1° de abril deveria ser o dia internacional da cibersegurança!

1° de abril deveria ser o dia internacional da cibersegurança!

Sempre gostei do 1° de abril. Desde criança, nunca perdi a mania de fazer algum tipo de brincadeira boba. Algumas foram razoavelmente divertidas, como quando publiquei um check-in (obviamente falso) no topo do Everest e avisei que iria me atrasar para uma reunião importante. Outros casos meio que me colocaram em uma situação complicada, tipo quando mudei a data do meu aniversário em redes sociais para 01/04, passei o dia recebendo “parabéns” e meus colegas acabaram fazendo aquela velha boa vaquinha para uma festinha no trabalho. Alguns não ficaram exatamente felizes em saber que tudo não passava de uma brincadeira, mas no final demos boas risadas.

Você pode estar se perguntando: O que isso tem haver com cibersegurança? Bem, o fato é que – mesmo através dessas pequenas brincadeiras em redes sociais – tenho visto que no dia primeiro de abril as pessoas estão mais céticas em relação ao mundo digital. Viu uma notícia que o Google vai imprimir e enviar as mensagens do gmail para sua casa? Opa, isso deve ser mentira. A Google vai lançar um buscador “pet-friendly” para seu bichinho? Claro que não! O Subway vai lançar uma linha de sorvetes “subzero” nos sabores atum, frango tikka e almondegas marinara? Divertido, mas não é sério, serve apenas para rir.

Homer aprovaria 🙂

E é isso mesmo, por um dia adotamos uma visão crítica e atitude cética que despreza a ideia de que “se está na internet deve ser verdade! ”. Agora pergunto, por que não adotar essa mesma postura quando recebemos uma “comunicação do banco” pedindo para revalidar sua tabela de senhas para não ter a conta bloqueada? Por que não agimos da mesma forma quando um documento de Word ou Excel, baixado de um site não-inteiramente-confiável, pede para ativar macros? Por que, como dizia Bruce Schneier, os usuários sempre escolhem os porquinhos dançando ao invés de pensar em segurança? Com a atitude de primeiro de abril isso pode mudar!

Boa segurança da informação depende de PESSOAS, processos e tecnologias, você já deve ter ouvido repetidas vezes que “pessoas são o elo fraco”. Infelizmente essa afirmação tem se mantido impiedosamente verdadeira nas últimas décadas. De nada adianta investirmos na melhor tecnologia, quando não se tem processos maduros e, principalmente, pessoas treinadas e conscientes de suas responsabilidades quanto a segurança da informação.

No final do dia, em se tratando de pessoas, o que realmente precisamos é garantir um bom CHA: Conhecimento, Habilidades e Atitude. Novamente, essa atitude cética e olhar crítico que adotamos no 1° de abril, se replicada o ano todo, teria um resultado espetacular em termos de proteção contra ameaças que vem atormentando profissionais da área e causando enormes prejuízos a empresas em todo mundo: Engenharia social (presencial, telefônica ou mesmo com uso de tecnologia), phishing, spear-phishing, infecções por ransomwares e outros códigos maliciosos, a lista é extremamente grande.

Quando o assunto for segurança da informação, invista em uma visão crítica e abordagem cética. Pensar antes de clicar não te custa nada, mas protege bastante. Passe essa mensagem para seus colaboradores ou colegas de trabalho, essa atitude pode poupar você e sua empresa de muita dor de cabeça 🙂

Deixo aqui um último desejo: Que o primeiro de abril dure o ano todo!

Ameaças internas e cibersegurança: quais os impactos reais e controles mais efetivos?

QUANDO O ASSUNTO É CIBERSEGURANÇA TENDEMOS A FOCAR EM COMO NOS PROTEGER DO MUNDO EXTERNO EM DETRIMENTO DAS AMEAÇAS INTERNAS. Não que isso esteja exatamente errado: Ransonwares, ataques de negação de serviço, cibercriminosos em todos os locais do planeta e um número impossivelmente alto de fontes de ameaça e vulnerabilidades que podem expor o ambiente corporativo são o pesadelo para qualquer gestor de segurança da informação.

O problema é quando passamos a minimizar os controles que são direcionados para ameaças dentro de casa, incluindo nossos próprios colegas de trabalho, terceiros contratados ou visitantes. Não é nada interessante pensar que a pessoa que está sentada próximo a você pode estar pronta para cometer um ciberdelito, mas a realidade é que fontes internas podem ser tão ou mais impactantes que ataques externos, afinal, possuem conhecimento adquirido sobre o funcionamento da empresa, seus pontos fortes e fracos, e também credenciais e senhas de acesso válidas, que podem ser usadas como base para ataques extremamente direcionados que muitas vezes passam desapercebidos. Todo bom CISO deve buscar meios para frustrar ameaças internas. Mas qual é a maneira realmente efetiva de encarar esse desafio? Bem, vamos a alguns pontos essenciais:

Passo 1: Reconhecendo os tipos de ameaças internas

O primeiro ponto é bastante obvio, é necessário que você entenda as fontes de ameaça internas. Muitos incidentes de segurança ocorrem de maneira acidental, devido a falta de regras ou conhecimento por parte dos envolvidos. Um dos mais comuns são casos onde um colaborador sai da empresa e leva junto um “backup” dos seus e-mails, planilhas e documentos. Malicia? Imperícia? Imprudência? Não importa, é um vazamento de informações corporativas que podem ir parar nas mãos de concorrentes.

Os casos de incidentes deliberados também não são raros. Tive a oportunidade de prestar consultoria a uma empresa que teve o infeliz caso onde um setor inteiro pediu demissão. Haviam copiado todos os arquivos de projetos estratégicos, abriram uma nova empresa e em seguida venceram uma concorrência de mais de USD 10.000.000 que meu cliente estava trabalhando há mais de dois anos.

Pequenos abusos de privilégio também não são incomuns, especialmente dentro da área de TI. Por exemplo, enquanto é difícil encontrar pessoas que “adoram” seguir o processo de gestão de mudanças, não é nada raro ter conhecimento de casos onde a própria equipe de TI burlou regras e, por exemplo, implantou algo diretamente em produção. Parece algo inconsequente, não é? Até um outro cliente me contar como uma pequena alteração em configurações do seu firewall tornaram o sistema de vendas por cartão de crédito inoperante. Era uma grande empresa varejista brasileira, como a paralisação durou em torno de 2 horas, o montante de vendas perdido superou R$ 20.000.000,00 (sim, o valor foi esse mesmo, não errei na digitação…). Foi um preço bem alto para convencer a direção da necessidade de se implantar um plano de recuperação de desastres e melhorar boas práticas de gestão de serviços de TI.

Por fim, a infeliz realidade é que toda grande organização está sujeita a ter em seu quadro pessoas que são literalmente criminosos. Ocorrências de vendas de informações, sabotagens, espionagem, hacking, fraudes e corrupção são muito mais comuns do que imaginamos e – novamente – em boa parte das vezes não são descobertas a tempo.

Passo 2: Gerenciando riscos internos

Entender as fontes de ameaça é um ponto essencial, mas apenas isso não vai impedir a ocorrência de incidentes. Construir uma boa gestão de riscos é fundamental, assim como entender que o seu escopo deve estar alinhado a realidade da empresa. O que queremos proteger? Quais são os impactos reais que ocorrências de segurança podem causar? Quais são os controles atuais de segurança da informação e o que ainda precisamos implantar para garantir níveis adequados de proteção?

Todas essas são questões que devem ser respondidas não só uma vez, mas sim periodicamente, afinal a gestão de riscos é um processo contínuo, que vai exigir investimento e disciplina para poder ser realmente efetivo. Existem diversas publicações que podem ajudar CISOS a implantar um bom programa de gerenciamento de riscos, mas como o tema é segurança da informação recomendo particularmente a ISO 27005 em conjunto com o CobiT 5.

Passo 3: Usando a tecnologia para se proteger de ciberameaças

Existem inúmeras soluções focadas na proteção contra as mais recentes ciberameaças. Se você já sabe o que realmente precisa proteger, busque entender como a tecnologia pode trabalhar a seu favor. Machine Learning, IA, ATP, DLP são todas buzzwords que ficam maravilhosas em apresentações no Power Point, mas entenda que soluções tecnológicas devem estar bem alinhadas com a sua gestão de riscos. Afinal, comprar uma ferramenta apenas por que ela aparece como líder no quadrante mágico do Gartner pode ser um péssimo investimento se você não conseguir realizar o tratamento de riscos específicos ao seu cenário atual.

Será que estamos olhando para soluções que pensam somente nos riscos externos? Será que parte dos controles essenciais que usamos em sistemas publicados na internet não são deixados de lado quando são acessados apenas dentro de casa? Como andam suas trilhas de auditoria? Você consegue identificar quem fez o que e quando? Essas são perguntas que devem ser respondidas para tratar ameaças internas.

99% bom funcionário.. mas aquele 1% é cibercriminoso 🙂

Passo 4: Entendendo a importância dos processos para Segurança da Informação

Tecnologia não é o único fator que vai garantir uma boa proteção ao seu ambiente. Criar processos adequados a sua realidade deve ser uma prioridade para a gestão de segurança da informação. Uma boa gestão de identidades pode prevenir muitos casos de vazamento ou abuso de privilégios. Outro ponto interessante é ter um bom alinhamento com o departamento de recursos humanos, e em alguns casos específicos com o jurídico, sobre verificação de antecedentes e saúde financeira de novos colaboradores ou mesmo veteranos que ocupam posições críticas na organização. Esse é um tema delicado, mas um empregado que está passando por uma situação financeira difícil e tem acesso a ativos estratégicos da organização, pode se sentir tentado a cometer fraudes ou mesmo participar em ações de espionagem industrial, venda de informações sensíveis.

Um dos processos mais importantes é o de resposta a incidentes de segurança da informação. Muitas ocorrências passam dias, meses ou mesmo anos até ser descobertas. Nesse caso a única opção é aprender com os erros e assumir o impacto. Idealmente, uma boa gestão de incidentes deve ser efetiva na detecção e resposta de ocorrências de segurança independentemente se a origem é interna ou externa.

O fato é que processos são vivos, precisam amadurecer constantemente e tirar lições aprendidas de desvios e ocorrências impactantes. Mas nada disso vai bastar se sua equipe não estiver adequadamente treinada e disciplinada para seguir cada passo necessário. Processos que não são respeitados tendem a ser contornados e esquecidos, só são realmente lembrados quando algo dá errado, o que é bem provável nesse cenário.

Passo 5: Educando pessoas e mudando a cultura corporativa

Educação e cultura corporativa são os dois pontos relacionados a Segurança da Informação que mais me chamam atenção nos últimos anos. Infelizmente boa parte das vezes ambos são postos de lado justamente por que falta uma percepção real de sua importância como ferramenta disruptiva para criação de um novo patamar de proteção.

Pessoas muitas vezes são vistas como o elo mais fraco na segurança da informação, mas quando adequadamente treinadas e conscientes da importância que possuem na proteção do ambiente corporativo, funcionam extremamente bem como firewalls humanos. O primeiro passo é ter um bom entendimento da atual cultura corporativa buscar o apoio da alta direção na criação de um programa de conscientização sobre segurança da informação.

Mudar a forma como pessoas pensam e agem é bem mais demorado do que alterar uma configuração ou implantar uma nova tecnologia, mas no longo prazo o resultado é muito mais significativo. Um programa de conscientização efetivo vai garantir que um nível adequado de educação seja entregue a todos os níveis corporativos: Colaboradores que são apenas usuários de sistemas devem ter noções das políticas e procedimentos adotados pela empresa, assim como conhecimento básico dos principais conceitos de segurança. Executivos devem estar cientes de ameaças mais avançadas/direcionadas como ataques de engenharia social e spear phishing. A equipe de segurança deve receber níveis adequados de treinamento em todas as tecnologias adotadas. E por último, mas nem um pouco menos relevante, todos devem estar cientes das consequências de se violar regras ou mesmo tentar cometer ilícitos, a organização nunca deve ter medo – e precisa ser extremamente clara – sobre como serão aplicadas sanções e punições.

Seguir esses passos garante que todas ameaças internas estarão contidas? Infelizmente não, toda boa gestão de riscos parte do princípio que certas ameaças não são completamente eliminadas, o importante é garantir níveis apropriados de tratamento aos riscos e se você adotar as recomendações acima, com certeza, é isso que vai acontecer.

Drones: Inovação, disrupção e preocupações básicas com privacidade, segurança e terrorismo

“AES Tietê, Vale, Manserv e Flex já adotaram as máquinas voadoras antes mesmo de todas as regras brasileiras para drones já terem entrado em vigor.” Sim, inovação e tecnologias disruptivas geralmente não se dão ao trabalho de aguardar a legislação.

Zangões no dia a dia: Inovação e disrupção não esperam legislação.

Pode parecer assunto de ficção científica, mas não é! Drones já são usados pelo crime tem um tempinho, em 2015 um zangão foi apreendido voando sobre um presídio no sul da Bahia com 340 chips e 9 celulares, no começo de 2017, outro drone causou um tumulto em um presídio no MS, presos ficaram com medo de armas estarem sendo entregues a grupos rivais e  quebraram portas das celas e ocuparam o pátio da penitenciária. As câmeras de segurança registraram o drone sobrevoando o presídio, mas não deu tempo de os policiais, que estavam monitorando o local, fazerem algo para abater o objeto.

Drones apreendidos em presídios brasileiros com cargas de drogas e armas 

Não estamos longe do dia que esse mesmo tipo de equipamento será usado em massa como ferramenta de espionagem e representarão um meio rápido para terroristas que querem fazer um ataque a base de explosivos ou mesmo ataques químicos, o grupo terrorista ISIS já está ativamente trabalhando nisso.

As previsões mais otimistas olham para 2020 com medo de ataques do tipo “dronejacking”, que interceptam sinais/desviam sinais e permitem o controle dos zangões conforme a vontade do atacante. Em resumo: Teremos drones roubados, sabotagens e, novamente, abertura para crimes como tráfico de drogas e terrorismo.

Assim como muitos, sempre fui fascinado pela tecnologia dos zangões, mas não podemos esquecer do papel da segurança da informação, leis e regulamentações ANTES de massificar a sua adoção. O problema é conseguir correr com a burocracia, a tecnologia não vai esperar.

De toda forma, é melhor vigiarmos bem os céus.

Arma anti-drone e zangão derrubado enquanto levava drogas para um presídio no mexicano

fonte: http://g1.globo.com/tecnologia/noticia/drones-ja-substituem-trabalhadores-dentro-de-empresas-no-brasil.ghtml

CULTURA CORPORATIVA: uma grande ferramenta de Segurança da Informação que é prontamente negligenciada.

CULTURA CORPORATIVA É UMA DAS MAIS BÁSICAS E RELEVANTES FERRAMENTAS PARA SEGURANÇA DA INFORMAÇÃO. A Cultura, de uma forma geral, pode ser entendida como o conjunto das ideias, costumes e comportamento social de um grupo específico. Isso se traduz em valores, convicções, ideologias, crenças, comportamentos de grupo. No meio corporativo, nada mais natural que absolutamente toda organização tenha sua cultura própria. E sim, essa é um dos mais fortes instrumentos para construção, ou destruição, de um ambiente seguro.

O fato é que a CULTURA DEVORA A ESTRATÉGIA NO CAFÉ DA MANHÃ. A frase, originalmente atribuída a Peter Drucker, nunca foi tão verdadeira quanto nas organizações modernas, especialmente no que é relacionado a Segurança da Informação e Gestão de Riscos. A cultura corporativa pode tanto motivar quanto drenar a energia dos profissionais da organização. Entenda: A cultura é o ambiente onde a estratégia corporativa, mesmo a mais bem definida, floresce ou padece. Qualquer companhia que tente desconectar esses dois fatores, está trazendo um grande risco no seu caminho para o sucesso.

Você tem toda razão, meu caro sr. Drucker!
Você tem toda razão, meu caro sr. Drucker!

Durante os últimos anos, várias empresas têm aprendido – da maneira mais difícil – que negligenciar Segurança da Informação pode trazer impactos desastrosos sobre operações, marca e resultados financeiros. Este cenário nos leva a acreditar que a mentalidade da alta direção deve ter evoluído para uma abordagem mais madura, onde a segurança é vista como um facilitador de negócios e incorporada em todos os aspectos da estratégia e transmitida na cultura corporativa, correto? Longe disso.

Leia mais

Cracker diz que essa fralda não está cheirando bem! E sim, isso é um problema de Segurança da Informação

Ok, até eu concordo: O assunto já está ficando batido. Sempre que escrevo sobre Segurança da Informação, invariavelmente acabo mencionando o quão usuários são avessos aos mais simples controles de segurança, mesmo que isso exponha os importantes ativos corporativos a riscos completamente desnecessários. Fato: #UsersHateSecurity!

Não considero uma cruzada pessoal, mas como profissional de SegInfo, gosto da ideia de, sempre que possível, colaborar com um mundo um pouco mais protegido, seja no ambiente profissional ou em nossas vidas pessoais, as constantes ameaças mostram que a escolha é simples: ou nos protegemos ou nos deixamos dominar por ameaças cada vez mais assustadoras e presentes. É por isso que gosto tanto de bons exemplos e os de hoje, com certeza, estão entre os melhores que já usei aqui.

Imagine a seguinte situação: Um jovem casal, que devido a vida moderna não tem tempo para cuidar do seu bebê de apenas 1 aninho, contratam os serviços de uma babá. Cientes de que o jovem infante é um dos principais ativos estratégicos do núcleo familiar, utilizam uma câmera IP para matar a saudade fazer monitoramento remoto e diminuir o risco de maus tratos por parte da referida ama-seca. Nada mais louvável.

Thats a really poopy diaper!
Thats a really poopy diaper!

Leia mais