Olá Pessoal,Ontem eu participei de um evento chamado #SegurançaNãoPodeSerSorte, que aconteceu em Blumenau no RexCo, realizado pela Teevo e WatchGuard.
Vou deixar um resumo do que vi lá:
1ª Palestra: Um ambiente pensado em recursos de
proteção contra ameaças avançadas em todos os níveis – Pela WatchGuard
Slogan: Segurança inteligente de forma simples
3 especializacoes dos produtos:
- Firewall (solução utm dentro de caixa)
- Wifisegura
- Dupla autenticacao
Ganharam a premiação pelo 3º ano consecutivo como
recomendável no 2019 NSS Labs Next Generation Firewall Group
Licenciamento(via caixa com processadores Intel) :
- caixa básica
- avançadas (DNS watch, sophos,
cylances(comportamentos),
Mais de 30 patentes do espectro de Wi-Fi e authpoint
Blog da empresa: www.secplicity.org Na página Threat Landscape (mostra
malwares e ataques regionais)
2ª Palestra: Vulnerabilidades de um ambiente sem
wi-fi seguro, como elas atingem os colaboradores e impactam da empresa – Pela
WatchGuard
Possuem 4 produtos em 1: Trusted Wireless Enviroment
Utm não faz trougput da caixa diminuir
6 formas maliciosas de ataques a APs:
- AP clandestino (rogue AP)
- AP evil twin (clonar e outras coisas com ssi de AP)
- AP vizinho
- Cliente clandestino (rogue client)
- Rede ad-hoc
- AP mal configurado
O Ap420 foi o único que preveniu e detectou os 6 tipos de
ataques acima descritos. Comparativo foi com outros equipamentos da Aruba que
detectou e evitou 0, Cisco Meraki MR53 que detectou 1 e evitou 0, Ruckus R710
que preveniu e evitou 2.
Wi-Fi Pineapple (funciona como Rogue AP) (tem no
mercado livre por uns R$ 500) foi usado para demonstrar a insegurança de
conectar numa WiFi errada e da chamada que o celular faz à WiFi de casa, por
exemplo. Esse equipamento capta a chamada que o celular faz e pode disparar um
sinal com o mesmo ID e capturar informações do celular.
O palestrante citou caso de engenheiro que tirou uma foto em
Julho de 2017 com um post-it contendo a senha do sistemas de alerta de mísseis,
e em Janeiro de 2018 foi disparado um alerta de mísseis no Havaí. Detalhes
aqui: https://noticias.uol.com.br/tecnologia/noticias/redacao/2018/01/17/segundo-erro-agencia-de-emergencia-do-havai-deixa-senha-exposta-em-post-it.htm
3ª Palestra: Case da Cristalpet com a Teevo
Saíram de 0 segurança no ambiente para um ambiente com caixa
da WatchGuard, Wifi, e toda a segurança provida pela Teevo.
Alcançaram uma maturidade grande em segurança em 7 meses.
Na matriz, existem uma TV de 50’ com dashboard com todos os
links de Internet, conseguem ver o pico dos links, e a queda e redundância de
links da matriz com as filiais em tempo real (dashboard da própria WatchGuard)
Todo pen-drive é bloqueado em todas matrizes e filiais.
Bloqueiam quase tudo de acesso de internet (grupo de acesso
padrão no AD (está liberado sites de governo e uns 2 sites de notícia e possuem
um outro grupo com YouTube liberado))
Unificaram todos os sites corporativos com uma solução
WatchGuard (é um portal corporativo)
Diretoria da Cristalpet zela muito pela segurança, então não
tiveram problemas para liberar recursos para montar um ambiente de segurança
(essa empresa tem contrato fechado com a CocaCola, e investilham milhões para
conseguir as ISOs exigidas pela CocaCola).
Teevo auxiliou a equipe da Cristalpet nas migrações de
tecnologia (para o Office 365, ajudou a migrar todos os servers para
Azure)
Caixas contratadas em comodata.
Ganhei um prêmio no sorteio do bingo...
4ª Palestra: LGPD, por Robertson da Teevo
Não falaram nada de novo para quem já acompanha webinars
sobre a LGPD:
- Motivação da construção da lei
- Objetivos da lei
- Abrangência (dado pessoal, lei se sobrepõe a contrato,
tratar dados para serviços e produtos )
- Tipos de dado(pessoal, anonimizado, sensível e não
pessoal)
- Nomear DPO (com a MP pode ser terceiro)
- Quando é permitido o uso de dados
- Empresa deve possuir políticas eficientes de
governança
- Registros de todas as operações feitas com dados de
usuários
- Relatório de impactos das operações (ter um relatório de
mapeamento de todos os sistemas e nível de aderência)
- Reparar o titular caso dado tenha vazado
- Ônus da prova de não impacto (em caso de algum
malandro dizer que qualquer empresa vazou seus dados, não pode alegar nada sem
provas)
- Infrações
- Transferência de dados internacionais
- Motivos para se adequar( aumento da coleta de dados,
compartilhar dados sem controle, impacto em negócios e até em eleições, perda
de privacidade, prejuízo para o cidadão, possibilidade de discriminação
automatizada, vazamento de dados pessoais)
LinkedIn recebeu multa de bilhões por não proteger os dados
de forma adequada, influência em eleições (USA),
POR ONDE COMECAR
1- mapear os dados e fazer auditorias
2- mapear dados internos e fontes de Infos utilizadas
3- estabelecer um processo de governança
4- revisar políticas de segurança(quem pode acessar o
que)
5- investir em soluções de segurança da informacao
6- treinar e conscientizar equipes
7- estruturar um time de copliance
- Definir política de gestão de dados
- Definir política de vazamento de dados
- Criar função de DPO
- Manter rotinas periódicas de treinamento
- Revisar processos internos de tratativas de dados
- Adequar os sistemas para manter só dados necessários
- Medidas técnicas : soluções em cloud são as mais próximas
de estarem em Compliance com a lgpd
- AV, cofre de senhas, criptografia em banco de dados,
Autenticação em duplo fator/token, DLP, IPS, Firewall de próxima geração, VPN
criptografada
- Ter log e controle de acesso de tudo
- Empresas q mandarem contrato dizendo que se abstém de
possíveis problemas. Isso não é valido. A lei é superior a esse tipo de
anexo/adendo/contrato.
O evento teve me deu algumas ideias bacanas para futuros eventos
de segurança da informação. 😉
(Clique nas imagens para vê-las maior)
 |  |
 |  |
Espero que tenham gostado! Até mais 😊
Nenhum comentário:
Postar um comentário