracas sobre segurança digital, em outros lugares essa discussão avança. É o caso da União Europeia, que em 2016 criou o Regulamento Geral de Proteção de Dados (GDPR), cuja entrada em vigor aconteceu em maio de 2018.

O que é a lei GDPR

Começando pelo seu nome, o Regulamento Geral de Proteção de Dados já deixa claro qual é o seu objetivo. Isto é, a salvaguarda das informações do consumidor residente na União Europeia.

Embora há muito tempo a União Europeia já discuta sobre estes temas (em 1995 tem as primeiras regulamentações e em 2012 começa a ser discutida a GDPR), o resultado tal como foi criado agora surgiu em 2016. Algumas regras rígidas foram criadas para proteger os cidadãos.

Como ela impacta o mercado de segurança da informação no Brasil

O que confunde muita gente é que, se essa regulamentação é europeia, por que ela impacta as empresas daqui? Por que isso não se aplica somente às da Europa?

Pode ser visto sob dois ângulos diferentes. O primeiro, é o do consumidor. Neste caso, se alguém reparou, nos últimos meses deve ter recebido vários e-mails dos serviços que utiliza mudando os termos de uso e de privacidade. Isto porque boa parte das empresas no mundo optaram por seguir as linhas do GDPR.

O segundo, é o das empresas. As que são nacionais, se quiserem trabalhar com europeus, devem seguir a política deles e não apenas a de segurança da informação Brasil, visto que no nosso país é menos complexa.

O que muda para os setores de TI das empresas

Os setores de TI das empresas, com isso, têm de se adaptar para trabalhar com residentes da Europa. Algumas das obrigações da GDPR Europe são:

  • Deixar o usuário escolher se e como seus dados serão tratados e utilizados, saber quais dados estão sendo coletados e poder solicitar cópia.
  • Ter políticas de privacidade claras.
  • Considerar a proteção dos dados uma das partes vitais da empresa.
  • Dificultar o acesso às informações do usuário, fazendo com que a sua identidade só seja descoberta se juntadas diversas informações.
  • Ter um Data Protection Officer em cada empresa.

O que minha empresa pode fazer

A empresa que tenha clientes no continente europeu, deve começar a adaptar-se. Isso porque qualquer informação é relevante para o GDPR – desde os cookies do navegador até o endereço do consumidor.

Em vista disso, o mais adequado a fazer é adequar o seu sistema de segurança digital. Atualizar os termos de uso e política de privacidade é um bom caminho. Além disso, seguir as recomendações citadas no item anterior.

Comments (0) Blog

Read more

Segurança nas Redes Sociais: Sua empresa está blindada para as ameaças?

Pense: Quanto vale a integridade de suas mídias sociais para o sucesso de seu Marca?

Antes de responder esta pergunta pense em todas as informações que você e seus colaboradores compartilham todos os dias nas mais variadas redes. Quais dessas informações podem ser expostas aos seus clientes?

As redes sociais certamente caracterizam uma das maiores revoluções da comunicação. É difícil imaginar uma pessoa que não esteja presente em pelo menos uma das redes disponíveis. Seus clientes, outras empresas estão nestes meios, portanto, sua empresa e suas estratégias de marketing devem se beneficiar da integração e comunicação direta que as mídias proporcionam.

Todas as mídias podem agregar e auxiliar na construção de relações sólidas com seus clientes, além da facilidade de compartilhar informações, avisos e promoções. No entanto, nas facilidades das redes escondem-se riscos que podem afetar diretamente a integridade da sua marca. Segurança em redes sociais é fundamental para a proteção das informações de sua empresa e deve estar presente também na sua política de segurança.

Em média, segundo o relatório“2018 Global Digital“, da We Are Social e da Hootsuite, o brasileiro passa mais de 3 horas diárias nas redes sociais compartilhando detalhes de suas vidas. Com base nesta informação as redes também podem ser consideradas um campo aberto para incidentes. Hackers estão muito mais próximos e conhecem detalhes das vítimas que podem facilitar e muito ataques.

E por que isso é importante?

Uma pesquisa feita pelaAVGmostra que menos de 30% dos usuários de redes sociais estão seguros contra as ameaças da rede. Mais de 60% não trocam senhas com frequência e apenas 43% preocupam-se em modificar configurações de segurança.

dados

Além disso, de acordo com a Norton, mais de um terço dos funcionários de uma empresa aceita solicitações de amizade com desconhecidos nas redes sociais.

Assim sendo, a conduta do colaborador em redes sociais representa um perigo potencial para comprometer a segurança de sua rede interna. Segundo dados disponibilizados pela Symantec, o prejuízo com incidentes em redes sociais foi, em média, de 4 milhões de dólares para empresa que sofreram com ataques ou descuidos com imagens em 2011.

Por essas razões é preciso estar preparado para atuar contra os incidentes relacionados às redes sociais que são frequentes e por vezes difícil de identificar.

Investimentos em programas de conscientização de segurança de informação para os colaboradores podem minimizar massivamente perdas com ataques e deslizes nas redes sociais

Hoje é quase impossível tirar as mídias sociais de nossas ações diárias. Atualmente essas plataformas não são úteis apenas para comunicar-se com as pessoas, mas elas são poderosas ferramentas para a divulgação da sua marca nos meios digitais. Porém é necessário cuidados para que sua empresa possa desfrutar apenas os benefícios que essas plataformas proporcionam.  

Comments (0) Blog

Read more

Qual é a importância da política de conscientização para a blindagem dos meus dados?

Entenda de uma vez por todas qual é a importância de uma política de conscientização em segurança e porque seus colaboradores são o elo mais vulnerável a ataques.

2017 definitivamente foi o ano dos ciberataques em que empresas e pessoas sofreram massivas perdas.  Tendo em vista a grande importância dos fatos, a Symantec divulgou uma nova edição da sua pesquisa detalhada sobre o perfil de vítimas e as percepções delas com o tipo de crime, o 2017 Norton Cyber Security Insights Report..

A pesquisa envolve 20 países, onde cerca de 21 mil pessoas foram ouvidas. Estima-se que mais de 970 milhões de usuários foram afetados por crimes digitais, sendo que desse total, mais de 60 milhões de brasileiros. Ao todo, essas pessoas somaram um prejuízo em torno de US$ 170 bilhões, US$ 22,5 bilhões só no Brasil e também subtraíram em média 24 horas, ou até 3 dias de trabalho lidando com os problemas pós-ataque. É bastante provável que esta perda fosse significativamente menor se houve algum investimento em políticas de conscientização em segurança.

Mas porque isso é importante para a minha empresa?

O setor da segurança da Informação vem enfrentando um momento de mudanças constantes e significativas.

Graças ao avanço tecnológico e a forma como as pessoas interagem com essas informações, ferramentas e a introdução de tecnologias como o IoT, por exemplo o cenário torna-se fértil ao crescimento e êxito do cibercrime.

Com as oportunidades que a mudança tecnológica traz, os cibercriminosos puderam melhorar suas estratégias. Ataques a grandes entidades e empresas exigem preparo, tempo e maior disposição, pois, os sistemas de proteção e detecção são mais modernos e eficientes. Embora as possibilidades de lucro sejam maiores, os riscos também são. Por conta disso, uma das estratégias utilizadas é: em atacar empresas e organizações, elaborar ataques aos usuários.

Muitas empresas estão sendo invadidas por ataques muito mais simples. O que permite pensar em forma escalonar, assim terminando por ser muito eficiente.

Os cibercriminosos estão se utilizando de técnicas de engenharia social para persuadir suas vítimas e conseguirem acesso às redes e/ou informações. Ataques estes, que seriam facilmente evitados com uma política de conscientização e treinamento.

A conscientização em Segurança da Informação tem a capacidade de mudar o comportamento dos usuários e não apenas evitar ataques, mas também “reforçar” toda a política de segurança implantada em uma empresa.

Como implantar uma política de segurança em minha empresa?

Todas as recomendações de gestão de SI alertam para a necessidade de envolver diretamente os usuários às políticas. Assim como o Antispam, Antivírus e Firewall, a conscientização em Segurança é uma ferramenta indispensável em todo o processo de SI.

É importante informar aos usuários a importância dos dados e informações da empresa e qual é a colaboração na segurança desses ativos. Isso os tornam mais conscientes de todo processo redobrando o nível de atenção.

Em uma pesquisa elaborada pela consultoria Pricewaterhouse Coopers em 2014 mostrou que, dentre as empresas analisadas, as que não destinaram investimentos em política de conscientização em segurança da informação tiveram perdas médias anuais de US$683 mil em ciberataques. Por outro lado as empresas que investiram tiveram uma redução em mais de US$520 mil em relação às outras.

Fica claro, a partir das evidências apresentadas, a necessidade de se investir não apenas em uma Política de Segurança, mas é fundamental incluir a essas políticas o fator humano da SI.

É importante a definição de um objetivo, em seguida, é necessário o desenvolvimento da Política Segurança da informação.

Porém, apenas a criação de uma política de segurança não garante a proteção de uma empresa. Deve-se garantir que todos façam parte deste organismo e que os colaboradores cumpram as políticas estabelecidas. Para isso, é importante que haja recursos para a promoção de treinamentos, educação e procedimentos da organização a fim de garantir que os usuários aprendam boas práticas de comportamento com o uso da internet.

Comments (0) Blog

Read more

2017, o ano do crime virtual

Um ano após o ransomware Wannacry…

Em maio de 2017 o ransomware Wannacry foi identificado depois de ter se alastrado em computadores por mais de 150 países. Derrubando sistemas de saúde na Europa e ameaçando redes e serviços públicos pelo mundo. A ameaça se tornou uma das maiores provas de que a ação de cibercriminosos é um problema real que as empresas precisam se preocupar. 2017 pode ser considerado “O Ano do crime virtual mundial”, o wannacry foi apenas o primeiro de uma sequência de ataques que afetaram vários países:

 

h

 

WannaCry, o primeiro grande crime virtual de 2017.

O maior crime virtual da história

Destacado como o maior ataque, o Wannacry afetou mais de 345 mil dispositivos espalhados por 150 países em um período de 5 dias. Estima-se que 97% dos dados das máquinas infectadas foram criptografados custando pedidos de resgate que superaram 110 mil dólares, o que equivale a 365 mil reais.

NotPetya

Em junho do mesmo ano, (um mês após o wannacry) um novo ataque de ransomware, NotPetya, se alastrou por cerca de 100 países, entre eles: Brasil, França, Alemanha, Estados Unidos, Rússia e Ucrânia.

Krack – Key Reinstallation Attacks

Em outubro de 2017 sua rede Wifi deixou de ser segura!

A ameaça Krack foi responsável por quebrar a chave de criptografia Wpa2, utilizada por maior parte das redes Wi-Fi até então, deixando-as vulneráveis a ataques. Naquele momento, era necessário apenas que o atacante estivesse próximo de uma rede para ter acesso a todos os dados criptografados e saber TUDO o que era acessado.

BadRabbit

 Ainda em outubro, outro ransomware surgiu: O BadRabbit. No entanto, seu impacto foi menor que de seus antecessores. Atingindo principalmente países como Estados Unidos, e regiões da Europa Ocidental como Rússia, Ucrânia e Turquia.

 

Em 2017, houve um aumento de 44% no volume de ciberataques ocorridos entre o segundo e terceiro trimestres no Brasil.

Empresas e usuários estão cada vez mais vulneráveis a ataques criminosos. Um levantamento realizado pelo →DFNDR LAb, mostra o alarmante aumento de 44% de tentativas de crimes virtuais apenas no Brasil.

Detalhes de ataques ocorridos no último semestre de 2017, por regiões.

Detalhamento das tentativas de crime virtual, por região, ocorridos no último semestre de 2017.

Tradicionalmente, os cibercriminosos preferem alvos como empresas privadas e órgãos públicos. Isso porque empresas mais estruturas podem proporcionar maiores lucros com os ataques pontuais, e órgãos públicos dispõem de informações confidenciais, que podem, se vazadas, desestabilizar questões políticas e de comércio, influenciando mercados.

Para que os ataques a usuários sejam lucrativos, é preciso uma maior quantidade de alvos e escala. Utilizando-se de meios hoje comuns de comunicação, os criminosos aprimoram códigos computacionais aumento consideravelmente o lucro. Isso é possível, pois as vítimas compartilham esses códigos maliciosos para família e amigos, principalmente por whatsapp e mídias sociais. Um simples link de desconto, pode ser a ação de cibercriminosos explorando a confiança que as pessoas têm umas com as outras em seus círculos sociais digitais.

E isso pode prejudicar duplamente sua empresa, pois a ação de criminosos a pessoas pode estar infectando todo o seu sistema neste momento. Seus próprios colaboradores que utilizam alguma das mídias para se comunicar com outras pessoas e consequentemente recebendo esses links maliciosos.

Saiba a importância de uma  →política de segurança e fique longe de ataques que podem levar a sua empresa a grandes prejuízos.

Comments (0) Blog

Read more