Mostrando postagens com marcador Cybersegurança. Mostrar todas as postagens
Mostrando postagens com marcador Cybersegurança. Mostrar todas as postagens

O que o Coronavírus tem haver com a Segurança da Informação?

O que o Coronavírus tem haver com a Segurança da Informação? 🤔
Tudo!😱 Já existem grupos hackers tirando proveito de pessoas que buscam informações sobre o COVID-19.😷 Separei algumas notícias sobre o assunto para você.

Links para mais detalhes das notícias abaixo:
➡ Os Riscos das empresas com o Home Office em relação ao Corona Vírus: https://www.jornalcontabil.com.br/os-riscos-das-empresas-com-o-home-office-em-relacao-ao-corona-virus/
➡ Ransomware 'CovidLock' explora medos de novo coronavírus: https://cointelegraph.com/news/covidlock-exploits-coronavirus-fears-with-bitcoin-ransomware
➡ Relatórios: risco em 98% da IoT e ameaça de APT da China: https://www.cisoadvisor.com.br/relatorios-risco-em-98-da-iot-e-ameaca-de-apt-da-china/
➡ Os malwares mais frequentes no Brasil e no mundo em fevereiro: https://www.cisoadvisor.com.br/os-malwares-mais-frequentes-no-brasil-e-no-mundo-em-fevereiro/
Imagem: deste blog

Resumo do evento de segurança da informação SC Experience, 2ª edição

Dias 20 e 21 de novembro estive num evento voltado para segurança da informação em Florianópolis: a segunda edição do SC Experience. Foram 2 dias com muuuuuito conteúdo voltado à segurança da informação e como sempre faço, foi deixar um resumo do que vi lá durante estes 2 dias. 😍
Para começar, havia 2 trilhas de conteúdo para o primeiro dia e 3 trilhas para o seguindo dia. Eu escolhi ir nas trilhas de CyberSecurity (1º dia) e Gestão de Segurança da Informação (2º dia). Vamos ao resumo 😀: 
1º dia – Trilha de CyberSecurity
KeyNote – Patrícia Peck
Pensa numa mulher com muito conhecimento em TI e Direito! A palestra dela foi muito TOP!
Ela falou de tendências para o mercado que envolve dados e segurança digital: 5G, Cloud e inteligência artificial.
Recomentou algumas leituras, como: O risco de TI, Dominados pelos números, Dataclima, A era das máquinas espirituais e ler o Manual IBGS que é um  manual de boas práticas de riscos cibernéticos.
Uma frase bem bacana foi “Só problemas de crianças acessando apps se o problema for mitigado desde cedo.”, ou seja, na concepção. Nesse sentido o problema é não ter feito a pergunta: o celular será usado por uma criança.? Isso eh privacy by design.
Deu um enfoque bem interessante ao risco de não descartar ou higienizar os HDs de PCs antes de doar PCs antigos. Porque? Pois é possível recuperar informações de HDs velhos. Já pensou uma planilha com o salários de seus funcionários sendo recuperada num HD velho que foi doado à um terceiro? Por causa disso, muitas empresas não estão mais doando HDs junto a PCs antigos.
Uma coisa que já ouço muito, mas muitas pessoas ainda não dão valor é que “Os dados são a riqueza da sociedade digital”. São o novo petróleo.
Falou muito de LGPD e GDPR e disse que as maiores denúncias com relação a este assunto foram telemarketing, e-mail marketing, behavior mkt e video vigilância.
Envio de SMS de cobrança errado.
Envio de mala direta para menor de idade.

Novos paradigmas para Blue Team com a adoção de Cloud -  Rodrigo Montoro
Essa palestra foi um pouco mais técnica, mais o que anotei de mais interessante foi:
Olhar com carinho para frameworks de Segurança da Informação, como o CIS e seus 20 controles (basic, foundational, organizational).
Segmentar acessos da cloud, assim como já ocorre nas redes internas segmentar garante que pessoas não tenham acesso a coisas que não deveriam.
Estudar IAM/cloudtrail

Lições aprendidas com o ataque massivo - Flavio Gonçalves
Essa palestra mostrou um caso real, de uma empresa que opera com servidores de telemarketing e que sofre um ataque massivo aos servidores, com o propósito de fazer ligações para outros países que as empresas receberem uma conta de telefonia caótica. O problema foi de ter uma porta indevidamente aberta. O que se descobriu é que os sistemas até podem ser bem implantados, mas a maioria começa a sofre com as customizações e a falta de avaliação de impacto para alterações novas em sistemas. Utilizaram ferramentas como o Kali Linux e o MySQL Scanner para descobrir o problema.
Implantaram um módulo de segurança de forma gratuita para todos os clientes exatamente por ter havido o ataque. O cliente pensava que o servidor era de responsabilidade do fornecedor, sendo que no contrato dizia que é de responsabilidade do cliente. Ponto de atenção aqui: eu vejo muito disso. E quando dá um problema, o cliente vem chorando. Alguma comunicação aqui deixou muito a desejar.
Temos 2 lições aprendidas da palestra:
  1. Dinheiro para segurança da informação fica mais fácil depois que ocorre algum incidente;
  2. Como comunicar para cliente? Quando menos claro é mais demorar, pior é. Por e-mail, quando acontece um incidente, é terrível.
A conclusão da palestra foi: sempre verificar se as regras de segurança permanecem em segura.

Privacidade e Investigação Corporativa. O que devo saber? - Marcelo Lau
Essa é uma daquelas palestras legais para dar um tapa na cara do povo. Eu já tinha visto ela, então vou resumir bem rapidamente o que vi:
Teremos 3 grandes áreas em crescimento no mercado:
Segurança da informação, inteligência artificial e cientista de dados.
Fez uma provocação bem legal: Você dá o seu CPF de graça na farmácia sem que haja alguma promoção? Se é de graça, desconfia que o produto é você e não o remédio.
Disse que as próximas eleições estarão cheias de Deep Fakes
Materiais e vídeos que ele mencionou durante a palestra: https://materiais.datasecurity.com.br/scexperience2019

Crimes cibernéticos e forense digital (o dia-a-dia de um perito) - Wilson Leite
Outra palestra TOP, agona na visão de uma pessoa que lida diretamente com crimes digitais.
Crimes de informática impróprios: usam PCs para praticar ou deixam rastros lá;
Crimes de informática próprio: visam sistemas informáticos.
Falou um pouco sobre uma técnica utilizada por alguns criminosos, que ocultam mensagens, senhas e etc em imagens de alta resolução, que pegam uma parte da imagem e alteram para conter partes de senhas e mensagens.
Falou do serviço “No more ramsonware” para tentar fazer decriptografia de discos. Nem sempre funcionam.
Falou uma coisa bem interessante: que a seleção dos novos agentes de polícia possui um enfoque maior com uma prova de TI. Super me animei! 😍 Mas obviamente ainda precisa saber do básico de direito.
Sugeriu para ver um documentário no Netflix “Mercado livre das drogas”.
Que um agente precisa aprender a ler LOGs de Sistemas Operacionais.
Também mencionou algumas ferramentas utilizadas: Caine Linux, deft, kali Linux, autopsy (recuperar arquivo avagado, etc), iped (busca de HD indexador e processador de evidências digitais)  e o Cellebrite (extração de dados de celular).
Não vou falar aqui das técnicas que dificultam a vida de um perito, pois as considero super importantes em termos de manter sigilo de dados de empresas. 😉
Ainda anotei para me aprofundar em assuntos como “cloud forense” e sobre a “comunidade científica de forense”.

PCI-DSS, como implementar a “LGPD dos Dados de Cartão” - Thomas Ranzi
Falou de padrões de segurança da informação, como PCI, BACEN e GDPR/LGPD e como ele aplicou o PCI para implantar a LGPD nos dados de cartões da Nexera.
Www.immuniweb.com Para análise de vulnerabilidades em sites.
Também falou da importância de campanhas internas de conscientização.

2º dia – Trilha de Gestão de Segurança da Informação
Cases de “Insucessos” em Segurança e GRC - Jairo Willian Pereira
Mais uma palestra muito TOP. Eu recebi, praticamente, uma pós inteira de segurança de informação num tempo de 1,5 horas. Então super recomendo para entusiastas da área.
Falou de erros que acontecem diariamente.
ICS-SCADA É ESTRATÉGIA NACIONAL DE SEGURANÇA CIBERNETICA E-CIBER, sugeriu que todos da área lêssemos.
Praticamente todos os problemas acontecem baseados em:
  • atualização
  • configuração

A transformação digital e o IOT esquecem de tratar a segurança da informação. Logo teremos uma série de problemas por causa de casas e outros locais super automatizados.
Cultura de SI se trata na base!
Antes de fazer um pentest, garanta que o básico esta feito!
Tem ISO pra praticamente tudo relacionado em segurança da informação. Então não saia procurando indicadores de SegInfo na internet quando tem uma ISO (que é um padrão mundial) falando sobre o assunto.
O Gartner tem um modelo governança segurança da informação: chama-se DSG. Leiam!
Gestão de incidentes com tipificação bem feita: Se preocupe com comunicação
Escolha a ferramenta para te ajudar com as vulnerabilidades de acordo com a maturidade do seu negócio.
Cuide da segurança de informação para atender a estrategia da empresa, não somente para atender um rótulo (PCI, BACEN, LGPD, etc.).

Utilizando segurança orgânica inteligente para proteger informações corporativas - Eugênio Moretzsohn
Essa palestra também foi bem diferente do que eu estava acostumada: era um militar com toda uma carreira (invejável por sinal) em segurança de informação. Ele falou muito sobre estratégias de combate. De que a inteligência de informação não começou com a 2ª guerra mundial, mas sim na guerra do fogo, por tribos para garantir suas sobrevivência.
Falou da estratégia do reforço territorial: mostre quem está no comando! Mantenha sempre o local externo sempre limpo e arrumado. Se alguém pixa, pinta o mais rápido possível por cima.
Melhor forma de se proteger é educando. (Estão percebendo como educação de pessoas está aparecendo recorrentemente? 😉).
Check-list de segurança orgânica da família de ISO 27000.
Eleja um comitê de Segurança da Informação multidisciplinar. Acredite, você vai descobrir o inimaginável.
Trate segurança dentro de casa, pois o compliance pega na mão, já aauditoria pega no pé.
Investir fortemente em educação de segurança interna. (Sim, ele enfatizou isso 2 vezes em pontos diferentes 😉).
As bases da prevenção são a educação e a fiscalização. (errei, foram 3 😉).

Engenharia Social: A Fisiognomonia como técnica avançada de Human Hacking - Davis Alves, Ph.D
Já assisti várias aulas e webinars do Davis no site da TI Exames, mas nunca sobre esse tema. Sabe aquele livro “O corpo fala”? A palestra foi basicamente isso, mas sobre características físicas. Exemplo: Pessoas de olhos cláros são mais frias e focadas. Isso se chama: Fisiognomonia. Técnica essa utilizada muito pela polícia americana.

Temos uma espiã entre nós! Contos e casos de uma Engenheira Social. - Marina Ciavatta
Esta foi a palestra de uma espiã contratada pelas próprias empresas para que ela invada as mesmas e prove que seus sistemas físicos não são tão seguros como parecem. Ela falou para ler o Manifesto Hacker e fez uma palestra basicamente voltada a roubo de informações e equipamentos baseados em engenharia social, muito parecida com a palestra do Eugênio Moretzsohn.
Sempre preste atenção nas informações valiosas com as quais lidamos todos os dias.
Não confie em desconhecidos. Deu um enfoque muito grande sobre termos cuidado do que divulgamos nas redes sociais relacionado à empresa. E isso não é só para aquela foro do seu computador contendo a senha num post-it. Falou de um caso que ela fez para entrar disfarçada numa empresa, copiando um crachá de um funcionário que postou foto dele na internet. Ela usou a desculpa de “O meu crachá não está passando aqui, você pode passar para mim?” para a recepcionista. Basicamente, o jeito mais fácil é invadir locais utilizando gentileza, pressa e “um jeito desastrado” para conseguir acesso a locais.
E problemas comuns continuam sendo:
  • armários trancados com a chave dentro.

Como conscientizar sua empresa de que segurança da informação é importante?
  • crie campanhas;
  • faça treinamentos para a equipe;
  • realize testes constantes;
  • compartilhe suas preocupações;
  • confronte pessoas entranhas, reporte.

A conclusão foi: treine seus funcionários! Não deixe que a gentileza faça com que você passe o crachá no lugar de outra pessoa.

Para tempos de privacidade de dados: Gestão do Conhecimento - Dr. Maurício Rotta
Teoria da escassez: os desejos humanos são praticamente infinitos em um mundo de recursos limitados.
Economia do conhecimento: segue a teoria da abundancia, quanto mais compartilho, mas ganho.
As pessoas precisam ter consciência do que compartilham com as empresas.

Lembra que eu falei que no 2º dia tinham 3 trilhas? A última palestra foi extremamente difícil de escolher em qual eu iria! Tinha as seguintes palestras:
  • Case: Liberando software seguro. Vulnerabilidade se trata em casa! - Heber da Silva e Eric Castoldi na trilha de Dev Security;
  • Elo mais fraco: Cases práticos da proteção humana - Dr. Paulo Silva na trilha de Gestão de segurança da informação;
  • Convergência de redes de acesso e segurança aliados a automação, como a Fortinet pode ajudar? - Fortinet – Alessandro Nobre  na trilha de soluções.

Eu queria ir nas 3! Mas não tinha como. 😐
Escolhi ir na trilha de Dev Security, e ver meus colegas de trabalho falando como eles implantaram o SAST na cadeia produtiva de desenvolvimento da empresa, considerando produtos novos e legado de quase 30 anos. Sim, eles trabalham na mesma empresa que eu, e acabei respondendo pergunta sobre como estamos implantando a LGPD no desenvolvimento. Hahaha! Frase de conclusão da palestra foi:

  "Qualidade e segurança não são negociáveis."

Caramba, trabalhei 6 anos na qualidade de produtos e agora estou na segurança, não tinha como terminar melhor!

Para mais informações das palestras e do evento, acesse o site do evento: https://scexperience.com.br/

Espero que tenham gostado do resumo. Até mais! 😉

Webinar gratuito sobre implementação da ISO 27001: como tornar mais fácil o uso com a ISO 9001

Olá Pessoal

Hoje vou compartilhar com vocês um treinamento/webinar que todo profissional de Segurança da Informação deveria fazer. O assunto é sobre "Implementação da ISO 27001: como tornar mais fácil o uso com a ISO 9001". Um detalhe importante: em inglês!
E nem adianta começar a reclamar, que o material disponível em inglês sobre essa área de atuação é muito mais extenso que o disponível em português.

O evento vai ser dia 05/06/2019 as 12h (meio-dia) no Brasil.

O que será abordado?

  • Similarities and differences between ISO 27001 and ISO 9001
  • Implementation issues – how to speed up implementation and avoid pitfalls
  • Roles in the implementation – who are the best persons from ISO 9001 to use for ISO 27001
  • Top management issues – how to get their buy-in, how to save their time
  • Certification – the benefits of integrated audit



Mais detlhes e registros AQUI.
Até mais! 😀

O poder da Gamificação na Segurança da Informação

Olá pessoal,

Vagando pela internet esses dias achei um infográfico de gamificação da Cybersegurança. Claro que, novamente, cultura de segurança da informação não se muda do dia para a noite e deve ser imposta do alto escalão das empresas. Mas a gameficação sempre pode ajudar!




Até mais! 😀

Fonte do infográfico: https://create.piktochart.com/embed/38792804-culturaciberseguranca