Mostrando postagens com marcador Segurança da Informação. Mostrar todas as postagens
Mostrando postagens com marcador Segurança da Informação. Mostrar todas as postagens

É possível falar de ESG na Segurança da Informação?

 Olá pessoal!

Nos últimos anos temos visto a crescente importância da palavra "ESG" (Environmental, Social, and Governance) no mundo dos negócios. As empresas estão cada vez mais falando em práticas sustentáveis, responsabilidade social e boa governança. Mas e quanto à segurança da informação? Será que é possível falar de ESG nesse contexto específico? A resposta é um maravilhoso "sim". Não apenas é possível falar de ESG na segurança da informação, como também é essencial para o sucesso e a sustentabilidade dos negócios atualmente.


O ESG na Segurança da Informação

A segurança da informação possui um papel fundamental na proteção dos dados, na privacidade dos usuários e na confiabilidade dos sistemas de informação. Sendo assim, é natural que os princípios ESG sejam aplicados nesse contexto. Ao integrar os princípios ambientais, sociais e de governança na segurança da informação, as empresas podem fortalecer sua postura de responsabilidade corporativa e atender às demandas crescentes por práticas sustentáveis e éticas.


Aspectos ambientais na segurança da informação

Os riscos ambientais estão presentes no mundo digital. Demandamos de muita energia, produzimos resíduos eletrônicos e a pegada de carbono associada à infraestrutura de TI são apenas alguns exemplos. Ao adotar práticas sustentáveis na infraestrutura de segurança da informação, como por exemplo a redução do consumo de energia e o gerenciamento adequado de resíduos eletrônicos, as organizações podem mitigar esses impactos e contribuir para a preservação do meio ambiente.


Aspectos sociais na segurança da informação

A segurança da informação também tem impactos sociais. A proteção dos dados pessoais, o combate à cibercriminalidade e a inclusão digital são apenas algumas das áreas em que a segurança da informação desempenha um papel de destaque. Adotando práticas responsáveis, as empresas podem garantir a privacidade dos usuários, proteger seus direitos digitais e promover a confiança na era digital.


Aspectos de governança na segurança da informação

A boa governança dos dados é muito importante para a segurança da informação. Isso envolve a definição de políticas claras, a conformidade com a regulamentações e a prestação de contas para todas as partes interessadas. Ao implementar políticas de segurança da informação baseadas em ESG, as organizações podem demonstrar uma postura responsável e ética em relação à proteção dos dados, promovendo a confiança e a transparência.


Adotando práticas sustentáveis, promovendo a responsabilidade social e garantindo uma boa governança dos dados, as empresas estarão se posicionando como líderes responsáveis e fortalecendo os princípios ESG.


Post original em BitFindeis.

A importância da segurança da informação

A segurança da informação pode ser um dos maiores desafios para a tecnologia hoje. A “Internet das coisas” já é uma realidade e leva a internet a equipamentos antes nunca pensados, tais como geladeira, micro-ondas e relógios. Conectar todos esses equipamentos à Internet talvez não seja um problema para a indústria, mas é sim importante saber se existe segurança em todos esses dispositivos. O que aconteceria se alguém invadisse sua geladeira e a colocasse pra descongelar?

Assim como a tecnologia avança, o criminoso também estuda e adquire novos conhecimentos. Por isso os crimes e fraudes aumentam e se aperfeiçoam.

Quando falamos em privacidade, também não podemos deixar de pensar em segurança. Hoje, o nosso maior problema é querer ser simpático com todo mundo. Existem pessoas mal intencionadas que irão tirar proveito disso.

Para garantir a segurança de um sistema ou de um equipamento, é muito importante nunca se esquecer de minimizar o problema o máximo possível. O que mais queremos hoje com a tecnologia está relacionado apenas com a facilidade e com a comodidade que ela traz como benefício, e nos esquecemos de que junto podem surgir problemas, como roubos e acesso indevidos à dados.

Não importa se a segurança diz respeito a meios físicos ou lógicos. Lembre sempre de que investir em segurança é proteger o patrimônio da empresa.

Como mitigar riscos cibernéticos no home office?


Olá Pessoal,
Hoje de manhã (19/03/2020) participei de um webinar muito legal: “Como mitigar riscos cibernéticos no home office?”, feito pela [SAFEWAY]. Vou compartilhar aqui um resumo do que vi e achei legal. 😀

Começando com uma timeline do coronavírus até o momento até o momento, vide imagem abaixo:
Além disso, é importantíssimo vermos alguns dados:
  • 75% dos latino-americanos possuem notebook para trabalhar (aqui não importa se é pessoal ou de trabalho);
    • 30% se conectam em redes Wi-Fi públicas fora do escritório;
      • 8% utilizam VPN.
  • 44% trabalham em locais com políticas de segurança definidas;
  • 35% estão em empresas sem nenhuma política de segurança;
  • 21% desconhecem se sequer existe uma política de segurança.

Fonte: Kaspersky

Se formos analisar o perímetro de conexão de dentro da empresa é bem protegido. Até chegar à internet, precisa passar por ferramentas como:

Firewall;
Anti-spam;
DLP;
AD; 
Web filter;
SIEM;
Antivírus.


O ambiente ainda não é 100% seguro, mas já é considerado bem mais seguro que o perímetro da conexão em home office. Isso pois quando estamos em casa, nossa proteção normalmente é só um antivírus básico gratuito.



Qual o problema de um antivírus gratuito?

Normalmente ele não é inteligente. Ele é baseado em assinaturas enviados pela fabricante. Um Next Generation AV com EDR (Endpoint Detection and Response) consegue:
  • Detectar ameaças persistentes;
  • Criar regras customizadas;
  • Possui opções para remediar operações maliciosas.


O CISA identificou um aumento de atividades maliciosas da seguinte forma:
  • Aumento na busca por exploits de novas vulnerabilidades em VPNs;
  • Criação de 4000 domínios com o tema “Coronavírus”;
    • 5% suspeitos;
    • 3% maliciosos;
  • Roubo de informações sensíveis através de Wi-Fi público;
  • Campanhas de phishing para roubo de credenciais e extorsão.


Para mitigar isso, as empresas devem:
  • Aplicar updates de VPNs, ativos de infra estrutura e dos ativos entregues aos colaboradores;
  • Alertar os colaboradores que é esperado um aumento de e-mails falsos (phishing);
  • Implementar duplo fator de autenticação sempre que possível, inclusive na VPN;
  • Limitar o acesso apenas aos programas/arquivos absolutamente necessários `função de cada colaborador;
  • Forçar um timeout de sessão em todas as aplicações consideradas sensíveis;
  • Implementar política de senhas forte (mínimo 10 caracteres, com letras maiúsculas, minúsculas, números e caracteres especiais, todos embaralhados);
  • Modificar a senha padrão dos roteadores Wi-Fi;
  • Fornecer serviços para armazenamento remoto de arquivos e outras tarefas, não permitindo armazenamento local.

Por que tudo isso?

Muitas empresas vão utilizar o home office de agora, período do Coronavírus, como laboratório para implementar definitivamente o home office.

Espero que tenham gostado, até mais! 

O que o Coronavírus tem haver com a Segurança da Informação?

O que o Coronavírus tem haver com a Segurança da Informação? 🤔
Tudo!😱 Já existem grupos hackers tirando proveito de pessoas que buscam informações sobre o COVID-19.😷 Separei algumas notícias sobre o assunto para você.

Links para mais detalhes das notícias abaixo:
➡ Os Riscos das empresas com o Home Office em relação ao Corona Vírus: https://www.jornalcontabil.com.br/os-riscos-das-empresas-com-o-home-office-em-relacao-ao-corona-virus/
➡ Ransomware 'CovidLock' explora medos de novo coronavírus: https://cointelegraph.com/news/covidlock-exploits-coronavirus-fears-with-bitcoin-ransomware
➡ Relatórios: risco em 98% da IoT e ameaça de APT da China: https://www.cisoadvisor.com.br/relatorios-risco-em-98-da-iot-e-ameaca-de-apt-da-china/
➡ Os malwares mais frequentes no Brasil e no mundo em fevereiro: https://www.cisoadvisor.com.br/os-malwares-mais-frequentes-no-brasil-e-no-mundo-em-fevereiro/
Imagem: deste blog

Resumo do evento de segurança da informação SC Experience, 2ª edição

Dias 20 e 21 de novembro estive num evento voltado para segurança da informação em Florianópolis: a segunda edição do SC Experience. Foram 2 dias com muuuuuito conteúdo voltado à segurança da informação e como sempre faço, foi deixar um resumo do que vi lá durante estes 2 dias. 😍
Para começar, havia 2 trilhas de conteúdo para o primeiro dia e 3 trilhas para o seguindo dia. Eu escolhi ir nas trilhas de CyberSecurity (1º dia) e Gestão de Segurança da Informação (2º dia). Vamos ao resumo 😀: 
1º dia – Trilha de CyberSecurity
KeyNote – Patrícia Peck
Pensa numa mulher com muito conhecimento em TI e Direito! A palestra dela foi muito TOP!
Ela falou de tendências para o mercado que envolve dados e segurança digital: 5G, Cloud e inteligência artificial.
Recomentou algumas leituras, como: O risco de TI, Dominados pelos números, Dataclima, A era das máquinas espirituais e ler o Manual IBGS que é um  manual de boas práticas de riscos cibernéticos.
Uma frase bem bacana foi “Só problemas de crianças acessando apps se o problema for mitigado desde cedo.”, ou seja, na concepção. Nesse sentido o problema é não ter feito a pergunta: o celular será usado por uma criança.? Isso eh privacy by design.
Deu um enfoque bem interessante ao risco de não descartar ou higienizar os HDs de PCs antes de doar PCs antigos. Porque? Pois é possível recuperar informações de HDs velhos. Já pensou uma planilha com o salários de seus funcionários sendo recuperada num HD velho que foi doado à um terceiro? Por causa disso, muitas empresas não estão mais doando HDs junto a PCs antigos.
Uma coisa que já ouço muito, mas muitas pessoas ainda não dão valor é que “Os dados são a riqueza da sociedade digital”. São o novo petróleo.
Falou muito de LGPD e GDPR e disse que as maiores denúncias com relação a este assunto foram telemarketing, e-mail marketing, behavior mkt e video vigilância.
Envio de SMS de cobrança errado.
Envio de mala direta para menor de idade.

Novos paradigmas para Blue Team com a adoção de Cloud -  Rodrigo Montoro
Essa palestra foi um pouco mais técnica, mais o que anotei de mais interessante foi:
Olhar com carinho para frameworks de Segurança da Informação, como o CIS e seus 20 controles (basic, foundational, organizational).
Segmentar acessos da cloud, assim como já ocorre nas redes internas segmentar garante que pessoas não tenham acesso a coisas que não deveriam.
Estudar IAM/cloudtrail

Lições aprendidas com o ataque massivo - Flavio Gonçalves
Essa palestra mostrou um caso real, de uma empresa que opera com servidores de telemarketing e que sofre um ataque massivo aos servidores, com o propósito de fazer ligações para outros países que as empresas receberem uma conta de telefonia caótica. O problema foi de ter uma porta indevidamente aberta. O que se descobriu é que os sistemas até podem ser bem implantados, mas a maioria começa a sofre com as customizações e a falta de avaliação de impacto para alterações novas em sistemas. Utilizaram ferramentas como o Kali Linux e o MySQL Scanner para descobrir o problema.
Implantaram um módulo de segurança de forma gratuita para todos os clientes exatamente por ter havido o ataque. O cliente pensava que o servidor era de responsabilidade do fornecedor, sendo que no contrato dizia que é de responsabilidade do cliente. Ponto de atenção aqui: eu vejo muito disso. E quando dá um problema, o cliente vem chorando. Alguma comunicação aqui deixou muito a desejar.
Temos 2 lições aprendidas da palestra:
  1. Dinheiro para segurança da informação fica mais fácil depois que ocorre algum incidente;
  2. Como comunicar para cliente? Quando menos claro é mais demorar, pior é. Por e-mail, quando acontece um incidente, é terrível.
A conclusão da palestra foi: sempre verificar se as regras de segurança permanecem em segura.

Privacidade e Investigação Corporativa. O que devo saber? - Marcelo Lau
Essa é uma daquelas palestras legais para dar um tapa na cara do povo. Eu já tinha visto ela, então vou resumir bem rapidamente o que vi:
Teremos 3 grandes áreas em crescimento no mercado:
Segurança da informação, inteligência artificial e cientista de dados.
Fez uma provocação bem legal: Você dá o seu CPF de graça na farmácia sem que haja alguma promoção? Se é de graça, desconfia que o produto é você e não o remédio.
Disse que as próximas eleições estarão cheias de Deep Fakes
Materiais e vídeos que ele mencionou durante a palestra: https://materiais.datasecurity.com.br/scexperience2019

Crimes cibernéticos e forense digital (o dia-a-dia de um perito) - Wilson Leite
Outra palestra TOP, agona na visão de uma pessoa que lida diretamente com crimes digitais.
Crimes de informática impróprios: usam PCs para praticar ou deixam rastros lá;
Crimes de informática próprio: visam sistemas informáticos.
Falou um pouco sobre uma técnica utilizada por alguns criminosos, que ocultam mensagens, senhas e etc em imagens de alta resolução, que pegam uma parte da imagem e alteram para conter partes de senhas e mensagens.
Falou do serviço “No more ramsonware” para tentar fazer decriptografia de discos. Nem sempre funcionam.
Falou uma coisa bem interessante: que a seleção dos novos agentes de polícia possui um enfoque maior com uma prova de TI. Super me animei! 😍 Mas obviamente ainda precisa saber do básico de direito.
Sugeriu para ver um documentário no Netflix “Mercado livre das drogas”.
Que um agente precisa aprender a ler LOGs de Sistemas Operacionais.
Também mencionou algumas ferramentas utilizadas: Caine Linux, deft, kali Linux, autopsy (recuperar arquivo avagado, etc), iped (busca de HD indexador e processador de evidências digitais)  e o Cellebrite (extração de dados de celular).
Não vou falar aqui das técnicas que dificultam a vida de um perito, pois as considero super importantes em termos de manter sigilo de dados de empresas. 😉
Ainda anotei para me aprofundar em assuntos como “cloud forense” e sobre a “comunidade científica de forense”.

PCI-DSS, como implementar a “LGPD dos Dados de Cartão” - Thomas Ranzi
Falou de padrões de segurança da informação, como PCI, BACEN e GDPR/LGPD e como ele aplicou o PCI para implantar a LGPD nos dados de cartões da Nexera.
Www.immuniweb.com Para análise de vulnerabilidades em sites.
Também falou da importância de campanhas internas de conscientização.

2º dia – Trilha de Gestão de Segurança da Informação
Cases de “Insucessos” em Segurança e GRC - Jairo Willian Pereira
Mais uma palestra muito TOP. Eu recebi, praticamente, uma pós inteira de segurança de informação num tempo de 1,5 horas. Então super recomendo para entusiastas da área.
Falou de erros que acontecem diariamente.
ICS-SCADA É ESTRATÉGIA NACIONAL DE SEGURANÇA CIBERNETICA E-CIBER, sugeriu que todos da área lêssemos.
Praticamente todos os problemas acontecem baseados em:
  • atualização
  • configuração

A transformação digital e o IOT esquecem de tratar a segurança da informação. Logo teremos uma série de problemas por causa de casas e outros locais super automatizados.
Cultura de SI se trata na base!
Antes de fazer um pentest, garanta que o básico esta feito!
Tem ISO pra praticamente tudo relacionado em segurança da informação. Então não saia procurando indicadores de SegInfo na internet quando tem uma ISO (que é um padrão mundial) falando sobre o assunto.
O Gartner tem um modelo governança segurança da informação: chama-se DSG. Leiam!
Gestão de incidentes com tipificação bem feita: Se preocupe com comunicação
Escolha a ferramenta para te ajudar com as vulnerabilidades de acordo com a maturidade do seu negócio.
Cuide da segurança de informação para atender a estrategia da empresa, não somente para atender um rótulo (PCI, BACEN, LGPD, etc.).

Utilizando segurança orgânica inteligente para proteger informações corporativas - Eugênio Moretzsohn
Essa palestra também foi bem diferente do que eu estava acostumada: era um militar com toda uma carreira (invejável por sinal) em segurança de informação. Ele falou muito sobre estratégias de combate. De que a inteligência de informação não começou com a 2ª guerra mundial, mas sim na guerra do fogo, por tribos para garantir suas sobrevivência.
Falou da estratégia do reforço territorial: mostre quem está no comando! Mantenha sempre o local externo sempre limpo e arrumado. Se alguém pixa, pinta o mais rápido possível por cima.
Melhor forma de se proteger é educando. (Estão percebendo como educação de pessoas está aparecendo recorrentemente? 😉).
Check-list de segurança orgânica da família de ISO 27000.
Eleja um comitê de Segurança da Informação multidisciplinar. Acredite, você vai descobrir o inimaginável.
Trate segurança dentro de casa, pois o compliance pega na mão, já aauditoria pega no pé.
Investir fortemente em educação de segurança interna. (Sim, ele enfatizou isso 2 vezes em pontos diferentes 😉).
As bases da prevenção são a educação e a fiscalização. (errei, foram 3 😉).

Engenharia Social: A Fisiognomonia como técnica avançada de Human Hacking - Davis Alves, Ph.D
Já assisti várias aulas e webinars do Davis no site da TI Exames, mas nunca sobre esse tema. Sabe aquele livro “O corpo fala”? A palestra foi basicamente isso, mas sobre características físicas. Exemplo: Pessoas de olhos cláros são mais frias e focadas. Isso se chama: Fisiognomonia. Técnica essa utilizada muito pela polícia americana.

Temos uma espiã entre nós! Contos e casos de uma Engenheira Social. - Marina Ciavatta
Esta foi a palestra de uma espiã contratada pelas próprias empresas para que ela invada as mesmas e prove que seus sistemas físicos não são tão seguros como parecem. Ela falou para ler o Manifesto Hacker e fez uma palestra basicamente voltada a roubo de informações e equipamentos baseados em engenharia social, muito parecida com a palestra do Eugênio Moretzsohn.
Sempre preste atenção nas informações valiosas com as quais lidamos todos os dias.
Não confie em desconhecidos. Deu um enfoque muito grande sobre termos cuidado do que divulgamos nas redes sociais relacionado à empresa. E isso não é só para aquela foro do seu computador contendo a senha num post-it. Falou de um caso que ela fez para entrar disfarçada numa empresa, copiando um crachá de um funcionário que postou foto dele na internet. Ela usou a desculpa de “O meu crachá não está passando aqui, você pode passar para mim?” para a recepcionista. Basicamente, o jeito mais fácil é invadir locais utilizando gentileza, pressa e “um jeito desastrado” para conseguir acesso a locais.
E problemas comuns continuam sendo:
  • armários trancados com a chave dentro.

Como conscientizar sua empresa de que segurança da informação é importante?
  • crie campanhas;
  • faça treinamentos para a equipe;
  • realize testes constantes;
  • compartilhe suas preocupações;
  • confronte pessoas entranhas, reporte.

A conclusão foi: treine seus funcionários! Não deixe que a gentileza faça com que você passe o crachá no lugar de outra pessoa.

Para tempos de privacidade de dados: Gestão do Conhecimento - Dr. Maurício Rotta
Teoria da escassez: os desejos humanos são praticamente infinitos em um mundo de recursos limitados.
Economia do conhecimento: segue a teoria da abundancia, quanto mais compartilho, mas ganho.
As pessoas precisam ter consciência do que compartilham com as empresas.

Lembra que eu falei que no 2º dia tinham 3 trilhas? A última palestra foi extremamente difícil de escolher em qual eu iria! Tinha as seguintes palestras:
  • Case: Liberando software seguro. Vulnerabilidade se trata em casa! - Heber da Silva e Eric Castoldi na trilha de Dev Security;
  • Elo mais fraco: Cases práticos da proteção humana - Dr. Paulo Silva na trilha de Gestão de segurança da informação;
  • Convergência de redes de acesso e segurança aliados a automação, como a Fortinet pode ajudar? - Fortinet – Alessandro Nobre  na trilha de soluções.

Eu queria ir nas 3! Mas não tinha como. 😐
Escolhi ir na trilha de Dev Security, e ver meus colegas de trabalho falando como eles implantaram o SAST na cadeia produtiva de desenvolvimento da empresa, considerando produtos novos e legado de quase 30 anos. Sim, eles trabalham na mesma empresa que eu, e acabei respondendo pergunta sobre como estamos implantando a LGPD no desenvolvimento. Hahaha! Frase de conclusão da palestra foi:

  "Qualidade e segurança não são negociáveis."

Caramba, trabalhei 6 anos na qualidade de produtos e agora estou na segurança, não tinha como terminar melhor!

Para mais informações das palestras e do evento, acesse o site do evento: https://scexperience.com.br/

Espero que tenham gostado do resumo. Até mais! 😉

Facilitação gráfica sobre LGPD

Olá Pessoal

Ontem recebi uma facilitação gráfica da palestra "A LGPD também é sobre você". Palestra essa que dei após ser convidada pela SANCON, em Joaçaba/SC, na Feira Gera. Amei essa facilitação!😍

Desenho é sempre uma forma atraente de entender e gravar conhecimento. Parabéns para a Leticia Zampieri pela arte. 😀


Minha opinião sobre a prova de certificação da ISFS

Olá Pessoal,

Já faz alguns dias atrás que fiz a prova de certificação ISFS (Information Security Foundation based on ISO/IEC 27001), da EXIN. Vou lhes contar aqui um pouco sobre a certificação e preparação para a prova.

O que é a ISFS?

É uma certificação básica, com validade internacional, sobre padrões de segurança da informação. Então, se você trabalha/quer trabalhar com segurança da informação e está pensando em partir para fora do país, essa certificação vale no mundo! 😀

Tem pré-requisitos?

Não tem. Qualquer pessoa que quiser conhecer mais sobre boas práticas de segurança da informação pode fazer esta certificação.

Qual era a minha motivação para fazer a prova?

Eu estou desde Junho de 2019 trabalhando com segurança da informação. Faz só 2 meses que estou nessa área, e a minha experiência em segurança é a experiência do que adquiri até o momento! Apesar de já ter uma pós em gestão de segurança da informação, eu nunca trabalhei nessa área antes. Eu PRECISAVA dessa certificação para me manter na área pois, como eu já disse anteriormente, ela é básica nessa área. Meu incentivo era a minha própria motivação, é querer ir longe na área de segurança da informação.

Como eu me preparei para a prova?

Eu comprei o livro físico (pois livros técnicos eu prefiro físico) "Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002" que é base para fazer a prova de certificação. Porém, muitas coisas ficavam vagas para mim. Então, comprei o curso preparatório da TI Exames: Fundamentos da Segurança da Informação com base na ISO/IEC 27001 e 27002.
Eu tinha só 3 dias da semana com a noite livre para estudar, então minha meta era fazer um módulo por dia livre. Claro que as vezes não dava, então demorou mais ou menos 1 mês para eu conseguir terminar o curso. Super recomendo! Depois de ver o meu resultado nos simulados e na prova eu digo que valeu a pena SIM!
Após terminar o curso, é liberado vários simulados. Tem um simulado de 20 questões para cada módulo e mais 7 simulados de 40 questões com todos os módulos misturados. Obviamente que questões iguais caem nos simulados entre si. As questões dos simulados são extremamente parecidas com as questões que caem na prova de certificação. Como eu fiquei mais de 3 semanas só revisando os simulados, eu tava super bem preparada para a prova de certificação.

Como foi a prova?

Foram 40 questões, feitas em 1 hora. O tamanho de algumas questões era semelhante aos simulados, algumas questões curtas e outras de enunciado mediano. Não tinha nenhuma questões com enunciado enorme, a ponto de assustar um pouco, como na prova da CTFL que eu fiz (post AQUI). Como eu já disse anteriormente, eu passei 3 semanas revisando simulados e as questões eram megaparecidas. Eu estava super bem preparada.

Tem custo para fazer a prova?

Tem sim e achei um pouco salgado: U$ 225,00, cerca de R$ 1.000,00 (valor em 28/08/2019). Porém, como eu fiz o curso da TI Exames, ganhei um voucher de desconto, e no fim paguei R$ 971,54. Mesmo com o desconto, o valor é um pouco salgado. Então não faça a prova se você não pronto! Aqui onde trabalho, quando você passa numa certificação da área em que trabalha, você pode solicitar o reembolso. 😉

Vale a pena fazer a prova e tirar a certificação ISFS?

Vale! Aumentou, consideravelmente, a visualização ao meu perfil no LinkedIn. Algumas empresas entraram em contato após atualizar meu perfil com essa certificação, o que também pode ser pura coincidência. 
Vale cada centavo, pois aprendi muito e o retorno também foi bacana! Me considero uma profissional melhor a nível de conhecimento e práticas após esta certificação.

Conclusão!

Para você que quer aprender mais sobre segurança da informação e dar um "up" na carreira, faça a certificação! A prova não é difícil, te abre muitas portas e você aprende muito. 

Até mais! 😀

Descentralizando o PENTEST


Você já deve ter ouvido alguma notícia sobre vazamento de dados, certo? Facebook, Yahoo, PSN, são só exemplos de algumas grandes empresas que tiveram dados de usuários vazados. Independentemente da área de atuação, qualquer tipo de aplicação web ou ambientes físicos com redes com acesso externo, existe sempre o risco de ter vulnerabilidades expostas em decorrência de atitudes de pessoas mal-intencionadas que tentam explorar falhas para ter acesso a informações privilegiadas. É por isso que existe o Pentest.



O que é Pentest?

É uma ferramenta que faz testes de invasão em aplicações web ou em uma rede, identificando vulnerabilidades e falhas de segurança. Algumas ferramentas, quando encontram falhas, já indicam as melhores práticas para solucionar o problema. Normalmente essas listas são fornecidas por projetos abertos de segurança, como é o caso da OWASP.

Alguns exemplos de testes que essas ferramentas fazem...

Falhas de injeção (injection); cross-site scripting (xss); erros de configuração; vulnerabilidade em cookies; componentes vulneráveis; certificados digitais; headers de segurança; vazamento de dados sensíveis; referência insegura e direta a objetos; encaminhamentos inválidos; falhas no fluxo lógico da aplicação; erros criptográficos; cross-site request forgery.

Por que fazer Pentest?

Esta é uma medida eficaz de segurança, pois entrega todas as falhas encontradas em suas aplicações. Imagine um E-Commerce, deixaria os dados do seu cartão de crédito numa loja online que já teve dados vazados? Difícil, certo?!  Além disso, é possível entender o tamanho do dano ou prejuízo que determinado problema causaria caso ocorresse em produção. O maior benefício, obviamente, é poder contornar a vulnerabilidade o quanto antes e corrigir cada um dos erros.

Por que não descentralizar o Pentest?

A maioria das empresas aplica Pentests trimestrais ou mensais. Com a LGPD entrando em vigor em 2020, percebi um aumento de clientes solicitando relatórios ou comprovações de execução desses testes. Agora eu pergunto: em vez de ter uma pessoa executando estes testes, por que não deixá-los executando em tempo de desenvolvimento?
Algumas ferramentas liberam esse tipo de execução em tempo de desenvolvimento, logo após o commit do programador.
Obviamente é bom ter alguém trabalhando com segurança da informação olhando para o desenvolvimento, mas como a cultura de segurança ainda está engatinhando na maioria das empresas do Brasil tendo somente 1 analista na maioria delas, nada melhor que descentralizar o pentest para que este analista tenha mais tempo para avaliação de riscos e compliance de segurança corporativa. 😉

Tem uma ferramenta, de um projeto gratuito, muito legal chamada OWASP ZAP (OWASP Zed Attack Proxy Project). Ainda estamos na fase de testes, mas já vimos alguns resultados bacanas.

Já utilizou esta ferramenta? Tem alguma outra ferramenta para indicar? Compartilha nos comentários! 😀

Armazenando senhas corporativas de forma segura: uso do Cofre de Senhas


Você já pensou em armazenar, de forma segura,  senhas corporativas? Já pensou o que acontece quando todas as pessoas que possuem acesso a um ambiente (à console da AWS ou à Google Play Store onde é feito deploy de APPs corporativas, por exemplo) saem da empresa e não passam a "planilha mágica" contendo todos os acessos a alguma pessoa?

Foi pensando numa solução assim, que foi criado aplicações chamadas de Cofres de Senhas.

O que é um cofre de senhas?

É uma aplicação que armazena, de modo seguro, as senhas administrativas das empresas.

A ferramenta vai além...

Normalmente, essas ferramentas são vinculadas ao Active Directory então, se um usuário sai da empresa ele perde o acesso a determinado ambiente.
As ferramentas de cofres de senhas, em geral, gravam todo o acesso realizado a partir do cofre. Então se um usuário acessou um ambiente MSTSC ou Putty de cliente, fica tudo gravado.
Pode ser configurado para alterar a senha após o uso da aplicação.
Pode ser configurado para que o acesso a uma aplicação web ou dispositivo só seja liberado após um usuário administrador dar um OK.
Somente usuários administradores cadastram dispositivos compartilhados em mais pessoas.
Somente usuários administradores dizem quais aplicações/dispositivos cada usuário (ou grupo de usuários) terá acesso.
Um usuário comum pode cadastrar senhas também, porém ele não consegue compartilhar elas com ninguém.

O que o uso de um cofre trás de benefício para as empresas?

Maior rastreabilidade e identificação de uma ocorrência. Assim, será possível descobrir qual foi o usuário que excluiu um registro do banco de dados, ou alterou arquivos de configuração de um servidor, por exemplo.
Possibilidade de alterar, com poucos cliques, todas as senhas de ambientes.
Quando todas as pessoas de uma equipe saem da empresa, as novas terão acesso às senhas dos ambientes já cadastrados.

Até mais, 😀

Deepfakes: e se você fosse colocado numa situação em que nunca esteve?

Se você nunca ouviu falar sobre DeepFake, porvavelmente ainda vai ouvir falar. Nos últimos meses o tema "Deepfake" ganhou a mídia e a atenção de especialistas em inteligência artificial, que estão preocupados com as consequências do aperfeiçoamento da tecnologia.

O que é isso?

É uma inteligência artificial que é capaz de criar vídeos falsos manipulando o rosto e a fala de pessoas em situações em que nunca estiveram. Apesar do foco do pessoal estar na criação de deepfakes de famosos e políticos, o que já pode ser bastante ruim, os cientistas estão preocupados com a possibilidade da popularização da tecnologia começar a afetar pessoas comuns.
Pesquisas recentes mostram que as mulheres têm sido frequentemente vítimas da criação de vídeos mal intencionados, colocando-as em cenas falsas. A preocupação também se estende para que outras minorias sejam afetadas, incluindo a população negra e LGBT.

Como combater?

Na tentativa de combater as deepfakes, alguns cientistas estão desenvolvendo sistemas de inteligência artificial capazes de detectar nuances nos conteúdos que entreguem sua veracidade. Por outro lado, os desafios são grandes, já que a tecnologia tem se tornado ainda melhor ao longo do tempo. 
Hoje, algumas ferramentas têm precisão de 90% na identificação de deepfakes, mas todo o trabalho deve ser moldado conforme a inteligência artificial ganha novas habilidades.

Para proteger sua empresa dessas consequências, é fundamental que os departamentos jurídicos sejam atualizados sobre as recentes tecnologias para que, nessas situações, medidas legais sejam tomadas, afinal, crimes cibernéticos não deixam de ser crimes. Também é imprescindível que as companhias tenham uma equipe de relações públicas atenta para driblar a crise e tratar o caso com transparência para o público. Enquanto as novas ameaças estão sendo estudadas, não há regra para lidar com elas. No momento, todos os setores precisam se adaptar ao novo mundo de fake news e deep fakes.


Até mais! 😀

Software gratuito para fazer o PIA na LGPD

Olá Pessoal




Quem já começou o trabalho da LGPD sabe que uma das primeiras fazes é fazer o DPIA (relatório de Avaliação de Impacto de Privacidade na LGPD).




Estou num grupo de WhatsApp onde um dos integrantes divulgou um software distribuído pela CNIL (autoridade da França) que é open/free/gratuito. Apenas contextualizando, a Europa tem uma regulamentação chamada GDPR, que é a mãe da nossa LGPD (nossa lei é baseada na GDPR).O software tem também um guideline da metodologia. O software inclusive tem interface em português (mas só parte do sistema). 

Software: PIA
Tamanho: 71,2 Mb (Windows)
S.O.: Tem para Windows, Linux e Mac.

Espero que gostem, até mais! 😀

Webinar sobre a LGPD: entenda o que é e como se adequar

Falta 1 ano e 2 meses para a Lei Geral de Proteção de Dados (lei nº 13.709), também conhecida com
o LGPD, entrar em vigor. O principal objetivo dessa lei é garantir transparência no uso dos dados das pessoas físicas em quaisquer meios. Por este motivo, esta lei afeta praticamente a qualquer pessoa, natural ou jurídica de direito público ou privado que exerça atividades em que utilizem dados pessoais.

Em março de 2019 foi feito um Webinar onde foi abordado, dentro dos contextos da lei, o que é a lei, a quem se aplica e como a Senior está adaptando suas soluções e seu ambiente corporativo.

Vem conferir o webinar e conhecer mais sobre a lei no seguinte link: https://pt-br.eventials.com/seniorsistemas/lgpd-entenda-o-que-e-e-como-se-adequar/

Espero que gostem, até mais! 😀

Webinar gratuito sobre implementação da ISO 27001: como tornar mais fácil o uso com a ISO 9001

Olá Pessoal

Hoje vou compartilhar com vocês um treinamento/webinar que todo profissional de Segurança da Informação deveria fazer. O assunto é sobre "Implementação da ISO 27001: como tornar mais fácil o uso com a ISO 9001". Um detalhe importante: em inglês!
E nem adianta começar a reclamar, que o material disponível em inglês sobre essa área de atuação é muito mais extenso que o disponível em português.

O evento vai ser dia 05/06/2019 as 12h (meio-dia) no Brasil.

O que será abordado?

  • Similarities and differences between ISO 27001 and ISO 9001
  • Implementation issues – how to speed up implementation and avoid pitfalls
  • Roles in the implementation – who are the best persons from ISO 9001 to use for ISO 27001
  • Top management issues – how to get their buy-in, how to save their time
  • Certification – the benefits of integrated audit



Mais detlhes e registros AQUI.
Até mais! 😀

O poder da Gamificação na Segurança da Informação

Olá pessoal,

Vagando pela internet esses dias achei um infográfico de gamificação da Cybersegurança. Claro que, novamente, cultura de segurança da informação não se muda do dia para a noite e deve ser imposta do alto escalão das empresas. Mas a gameficação sempre pode ajudar!




Até mais! 😀

Fonte do infográfico: https://create.piktochart.com/embed/38792804-culturaciberseguranca

Como as empresas podem se preparar para a LGPD?

Ontem estive num evento promovido pela IBM em parceria da IT-EAM e da VMS Advogados. O evento era sobre a LGPD e foi muito produtivo. Eu esperava muitas pessoas da área de segurança de informação, mas estava bem equilibrado, tendo pessoas das áreas jurídicas e RH de várias empresas aqui da região de Blumenau.
Obviamente, essas empresas estavam ali apresentando para fazer um jabá e vender seus serviços de como ajudar a implantar a lei, que entra em vigor em agosto de 2020. Porém, eles deram muitas ideias, e evidenciaram que aqui onde trabalho, estamos no caminho certo (apesar de ainda estarmos beeeem no início.
Uma das coisas que mais gostei é que eles deram um passo-a-passo sobre como as empresas podem se preparar para a LGPD. Olha o resumo aí (que é quase um checklist de como implantar a lei na sua empresa 😀):

Como as empresas podem se preparar?
  1. Entenda as obrigações;
  2. Criar uma equipe LGPD multifuncional;
  3. Nomear um "Encarregado" de cada área;
  4. Saber quais os dados estão armazenados e a sua localização;
  5. Revisar todas as políticas e declarações de privacidade;
  6. Analise o consentimento do cliente e os mecanismos de escolha;
  7. Analisar os processos que abordam solicitações de acesso, correção e exclusão de dados;
  8. Revise os cronogramas de retenção de dados (são mesmos necessários após cumprir o tempo das obrigações legais);
  9. Documentar as atividades de conformidade de privacidade;
  10. Rever todas as transferências externas de dados pessoais;
  11. Implementar e documentar as medidas de segurança apropriadas;
  12. Treinar colaboradores (todos, LGPD deve estar na veia de TODOS);
  13. Desenvolver capacidades e processos de auditoria interna;
  14. Implementar uma abordagem de privacidade (e Segurança) por Design para novos sistemas e serviços;
  15. Criar protocolos de notificação e resposta a violações.

Obs: Obtenha patrocínio executivo e orçamentos para apoiar as mudanças! Essa observação é fundamental. Essa lei trata muito sobre uma mudança de cultura nas empresas. O brasileiro está acostumado a reter o maior número possível de informações, sendo isso muitas vezes nesnecessário. Com esta lei, a menos que você tenha um consentimento do uso de dados de seus clientes e fornecedores, coletar dados diversos sem necessidade será violar a lei. Como não estamos acostumados com isso, será fundamental que a diretoria/presidência da empresa deem todo o apoio necessário e enfatizem para suas áreas que essa lei é séria, tem prazo para entrar em vigor e a multa é salgada!

Abaixo, as fotos dos slides que considerei as mais importantes. 


(Clique nas imagens para vê-las maior)

Espero que tenha te ajudado a destrinchar essa lei. Até mais! 😀

LGPD: o seu negócio será afetado por essa lei!

Olá Pessoal,

Nos próximos dias vou fazer alguns posts contando algumas novidades na minha carreira, mas por enquanto vou falar de um assunto relacionado que é muito importante e afetará (COM CERTEZA) o seu negócio. Estou falando sobre a LGPD, ou Lei Geral de Proteção de Dados.
Essa lei entra em vigor em Agosto de 2020, temos 1 ano e 3 meses até lá. Parece pouco, mas não é!
Para você ter uma noção, essa lei foi aprovada em agosto de 2018. Já se passou quase um ano e ouvimos falar pouco sobre ela.
As alterações que deverão ser feiras nos sistemas que conhecemos hoje com relação aos direitos que o dono do dado possui não são poucas.

Para iniciar essa discussão aqui no blog, vou começar deixando um infográfico que achei muito bacana, e começa a dar uma visão geral para os perdidos sobre o assunto:


E então, já bateu um frio no estômago? Para conhecer a lei mesmo, você pode acessar esse link AQUI.

Nos próximos dias devo falar mais sobre o assunto! Até lá, 😀