Informação

O que são Spywares?

O spyware é um tipo de malware projetado para coletar e encaminhar informações sobre as atividades de uma vítima a uma parte interessada. A característica que define é que é uma aplicação que atua nos bastidores para reunir essas informações sem o consentimento ou conhecimento do usuário

A informação recolhida pelo spyware pode ser qualquer coisa que o criador do spyware sente de valor. O spyware tem sido usado para segmentar anúncios, roubar identidades, gerar receita, alterar sistemas e capturar outras informações. Além disso, não é inédito o spyware abrir a porta para ataques posteriores que podem executar tarefas como download de software e assim por diante. (mais…)

Empresas brasileiras perdem média de US$1 milhão com incidentes de segurança

Algumas companhias chegaram a registrar período de indisponibilidade dos serviços, apps e rede de mais de cinco dias em 2016, segundo relatório da CSO-PwC

As perdas financeiras das empresas brasileiras no ano passado decorrentes de incidentes de segurança variaram de menos de US$ 10 mil a US$ 20 milhões ou mais, dependendo do porte e do ramo de atuação, de acordo estudo global realizado pelas publicação norte-americana CSO, da IDG, em parceria com PwC. Estima-se que o prejuízo total resultante de todos os incidentes foi de US$ 1 milhão, em média.

Das 486 companhias locais que responderam o questionário The Global State of Information Security Survey (GSISS) no último ano, 2,2% chegaram a registrar um período de inatividade total (indisponibilidade dos serviços, aplicativos e rede) em razão de incidentes de segurança de mais de cinco dias. A maioria delas (27,7%) ficou inoperante de três a oito horas, enquanto cerca de 20% estiveram com seus sistemas fora do ar entre uma a duas horas e 17,3%, de nove a 24 horas. (mais…)

Cibersegurança em Social Data Analytics

Pesquisas recentes referentes ao Facebook e ao OkCupid demostraram em seus dados que somos coadjuvantes de diversas plataformas e sistemas de armazenamento de dados. Em troca de benefícios, aceitamos políticas e termos de uso autorizando o uso doe nossos dados. Na pesquisa eles perceberam como os relacionamentos se transformam a partir do uso do aplicativo, considerando a relevância da foto e da descrição da personalidade até a conversão para uma conversa com maior significado.

A construção de pilares em relação à relevância dos marcos regulatórios reside no equilíbrio tênue  entre as ferramentas do anonimato e a segurança do uso dos dados dos usuários através de autorizações ou ferramentas de opt-in e opt-out. Todos temos o direito de assinar ou não, tanto para e-mail marketing quanto para outros ambientes digitais. (mais…)

O roubo de 1,2 bilhão de senhas

É o maior roubo de senhas na Internet até o momento. Uma rede de grupos criminosos russos, dedicados ao cibercrime, conseguiu roubar mais de 1,2 bilhão de nomes de usuários com suas respectivas senhas e mais 500 milhões de endereços de e-mail. Alex Holden, fundador da Hold Security, uma empresa de segurança de tecnologia da informação com sede em Milwaukee, e que descobriu a falha de segurança, disse ao EL PAÍS que o material roubado pertence a 420.000 páginas web em todo mundo. Ele participa do encontro anual de segurança Black Hat, em Las Vegas.

A invasão afeta tanto a pequenas empresas como outras de grande porte dedicadas a oferecer serviços de internet. A pedido do The New York Times, um especialista que não trabalha para Hold Security verificou a autenticidade de todas as senhas e dados relevantes roubados. (mais…)

Modelos e mecanismos de segurança da informação

A segurança da informação busca proteger as informações que possui um valor, para uma pessoa ou empresa, que ela esteja gerando, manipulando, transmitindo ou eliminando (garantir a não recuperação de uma informação). A ABNT NBR ISO/IEC 27002:2005 define como “a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio”.

Complementa dizendo que“A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.”

Seus princípios abrangem, basicamente, os seguintes aspectos (tríade):

  • Confidencialidade: somente pessoas devidamente autorizadas pela empresa devem ter acesso à informação;
  • Integridade: somente alterações, supressões e adições autorizadas pela empresa devem ser realizadas nas informações;
  • Disponibilidade: a informação deve estar disponível para as pessoas autorizadas sempre que necessário ou demandado.

Ainda existem alguns outros conceitos que são interessantes ficar sabendo, como:

  • Identificação: deixar que uma entidade informe quem ela é;
  • Autenticação: fazer uma verificação para saber se a entidade é realmente quem ela diz ser;
  • Autorização: dar permissão para que uma entidade realize determinada ações;
  • Não repúdio: evitar que uma entidade negue ações que ela tenha realizado.

Entenda como “entidade” uma pessoa, empresa ou programa de computador. (mais…)

Erro humano é a maior causa de incidentes em serviços de TI

O erro humano é a principal causa dos incidentes nos serviços de TI, segundo a edução 2014 do Network Barometer Report, da Dimension Data.

O relatório constatou que apenas 16% dos 91 mil incidentes em serviços de TI registados pela Dimension Data em 2013 estavam relacionadas com dispositivos, enquanto os outros 84% dos incidentes se relacionaram com questões como erro humano, falhas de comunicação ou questões ambientais.

Mas 6% de erros de configuração e 26% de erros humanos poderiam ser potencialmente evitados. (mais…)

Ativos de informação e segurança em recursos humanos

Ativos de informação e segurança em recursos humanos

Por: Lindamir do Carmo Secchi Gadler & Roseli Rocha Moterle

Muitos dos problemas de segurança enfrentados pelas organizações estão associados ao mau uso dos ativos por parte dos seus recursos humanos. Assim, a política de segurança deve prever controles de segurança antes, durante e após a contratação de funcionários, fornecedores e terceiros que usem os ativos da organização ou tenham acesso a eles.

Antes da contratação

Quando o funcionário, fornecedor ou terceiro inicia suas atividades em uma organização, é necessário, anteriormente à sua contratação, que esteja ciente das suas responsabilidades e de acordo com as suas funções em relação aos ativos de informação. O objetivo de tal procedimento é reduzir o risco de furto ou roubo, fraude ou mau uso de recursos. (mais…)

A importância da classificação e padronização da informação na política de segurança

Por: Lindamir do Carmo Secchi Gadler & Roseli Rocha Moterle

Na elaboração da política de segurança da informação, considere o seguinte
questionamento:

Qual o valor da informação para a sua organização?

A informação, independentemente de seu formato, é um ativo importante para a
organização. Na verdade, sem informação a organização não realiza seu negócio.
Por isto, os ambientes e os equipamentos utilizados para seu processamento,
armazenamento e transmissão devem ser protegidos.

Assim, é conveniente que a organização identifique todos os ativos de informação que possui e documente a importância deles. O quadro a seguir especifica os tipos de ativos que podem existir em uma empresa. (mais…)

Classificação de dados: mais cedo ou mais tarde sua empresa vai precisar dela

Lidar com a mistura de mistura de segurança, identidade e mobilidade tem desafiado empresas de diferentes portes, áreas de atuação e localização geográfica. O italiano Alessandro Feste, escreveu recente um post em seu blog sobre o que chamou de série BYOI, para “falar” sobre #identitymanagement _ segurança, governança e gestão de IAM (gerenciamento de identidades e acessos). Em discussão, como aumentar o foco na identidade e projetos de privacidade para conseguir uma resposta rápida para entregar o valor real não só para TI, mas também para os negócios, especialmente em um mundo onde a identidade virtual passa a ser a identidade real.

Feste sugere que a classificação é a maneira mais fácil de resolver essa questão. Discordei da premissa central do post de Festa – não porque eu não acho que a classificação deva ser feita, mas por acreditar que precisa ser feita de forma diferente. (mais…)

Definição de responsabilidades dos usuários em sistemas de informação

Por Lindamir do Carmo Secchi Gadler e Roseli Rocha Moterle

O documento da política de segurança deve especificar as regras e responsabilidades dos profissionais envolvidos com a segurança da informação.
Segundo a NBR 27002 (2005, p. 10), é necessário organizar uma estrutura
de gerenciamento para iniciar e controlar a implementação da segurança da
informação. Esta norma também sugere que as atividades sejam coordenadas por diferentes partes da organização.

Importante: É importante destacar que, embora sejam definidas atribuições
específicas, portanto, colaboradores específicos, para a
implementação e manutenção do programa de segurança, a
responsabilidade pela preservação da segurança da informação e dos
recursos que as produzem é de toda a organização. Todos os usuários
são responsáveis pela informação que produzem ou manipulam. (mais…)

Quer ficar atualizado?

Inscreva-se em minha newsletter e seja notificado quando eu publicar novos artigos de graça!