Cracker diz que essa fralda não está cheirando bem! E sim, isso é um problema de Segurança da Informação

Ok, até eu concordo: O assunto já está ficando batido. Sempre que escrevo sobre Segurança da Informação, invariavelmente acabo mencionando o quão usuários são avessos aos mais simples controles de segurança, mesmo que isso exponha os importantes ativos corporativos a riscos completamente desnecessários. Fato: #UsersHateSecurity!

Não considero uma cruzada pessoal, mas como profissional de SegInfo, gosto da ideia de, sempre que possível, colaborar com um mundo um pouco mais protegido, seja no ambiente profissional ou em nossas vidas pessoais, as constantes ameaças mostram que a escolha é simples: ou nos protegemos ou nos deixamos dominar por ameaças cada vez mais assustadoras e presentes. É por isso que gosto tanto de bons exemplos e os de hoje, com certeza, estão entre os melhores que já usei aqui.

Imagine a seguinte situação: Um jovem casal, que devido a vida moderna não tem tempo para cuidar do seu bebê de apenas 1 aninho, contratam os serviços de uma babá. Cientes de que o jovem infante é um dos principais ativos estratégicos do núcleo familiar, utilizam uma câmera IP para matar a saudade fazer monitoramento remoto e diminuir o risco de maus tratos por parte da referida ama-seca. Nada mais louvável.

Thats a really poopy diaper!
Thats a really poopy diaper!

Leia mais

[GRM 2014] Unbounded Security: Aonde foi parar meu perímetro corporativo e como protege-lo? – DOWNLOAD DOS SLIDES

Prezados Amigos,

No dia 11 de Setembro (sim a data é proposital!) tive a honra e participar mais uma vez do Global Risk Meeting. Em sua 9ª edição, evento foi a Recife com um foco central Crise: Descobrindo oportunidades.

Em minha palestra, desta vez representando a RealISO.com, abordei o tema Unbounded Security: Aonde foi parar meu perímetro corporativo e como protege-lo?. A ideia era discutir como novas tecnologias influenciam cada vez mais o comportamento das pessoas, especialmente quando esse paradigma é levado a um ambiente de trabalho que está migrando para o não convencional, com ampla liberdade em termos de mobilidade e onde dados corporativos estão organizados de forma cada vez mais dinâmica.

Será que estamos preparados para proteger organizações sem inviabilizar o negócio? Como lidar com Segurança da Informação quando seu perímetro de proteção desconhece fronteiras?

Leia mais

Wearables: A tecnologia vestível já chegou. Qual o impacto para segurança de pessoas e empresas?

VESTIR A CAMISA DA SEGURANÇA DA INFORMAÇÃO nunca foi uma realidade tão próxima. Mal as organizações começaram a ter uma ideia de como lidar com equipamentos pessoais, o BYOD (Bring Your Own Device), já aponta no horizonte o próximo desafio: Os Wearables, que traduzindo para o bom português significa – literalmente – “Tecnologia Vestível”.

A maioria dos techlovers já ouviu falar, pelo menos, nos óculos e relógios inteligentes, os últimos rumores já falam até do iWatch da maçã, que vai firmar de vez o mercado. Se considerarmos um ciclo de adoção parecido ao de smartphones e tablets, é fácil entender o as últimas expectativas de venda: Aproximadamente 171 milhões de dispositivos devem estar nas mãos dos consumidores por volta de 2016. Mas os wearables não se resumem aos Google Glass, Pebble e Galaxy Gear. As novas tecnologias vestíveis estarão presentes em uma ampla gama de produtos, incluindo desde Tatuagens, Lentes de Contato, Calças, Camisas, Tênis, Soutiens até Coleiras (para animais, claro!).

iwatchbra-fire
Sim, temos dispositivos vestíveis para todos os gostos!

Assim como o telefone celular e a internet móvel mudaram nosso comportamento, imagine o possível impacto dos novos vestíveis em áreas como fitness, medicina, ambiente corporativo ou mesmo militar. Enquanto esses dispositivos oferecem inúmeras possibilidades para o aumento de conforto, produtividade e até mesmo acompanhamento médico em tempo real, por outro lado surge um novo leque de ameaças a privacidade e segurança para pessoas e organizações.

wearable_tech

Essa preocupação já é uma realidade, como no caso do vice presidente americano Dick Cheney, que teve a funcionalidade wireless do desfibrilador instalado no seu coração desativada. Motivo? Medo de um possível ataque de ciberterroristas.Novamente, esse problema não afeta exclusivamente estadistas ou pessoas famosas.

Se já temos casos de criminosos planejando sequestro com uso de informação de redes sociais, é fácil imaginar que quando estivermos conectados a internet da cabeça aos pés a situação será mais complicada. Com a falta de conscientização/experiência de boa parte dos consumidores, os wearables podem se tornar mais uma ferramenta de superexposição online, abrindo portas para rastreamento ou até quem sabe controle de comportamento emocional (Sim, estou falando de você Facebook).

cheney-wifi
Ok! Coloquei o Avast Free no coração e as definições de vírus já foram atualizadas!

Se a cada vez que conectamos uma nova classe de dispositivos a internet, fatalmente descobrimos como eles podem ser atacados e explorados, com os wearables não será diferente. Enquanto consumidores se preocupam em não ser monitorados, empresas devem estar atentas a novas oportunidades de vazamento de informação ou constrangimento no ambiente de trabalho. Quando conversei com alguns colegas, a postura foi igual com todos: “Vamos proibir”. Mas não acredito que vá ser assim tão fácil.

Além de não sermos a área mais querida e comunicativa com os usuários, na Gestão de Segurança da Informação temos impressão de que ditamos unilateralmente as regras, e a ilusão que essas serão impreterivelmente seguidas. Quer um exemplo de como isso nem sempre funciona? Imagine o seguinte cenário: Será que conseguiríamos – mesmo com o apoio da alta direção – banir completamente o uso de celular pessoal dentro da empresa? Acredito que – exceto em ambientes ou segmentos bem específicos – isso não seja viável. Em mais alguns anos, essa talvez seja a mesma visão com os wearables.

Para termos uma ideia da visão das pessoas, podemos usar o North American Technographics® Consumer Technology Survey 2013, pesquisa realizada pela Forrester com um grupo de mais de 4600 adultos americanos. Um dos pontos era a pergunta: Como você estaria interessado vestir/usar um dispositivo inteligente, supondo que seja de uma marca que você confia, oferecendo um serviço que é do seu interesse? Veja os resultados na imagem abaixo.

Novo Homem Vitruviano: Como a tecnologia vai afetar nosso comportamento?
Novo Homem Vitruviano: Como a tecnologia vai afetar nosso comportamento? – imagem: Forrester

A verdade é que organizações devem estar atentas e se antecipar a mudanças significativas no comportamento de seus empregados e até da sociedade. Uma boa Gestão de Segurança não pode ignorar novas tendências tecnológicas, a chave do sucesso é estar preparado, com processos e tecnologias maduras o suficiente para garantir flexibilidade, inovação e um ambiente seguro.

 

Consumerização, BYOD e MDM: Indo além da sopa de letrinhas da mobilidade

CONSUMERIZAÇÃO E BYOD. Nos últimos meses esses talvez tenham sido os assuntos mais discutidos em todas as esferas corporativas da TI.

Se você ainda está se confundindo na sopa de letrinhas tenha calma, é fácil entender: Consumerização é a tendência que tecnologias desenvolvidas com foco no mercado consumidor adentrem a esfera corporativa como, por exemplo, smartphones e tablets. O BYOD (do inglês Bring Your Own Device) é a prática de se permitir o uso de dispositivos pessoais para trabalhar com informações da empresa.

 Ni! Peng! Neee-Won!
BYOD – O novo Santo Graal da tecnologia.

Da forma como o BYOD foi vendido é fácil compreender por que ele é visto como o Santo Graal da tecnologia: Empregados ficam mais felizes e produtivos com a flexibilidade e mobilidade de trabalhar no mesmo dispositivo em que jogam Candy Crush. Já a empresa economiza por não ter mais de investir na compra daqueles equipamentos obsoletos como notebooks e desktops.

Claro, em um mundo perfeito tudo seria ótmo! Entretanto, de volta a nossa realidade a ideia prover mobilidade e deixar que os usuários definam quais controles de segurança irão adotar é a receita perfeita para deixar qualquer CISO de cabelos em pé!

Sim, estou de cabelos em pé!
Sim, estou de cabelos em pé!

Somando as preocupações básicas como riscos legais, perda ou vazamento de informação, a falta de controle sobre aplicativos móveis, o número de malwares e a dificuldade de prover serviços e suportar a exponencialmente crescente variedade de dispositivos e sistemas operacionais fica claro o porquê do namoro com o BYOD não virar casamento.

Então podemos dizer que o uso de dispositivo pessoais no trabalho foi um fracasso estratégico? Nem tanto.

É preciso entender que essa questão vai muito além da tecnologia em si. Muitas organizações fazem uso do BYOD como estratégia de marketing, o que faz bastante quando vemos o perfil da nova geração de trabalhadores e estudantes recém graduados – que já nasceram em um mundo amplamente tecnológico e chegam ao ponto de afirmar que aceitariam ganhar menos se pudessem escolher com que dispositivo querem trabalhar e acessar redes sociais a qualquer momento.

É preciso compreender e saber absorver essa mudança do comportamento das pessoas no ambiente corporativo. Simplesmente fechar os olhos e achar que essa tendência vai passar é como usar um guarda-chuva para se proteger de uma bigorna. Só uma dica: Vai doer!

Só uma dica: Vai doer!
Só uma dica: Vai doer!

É nesse cenário que entram as tecnologias de gestão de dispositivos móveis (MDM –Mobile Device Management). De acordo com pesquisas da Gartner 65% das empresas devem adotar algum tipo de MDM até 2017.

A ideia com o MDM é separar dispositivos móveis em categorias: os fornecidos pela empresa, os aceitáveis e os não suportados. Desta forma, usuários passam a otimizar a tecnologia de acordo com suas necessidades e regras claramente definidas pelo negócio. Mas, como sempre, simplesmente acrescentar mais uma caixa no ambiente corporativo não é o suficiente.

Muito além da tecnologia, uma gestão efetiva e segura de dispositivos móveis deve começar com o estabelecimento de uma política forte servindo tanto para regular o que é permitido e proibido quanto como uma blindagem legal.

Obviamente, ter um inventário de todos os dispositivos móveis é essencial, pois não da para controlar e aplicar regras de segurança aquilo que sequer sabemos existir.

 

Ta.... ELE consegue impedir sim!
Ta…. ELE consegue impedir sim!

Por último e não menos importante o treinamento e a conscientização dos usuários é essencial para evitar erros, mau uso e qualquer dor de cabeça posterior. Claro, nesse momento sempre vão surgir os engraçadinhos que não aceitam a política de mobilidade da companhia. Bem, colaboradores da categoria Varelse podem continuar usando equipamentos modernos como um Motorola DynaTAC 8000X.

WEBEX GRATUITO: BYOD – Como lidar com riscos estratégicos de dispositivos pessoais 21/05/2013

Prezados colegas,

No dia 21 maio, a EXIN me convidou para apresentar um WEBEX gratuito com o tema: BYOD – Como lidar com riscos estratégicos de dispositivos pessoais, um assunto bem relevante visto que, independente do posicionamento da organização, a consumerização da TI no amibente corporativo já deixou de ser uma opção.

BYOD - Lidando com riscos estratégicos de dispositivos pessoais
BYOD – Lidando com riscos estratégicos de dispositivos pessoais

Clique AQUI ou na imagem para se registrar no Webex.