Informação

Cibersegurança em Social Data Analytics

Pesquisas recentes referentes ao Facebook e ao OkCupid demostraram em seus dados que somos coadjuvantes de diversas plataformas e sistemas de armazenamento de dados. Em troca de benefícios, aceitamos políticas e termos de uso autorizando o uso doe nossos dados. Na pesquisa eles perceberam como os relacionamentos se transformam a partir do uso do aplicativo, considerando a relevância da foto e da descrição da personalidade até a conversão para uma conversa com maior significado.

A construção de pilares em relação à relevância dos marcos regulatórios reside no equilíbrio tênue  entre as ferramentas do anonimato e a segurança do uso dos dados dos usuários através de autorizações ou ferramentas de opt-in e opt-out. Todos temos o direito de assinar ou não, tanto para e-mail marketing quanto para outros ambientes digitais. (mais…)

O roubo de 1,2 bilhão de senhas

É o maior roubo de senhas na Internet até o momento. Uma rede de grupos criminosos russos, dedicados ao cibercrime, conseguiu roubar mais de 1,2 bilhão de nomes de usuários com suas respectivas senhas e mais 500 milhões de endereços de e-mail. Alex Holden, fundador da Hold Security, uma empresa de segurança de tecnologia da informação com sede em Milwaukee, e que descobriu a falha de segurança, disse ao EL PAÍS que o material roubado pertence a 420.000 páginas web em todo mundo. Ele participa do encontro anual de segurança Black Hat, em Las Vegas.

A invasão afeta tanto a pequenas empresas como outras de grande porte dedicadas a oferecer serviços de internet. A pedido do The New York Times, um especialista que não trabalha para Hold Security verificou a autenticidade de todas as senhas e dados relevantes roubados. (mais…)

Modelos e mecanismos de segurança da informação

A segurança da informação busca proteger as informações que possui um valor, para uma pessoa ou empresa, que ela esteja gerando, manipulando, transmitindo ou eliminando (garantir a não recuperação de uma informação). A ABNT NBR ISO/IEC 27002:2005 define como “a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio”.

Complementa dizendo que“A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.”

Seus princípios abrangem, basicamente, os seguintes aspectos (tríade):

  • Confidencialidade: somente pessoas devidamente autorizadas pela empresa devem ter acesso à informação;
  • Integridade: somente alterações, supressões e adições autorizadas pela empresa devem ser realizadas nas informações;
  • Disponibilidade: a informação deve estar disponível para as pessoas autorizadas sempre que necessário ou demandado.

Ainda existem alguns outros conceitos que são interessantes ficar sabendo, como:

  • Identificação: deixar que uma entidade informe quem ela é;
  • Autenticação: fazer uma verificação para saber se a entidade é realmente quem ela diz ser;
  • Autorização: dar permissão para que uma entidade realize determinada ações;
  • Não repúdio: evitar que uma entidade negue ações que ela tenha realizado.

Entenda como “entidade” uma pessoa, empresa ou programa de computador. (mais…)

Erro humano é a maior causa de incidentes em serviços de TI

O erro humano é a principal causa dos incidentes nos serviços de TI, segundo a edução 2014 do Network Barometer Report, da Dimension Data.

O relatório constatou que apenas 16% dos 91 mil incidentes em serviços de TI registados pela Dimension Data em 2013 estavam relacionadas com dispositivos, enquanto os outros 84% dos incidentes se relacionaram com questões como erro humano, falhas de comunicação ou questões ambientais.

Mas 6% de erros de configuração e 26% de erros humanos poderiam ser potencialmente evitados. (mais…)

Ativos de informação e segurança em recursos humanos

Ativos de informação e segurança em recursos humanos

Por: Lindamir do Carmo Secchi Gadler & Roseli Rocha Moterle

Muitos dos problemas de segurança enfrentados pelas organizações estão associados ao mau uso dos ativos por parte dos seus recursos humanos. Assim, a política de segurança deve prever controles de segurança antes, durante e após a contratação de funcionários, fornecedores e terceiros que usem os ativos da organização ou tenham acesso a eles.

Antes da contratação

Quando o funcionário, fornecedor ou terceiro inicia suas atividades em uma organização, é necessário, anteriormente à sua contratação, que esteja ciente das suas responsabilidades e de acordo com as suas funções em relação aos ativos de informação. O objetivo de tal procedimento é reduzir o risco de furto ou roubo, fraude ou mau uso de recursos. (mais…)

A importância da classificação e padronização da informação na política de segurança

Por: Lindamir do Carmo Secchi Gadler & Roseli Rocha Moterle

Na elaboração da política de segurança da informação, considere o seguinte
questionamento:

Qual o valor da informação para a sua organização?

A informação, independentemente de seu formato, é um ativo importante para a
organização. Na verdade, sem informação a organização não realiza seu negócio.
Por isto, os ambientes e os equipamentos utilizados para seu processamento,
armazenamento e transmissão devem ser protegidos.

Assim, é conveniente que a organização identifique todos os ativos de informação que possui e documente a importância deles. O quadro a seguir especifica os tipos de ativos que podem existir em uma empresa. (mais…)

Classificação de dados: mais cedo ou mais tarde sua empresa vai precisar dela

Lidar com a mistura de mistura de segurança, identidade e mobilidade tem desafiado empresas de diferentes portes, áreas de atuação e localização geográfica. O italiano Alessandro Feste, escreveu recente um post em seu blog sobre o que chamou de série BYOI, para “falar” sobre #identitymanagement _ segurança, governança e gestão de IAM (gerenciamento de identidades e acessos). Em discussão, como aumentar o foco na identidade e projetos de privacidade para conseguir uma resposta rápida para entregar o valor real não só para TI, mas também para os negócios, especialmente em um mundo onde a identidade virtual passa a ser a identidade real.

Feste sugere que a classificação é a maneira mais fácil de resolver essa questão. Discordei da premissa central do post de Festa – não porque eu não acho que a classificação deva ser feita, mas por acreditar que precisa ser feita de forma diferente. (mais…)

Definição de responsabilidades dos usuários em sistemas de informação

Por Lindamir do Carmo Secchi Gadler e Roseli Rocha Moterle

O documento da política de segurança deve especificar as regras e responsabilidades dos profissionais envolvidos com a segurança da informação.
Segundo a NBR 27002 (2005, p. 10), é necessário organizar uma estrutura
de gerenciamento para iniciar e controlar a implementação da segurança da
informação. Esta norma também sugere que as atividades sejam coordenadas por diferentes partes da organização.

Importante: É importante destacar que, embora sejam definidas atribuições
específicas, portanto, colaboradores específicos, para a
implementação e manutenção do programa de segurança, a
responsabilidade pela preservação da segurança da informação e dos
recursos que as produzem é de toda a organização. Todos os usuários
são responsáveis pela informação que produzem ou manipulam. (mais…)

Os 12 mandamentos para o Profissional de Segurança

Esta semana comemora-se a Páscoa e mais uma vez refletimos sobre a evolução da Humanidade e sobre os desafios que desde sempre se apresentaram ao Homem, desde a maçã de Adão, passando pela arca de Noé, os sacrifícios de Abraão, os 10 mandamentos de Moisés, até chegarmos à paixão de Jesus Cristo. Enquanto se espera pelo novo Messias, conheço muitos profissionais da Segurança da Informação que se consideram uns verdadeiros mártires, tais são as penitências que têm de enfrentar todos os dias para pregarem a palavra da Segurança nas suas Organizações. Estes são os 12 Princípios para um profissional de segurança da informação. (mais…)

Os investimentos em segurança da informação no Brasil

Para haver um crescimento mais ágil desse mercado é preciso mudanças na visão organizacional e formação de mão de obra qualificada.

Por Flávio Carvalho

O Brasil está prestes a atingir a relevante marca de um bilhão de dólares em segurança da informação, segundo dados da consultoria IDC.  Em 2011, o mercado atingiu US$ 779 milhões, dos quais 32% destinados a software, 25% a hardware e 43% destinados a serviços. O cenário é positivo, apesar da lenta recuperação econômica nos Estados Unidos e da estagnação em que se encontra a Europa. (mais…)

Quer ficar atualizado?

Inscreva-se em minha newsletter e seja notificado quando eu publicar novos artigos de graça!