Mostrando postagens com marcador LGPD. Mostrar todas as postagens
Mostrando postagens com marcador LGPD. Mostrar todas as postagens

Por que a governança da segurança da informação é vital para proteger seus dados?

No mundo digital em constante evolução, a segurança da informação se tornou uma preocupação para empresas de todos os tamanhos. Vimos várias vagas de emprego sendo abertas neste ramo em empresas além das gigantes de software e das instituições bancárias. A crescente quantidade de dados sensíveis e a sofisticação das ameaças cibernéticas exigem que as organizações implementem medidas eficazes para proteger seus ativos digitais. Nesse sentido, a governança da segurança da informação desempenha um papel essencial. Neste artigo, vamos explorar a importância da governança da segurança da informação e como ela pode ajudar a proteger seus dados contra ameaças potenciais.


A proteção dos seus ativos digitais

Com o avanço da tecnologia, as informações se tornaram um dos ativos mais valiosos de uma organização. Dados confidenciais, informações de clientes, propriedade intelectual e segredos comerciais são apenas alguns exemplos do que precisa ser protegido. A governança da segurança da informação estabelece políticas, procedimentos e controles que garantem a confidencialidade, integridade e disponibilidade dessas informações. Isso reduz o risco de vazamentos, roubos ou comprometimentos indesejados, salvaguardando assim a reputação e os interesses do seu negócio.


Conformidade regulatória e jurídica

Com as regulamentações de proteção de dados se tornando cada vez mais rígidas (a exemplo da nossa LGPD), as organizações devem estar em conformidade com essas leis para evitar as sanções. A governança da segurança da informação ajuda a cumprir essas regulamentações, estabelecendo diretrizes claras sobre como os dados devem ser protegidos e gerenciados. Ao implementar medidas adequadas de segurança, como controles de acesso, criptografia e monitoramento, você demonstra compromisso em proteger a privacidade dos seus clientes e cumpre as obrigações legais, construindo confiança e respeito no mercado.


Continuidade dos negócios

A perda ou indisponibilidade de informações críticas pode ter um impacto significativo nas operações do seu negócio. A governança da segurança da informação envolve a criação de planos de continuidade de negócios que garantem a rápida recuperação de dados e sistemas em caso de incidentes de segurança, como ataques cibernéticos, desastres naturais ou falhas técnicas. Esses planos ajudam a minimizar o tempo de inatividade, reduzir os impactos financeiros e proteger a reputação da sua organização.


Construindo confiança e credibilidade

Nos dias de hoje, os clientes estão cada vez mais preocupados com a segurança de suas informações pessoais. Ao implementar uma governança eficaz da segurança da informação, você demonstra aos seus clientes que leva a proteção de seus dados a sério. Isso ajuda a construir confiança e credibilidade, fatores-chave para o sucesso do seu negócio. Quando os clientes se sentem seguros em compartilhar suas informações com você, eles têm mais probabilidade de escolher seus produtos ou serviços e recomendar sua empresa a outros.


Conclusão

A governança da segurança da informação é um pilar fundamental para proteger seus ativos digitais em um mundo cada vez mais conectado. Ela não apenas protege seus dados contra ameaças internas e externas, mas também garante a conformidade com as regulamentações, mantém a continuidade dos negócios e constrói confiança entre seus clientes. Investir em uma governança sólida da segurança da informação é uma decisão estratégica que traz benefícios significativos para o seu negócio a longo prazo.

As empresas ainda não entenderam o tamanho de um projeto de adequação à LGPD

 A LGPD está causando uma mudança cultural nas empresas uma vez que formaliza a maneira como os dados devem ser coletados e tratados. Vários times responsáveis pelos seus processos estão envolvidos, mas tenho visto que ainda não entendem a prioridade e o tamanho desse projeto. Segundo uma pesquisa da Associação Brasileira das Empresas de Softwares (ABES) feita com mil empresas no território nacional, 60% ainda não estão em conformidade com as regras da lei. A Fortinet fez outra pesquisa e mostrou que o Brasil sofreu mais de 2,6 bilhões de ataques cibernéticos na primeira metade do ano. Então a quantidade de ataques é muito superior que o nível de proteção hoje das empresas brasileiras. 

Apesar da LGPD não estar oficialmente em vigor e que ela pode entrar a qualquer momento, as sanções  que estão previstas na lei estão postergadas para agosto de 2021. Mas é importante lembrar que os demais artigos da LGPD valerão a qualquer momento, dependendo do presidente. 

Um exemplo famoso foi a multa que a varejista Hering tomou ao colocar uma tecnologia de reconhecimento facial em uma de suas lojas piloto de SP. A LGPD não está em vigor ainda, mas a empresa foi condenada a pagar R$ 58,7 mil. 

Neste cenário, a diretoria ou o conselho da sua empresa precisam entender a importância da LGPD e como essa lei muda a cultura da empresa. É a diretoria/conselho que precisarão reforçar a necessidade de colaboração de todos os envolvidos com suas tarefas dentro do projeto de adequação e enfatizar que o sucesso das entregas depende do engajamento de todas as áreas da cooperativa.

Sem isso, vai ser bem difícil esse projeto sair do lugar na sua empresa.

Eu também falo sobre o tema nesse vídeo:

Referências:
Brasil: Menos de 40% das empresas demonstram estar em conformidade com a LGPD. - http://www.abessoftware.com.br/noticias/brasil-menos-de-40-das-empresas-demonstram-estar-em-conformidade-com-a-lgpd
Brasil sofreu mais de 2,6 bilhões de ataques cibernéticos na primeira metade do ano - https://minutodaseguranca.blog.br/brasil-sofreu-mais-de-26-bilhoes-de-ataques-ciberneticos-na-primeira-metade-do-ano/

Resumo do evento de segurança da informação SC Experience, 2ª edição

Dias 20 e 21 de novembro estive num evento voltado para segurança da informação em Florianópolis: a segunda edição do SC Experience. Foram 2 dias com muuuuuito conteúdo voltado à segurança da informação e como sempre faço, foi deixar um resumo do que vi lá durante estes 2 dias. 😍
Para começar, havia 2 trilhas de conteúdo para o primeiro dia e 3 trilhas para o seguindo dia. Eu escolhi ir nas trilhas de CyberSecurity (1º dia) e Gestão de Segurança da Informação (2º dia). Vamos ao resumo 😀: 
1º dia – Trilha de CyberSecurity
KeyNote – Patrícia Peck
Pensa numa mulher com muito conhecimento em TI e Direito! A palestra dela foi muito TOP!
Ela falou de tendências para o mercado que envolve dados e segurança digital: 5G, Cloud e inteligência artificial.
Recomentou algumas leituras, como: O risco de TI, Dominados pelos números, Dataclima, A era das máquinas espirituais e ler o Manual IBGS que é um  manual de boas práticas de riscos cibernéticos.
Uma frase bem bacana foi “Só problemas de crianças acessando apps se o problema for mitigado desde cedo.”, ou seja, na concepção. Nesse sentido o problema é não ter feito a pergunta: o celular será usado por uma criança.? Isso eh privacy by design.
Deu um enfoque bem interessante ao risco de não descartar ou higienizar os HDs de PCs antes de doar PCs antigos. Porque? Pois é possível recuperar informações de HDs velhos. Já pensou uma planilha com o salários de seus funcionários sendo recuperada num HD velho que foi doado à um terceiro? Por causa disso, muitas empresas não estão mais doando HDs junto a PCs antigos.
Uma coisa que já ouço muito, mas muitas pessoas ainda não dão valor é que “Os dados são a riqueza da sociedade digital”. São o novo petróleo.
Falou muito de LGPD e GDPR e disse que as maiores denúncias com relação a este assunto foram telemarketing, e-mail marketing, behavior mkt e video vigilância.
Envio de SMS de cobrança errado.
Envio de mala direta para menor de idade.

Novos paradigmas para Blue Team com a adoção de Cloud -  Rodrigo Montoro
Essa palestra foi um pouco mais técnica, mais o que anotei de mais interessante foi:
Olhar com carinho para frameworks de Segurança da Informação, como o CIS e seus 20 controles (basic, foundational, organizational).
Segmentar acessos da cloud, assim como já ocorre nas redes internas segmentar garante que pessoas não tenham acesso a coisas que não deveriam.
Estudar IAM/cloudtrail

Lições aprendidas com o ataque massivo - Flavio Gonçalves
Essa palestra mostrou um caso real, de uma empresa que opera com servidores de telemarketing e que sofre um ataque massivo aos servidores, com o propósito de fazer ligações para outros países que as empresas receberem uma conta de telefonia caótica. O problema foi de ter uma porta indevidamente aberta. O que se descobriu é que os sistemas até podem ser bem implantados, mas a maioria começa a sofre com as customizações e a falta de avaliação de impacto para alterações novas em sistemas. Utilizaram ferramentas como o Kali Linux e o MySQL Scanner para descobrir o problema.
Implantaram um módulo de segurança de forma gratuita para todos os clientes exatamente por ter havido o ataque. O cliente pensava que o servidor era de responsabilidade do fornecedor, sendo que no contrato dizia que é de responsabilidade do cliente. Ponto de atenção aqui: eu vejo muito disso. E quando dá um problema, o cliente vem chorando. Alguma comunicação aqui deixou muito a desejar.
Temos 2 lições aprendidas da palestra:
  1. Dinheiro para segurança da informação fica mais fácil depois que ocorre algum incidente;
  2. Como comunicar para cliente? Quando menos claro é mais demorar, pior é. Por e-mail, quando acontece um incidente, é terrível.
A conclusão da palestra foi: sempre verificar se as regras de segurança permanecem em segura.

Privacidade e Investigação Corporativa. O que devo saber? - Marcelo Lau
Essa é uma daquelas palestras legais para dar um tapa na cara do povo. Eu já tinha visto ela, então vou resumir bem rapidamente o que vi:
Teremos 3 grandes áreas em crescimento no mercado:
Segurança da informação, inteligência artificial e cientista de dados.
Fez uma provocação bem legal: Você dá o seu CPF de graça na farmácia sem que haja alguma promoção? Se é de graça, desconfia que o produto é você e não o remédio.
Disse que as próximas eleições estarão cheias de Deep Fakes
Materiais e vídeos que ele mencionou durante a palestra: https://materiais.datasecurity.com.br/scexperience2019

Crimes cibernéticos e forense digital (o dia-a-dia de um perito) - Wilson Leite
Outra palestra TOP, agona na visão de uma pessoa que lida diretamente com crimes digitais.
Crimes de informática impróprios: usam PCs para praticar ou deixam rastros lá;
Crimes de informática próprio: visam sistemas informáticos.
Falou um pouco sobre uma técnica utilizada por alguns criminosos, que ocultam mensagens, senhas e etc em imagens de alta resolução, que pegam uma parte da imagem e alteram para conter partes de senhas e mensagens.
Falou do serviço “No more ramsonware” para tentar fazer decriptografia de discos. Nem sempre funcionam.
Falou uma coisa bem interessante: que a seleção dos novos agentes de polícia possui um enfoque maior com uma prova de TI. Super me animei! 😍 Mas obviamente ainda precisa saber do básico de direito.
Sugeriu para ver um documentário no Netflix “Mercado livre das drogas”.
Que um agente precisa aprender a ler LOGs de Sistemas Operacionais.
Também mencionou algumas ferramentas utilizadas: Caine Linux, deft, kali Linux, autopsy (recuperar arquivo avagado, etc), iped (busca de HD indexador e processador de evidências digitais)  e o Cellebrite (extração de dados de celular).
Não vou falar aqui das técnicas que dificultam a vida de um perito, pois as considero super importantes em termos de manter sigilo de dados de empresas. 😉
Ainda anotei para me aprofundar em assuntos como “cloud forense” e sobre a “comunidade científica de forense”.

PCI-DSS, como implementar a “LGPD dos Dados de Cartão” - Thomas Ranzi
Falou de padrões de segurança da informação, como PCI, BACEN e GDPR/LGPD e como ele aplicou o PCI para implantar a LGPD nos dados de cartões da Nexera.
Www.immuniweb.com Para análise de vulnerabilidades em sites.
Também falou da importância de campanhas internas de conscientização.

2º dia – Trilha de Gestão de Segurança da Informação
Cases de “Insucessos” em Segurança e GRC - Jairo Willian Pereira
Mais uma palestra muito TOP. Eu recebi, praticamente, uma pós inteira de segurança de informação num tempo de 1,5 horas. Então super recomendo para entusiastas da área.
Falou de erros que acontecem diariamente.
ICS-SCADA É ESTRATÉGIA NACIONAL DE SEGURANÇA CIBERNETICA E-CIBER, sugeriu que todos da área lêssemos.
Praticamente todos os problemas acontecem baseados em:
  • atualização
  • configuração

A transformação digital e o IOT esquecem de tratar a segurança da informação. Logo teremos uma série de problemas por causa de casas e outros locais super automatizados.
Cultura de SI se trata na base!
Antes de fazer um pentest, garanta que o básico esta feito!
Tem ISO pra praticamente tudo relacionado em segurança da informação. Então não saia procurando indicadores de SegInfo na internet quando tem uma ISO (que é um padrão mundial) falando sobre o assunto.
O Gartner tem um modelo governança segurança da informação: chama-se DSG. Leiam!
Gestão de incidentes com tipificação bem feita: Se preocupe com comunicação
Escolha a ferramenta para te ajudar com as vulnerabilidades de acordo com a maturidade do seu negócio.
Cuide da segurança de informação para atender a estrategia da empresa, não somente para atender um rótulo (PCI, BACEN, LGPD, etc.).

Utilizando segurança orgânica inteligente para proteger informações corporativas - Eugênio Moretzsohn
Essa palestra também foi bem diferente do que eu estava acostumada: era um militar com toda uma carreira (invejável por sinal) em segurança de informação. Ele falou muito sobre estratégias de combate. De que a inteligência de informação não começou com a 2ª guerra mundial, mas sim na guerra do fogo, por tribos para garantir suas sobrevivência.
Falou da estratégia do reforço territorial: mostre quem está no comando! Mantenha sempre o local externo sempre limpo e arrumado. Se alguém pixa, pinta o mais rápido possível por cima.
Melhor forma de se proteger é educando. (Estão percebendo como educação de pessoas está aparecendo recorrentemente? 😉).
Check-list de segurança orgânica da família de ISO 27000.
Eleja um comitê de Segurança da Informação multidisciplinar. Acredite, você vai descobrir o inimaginável.
Trate segurança dentro de casa, pois o compliance pega na mão, já aauditoria pega no pé.
Investir fortemente em educação de segurança interna. (Sim, ele enfatizou isso 2 vezes em pontos diferentes 😉).
As bases da prevenção são a educação e a fiscalização. (errei, foram 3 😉).

Engenharia Social: A Fisiognomonia como técnica avançada de Human Hacking - Davis Alves, Ph.D
Já assisti várias aulas e webinars do Davis no site da TI Exames, mas nunca sobre esse tema. Sabe aquele livro “O corpo fala”? A palestra foi basicamente isso, mas sobre características físicas. Exemplo: Pessoas de olhos cláros são mais frias e focadas. Isso se chama: Fisiognomonia. Técnica essa utilizada muito pela polícia americana.

Temos uma espiã entre nós! Contos e casos de uma Engenheira Social. - Marina Ciavatta
Esta foi a palestra de uma espiã contratada pelas próprias empresas para que ela invada as mesmas e prove que seus sistemas físicos não são tão seguros como parecem. Ela falou para ler o Manifesto Hacker e fez uma palestra basicamente voltada a roubo de informações e equipamentos baseados em engenharia social, muito parecida com a palestra do Eugênio Moretzsohn.
Sempre preste atenção nas informações valiosas com as quais lidamos todos os dias.
Não confie em desconhecidos. Deu um enfoque muito grande sobre termos cuidado do que divulgamos nas redes sociais relacionado à empresa. E isso não é só para aquela foro do seu computador contendo a senha num post-it. Falou de um caso que ela fez para entrar disfarçada numa empresa, copiando um crachá de um funcionário que postou foto dele na internet. Ela usou a desculpa de “O meu crachá não está passando aqui, você pode passar para mim?” para a recepcionista. Basicamente, o jeito mais fácil é invadir locais utilizando gentileza, pressa e “um jeito desastrado” para conseguir acesso a locais.
E problemas comuns continuam sendo:
  • armários trancados com a chave dentro.

Como conscientizar sua empresa de que segurança da informação é importante?
  • crie campanhas;
  • faça treinamentos para a equipe;
  • realize testes constantes;
  • compartilhe suas preocupações;
  • confronte pessoas entranhas, reporte.

A conclusão foi: treine seus funcionários! Não deixe que a gentileza faça com que você passe o crachá no lugar de outra pessoa.

Para tempos de privacidade de dados: Gestão do Conhecimento - Dr. Maurício Rotta
Teoria da escassez: os desejos humanos são praticamente infinitos em um mundo de recursos limitados.
Economia do conhecimento: segue a teoria da abundancia, quanto mais compartilho, mas ganho.
As pessoas precisam ter consciência do que compartilham com as empresas.

Lembra que eu falei que no 2º dia tinham 3 trilhas? A última palestra foi extremamente difícil de escolher em qual eu iria! Tinha as seguintes palestras:
  • Case: Liberando software seguro. Vulnerabilidade se trata em casa! - Heber da Silva e Eric Castoldi na trilha de Dev Security;
  • Elo mais fraco: Cases práticos da proteção humana - Dr. Paulo Silva na trilha de Gestão de segurança da informação;
  • Convergência de redes de acesso e segurança aliados a automação, como a Fortinet pode ajudar? - Fortinet – Alessandro Nobre  na trilha de soluções.

Eu queria ir nas 3! Mas não tinha como. 😐
Escolhi ir na trilha de Dev Security, e ver meus colegas de trabalho falando como eles implantaram o SAST na cadeia produtiva de desenvolvimento da empresa, considerando produtos novos e legado de quase 30 anos. Sim, eles trabalham na mesma empresa que eu, e acabei respondendo pergunta sobre como estamos implantando a LGPD no desenvolvimento. Hahaha! Frase de conclusão da palestra foi:

  "Qualidade e segurança não são negociáveis."

Caramba, trabalhei 6 anos na qualidade de produtos e agora estou na segurança, não tinha como terminar melhor!

Para mais informações das palestras e do evento, acesse o site do evento: https://scexperience.com.br/

Espero que tenham gostado do resumo. Até mais! 😉

Facilitação gráfica sobre LGPD

Olá Pessoal

Ontem recebi uma facilitação gráfica da palestra "A LGPD também é sobre você". Palestra essa que dei após ser convidada pela SANCON, em Joaçaba/SC, na Feira Gera. Amei essa facilitação!😍

Desenho é sempre uma forma atraente de entender e gravar conhecimento. Parabéns para a Leticia Zampieri pela arte. 😀


Missão: cicerone de uma palestrante sobre LGPD e proteção de dados


Hoje é dia de #SeniorTec e esse ano tive uma missão especial: ser cicerone da palestrante Andrea Willemin. Foi incrível! O conhecimento dela sobre proteção de dados e #LGPD é muito grande, sempre estudando sobre o assunto. Vou deixar aqui um resumo pequeno dessa pelestra, que super indico pois foi excelente!

Quando se começa a desenvolver um sistema, é necessário conceber desde o início as funcionalidades que a LGPD diz serem necessárias. Infelizmente, estamos criando consciência do valor dos nossos dados pessoais somente agora. Empresas desenvolvem sistemas sem pensar em proteção de dados. Nesse cenário, empresas que tiverem dados vazados  receberão sanções. Por isso é importantíssimo que TODAS as empresas se adequem à lei. Quem não se adaptar passará por consequências jurídicas. O peso da multa não chegará a ser pior que contratos com clientes e parceiros comerciais sendo perdidos por falta de compliance com a lei.
Na hora da concepção de um produto, pensar em proteção de dados será tão básico quanto pensar na experiência do usuário. E é aqui que o DPO vai ajudar as empresas. O perfil desse DPO não é só para o pessoal com conhecimento em direito, conhecimento em administração e tecnologia também são necessários.


É isso pessoal!Até mais e obrigada Andrea Willemin por ter vindo 😀


Descentralizando o PENTEST


Você já deve ter ouvido alguma notícia sobre vazamento de dados, certo? Facebook, Yahoo, PSN, são só exemplos de algumas grandes empresas que tiveram dados de usuários vazados. Independentemente da área de atuação, qualquer tipo de aplicação web ou ambientes físicos com redes com acesso externo, existe sempre o risco de ter vulnerabilidades expostas em decorrência de atitudes de pessoas mal-intencionadas que tentam explorar falhas para ter acesso a informações privilegiadas. É por isso que existe o Pentest.



O que é Pentest?

É uma ferramenta que faz testes de invasão em aplicações web ou em uma rede, identificando vulnerabilidades e falhas de segurança. Algumas ferramentas, quando encontram falhas, já indicam as melhores práticas para solucionar o problema. Normalmente essas listas são fornecidas por projetos abertos de segurança, como é o caso da OWASP.

Alguns exemplos de testes que essas ferramentas fazem...

Falhas de injeção (injection); cross-site scripting (xss); erros de configuração; vulnerabilidade em cookies; componentes vulneráveis; certificados digitais; headers de segurança; vazamento de dados sensíveis; referência insegura e direta a objetos; encaminhamentos inválidos; falhas no fluxo lógico da aplicação; erros criptográficos; cross-site request forgery.

Por que fazer Pentest?

Esta é uma medida eficaz de segurança, pois entrega todas as falhas encontradas em suas aplicações. Imagine um E-Commerce, deixaria os dados do seu cartão de crédito numa loja online que já teve dados vazados? Difícil, certo?!  Além disso, é possível entender o tamanho do dano ou prejuízo que determinado problema causaria caso ocorresse em produção. O maior benefício, obviamente, é poder contornar a vulnerabilidade o quanto antes e corrigir cada um dos erros.

Por que não descentralizar o Pentest?

A maioria das empresas aplica Pentests trimestrais ou mensais. Com a LGPD entrando em vigor em 2020, percebi um aumento de clientes solicitando relatórios ou comprovações de execução desses testes. Agora eu pergunto: em vez de ter uma pessoa executando estes testes, por que não deixá-los executando em tempo de desenvolvimento?
Algumas ferramentas liberam esse tipo de execução em tempo de desenvolvimento, logo após o commit do programador.
Obviamente é bom ter alguém trabalhando com segurança da informação olhando para o desenvolvimento, mas como a cultura de segurança ainda está engatinhando na maioria das empresas do Brasil tendo somente 1 analista na maioria delas, nada melhor que descentralizar o pentest para que este analista tenha mais tempo para avaliação de riscos e compliance de segurança corporativa. 😉

Tem uma ferramenta, de um projeto gratuito, muito legal chamada OWASP ZAP (OWASP Zed Attack Proxy Project). Ainda estamos na fase de testes, mas já vimos alguns resultados bacanas.

Já utilizou esta ferramenta? Tem alguma outra ferramenta para indicar? Compartilha nos comentários! 😀

Palestra sobre LGPD na feira Gera 2019, em Joaçaba

Olá pessoal

Fui convidada para palestrar na feira Gera 2019, que acontece em Joaçaba/SC do dia 19 a 21 de setembro de 2019. 😍

Então fica aqui o meu convite:
Venha assistir a minha palestra sobre LGPD! Vou dar um apanhado geral sobre a lei e falar o que a Segurança da Informação tem haver com essa lei. A minha palestra ocorre dia 20.
Bora?! Espero você lá! 😀

Para saber mais sobre a feira, clique AQUI.

Evento: Segurança não pode ser sorte - em Blumenau (promovido por Teevo e WatchGuard)

Olá Pessoal,

Ontem eu participei de um evento chamado #SegurançaNãoPodeSerSorte, que aconteceu em Blumenau no RexCo, realizado pela Teevo e WatchGuard.
Vou deixar um resumo do que vi lá:

1ª Palestra: Um ambiente pensado em recursos de proteção contra ameaças avançadas em todos os níveis – Pela WatchGuard
Slogan: Segurança inteligente de forma simples
3 especializacoes dos produtos:
- Firewall (solução utm dentro de caixa) 
- Wifisegura
- Dupla autenticacao
Ganharam a premiação pelo 3º  ano consecutivo como recomendável no 2019 NSS Labs Next Generation Firewall Group
Licenciamento(via caixa com processadores Intel) :
- caixa básica
- avançadas (DNS watch, sophos, cylances(comportamentos), 
Mais de 30 patentes do espectro de Wi-Fi e authpoint
Blog da empresa: www.secplicity.org Na página Threat Landscape (mostra malwares e ataques regionais) 

2ª Palestra: Vulnerabilidades de um ambiente sem wi-fi seguro, como elas atingem os colaboradores e impactam da empresa – Pela WatchGuard
Possuem 4 produtos em 1: Trusted Wireless Enviroment
Utm não faz trougput da caixa diminuir
6 formas maliciosas de ataques a APs:
- AP clandestino (rogue AP) 
- AP evil twin (clonar e outras coisas com ssi de AP) 
- AP vizinho 
- Cliente clandestino (rogue client) 
- Rede ad-hoc
- AP mal configurado
O Ap420 foi o único que preveniu e detectou os 6 tipos de ataques acima descritos. Comparativo foi com outros equipamentos da Aruba que detectou e evitou 0, Cisco Meraki MR53 que detectou 1 e evitou 0, Ruckus R710 que preveniu e evitou 2.
Wi-Fi Pineapple (funciona como Rogue AP)  (tem no mercado livre por uns R$ 500) foi usado para demonstrar a insegurança de conectar numa WiFi errada e da chamada que o celular faz à WiFi de casa, por exemplo. Esse equipamento capta a chamada que o celular faz e pode disparar um sinal com o mesmo ID e capturar informações do celular.
O palestrante citou caso de engenheiro que tirou uma foto em Julho de 2017 com um post-it contendo a senha do sistemas de alerta de mísseis, e em Janeiro de 2018 foi disparado um alerta de mísseis no Havaí. Detalhes aqui: https://noticias.uol.com.br/tecnologia/noticias/redacao/2018/01/17/segundo-erro-agencia-de-emergencia-do-havai-deixa-senha-exposta-em-post-it.htm

3ª Palestra: Case da Cristalpet com a Teevo
Saíram de 0 segurança no ambiente para um ambiente com caixa da WatchGuard, Wifi, e toda a segurança provida pela Teevo.
Alcançaram uma maturidade grande em segurança em 7 meses.
Na matriz, existem uma TV de 50’ com dashboard com todos os links de Internet, conseguem ver o pico dos links, e a queda e redundância de links da matriz com as filiais em tempo real (dashboard da própria WatchGuard)
Todo pen-drive é bloqueado em todas matrizes e filiais.
Bloqueiam quase tudo de acesso de internet (grupo de acesso padrão no AD (está liberado sites de governo e uns 2 sites de notícia e possuem um outro grupo com YouTube liberado))
Unificaram todos os sites corporativos com uma solução WatchGuard (é um portal corporativo)
Diretoria da Cristalpet zela muito pela segurança, então não tiveram problemas para liberar recursos para montar um ambiente de segurança (essa empresa tem contrato fechado com a CocaCola, e investilham milhões para conseguir as ISOs exigidas pela CocaCola). 
Teevo auxiliou a equipe da Cristalpet nas migrações de tecnologia  (para o Office 365, ajudou a migrar todos os servers para Azure)
Caixas contratadas em comodata.

Ganhei um prêmio no sorteio do bingo... 

4ª Palestra: LGPD, por Robertson da Teevo
Não falaram nada de novo para quem já acompanha webinars sobre a LGPD:
- Motivação da construção da lei
- Objetivos da lei
- Abrangência (dado pessoal, lei se sobrepõe a contrato, tratar dados para serviços e produtos ) 
- Tipos de dado(pessoal, anonimizado, sensível e não pessoal) 
- Nomear DPO (com a MP pode ser terceiro) 
- Quando é permitido o uso de dados
- Empresa deve possuir políticas eficientes de governança 
- Registros de todas as operações feitas com dados de usuários 
- Relatório de impactos das operações (ter um relatório de mapeamento de todos os sistemas e nível de aderência) 
- Reparar o titular caso dado tenha vazado
- Ônus da prova de não impacto (em caso de algum malandro dizer que qualquer empresa vazou seus dados, não pode alegar nada sem provas)
- Infrações 
- Transferência de dados internacionais
- Motivos para se adequar( aumento da coleta de dados, compartilhar dados sem controle, impacto em negócios e até em eleições, perda de privacidade, prejuízo para o cidadão, possibilidade de discriminação automatizada, vazamento de dados pessoais) 

LinkedIn recebeu multa de bilhões por não proteger os dados de forma adequada, influência em eleições (USA), 

POR ONDE COMECAR
1- mapear os dados e fazer auditorias
2- mapear dados internos e fontes de Infos utilizadas
3- estabelecer um processo de governança
4- revisar políticas de segurança(quem pode acessar o que) 
5- investir em soluções  de segurança da informacao
6- treinar e conscientizar equipes 
7- estruturar um time de copliance 

- Definir política de gestão de dados 
- Definir política de vazamento de dados
- Criar função de DPO
- Manter rotinas periódicas de treinamento
- Revisar processos internos de tratativas de dados
- Adequar os sistemas para manter só dados necessários
- Medidas técnicas : soluções em cloud são as mais próximas de estarem em Compliance com a lgpd 
- AV, cofre de senhas, criptografia em banco de dados, Autenticação em duplo fator/token, DLP, IPS, Firewall de próxima geração, VPN criptografada
- Ter log e controle de acesso de tudo
- Empresas q mandarem contrato dizendo que se abstém de possíveis problemas. Isso não é valido. A lei é superior a esse tipo de anexo/adendo/contrato.

O evento teve me deu algumas ideias bacanas para futuros eventos de segurança da informação. 😉

(Clique nas imagens para vê-las maior)

Espero que tenham gostado! Até mais 😊

Software gratuito para fazer o PIA na LGPD

Olá Pessoal




Quem já começou o trabalho da LGPD sabe que uma das primeiras fazes é fazer o DPIA (relatório de Avaliação de Impacto de Privacidade na LGPD).




Estou num grupo de WhatsApp onde um dos integrantes divulgou um software distribuído pela CNIL (autoridade da França) que é open/free/gratuito. Apenas contextualizando, a Europa tem uma regulamentação chamada GDPR, que é a mãe da nossa LGPD (nossa lei é baseada na GDPR).O software tem também um guideline da metodologia. O software inclusive tem interface em português (mas só parte do sistema). 

Software: PIA
Tamanho: 71,2 Mb (Windows)
S.O.: Tem para Windows, Linux e Mac.

Espero que gostem, até mais! 😀

Webinar sobre a LGPD: entenda o que é e como se adequar

Falta 1 ano e 2 meses para a Lei Geral de Proteção de Dados (lei nº 13.709), também conhecida com
o LGPD, entrar em vigor. O principal objetivo dessa lei é garantir transparência no uso dos dados das pessoas físicas em quaisquer meios. Por este motivo, esta lei afeta praticamente a qualquer pessoa, natural ou jurídica de direito público ou privado que exerça atividades em que utilizem dados pessoais.

Em março de 2019 foi feito um Webinar onde foi abordado, dentro dos contextos da lei, o que é a lei, a quem se aplica e como a Senior está adaptando suas soluções e seu ambiente corporativo.

Vem conferir o webinar e conhecer mais sobre a lei no seguinte link: https://pt-br.eventials.com/seniorsistemas/lgpd-entenda-o-que-e-e-como-se-adequar/

Espero que gostem, até mais! 😀

Como as empresas podem se preparar para a LGPD?

Ontem estive num evento promovido pela IBM em parceria da IT-EAM e da VMS Advogados. O evento era sobre a LGPD e foi muito produtivo. Eu esperava muitas pessoas da área de segurança de informação, mas estava bem equilibrado, tendo pessoas das áreas jurídicas e RH de várias empresas aqui da região de Blumenau.
Obviamente, essas empresas estavam ali apresentando para fazer um jabá e vender seus serviços de como ajudar a implantar a lei, que entra em vigor em agosto de 2020. Porém, eles deram muitas ideias, e evidenciaram que aqui onde trabalho, estamos no caminho certo (apesar de ainda estarmos beeeem no início.
Uma das coisas que mais gostei é que eles deram um passo-a-passo sobre como as empresas podem se preparar para a LGPD. Olha o resumo aí (que é quase um checklist de como implantar a lei na sua empresa 😀):

Como as empresas podem se preparar?
  1. Entenda as obrigações;
  2. Criar uma equipe LGPD multifuncional;
  3. Nomear um "Encarregado" de cada área;
  4. Saber quais os dados estão armazenados e a sua localização;
  5. Revisar todas as políticas e declarações de privacidade;
  6. Analise o consentimento do cliente e os mecanismos de escolha;
  7. Analisar os processos que abordam solicitações de acesso, correção e exclusão de dados;
  8. Revise os cronogramas de retenção de dados (são mesmos necessários após cumprir o tempo das obrigações legais);
  9. Documentar as atividades de conformidade de privacidade;
  10. Rever todas as transferências externas de dados pessoais;
  11. Implementar e documentar as medidas de segurança apropriadas;
  12. Treinar colaboradores (todos, LGPD deve estar na veia de TODOS);
  13. Desenvolver capacidades e processos de auditoria interna;
  14. Implementar uma abordagem de privacidade (e Segurança) por Design para novos sistemas e serviços;
  15. Criar protocolos de notificação e resposta a violações.

Obs: Obtenha patrocínio executivo e orçamentos para apoiar as mudanças! Essa observação é fundamental. Essa lei trata muito sobre uma mudança de cultura nas empresas. O brasileiro está acostumado a reter o maior número possível de informações, sendo isso muitas vezes nesnecessário. Com esta lei, a menos que você tenha um consentimento do uso de dados de seus clientes e fornecedores, coletar dados diversos sem necessidade será violar a lei. Como não estamos acostumados com isso, será fundamental que a diretoria/presidência da empresa deem todo o apoio necessário e enfatizem para suas áreas que essa lei é séria, tem prazo para entrar em vigor e a multa é salgada!

Abaixo, as fotos dos slides que considerei as mais importantes. 


(Clique nas imagens para vê-las maior)

Espero que tenha te ajudado a destrinchar essa lei. Até mais! 😀

LGPD: o seu negócio será afetado por essa lei!

Olá Pessoal,

Nos próximos dias vou fazer alguns posts contando algumas novidades na minha carreira, mas por enquanto vou falar de um assunto relacionado que é muito importante e afetará (COM CERTEZA) o seu negócio. Estou falando sobre a LGPD, ou Lei Geral de Proteção de Dados.
Essa lei entra em vigor em Agosto de 2020, temos 1 ano e 3 meses até lá. Parece pouco, mas não é!
Para você ter uma noção, essa lei foi aprovada em agosto de 2018. Já se passou quase um ano e ouvimos falar pouco sobre ela.
As alterações que deverão ser feiras nos sistemas que conhecemos hoje com relação aos direitos que o dono do dado possui não são poucas.

Para iniciar essa discussão aqui no blog, vou começar deixando um infográfico que achei muito bacana, e começa a dar uma visão geral para os perdidos sobre o assunto:


E então, já bateu um frio no estômago? Para conhecer a lei mesmo, você pode acessar esse link AQUI.

Nos próximos dias devo falar mais sobre o assunto! Até lá, 😀