1 de novembro de 2012

Análise técnica: o que os testes de penetração encontram na sua rede

Diego Macêdo
1 de novembro de 2012
Nenhum comentário

Falhas internas incluem sistemas sem atualização de correção, compartilhamentos de arquivos abertos ou histórico de informações e a ausência de segmentação adequada.

Analisamos as vulnerabilidades internas das empresas encontradas em testes internos de penetração. Primeiro de tudo, qual a diferente entre uma ameaça externa e interna? Com uma avaliação interna, os testes devem simular ataques que um invasor de fora de sua empresa está realizando.  Eles avaliam o perímetro de defesas, serviços expostos e qualquer coisa que possibilite uma entrada na rede por uma pessoa de fora. Muitas vezes, um teste externo valida que os controles de segurança estão corretos e que o perímetro é efetivo.

á um teste de penetração interna tende  a ter mais base no cenário, com foco nos grandes medos que a empresa enfrenta, como funcionários se tornando rogues, um máquina interna comprometida com um acesso remoto troia, ou um invasor ganhando acesso físico à rede e  conectando à sua máquina. O invasor conseguiria ganhar acesso às bases de dados ou segredos? Qual ligação você teme receber de seu CSO às 2 horas da manhã? (mais…)

2013: segurança da informação deve ser ofensiva

Diego Macêdo
1 de novembro de 2012
Nenhum comentário

Empresas não podem mais contar com estratégias de segurança defensiva, dizem os executivos da Gartner aos líderes de TI.

As ameaças aos dados corporativos evoluem com mais rapidez do que os mecanismos de defesa, de acordo com três analistas da Gartner. Os resultados, disseram, é que os negócios devem se adaptar ao deixar de lado medidas reativas, e adotarem métodos proativos, com mentalidade ofensiva.

O vice-presidente de pesquisas, Greg Young, começou sua apresentação dizendo que as empresas podem proteger conteúdo sigiloso focando em três áreas principais: proteção de infraestrutura ou “afastando os vilões”; gerenciamento de identidade e acesso ou “mantendo os mocinhos”; e continuidade de negócio, compliance e gerenciamento de risco, que ele caracteriza como as políticas que “mantêm os motores ligados”. (mais…)

Quanto vale a segurança?

Diego Macêdo
1 de novembro de 2012
Nenhum comentário

Nos últimos 15 anos, tenho visto o tema segurança da informação no topo da lista das principais preocupações dos CIOs brasileiros. Downsizing, computação distribuída, centralizada, computação móvel, ERP, BI, nuvem, consumerização, dentre tantos outros assuntos, entraram e saíram dessa lista, mas a segurança ficou lá, firme e forte. Ao lermos este primeiro parágrafo, logo concluímos: que mercado fantástico, de constantes investimentos. Mas não é bem assim…

A preocupação com o tema realmente sempre esteve em alta, mas, infelizmente, ao compararmos com o ranking de investimentos, veremos que essa preocupação não se refletiu em ação na grande maioria das organizações. Talvez tenha se mantido no topo porque todo ano havia a necessidade, mas como pouco era feito, as ações “escorregavam” para o ano seguinte. E os motivos são muitos, e justificáveis: (mais…)

Senado aprova lei ‘Carolina Dieckman’ que prevê punições contra cibercrimes

Diego Macêdo
1 de novembro de 2012
Nenhum comentário

Penas variam de três meses a dois anos de prisão, a depender da gravidade do caso; projeto agora volta para a Câmara dos Deputados, onde foi criado como alternativa ao PL do Azeredo.

O plenário do Senado aprovou hoje (31) o chamado Projeto de Crimes Cibernéticos (PLC 35/2012), que altera o Código Penal (Decreto-Lei 2.848/1940) e tipifica os crimes praticados por meios eletrônicos e pela internet. O PL, que ficou conhecido na mídia como Lei Carolina Dieckman, trata de temas como a invasão de computadores, o roubo de senhas e de conteúdos de e-mails, a derrubada proposital de sites, entre outros.

As penas variam de três meses a dois anos de prisão, a depender da gravidade do caso, como no caso de invasão conteúdo de “comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas” podem ter pena de três meses a dois anos de prisão, além de multa e  a divulgação, comercialização ou transmissão a terceiros, por meio de venda ou repasse gratuito, do material obtido com a invasão. Os culpados podem ter a pena aumentada se tiverem agravantes como obter benefícios financeiros ou invadir dados de autoridades como o presidente da República ou de um dos Poderes. (mais…)