Tecnologia 29/08/2017

Cibersegurança e as boas práticas de gerenciamento no mercado brasileiro

Hoje não se discute mais se a sua empresa sofrerá um ataque virtual, mas sim quando isso acontecerá. Os riscos cibernéticos vieram para ficar. Com o uso cada vez mais corrente dos canais digitais, as empresas se tornam alvos altamente expostos às ações de diversas características e naturezas

Cristina de Fiori (*)

O WannaCry elevou o tópico ‘segurança digital’ no ranking de preocupações executivas, afetando mais de 230 mil sistemas ao redor do mundo por meio de técnicas de phishing, como empresas, serviços de saúde, operadoras de telecomunicações, empresas de transporte, organizações governamentais, bancos e universidades, causando um prejuízo de dezenas de milhares de dólares. Mais recentemente, o Petya, outro ransomware, afetou não só os países europeus, e impactou também o Hospital do Câncer de Barretos.

Muitas empresas se enganam ao achar que o seu business não é atrativo o bastante para sofrer ameaças, mas as pesquisas revelam que não existe atividade que não seja sedutora aos vários perfis de agentes criminosos. A motivação deles é variada e extensa, visando à obtenção do acesso a informações de clientes, banco de dados, plano de negócios, senhas e propriedade intelectual.

Existem inúmeros tipos de malwares na prateleira dos hackers: phishing, ransomware, spyware, worm, vírus encaminhados com spams, entre outros. A lista evolui constante e rapidamente, o que requer, como primeira ação, a conscientização de todos os colaboradores sobre, por exemplo, a importância de não abrir e-mails de destinatários desconhecidos ou links e arquivos anexos que pareçam suspeitos. Esses descuidos, aliás, entram no guarda-chuva de ‘ameaças internas’, em que o risco parte de dentro da própria organização, incluindo ainda os ataques propositais, como vazamento de dados.

O desenvolvimento dessa cultura de mitigação de riscos é fundamental, assim como outras formas de recursos para evitar essas situações: criptografia de dispositivos tecnológicos, testes de phishing, melhoria de controle de SPAM, dupla autenticação de senhas para acesso a redes, controle efetivo e rigoroso de acessos e atualização de aplicativos e firmware. Trata-se de um trabalho conduzido por vários departamentos, envolvendo, naturalmente, a área de tecnologia, mas também risco e compliance e outras, dependendo do caso.

Importante mencionar ainda que um programa de cibersegurança efetivo compreende tópicos como governança, compliance, consultoria de risco, segurança de software, gestão de segurança de rede, educação e conscientização dos colaboradores, continuidade do negócio e recuperação de desastres. Também envolve identificação dos dados (quais são, onde estão e como estão protegidos), monitoramento de segurança, governança de identidades e acessos e, dependendo do tipo de empresa, governança global.

Algumas análises podem ainda fazer com que a empresa inteira tenha um entendimento comum sobre ameaças e adversários, assim como estabelece as camadas necessárias para evitá-los ou como se defender, definindo um programa de segurança da informação, política e processos bastante abrangentes, que devem ser ajustados e melhorados continuamente.

Não à toa, a ANBIMA publicou em 3 de agosto de 2016 um Guia de Cibersegurança, com o objetivo de citar práticas efetivas para orientar a implantação de um programa efetivo de segurança cibernética, contribuindo para o aprimoramento da segurança digital no mercado financeiro e de capitais do Brasil. A proposta não é a de exaurir o que pode ser feito em relação ao assunto, mas, antes de tudo, ser um norte para que as instituições possam se programar e se proteger contra estas ameaças que colocam em risco toda a estrutura do negócio.

Dessa forma, muitas instituições aderentes à ANBIMA já estão se adequando e definindo sua política de cibersegurança e procedimentos relacionados, de segurança preventiva ou corretiva. Além disso, está em tramitação o Projeto de Lei 5.276/2016, que dispõe sobre a privacidade de dados e estipula, dentre outros assuntos, a necessidade da proteção dos dados pessoais, medidas de segurança para protegê-los e o que deve ser feito em caso de vazamento. Todo esse cenário já tem se traduzido em ações práticas. Cerca de 40% das empresas listadas da Bolsa de Valores, por exemplo, já incluem em seus relatórios informações sobre investimentos em segurança digital.

As empresas globais já vêm se adiantando e se adequando a esse cenário, garantindo segurança e conferindo tranquilidade aos seus clientes. É nítido o movimento do mercado em se preparar e proteger de forma adequada, seja pela forma de autorregulação ou por iniciativas corporativas internas, ainda que as ameaças desse setor sejam contínuas e evoluam rapidamente.

(*) É Gerente de Compliance e do Jurídico na Claritas Investimentos.

Com interface Real USB e vibração, Headset Gamer Rock Python 7.1, da Dazz, destaca-se pela alta qualidade de som surround

Com uma ampla linha de acessórios para games, a Dazz disponibiliza no mercado produtos com vantagens comparativas similares aos dos players hi-end do mercado, com uma relação custo-benefício acessível a todos os gamers.
Este é o caso do Headset Gamer Rock Python 7.1, com interface Real USB e vibração, que reforça a imersão nos jogos pela alta qualidade do som surround, ampla possibilidade de ajustes e conforto.
Além disso, o modelo possui sistema de vibração interna e estrutura que garante horas de conforto durante o jogo, já que é acolchoado com almofadas confortáveis, tem reforço com 9 níveis de altura para encaixe perfeito e microfone flexível para posicionamento exato.
Outro diferencial é o design impactante, com acabamento Black Piano e spotlight nos fones de ouvido. Para PC e compatível com PS3 e PS4, o Headset Gamer Rock Python 7.1 tem opreço sugerido de R$ 349,90 (facebook.com/oficialdazz).

Ciberataques e serviços financeiros: boas e más notícias

O setor de serviços financeiros continua a ser alvo de ataques cibernéticos, conforme destacado no relatório Verizon 2017 Data Breach Investigations. No entanto, a tendência de ciberataques também migrou para outras verticais, como o setor de saúde com o ataque WannaCry e outras violações de dados hospitalares. Espera-se que os investimentos significativos dos bancos tenham funcionado e que a redução nos incidentes gerais seja uma demonstração de sua melhor postura de segurança. Dos ataques relatados, a maioria estava associada ao DDOS ou eram principalmente esforços de extração para o roubo de dados de cartões.
O roubo de contas continua a ser um problema para o setor bancário, embora as melhorias na detecção e autenticação de fraude reduziram o sucesso desses tipos de ataques. Enquanto isso, o uso indevido de informações privilegiadas continua a aumentar e os bancos claramente precisam fazer mais investimentos em seus sistemas e análises comportamentais para se protegerem.
Melhorias de segurança podem ter reduzido o número de violações dos serviços financeiros. Por outro lado, também devemos examinar uma teoria alternativa: que a grande disponibilidade de dados financeiros reduziu seu valor e, portanto, levou os criminosos a buscar caminhos mais lucrativos – por exemplo, dados de saúde, números de seguros sociais ou outros dados pessoais. Analistas do sistema de saúde do Reino Unido estimam que a informação médica pode valer dez vezes mais do que os números de cartão de crédito na Dark Web.
Os cibercriminosos sempre vão procurar monetizar ataques. A atividade criminosa ainda irá afetar as instituições financeiras, que continuarão a suportar o peso das perdas monetárias associadas ao cibercrime independentemente da indústria originalmente segmentada.
Além disso, podemos esperar um aumento nos ataques móveis e baseados em nuvem, pois essas tecnologias estão ganhando o consumidor. Para contornar essas ameaças, a comunicação entre o setor financeiro e as linhas verticais da indústria será uma das melhores defesas, já que o negócio do cibercrime continua acompanhando a evolução técnica.

(Fonte: Joe Bernik é CTO da McAfee para serviços financeiros).

Cinco razões para colégios e universidades adotarem cartões inteligentes

Fernando Giroto (*)

Você sabia que 95% das Universidades e Faculdades ainda dependem de tecnologias antigas, como tarjas magnéticas ou cartões de proximidade simples para controle de acesso, ou seja, para gerenciar quem entra e quem sai de suas instalações? Infelizmente, tecnologias ultrapassadas deixam as instituições vulneráveis em relação à segurança e, por muitas vezes, resultam em fraudes ou duplicações de cartões

No entanto, devido ao aumento das populações universitárias e dos avanços tecnológicos, muitas instituições passaram a buscar por soluções mais seguras, econômicas e ágeis para atender às necessidades de seu corpo docente e de estudantes, não só para proteger pessoas, bens e dados, mas para conectar alunos a uma infinidade de serviços e aplicações em todo o campus – desde instalações físicas, acesso às redes lógicas, pagamentos sem dinheiro, acompanhamento de serviço e atendimento.
Para proporcionar uma experiência de credencial mais segura, conveniente e flexível para seus alunos, professores e funcionários, as universidades que sabem como se antecipar ao futuro, estão agora deixando para trás as tecnologias tradicionais de cartão de tarja magnética, de baixa frequência e proximidade, para privilegiar tecnologias de alta frequência que utilizam um único cartão para seus programas de identificação de estudantes.
Existem cinco razões principais pelas quais essas instituições estão migrando para cartões inteligentes:

1. Maior segurança e proteção
A atualização da tecnologia para cartões inteligentes sem contato reforça o controle de acesso físico aos edifícios, enquanto fortalece o acesso à rede, computadores, documentos, registros médicos e financeiros dos estudantes. Além disso, as tecnologias incorporadas do cartão inteligente impedem a clonagem e o uso fraudulento de cartões, garantindo não só o acesso seguro ao prédio, mas a proteção para outras funcionalidades do cartão, como compras por débito ou outras transações bancárias. A migração para uma credencial segura “inteligente” também pode eliminar a necessidade de chaves físicas – que podem ser facilmente copiadas e são notoriamente vulneráveis à perda ou roubo.

2. Conveniência do titular do cartão
Documento com foto, ID para acesso em condomínios, cartão da biblioteca ou cafeteria, bilhete de ônibus, quantos cartões os estudantes universitários gerenciam hoje? Com Smart Cards sem contato, as instituições podem combinar todas essas funções em um único cartão, e não apenas para agilizar suas operações, mas melhorar a experiência de credencial no campus para estudantes e funcionários.

3. Maior flexibilidade
Além da conveniência no campus, os cartões inteligentes para múltiplas aplicações permitem a interoperabilidade segura com aplicativos fora da unidade, como transporte e bancário. Além disso, com a flexibilidade oferecida pela tecnologia de cartão inteligente, é permitido adicionar novas aplicações ou modificar configurações de aplicativos existentes, como de acesso à biblioteca ou planos de alimentação, em qualquer momento e sem ter que emitir novos cartões.

4. Ganhos de eficiência no longo prazo e economia de custos
Os cartões inteligentes multifunções melhoram a segurança das operações, permitem fluxos de trabalho mais eficientes e gerenciamento mais fácil dos programas de Identificação de estudantes, professores e funcionários. Ao melhorar o gerenciamento de riscos com o aumento da segurança dos cartões inteligentes, as universidades também podem se beneficiar de uma redução de seus prêmios de seguro.

5. Caminho para o futuro
A migração para uma plataforma de tecnologia de cartão inteligente unificada para cobrir todas as necessidades de aplicativos, oferece às instituições a capacidade de transição em seu próprio ritmo à medida que o orçamento e os recursos permitem, fornecendo uma base sólida para adicionar novas tecnologias e capacidades conforme elas se tornem disponíveis ou cada vez mais acessíveis. Leia o Resumo Executivo da HID Global e saiba mais sobre cada uma destas razões fundamentais pelas quais as universidades e faculdades estão migrando para cartões inteligentes multifuncionais.

(*) É diretor de Vendas da HID Global para Brasil e Cone Sul da Divisão de Secure Issuance.