segurança

Mozilla lança serviço gratuito que faz varredura de segurança em sites

Chamada de Observatory, ferramenta realiza buscas por um grande número de mecanismos de segurança.

Para ajudar os webmasters a protegerem melhor seus sites e usuários, a Mozilla criou um scanner on-line que pode verificar se os servidores web estão com as melhores configurações de segurança no local.

Chamada de Observatory, a ferramenta foi criada inicialmente para uso interno pela engenheira de segurança da Mozilla, April King, que então foi encorajada para ampliar e tornar o recurso disponível para o público geral. (mais…)

Cibersegurança em Social Data Analytics

Pesquisas recentes referentes ao Facebook e ao OkCupid demostraram em seus dados que somos coadjuvantes de diversas plataformas e sistemas de armazenamento de dados. Em troca de benefícios, aceitamos políticas e termos de uso autorizando o uso doe nossos dados. Na pesquisa eles perceberam como os relacionamentos se transformam a partir do uso do aplicativo, considerando a relevância da foto e da descrição da personalidade até a conversão para uma conversa com maior significado.

A construção de pilares em relação à relevância dos marcos regulatórios reside no equilíbrio tênue  entre as ferramentas do anonimato e a segurança do uso dos dados dos usuários através de autorizações ou ferramentas de opt-in e opt-out. Todos temos o direito de assinar ou não, tanto para e-mail marketing quanto para outros ambientes digitais. (mais…)

O roubo de 1,2 bilhão de senhas

É o maior roubo de senhas na Internet até o momento. Uma rede de grupos criminosos russos, dedicados ao cibercrime, conseguiu roubar mais de 1,2 bilhão de nomes de usuários com suas respectivas senhas e mais 500 milhões de endereços de e-mail. Alex Holden, fundador da Hold Security, uma empresa de segurança de tecnologia da informação com sede em Milwaukee, e que descobriu a falha de segurança, disse ao EL PAÍS que o material roubado pertence a 420.000 páginas web em todo mundo. Ele participa do encontro anual de segurança Black Hat, em Las Vegas.

A invasão afeta tanto a pequenas empresas como outras de grande porte dedicadas a oferecer serviços de internet. A pedido do The New York Times, um especialista que não trabalha para Hold Security verificou a autenticidade de todas as senhas e dados relevantes roubados. (mais…)

Modelos e mecanismos de segurança da informação

A segurança da informação busca proteger as informações que possui um valor, para uma pessoa ou empresa, que ela esteja gerando, manipulando, transmitindo ou eliminando (garantir a não recuperação de uma informação). A ABNT NBR ISO/IEC 27002:2005 define como “a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio”.

Complementa dizendo que“A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.”

Seus princípios abrangem, basicamente, os seguintes aspectos (tríade):

  • Confidencialidade: somente pessoas devidamente autorizadas pela empresa devem ter acesso à informação;
  • Integridade: somente alterações, supressões e adições autorizadas pela empresa devem ser realizadas nas informações;
  • Disponibilidade: a informação deve estar disponível para as pessoas autorizadas sempre que necessário ou demandado.

Ainda existem alguns outros conceitos que são interessantes ficar sabendo, como:

  • Identificação: deixar que uma entidade informe quem ela é;
  • Autenticação: fazer uma verificação para saber se a entidade é realmente quem ela diz ser;
  • Autorização: dar permissão para que uma entidade realize determinada ações;
  • Não repúdio: evitar que uma entidade negue ações que ela tenha realizado.

Entenda como “entidade” uma pessoa, empresa ou programa de computador. (mais…)

USB tem uma falha profunda de segurança que você não poderá detectar

Todos nós dependemos do USB para interligar nossas vidas digitais, mas uma nova pesquisa revela que há uma falha de segurança fundamental na própria forma em que o Universal Serial Bus funciona. Isto poderia ser explorado para causar estragos em qualquer computador.

De acordo com a Wired, os pesquisadores de segurança Karsten Nohl e Jakob Lell fizeram engenharia reversa do firmware que controla as funções básicas de comunicação do USB. Eles também criaram um malware chamado BadUSB, que pode “ser instalado em um dispositivo USB para assumir um PC completamente, para alterar de forma invisível os arquivos instalados a partir do pendrive, ou até mesmo para redirecionar o tráfego de internet do usuário”. (mais…)

Erro humano é a maior causa de incidentes em serviços de TI

O erro humano é a principal causa dos incidentes nos serviços de TI, segundo a edução 2014 do Network Barometer Report, da Dimension Data.

O relatório constatou que apenas 16% dos 91 mil incidentes em serviços de TI registados pela Dimension Data em 2013 estavam relacionadas com dispositivos, enquanto os outros 84% dos incidentes se relacionaram com questões como erro humano, falhas de comunicação ou questões ambientais.

Mas 6% de erros de configuração e 26% de erros humanos poderiam ser potencialmente evitados. (mais…)

Ativos de informação e segurança em recursos humanos

Ativos de informação e segurança em recursos humanos

Por: Lindamir do Carmo Secchi Gadler & Roseli Rocha Moterle

Muitos dos problemas de segurança enfrentados pelas organizações estão associados ao mau uso dos ativos por parte dos seus recursos humanos. Assim, a política de segurança deve prever controles de segurança antes, durante e após a contratação de funcionários, fornecedores e terceiros que usem os ativos da organização ou tenham acesso a eles.

Antes da contratação

Quando o funcionário, fornecedor ou terceiro inicia suas atividades em uma organização, é necessário, anteriormente à sua contratação, que esteja ciente das suas responsabilidades e de acordo com as suas funções em relação aos ativos de informação. O objetivo de tal procedimento é reduzir o risco de furto ou roubo, fraude ou mau uso de recursos. (mais…)

A importância da classificação e padronização da informação na política de segurança

Por: Lindamir do Carmo Secchi Gadler & Roseli Rocha Moterle

Na elaboração da política de segurança da informação, considere o seguinte
questionamento:

Qual o valor da informação para a sua organização?

A informação, independentemente de seu formato, é um ativo importante para a
organização. Na verdade, sem informação a organização não realiza seu negócio.
Por isto, os ambientes e os equipamentos utilizados para seu processamento,
armazenamento e transmissão devem ser protegidos.

Assim, é conveniente que a organização identifique todos os ativos de informação que possui e documente a importância deles. O quadro a seguir especifica os tipos de ativos que podem existir em uma empresa. (mais…)

Definição de responsabilidades dos usuários em sistemas de informação

Por Lindamir do Carmo Secchi Gadler e Roseli Rocha Moterle

O documento da política de segurança deve especificar as regras e responsabilidades dos profissionais envolvidos com a segurança da informação.
Segundo a NBR 27002 (2005, p. 10), é necessário organizar uma estrutura
de gerenciamento para iniciar e controlar a implementação da segurança da
informação. Esta norma também sugere que as atividades sejam coordenadas por diferentes partes da organização.

Importante: É importante destacar que, embora sejam definidas atribuições
específicas, portanto, colaboradores específicos, para a
implementação e manutenção do programa de segurança, a
responsabilidade pela preservação da segurança da informação e dos
recursos que as produzem é de toda a organização. Todos os usuários
são responsáveis pela informação que produzem ou manipulam. (mais…)

Os 12 mandamentos para o Profissional de Segurança

Esta semana comemora-se a Páscoa e mais uma vez refletimos sobre a evolução da Humanidade e sobre os desafios que desde sempre se apresentaram ao Homem, desde a maçã de Adão, passando pela arca de Noé, os sacrifícios de Abraão, os 10 mandamentos de Moisés, até chegarmos à paixão de Jesus Cristo. Enquanto se espera pelo novo Messias, conheço muitos profissionais da Segurança da Informação que se consideram uns verdadeiros mártires, tais são as penitências que têm de enfrentar todos os dias para pregarem a palavra da Segurança nas suas Organizações. Estes são os 12 Princípios para um profissional de segurança da informação. (mais…)

Quer ficar atualizado?

Inscreva-se em minha newsletter e seja notificado quando eu publicar novos artigos de graça!