0
Relatório Anual
de Segurança
da Cisco 2011
DESTAQUES DE AMEAÇAS E
TENDÊNCIAS GLOBAIS DE SEGURANÇA
Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para inf...
Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para inf...
4 Relatório Anual de Segurança da Cisco 2011	 Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os ...
Há dez anos, os funcionários recebiam laptops das
empresas com a recomendação de não perdê-los. Eles
recebiam logins da re...
Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para inf...
Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para inf...
Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para inf...
Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para inf...
Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para inf...
Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para inf...
Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para inf...
Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para inf...
Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para inf...
Relatório Anual de Segurança da Cisco 2011
Relatório Anual de Segurança da Cisco 2011
Relatório Anual de Segurança da Cisco 2011
Relatório Anual de Segurança da Cisco 2011
Relatório Anual de Segurança da Cisco 2011
Relatório Anual de Segurança da Cisco 2011
Relatório Anual de Segurança da Cisco 2011
Upcoming SlideShare
Loading in...5
×

Relatório Anual de Segurança da Cisco 2011

2,923

Published on

O Relatório Anual de Segurança da Cisco® fornece uma visão geral da inteligência de segurança combinada de toda a empresa Cisco. O relatório engloba informações e tendências de ameaças reunidas entre janeiro e novembro de 2011. Ele também fornece um resumo do estado da segurança para este período, com atenção especial às principais tendências de segurança previstas para 2012.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,923
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
56
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Transcript of "Relatório Anual de Segurança da Cisco 2011"

  1. 1. Relatório Anual de Segurança da Cisco 2011 DESTAQUES DE AMEAÇAS E TENDÊNCIAS GLOBAIS DE SEGURANÇA
  2. 2. Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. Relatório Anual de Segurança da Cisco 2011 1 O Relatório Anual de Segurança da Cisco® fornece uma visão geral da inteligência de segurança combinada de toda a empresa Cisco. O relatório engloba informações e tendências de ameaças reunidas entre janeiro e novembro de 2011. Ele também fornece um resumo do estado da segurança para este período, com atenção especial às principais tendências de segurança previstas para 2012. PARTE 1 3 Bem-vindo ao Connected World 5 Seus funcionários no futuro: com inúmeros dispositivos e pouco preocupados com segurança 8 Mídia Social: agora uma ferramenta de produtividade 10 Acesso remoto e BYOD (Bring your Own Device): empresas trabalhando para encontrar denominador comum com os funcionários 16 A influência de dispositivos portáteis, serviços em nuvem e mídia social na política de segurança da empresa PARTE 2 22 Perspectiva de ameaça cibernética para 2012: o fator hacktivismo 23 Tendências geopolíticas: Influência da Mídia Social Ganha Força 24 Anúncio dos vencedores de 2011 do Cisco Cybercrime Showcase 26 A matriz da Cisco para Retorno de Investimento contra o crime cibernético (CROI) 28 Análise de vulnerabilidade e ameças de 2011 29 Atualização global sobre spam: declínio significativo no volume de spam 31 Índice Cisco Global ARMS Race 32 Internet: uma necessidade humana fundamental? 35 Inteligência de Segurança da Cisco
  3. 3. Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. Relatório Anual de Segurança da Cisco 2011 3 PARTE 1 Pense no escritório da década de 60 da agência de publicidade retratada no programa de televisão americano “Mad Men”: Em termos de tecnologia, os funcionários utilizavam máquinas de escrever e telefones (ambos operados na maior parte do tempo por um grupo de secretárias)—e esse era basicamente todo o equipamento de que eles dispunham para aumentar a produtividade. Os funcionários participavam talvez de uma ou duas reuniões por dia; o trabalho começava quando as pessoas chegavam ao escritório e parava quando elas iam para casa. Os funcionários de hoje fazem muito mais durante o café da manhã ou no caminho para o trabalho do que seus predecessores conseguiam fazer em um dia inteiro de trabalho na década de 60. Graças à enorme variedade de inovações tecnológicas que invadem o local de trabalho— desde tablets a redes sociais e sistemas de videoconferências como telepresença, os funcionários de hoje podem trabalhar de praticamente qualquer lugar e a qualquer hora, contanto que a tecnologia adequada esteja presente para dar suporte à conectividade e, principalmente, fornecer segurança. Na verdade, a diferença mais impressionante entre o local de trabalho moderno e o seu equivalente na década de 60 é exatamente a ausência de pessoas: estar fisicamente presente no escritório é cada vez menos necessário. Juntamente com a avalanche de inovações tecnológicas, ocorreu também uma mudança na atitude. Os trabalhadores de hoje se acostumaram com os benefícios da produtividade e a facilidade de uso de seus equipamentos, redes sociais e aplicativos da Web e não vêem motivo para não utilizarem todas essas ferramentas tanto para trabalhar como para se divertir. Os limites entre vida pessoal e profissional praticamente desapareceram: esses trabalhadores conversam com seus supervisores pelo Facebook, verificam email de trabalho em seus iPads da Apple, depois de assistirem a um filme com os filhos, e transformam seus próprios smartphones em verdadeiras estações de trabalho. Não é de surpreender que muitas empresas estejam questionando o impacto da inovação tecnológica e de hábitos de trabalho flexível sobre a segurança das informações corporativas — e, algumas vezes, tomando a medida drástica de banir totalmente os dispositivos ou restringir o acesso a serviços da Web que os funcionários consideram essenciais (o que, na maioria dos casos, é verdade). Mas empresas que não oferecem essa flexibilidade a seus funcionários, permitindo, por exemplo, que eles usem apenas um determinado smartphone de propriedade da empresa, em breve vão perceber que estão tendo dificuldades em recrutar talentos ou manterem o espírito de inovação. Pesquisa realizada para o estudo Cisco Connected World Technology Report (www.cisco.com/en/US/ netsol/ ns1120/index.html) documenta as mudanças de atitude em relação a trabalho, tecnologia e segurança entre universitários e jovens profissionais de todo o mundo, agentes da nova onda de mudanças na empresa. (Funcionários de todas as idades foram responsáveis por aumentar a adoção dos dispositivos para consumidor final no local de trabalho e o acesso a informações em qualquer lugar e a qualquer hora; no entanto, funcionários mais jovens e recém-formados estão acelerando consideravelmente o ritmo dessas mudanças.) A edição deste ano do Relatório Anual de Segurança da Cisco destaca as principais conclusões desta pesquisa, explorando o impacto nas empresas e sugerindo estratégias para permitir a inovação. Por exemplo, a maioria dos universitários (81%) entrevistados em todo o mundo acredita que deveria ter a liberdade de escolher os dispositivos de que precisa para realizar seus trabalhos, sejam esses dispositivos pagos pelos empregadores ou seus próprios dispositivos pessoais. Além disso, quase três quartos dos estudantes pesquisados acreditam que deveriam poder usar esses dispositivos para aplicações pessoais e profissionais simultaneamente. Usar múltiplos dispositivos está se tornando rotina: entre os profissionais pesquisados em todo o mundo, 77% tinham vários dispositivos em uso, como um laptop e um smartphone ou vários telefones e computadores (Consulte “Seus funcionários no futuro: com inúmeros dispositivos e pouco preocupados com segurança”, página 5.) Uma abordagem equilibrada e flexível da segurança As tendências como a chegada de dispositivos para o consumidor final no local de trabalho exigirão soluções mais flexíveis e criativas da equipe de TI para manter a segurança ao permitir acesso a tecnologias de colaboração. Considerando o desejo dos funcionários de trazer os dispositivos pessoais para o ambiente de trabalho, as empresas precisam adotar uma postura “traga o seu dispositivo” (BYOD – bring your own device), ou seja, protegendo a rede e os dados, independentemente de como os funcionários acessam as informações. (Veja “Acesso remoto e BYOD: empresas trabalhando para encontrar um denominador comum com os funcionários”, página 10.) Bem-vindo ao Connected World
  4. 4. 4 Relatório Anual de Segurança da Cisco 2011 Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. “Os departamentos de TI precisam viabilizar o caos originário de um ambiente BYOD”, afirma Nasrin Rezai, Diretor Sênior de arquitetura de segurança e executivo de segurança para o Collaboration Business Group da Cisco. “Isso não significa aceitar altos níveis de risco, mas estar disposto a gerenciar um nível aceitável de risco em troca de atrair talentos e promover a inovação. Isso significa entrar em um novo mundo onde nem todo ativo de tecnologia pode ser gerenciado pela TI.” A disposição para balancear riscos e benefícios é uma marca registrada da nova postura de segurança. Em vez de banir totalmente os dispositivos ou o acesso às mídias sociais, as empresas devem trocar a flexibilidade por controles com os quais os funcionários possam concordar. Por exemplo, a equipe de TI pode dizer, “Você pode usar seu smartphone pessoal para ler e responder ao email da empresa, mas nós precisamos gerenciar esses ativos. E se perder esse telefone, você precisará apagar remotamente os dados, incluindo seus aplicativos pessoais e fotos da sua família.” Os funcionários devem fazer parte deste compromisso: eles precisam perceber a importância de colaborar com a TI para que possam usar as ferramentas com as quais estão habituados e ajudar a preparar o terreno para um processo que permitirá uma adoção mais rápida de novas tecnologias no local de trabalho à medida que elas forem surgindo. Outro ajuste fundamental para as empresas e suas equipes de segurança é a aceitação da natureza pública da empresa. De acordo com o estudo Connected World, jovens profissionais vêem bem menos limites entre a vida pessoal e profissional: Entre os universitários pesquisados, 33% disseram que não se importam de compartilhar informações pessoais online. “A geração mais antiga acha que tudo é privado, exceto aquilo que eles optam por tornar público, explica David Evans, futurologista chefe da Cisco. “Para a nova geração, tudo é público, exceto aquilo que eles optam por manter privado. Esta posição padrão — de que tudo é público — contraria a forma como as empresas trabalhavam no passado. Elas competiam e inovavam protegendo suas informações da exposição. No entanto, precisam perceber que os benefícios obtidos com o compartilhamento de informações são bem superiores aos riscos de manter as informações limitadas às suas próprias paredes.” A boa notícia para a TI é que essa função de capacitadores de colaboração e compartilhamento deve levar a uma maior responsabilidade — e, esperamos, a um orçamento maior — pelo crescimento e o desenvolvimento da empresa. “O sucesso ocorre quando a TI possibilita essas mudanças drásticas no local de trabalho, em vez de inibi-las”, explica John N. Stewart, Vice-Presidente e Diretor de Segurança da Cisco. “Nós não devemos focar em questões específicas, como permitir ou não que as pessoas usem seus iPads no trabalho, porque essa já é uma discussão do passado. Em vez disso, foque em soluções para o maior desafio da empresa: permitir que a tecnologia aumente a competitividade.” Seus funcionários no futuro: com inúmeros dispositivos e pouco preocupados com segurança
  5. 5. Há dez anos, os funcionários recebiam laptops das empresas com a recomendação de não perdê-los. Eles recebiam logins da rede da empresa e eram advertidos para não darem suas senhas a ninguém. E o treinamento em segurança se resumia a isso. Hoje, os funcionários da geração do milênio, as pessoas que você quer contratar para trazer novas ideias e energia para a sua empresa, aparecem no primeiro dia de trabalho munidos com seus próprios telefones, tablets e laptops, e esperam poder integrá-los à vida profissional. Eles também esperam que os outros, mais precisamente, a equipe de TI e os Diretores da Informação, descubram uma forma de permitir que eles utilizem seus preciosos dispositivos, em qualquer lugar e a qualquer hora que eles queiram, sem colocar a empresa em risco. Eles acham que segurança não é problema deles: querem trabalhar com dedicação, tanto em casa como no escritório, usando redes sociais e aplicativos em nuvem para executarem suas tarefas enquanto outra pessoa integra a segurança em suas interações. O estudo Connected World oferece um resumo de como jovens profissionais e universitários prestes a entrarem no mercado de trabalho encaram questões como segurança, acesso a informações e dispositivos portáteis. Aqui temos um resumo sobre quem você estará contratando, com base nas conclusões do estudo: O F U N C I O N Á R I O M A I S J O V E M T R A B A L H A N D O D E Q U A L Q U E R L U G A R , A Q U A L Q U E R H O R A O E S T U D A N T E U N I V E R S I T Á R I O C O N E C T A D O Hesitaria em aceitar um emprego em uma empresa que baniu o acesso à mídia social. Quer escolher que dispositivos trazer para o trabalho, até mesmo seu laptop e gadgets pessoais. Se tivesse que escolher, preferiria acesso à Internet, em vez de ter um carro. Verifica a página do Facebook no mínimo uma vez ao dia. Não está preocupado em proteger senhas. Prefere um horário de trabalho não convencional, trabalhando em qualquer lugar e a qualquer hora. Acredita que deve ter direito de acessar a mídia social e os websites pessoais de dispositivos fornecidos pela empresa. Acredita que a TI é responsável pela segurança, e não ele. Violará as políticas de TI se considerar necessário para executar o trabalho. Possui vários dispositivos, como laptops, tablets e celulares (frequentemente mais de um). Permite que outras pessoas, mesmo estranhos, usem seus computadores e dispositivos. Verifica a página do Facebook no mínimo uma vez ao dia. Não acredita que precise estar no escritório regularmente. Não quer trabalhar no escritório o tempo todo, acredita que é mais produtivo quando pode trabalhar de qualquer lugar, a qualquer hora. E N T R E O S U N I V E R S I TÁ R I O S , 81 ACREDITAM QUE DEVEM PODER ESCOLHER OS DISPOSITIVOS DE QUE PRECISAM EM SEUS TRABALHOS % Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. Relatório Anual de Segurança da Cisco 2011 76 Relatório Anual de Segurança da Cisco 2011 Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco.
  6. 6. Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. Relatório Anual de Segurança da Cisco 2011 98 Relatório Anual de Segurança da Cisco 2011 Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. Mito vs. realidade: a mídia social representa um perigo para a empresa Mito: Permitir que os funcionários usem a mídia social escancara a porta para malware na rede da empresa, e fará a produtividade disparar. Além disso, divulgará os segredos da empresa e rumores internos no Facebook e Twitter, prejudicando a competitividade da empresa. Realidade: Não resta dúvida de que os criminosos já usaram as redes de mídia social para atrair vítimas para fazer o download de malware e fornecer senhas de login. Mas o medo das ameaças trazidas pela mídia social pode estar sendo exagerado. As mensagens de email permanecem sendo a forma mais comum de inserir malware nas redes. Certamente, as empresas devem se preocupar com a perda de propriedade intelectual, mas a mídia social não deve ser totalmente responsabilizada por tais prejuízos. Os funcionários que não foram treinados para proteger as informações de suas empresas podem revelar segredos por bate-papos indiscretos em locais públicos ou via email com a mesma rapidez com que tuitam, e podem fazer o download de documentos da empresa em mini unidades com a mesma facilidade com que trocam informações por Facebook e email. A resposta para vazamentos de propriedade intelectual não é banir totalmente as mídias sociais. É promover a confiança nos funcionários para que eles não se sintam compelidos a revelar informações sensíveis. “A perda de produtividade devido à rede social tem sido pauta constante na mídia”, diz Jeff Shipley, Gerente de Operações e Pesquisa em Segurança da Cisco. “No entanto, a verdade é que os funcionários podem trabalhar mais, melhor e com mais agilidade, quando usam ferramentas que lhes permitem colaborar com rapidez em projetos e conversar com os clientes. Hoje as redes de mídia social são essas ferramentas. Os ganhos de produtividade compensam a espera ocasional inerente às redes sociais.” “A verdade é que os funcionários podem trabalhar mais, melhor e com maior agilidade quando usam ferramentas que lhes permitem colaborar com rapidez em projetos e conversar com clientes”. —Jeff Shipley, gerente de Operações e Pesquisa em Segurança da Cisco Há algum tempo, o Facebook e o Twitter deixaram de ser apenas a sensação do momento para adolescentes e aficionados em tecnologia e passaram a ser canais vitais de comunicação com grupos e de promoção de marcas. Jovens profissionais e universitários sabem disso, e utilizam a mídia social em todos os aspectos de suas vidas. (E embora o Facebook e o Twitter sejam dominantes em grande parte do mundo, muitas outras redes sociais regionais estão se tornando igualmente essenciais para interações online, Qzone na China, VKontakte na Rússia e países do ex-bloco soviético, Orkut no Brasil, e Mixi no Japão.) No entanto, as empresas podem não entender a extensão em que a mídia social penetrou na vida pública e privada de seus funcionários e, portanto, não perceberem a necessidade de atender à crescente demanda da sua força de trabalho por acesso irrestrito a redes sociais como o Facebook ou sites de compartilhamento de conteúdo, como o YouTube. Infelizmente, esta inércia pode custar a eles o talento de que precisam para crescerem e terem sucesso. Se o acesso às redes sociais não for concedido, os profissionais jovens que esperariam poder contar com eles, provavelmente vão acabar buscando outras oportunidades profissionais em empresas que fornecem esse acesso. Essas atitudes são ainda mais prevalentes entre estudantes universitários, que usam as mídias sociais desde muito jovens. De acordo com o estudo Connected World, os universitários e os jovens profissionais funcionários centram suas interações pessoais e profissionais no Facebook. Dentre os estudantes universitários, 89% verificam suas páginas no Facebook pelo menos uma vez ao dia; 73% dos jovens profissionais também fazem isso. Para funcionários jovens, suas conexões de mídia social frequentemente se estendem para o local de trabalho: Sete de dez profissionais declararam que adicionaram seus gerentes e colegas como amigos no site de mídia social. Considerando o nível de atividade desses jovens no Facebook — e a falta de distinção entre uso pessoal e profissional do site de mídia social — pode-se concluir que os jovens trabalhadores queiram transferir seus hábitos de uso do Facebook para o escritório. Entre alunos universitários pesquisados, quase metade (47%) declarou que acredita que as empresas devem manter políticas flexíveis de mídia social, presumivelmente para permitir que eles permaneçam conectados em suas vidas profissionais e pessoais a todo momento. Se os estudantes encontrarem um local de trabalho que dificulte o uso de mídia social, eles podem acabar evitando trabalhar para essas empresas ou, se não tiverem opção, podem tentar subverter as regras que bloqueiam o acesso a seus sites favoritos. Mais da metade dos universitários pesquisados globalmente (56%) declarou que não aceitaria uma proposta de emprego em uma empresa que proibisse o acesso à mídia social, ou aceitaria e descobriria uma forma de acessar a mídia social a despeito das políticas da empresa. Dois de cada três alunos universitários (64%) declaram que planejam perguntar sobre as políticas de uso de mídia social durante as entrevistas de trabalho, e uma em quatro (24%) declarou que tais políticas seriam um fator chave na sua decisão de aceitar um emprego. O Lado Positivo do Acesso à Mídia Social Como a mídia social já está tão arraigada no cotidiano de jovens profissionais e trabalhadores futuros, as empresas não podem mais encará-la como um transtorno passageiro ou uma força negativa e perturbadora. Na verdade, as empresas que bloqueiam ou estreitam o acesso à mídia social provavelmente perceberão uma perda de competitividade. Quando as empresas permitem que seus funcionários utilizem as mídias sociais, elas estão fornecendo as ferramentas e a cultura de que eles precisam para serem mais produtivos, inovadores e competitivos. Por exemplo, gerentes de recursos humanos podem usar as redes sociais para recrutar novos talentos. As equipes de marketing podem usar os canais de mídia social para monitorar o sucesso de campanhas publicitárias ou o sentimento do consumidor em relação a outras marcas. E as equipes de atendimento ao cliente podem responder a consumidores que usam a mídia social para fazer perguntas e fornecer o feedback da empresa. Os temores relativos a segurança e perda de dados são a principal razão pela qual muitas empresas não adotam mídias sociais, mas essas preocupações estão fora de proporção em relação ao verdadeiro nível de risco (veja “Mito x Realidade: a mídia social representa um perigo para a empresa”, página inicial); em qualquer caso, os riscos podem ser mitigados em toda a aplicação da tecnologia (página inicial); em todos os casos, os riscos podem ser minimizados através da aplicação de tecnologia e controles de usuário. Por exemplo, os controles de tráfego na Web podem interromper o fluxo de malware, como o Koobface1 , que encontra seu 1 “The Evolution of Koobface: Adapting to the Changing Security Landscape” [La evolución de Koobface: Adaptación al panorama cambiante de la seguridad], Informe Annual de Seguridad de Cisco 2010, www.cisco.com/en/US/prod/collateral/vpndevc/security_annual_report_2010.pdf. Mídia Social: agora uma ferramenta de produtividade caminho através do Facebook e do Twitter. Esses controles não impedem que os funcionários naveguem em mídia social e a utilizem como meio de comunicação com colegas, clientes e parceiros comerciais. Eles impedem a atividade da mídia social apenas quando existe o risco de fazer o download de um arquivo infectado ou clicar em um link suspeito. A proteção é invisível para os usuários, e é incorporada na rede, sem computadores ou dispositivos. Os funcionários obtêm o acesso à mídia que exigem, e as empresas obtêm a segurança de informações de que precisam. (Veja mais sobre as proteções de mídia social em “O Futuro das Políticas de Uso Aceitável”, página 19.) Os próprios sites de mídia social responderam às solicitações por níveis de controle superiores ao que os usuários podem ver em uma rede. Por exemplo, uma empresa pode permitir que os funcionários acessem o YouTube para ver vídeos relacionados ao seu setor ou produto, mas bloquear o acesso a conteúdo adulto ou sites de jogos de azar. E as soluções de tecnologia podem filtrar o tráfego de mídia social para malware recebido ou dados enviados (por exemplo, os arquivos da empresa que não devem ser enviados por email via mídia social ou outros serviços baseados na Web). Para proteger um usuário corporativo contra acesso não autorizado de suas contas, o Facebook frequentemente introduz novos recursos de privacidade. Embora eles sejam controles individuais de usuário em oposição aos controles de rede, as empresas podem debater a questão com seus funcionários e oferecer treinamento sobre os recursos de privacidade mais úteis para manter a segurança das informações. Antes de limitar o acesso à mídia social, as empresas devem considerar o valor corporativo da mídia social em comparação aos riscos que ela traz. Considerando as conclusões do estudo Connected World e a paixão dos jovens profissionais pelas mídias sociais e seus poderes de colaboração, as empresas podem descobrir que os benefícios superam os riscos, contanto que descubram o equilíbrio ideal entre aceitação e segurança.
  7. 7. Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. Relatório Anual de Segurança da Cisco 2011 1110 Relatório Anual de Segurança da Cisco 2011 Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. ACCESO INTERNO EM QUALQUER LUGAR QUALQUER DISPOSITIVO, QUALQUER LUGAR QUALQUER SERVIÇO, QUALQUER DISPOSITIVO, QUALQUER LUGAR EMPRESA VIRTUAL Tinha que ir para o escritório para acessar recursos TENDÊNCIA DE MERCADO Consumerização Acessa recursos de qualquer lugar, com qualquer dispositivo Os serviços dominam os dados. Os serviços não estão vinculados a dispositivos A empresa torna-se virtual, totalmente independiente da localização e do serviço Independênciadedispositivo TENDÊNCIA DE MERCADO de serviços Consumerização de dispositivos Acessa recursos de qualquer lugar com os ativos gerenciados da TI Embora a principal preocupação da maioria das empresas seja a dúvida se o acesso às mídias sociais deve ser liberado durante o horário de trabalho e através dos equipamentos da empresa, uma preocupação ainda mais urgente é encontrar o equilíbrio ideal entre permitir que seus funcionários tenham acesso às ferramentas e às informações de que eles precisem para fazerem bem seus trabalhos, a qualquer hora e em qualquer lugar, mantendo seguros os dados confidenciais da empresa, como propriedade intelectual e informações pessoais dos funcionários. Empresas de todos os setores estão começando a entender que terão que se adaptar logo à “consumerização da TI” (introdução e adoção pelos funcionários de dispositivos para o consumidor na empresa) e às tendências de trabalho remoto já presentes. Tem ficado cada vez mais claro que se não mudarem suas posturas, elas não conseguirão se manter competitivas, inovadoras, manter uma força de trabalho produtiva e atrair e manter os maiores talentos. Ao mesmo tempo, as empresas também estão percebendo que não é mais possível sustentar as antigas fronteiras de segurança. “Os departamentos de TI, particularmente aqueles em grandes empresas, ainda não conseguiram acompanhar o ritmo do aumento em velocidade de Internet de novos dispositivos e a adoção imediata desses dispositivos por funcionários mais jovens”, contou Gavin Reid, gerente do CSIRT (Computer Security Incident Response Team) na Cisco. Claramente, há uma expectativa entre os jovens profissionais do futuro, bem como os de hoje, de que eles poderão acessar o que quer que precisem de onde quer que estejam para executarem suas tarefas. E se não tiverem esse acesso, as consequências para a empresa são potencialmente significativas. Como exemplo, o estudo Connected World revelou que três de dez jovens profissionais admitem globalmente que a ausência de acesso remoto influenciaria suas decisões no trabalho, como sair de um trabalho antes ou depois ou recusar prontamente algumas propostas de emprego. Eles também indicam que seria mais provável que ficassem desconcentrados durante o trabalho e se sentirem desestimulados. Já entre os universitários de hoje, a maioria não consegue nem mesmo imaginar uma experiência profissional futura que não inclua a capacidade de acessar remotamente o trabalho. De acordo com a pesquisa Cisco Connected World Technology, praticamente dois a cada três universitários esperam que, ao entrar no mercado de trabalho, possam acessar a rede corporativa usando o computador doméstico. Enquanto isso, cerca de metade dos universitários esperam fazer o mesmo usando seus dispositivos portáteis pessoais. E muito provavelmente se a empresa não permitisse esses acessos, os futuros funcionários descobririam alguma forma de superar os obstáculos de acesso. O relatório também revela que a maioria dos universitários (71%) compartilha a ideia de que os dispositivos da empresa deveriam estar disponíveis tanto para o trabalho como para o lazer porque “o tempo de trabalho muitas vezes se mistura ao tempo da vida pessoal … É assim hoje e será assim no futuro.” Essa afirmação é totalmente verdadeira, e está fazendo com que mais empresas adotem uma prática BYOD (traga seu próprio dispositivo). Outros fatores, incluindo mobilidade de Acesso remoto e BYOD: empresas trabalhando para encontrar um denominador comum com os funcionários força de trabalho, proliferação de novos dispositivos e integração de aquisições, bem como gerenciamento de relacionamentos com fornecedores externos e em outros países, também são importantes fatores. A Cisco é uma das empresas que já está fazendo a transição para o modelo BYOD — e está aprendendo rapidamente que esta transformação requer um comprometimento de longo prazo e um envolvimento multifuncional da empresa. A Figura 1 na página anterior mostra os cinco estágios do acesso da força de trabalho juntamente com o que a Cisco chama de jornada “Qualquer dispositivo” para se tornar uma “empresa virtual”. Quando a Cisco atingir o último estágio da jornada planejada, o que levará vários anos, a empresa será cada vez mais independente de local e serviço e, mesmo assim, seus dados permanecerão em segurança.2 As demandas específicas de um segmento da indústria (demandas regulatórias) e a cultura corporativa (tolerância de risco x inovação) impulsionam as decisões do modelo BYOD. “Eu acredito que, para muitas empresas hoje, o BYOD seja menos uma questão de “Não, não podemos fazer isso, e mais uma questão de ´Como fazemos isso? Que ações positivas e responsivas devemos tomar para gerenciar a situação de dispositivos portáteis na nossa empresa?”, afirma Nasrin Rezai, Diretor Sênior de Arquitetura de Segurança da Cisco e Chefe de Segurança do Collaboration Business Group. Um ponto comum entre as empresas que avançam para a prática do modelo BYOD é que há uma adesão dos principais executivos, o que ajuda não só a trazer a questão para a pauta principal da organização, mas também a fazer com que ela avance. Rezai explica, “Os executivos têm um papel fundamental em promover a adoção do modelo BYOD na empresa. Como parte da decisão de permitir que os funcionários usem qualquer dispositivo para trabalhar, incluindo dispositivos pessoais não gerenciados, a TI da Cisco, juntamente com o CSIRT, procurou uma ferramenta que bloqueasse websites maliciosos antes que eles fossem carregados nos navegadores. Em resumo, eles querem proteção contra ameaças de dia zero, especificamente aqueles que não possuem assinatura conhecida. No entanto, a solução também precisava preservar a experiência do usuário, não apenas para garantir a produtividade, mas também para evitar que os funcionários mudassem as definições de seus navegadores. A TI da Cisco e a CSIRT atingiram seu objetivo implantando o Cisco IronPort® S670 Web Security Appliance (WSA), um proxy da web que inspeciona e depois libera ou solta o tráfego da web por filtros baseados em reputação ou o resultado de verificação em linha com os arquivos. (A Cisco não usa os recursos de filtragem da Web do WSA para bloquear todas as categorias de website porque a sua política é confiar em funcionários para usar seu tempo de forma produtiva.) Quando um funcionário da Cisco clica em um link ou insere um URL, a solicitação é enviada pelo Web Cache Communication Protocol (WCCP) a um grupo de carga balanceada do Cisco IronPort S670 WSAs. O WSA determina se deve permitir ou rejeitar o website inteiro, ou objetos individuais no website, baseado na pontuação de reputação a partir do serviço de monitoração de tráfego da web e de email baseado em nuvens Cisco IronPort SenderBase Security Network (www.senderbase. org). O SenderBase® atribui a cada website uma pontuação de reputação que vai de –10 a 10. Os websites com pontuações de -6 a -10 são bloqueados automaticamente, sem verificação. Os websites com pontuações de 6 a 10 são autorizados, sem verificação. A Cisco implantou o Cisco IronPort S670 WSA em toda a organização em três fases, que começou com um programa de prova de conceito de seis meses em um edifício do campus da Cisco em Research Triangle Park (RTP), Carolina do Norte, seguido por um programa piloto de dois anos (2009–2011) em que a solução foi estendida para todos os 3000 funcionários no campus do RTP. Em 2011, o WSA foi implementado em diversos outros grandes campus de todo o mundo e para dezenas de milhares de funcionários. Em outubro de 2011, a implantação global do WSA na Cisco estava 85% completa. “A Cisco tem agora seu maior nível de proteção contra ameaças da Web”, declarou Jeff Bollinger, Investigador sênior de segurança da informação Cisco. Nós temos uma média de 40.000 transações bloqueadas por hora. E em apenas um dia, os WSAs bloquearam 7,3 milhões de transações, incluindo 23.200 tentativas de download de walware, mais de 6800 Cavalos-de-Tróia, 700 worms e praticamente 100 URLs falsas.” Saiba mais sobre como a Cisco implantou o Cisco IronPort S670 WSA. (www.cisco.com/web/about/ ciscoitatwork/downloads/ciscoitatwork/pdf/cisco_it_ case_study_wsa_executive_summary.pdf.) A tecnologia está fazendo uma jornada segura para o modelo BYOD da Cisco 2 Para dicas adicionais sobre como avançar no modelo BYOD e os cinco estágios da jornada “Qualquer Dispositivo” da Cisco, consulte Cisco Any Device: Planning a Productive, Secure and Competitive Future [Qualquer Dispositivo da Cisco: planejando um futuro produtivo, seguro e competitivo], www.cisco.com/en/US/solutions/collateral/ns170/ns896/white_paper_c11-681837.pdf. Figura 1. Os Estágios do Acesso à Força de Trabalho ao longo da Jornada Qualquer Dispositivo.
  8. 8. Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. Relatório Anual de Segurança da Cisco 2011 1312 Relatório Anual de Segurança da Cisco 2011 Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. Eles estão abraçando o caos, mas também estão afirmando, ‘Faremos isso de forma sistemática e arquitetônica, e avaliaremos nosso progresso a cada etapa do processo.’” (Veja a barra lateral, “Perguntas a fazer ao longo jornada Traga Seu Próprio Dispositivo”, veja a página ao lado.) A governança também é fundamental para o sucesso do modelo BYOD. A Cisco, como exemplo, mantém um comitê diretor de BYOD, que é liderado pela TI, mas inclui participantes de outras unidades de negócios, como os setores de recursos humanos e jurídicos. Sem uma governança formal, as empresas não conseguem definir um caminho claro para migrar com sucesso e estrategicamente do mundo gerenciado para um mundo não gerenciado ou “sem fronteiras”, onde o perímetro de segurança não está mais delimitado e a TI não gerencia mais cada ativo tecnológico em uso na empresa. “Muitas pessoas imaginam que o BYOD seja um modelo para terminais, mas é muito mais abrangente do que isso”, conta Russell Rice, Diretor de Gerenciamento de Produtos na Cisco. “É sobre garantir a consistência da experiência do usuário final trabalhando de qualquer dispositivo, seja em um ambiente com ou sem fio ou em nuvem. É sobre elementos da política de interação. E é sobre seus dados, como eles são protegidos, e como atravessam todos esses ambientes distintos. Tudo isso deve ser levado em consideração ao migrar para um modelo BYOD. É realmente uma mudança na forma de pensar.” Mito vs. realidade: os funcionários não aceitarão o controle corporativo de seus dispositivos portáteis. Mito: Os funcionários não aceitarão as exigências das empresas de terem algum controle remoto sobre o dispositivo portátil pessoal que eles querem usar tanto para o trabalho como para o lazer. Realidade: As empresas e funcionários precisam encontrar um denominador comum: a empresa precisa reconhecer a necessidade dos indivíduos usarem seus dispositivos preferidos e o funcionário deve entender que a empresa precisa aplicar sua política de segurança e cumprir os requisitos regulatórios relacionados à segurança de dados. As empresas precisam ser capazes de identificar os dispositivos de forma única quando eles entram na rede corporativa, vincular dispositivos a usuários específicos e controlar a postura de segurança dos dispositivos usados para se conectar aos serviços corporativos. A tecnologia que permitiria a “conteinerização” de um dispositivo, ou seja, um telefone virtual em um telefone que poderia ser desligado por um funcionário no caso do dispositivo ser perdido ou roubado, sem comprometer os dados pessoais de um usuário, que é mantido separado, está em evolução. Nos próximos anos, as soluções viáveis de segurança baseadas nesta tecnologia devem estar disponíveis para um amplo uso pela empresa. Até então, os funcionários que quiserem usar seus dispositivos pessoais para trabalhar devem aceitar que a empresa, por razões de segurança, retenha determinados direitos para proteger o dispositivo. Isso requer, entre outras coisas: • Senhas • Criptografia de dados (incluindo criptografia de dispositivos e mídia removível) • As opções de gerenciamento remoto que permitem que a TI trave ou apague remotamente um dispositivo se ele for perdido, comprometido ou se o funcionário for demitido. Se um funcionário não aceitar as exigências de aplicação de políticas e gerenciamento de ativos que foram estabelecidas para elevar o status do dispositivo portátil para “confiável” de acordo com os padrões de segurança da empresa, a TI não permitirá que esse funcionário acesse ativos protegidos da empresa com seus dispositivos pessoais. Perguntas a fazer ao longo da jornada ´qualquer dispositivo´ A Cisco, quando embarcou nessa jornada “Qualquer Dispositivo”, identificou 13 áreas críticas da empresa afetadas por este paradigma. A tabela abaixo destaca estas áreas de foco e fornece uma lista de perguntas que ajudaram a Cisco a identificar e evitar possíveis armadilhas e determinar como melhor aprovar essas considerações. As empresas que querem adotar um método BYOD também devem considerar essas perguntas::3 Área de negócios Perguntas para responder sobre a empresa Planejamento de continuidade dos negócios e recuperação de desastres Os dispositivos não pertencentes à empresa devem ter acesso concedido ou restrito no plano de continuidade dos negócios? Deve ser possível apagar remotamente qualquer dispositivo final que tenha sido perdido ou roubado e tente acessar a rede? Gerenciamento de host (patching) Os dispositivos não corporativos poderão participar de fluxos existentes de gerenciamento de host corporativo? Gerenciamento de configuração do cliente e validação de segurança de dispositivos Como a compatibilidade do dispositivo com os protocolos de segurança será validada e mantida atualizada? Estratégias de acesso remoto Quem deve ter direito a que serviços e plataformas em que dispositivos? Um funcionário temporário deve receber o mesmo direito de acesso a dispositivos, aplicativos e dados? Licenciamento de software A política deve ser modificada para permitir a instalação de software de licença corporativa em dispositivos não corporativos? Os contratos de software existentes contabilizam os usuários que acessam o mesmo aplicativo de software através de dispositivos diferentes? Requisitos de criptografia Os dispositivos não pertencentes à empresa devem estar em conformidade com os requisitos existentes de criptografia de discos? Autenticação e autorização Os dispositivos não pertencentes à empresa devem participar ou ter permissão para participar de modelos existentes do Microsoft Active Directory? Gerenciamento de conformidade regulatória Qual será a política corporativa em relação ao uso de dispositivos não pertencentes à empresa em cenários de alta conformidade ou cenários de alto risco? Gerenciamento de acidentes e investigações Como a TI da empresa gerenciará os incidentes de segurança e privacidade de dados e as investigações em dispositivos que não pertencem à empresa? Interoperabilidade de aplicativos Como a empresa realiza os testes de interoperabilidade entre aplicativos em dispositivos não corporativos? Gerenciamento de ativos A empresa precisa mudar a forma como identifica os dispositivos que possui para também identificar o que não possui? Suporte Quais serão as políticas corporativas para fornecer suporte a dispositivos não pertencentes à empresa? 3 Ibid.
  9. 9. Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. Relatório Anual de Segurança da Cisco 2011 1514 Relatório Anual de Segurança da Cisco 2011 Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. Quando o computador tablet Apple iPad foi lançado em 2010, ele foi posicionado (e adotado pelo público) como um dispositivo para o consumidor final: assistir a filmes com os filhos, navegar na web sentado no sofá e ler livros eram alguns dos usos preferidos citados. No entanto, muitos setores da indústria, como saúde e manufatura, rapidamente se deram conta da vantagem de um dispositivo portátil poderoso e fácil de usar para utilização corporativa, que eliminaria as lacunas entre smartphones (muito pequenos) e laptops (muito grandes). Em uma teleconferência sobre resultados financeiros, o Diretor Financeiro da Apple declarou que 86% das empresas da lista da Fortune 500 e 47% das empresas da lista Global 500 estão implantando ou testando o iPad; empresas como General Electric Co. e SAP estão criando aplicativos iPad para processos internos; e pilotos da Alaska Airlines e da American Airlines estão usando o iPad nos cockpits para substituir informações de navegação em papel.4 Ao mesmo tempo, os funcionários que usam iPads e outros tablets em suas casas estão pedindo às empresas para utilizá-los no escritório, mais um marco da consumerização da TI. Isso se reflete no estudo do Cisco Connected World, em que 81% dos estudantes declararam que esperam poder escolher o dispositivo a ser usado no trabalho, seja recebendo uma verba para comprar o dispositivo que eles preferirem ou trazendo seus próprios dispositivos pessoais. Independentemente da adoção dos iPads e outros tablets ser promovida pelos funcionários ou pelas empresas, os dispositivos estão gerando perguntas e preocupações em relação à segurança das informações corporativas acessadas via tablets. Ao contrário dos smartphones, iPads e tablets oferecem plataformas de computação mais robustas, em que os funcionários podem fazer mais do que seus smartphones permitem. Empresas mais de vanguarda querem permitir a inclusão de tablets, sem comprometer a segurança. A inovação causou uma mudança constante na TI e a velocidade da mudança está aumentando. As empresas que desenvolvem uma estratégia para seus dispositivos voltada para a opção mais popular de 2011 (neste caso, o iPad) devem iniciar a contagem regressiva para uma reengenharia em seus sistemas em poucos anos, quando novos fornecedores, produtos e recursos surgirão. Uma decisão mais inteligente é redirecionar a estratégia de segurança de dispositivos específicos para uma estratégia de aplicação do método BYOD, com acesso conforme o tipo de usuário, função e dispositivo (para saber mais sobre a prática do método BYOD, veja a página 10). O segredo para permitir qualquer dispositivo na empresa, seja ele de propriedade da empresa ou trazido pelo funcionário, é o gerenciamento de identidades. Ou seja, entender quem está usando o dispositivo, onde ele está sendo usado e que informações eles estão acessando. Além disso, as empresas que permitem o uso de tablets no local de trabalho precisarão de métodos para gerenciamento de dispositivos (ex. apagar dados de dispositivos perdidos), exatamente como ocorre com smartphones e laptops. Para tablets e, na verdade, todos os outros dispositivos novos e interessantes que sejam trazidos para a empresa, os profissionais de segurança precisam preservar a consistência da experiência do usuário enquanto adicionam novos recursos de segurança. Por exemplo, os usuários de iPad adoram os controles de tela de toque dos dispositivos, como arrastar o dedo na tela para exibir ou aplicar zoom nas imagens. Se departamentos de TI incorporarem uma norma de segurança que restrinja demais esses recursos tão adorados, os usuários vão relutar em aceitar essa mudança. “A melhor abordagem de segurança do tablet permite isolar aplicativos e dados corporativos e pessoais com confiança, aplicando políticas de segurança apropriadas a cada um deles, afirmou Horacio Zambrano, Gerente de Produtos da Cisco. “A política ocorre na nuvem ou em uma rede inteligente; embora, para o funcionário, a experiência seja preservada e ele possa utilizar os recursos dos aplicativos nativos do dispositivo.” A revolução do iPad: tablets e segurança Android iPhone/iPad/iPod Touch Nokia/Symbian BlackBerry Windows Mobile A pesquisa Connected World revelou que três de cada quatro funcionários de todo o mundo (77%) possuem mais de um dispositivo, como laptop e smartphone ou vários telefones e computadores. Dentre os jovens profissionais, 33% (um a cada três) afirmam usar no mínimo três dispositivos para trabalho. Mas que plataformas de dispositivo portáteis são favorecidas pela maioria dos funcionários hoje, em geral? Ao conduzir a pesquisa pelo último Cisco Global Threat Report, o Cisco ScanSafe analisou de perto os tipos de plataformas de dispositivos portáteis que os funcionários de todas as partes do mundo estão usando na empresa.* Surpreendentemente, os dispositivos RIM BlackBerry que foram aceitos nos ambientes da maioria das empresas são agora a quarta plataforma mais popular. Ainda mais impressionante é que os aparelhos da Apple - iPhone, iPad e iPod touch - são atualmente a plataforma mais dominante. O Google Android ocupa o segundo lugar, com os dispositivos Nokia/ Symbian em terceiro.** Esses resultados enfatizam o forte impacto que a consumerização da TI teve nas empresas em um curto período de tempo: O primeiro iPhone foi lançado em 2007; o primeiro telefone Android comercialmente disponível chegou aos mercados em 2008. A pesquisa Cisco ScanSafe também oferece um insight sobre que plataformas de dispositivos portáteis estão sendo contaminadas por malware. A resposta: todas. (Veja o gráfico abaixo.) Embora a maioria das ocorrências atualmente seja em dispositivos BlackBerry - mais de 80%), a pesquisadora sênior sobre ameaça de segurança da Cisco, Mary Landesman, diz que o malware não é direcionado especificamente aos dispositivos ou usuários do BlackBerry e é questionável que o malware encontrado tenha infectado ou tenha tido qualquer outro impacto nesses dispositivos. Landesman acrescenta, “Onde houver usuários, haverá também cibercriminosos”. Como o uso de dispositivos portáteis continua a crescer entre usuários corporativos, o malware direcionado a esses dispositivos e, portanto, a esses usuários, também cresce. (Para saber mais sobre o investimento crescente de cibercriminosos para explorar os usuários de dispositivos portáteis, veja a “Matriz Cisco de Retorno de Investimento no crime cibernético”, veja a página 26.) Distribuição de dispositivos portáteis na empresa e identificação de malware Uso de dispositivo portátil pela empresa Distribuição de ocorrências normalizada * O Cisco ScanSafe processa bilhões de solicitações diárias da Web. Os resultados de pesquisa são baseados em uma análise de agentes de usuário normalizados pela contagem de clientes. ** Dispositivos Nokia/Symbian lançados até outubro de 2011. 4 “Os aplicativos corporativos para iPhone e iPad da Apple trazem uma péssima notícia para os concorrentes”, ZDNet, 20 de julho de 2011, www.zdnet.com/blog/btl/apples-corporate-iphone-ipad-app-strength-bad-news-for-rivals/52758.
  10. 10. Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. Relatório Anual de Segurança da Cisco 2011 1716 Relatório Anual de Segurança da Cisco 2011 Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. O custo de uma única violação de dados pode ser descomunal para uma empresa. O Ponemon Institute estima algo em torno de US$1 a US$58 milhões.5 O custo também não é exclusivamente financeiro: danos à reputação da empresa e perda de clientes e de participação no mercado são alguns dos efeitos colaterais possíveis de um incidente de perda de dados de grande repercussão. À medida que mais funcionários se tornam móveis e usam vários dispositivos para acessar os ativos da empresa e também dependem de aplicativos de colaboração para trabalhar com outros enquanto estão fora dos limites tradicionais físicos da empresa, o potencial de perda de dados aumenta. Como exemplo, o estudo Cisco Connected World (www.cisco.com/en/ US/ netsol/ns1120/index.html) concluiu que praticamente metade (46%) dos jovens profissionais já enviou emails de trabalho através de contas pessoais. “O potencial para perda de dados é elevado”, afirma David Paschich, gerente de produtos de segurança da Web da Cisco. “As empresas estão registrando uma perda progressiva do controle sobre quem acessa a sua rede corporativa. E o simples fato de que mais funcionários estão usando dispositivos portáteis para trabalhar, e algumas vezes, vários dispositivos, significa que o potencial para perda de dados decorrente de roubo ou perda de um dispositivo é ainda maior.” A crescente preferência dos cibercriminosos pelos ataques direcionados de baixo volume, como campanhas spearphishing (veja Atualização Global sobre Spam: o dramático declínio no volume de spam, página 29), para roubar informações de alvos de alto valor, e o crescente uso dos serviços de compartilhamento de arquivos baseados em nuvem pelas empresas para aumentar a eficiência e reduzir custos (consulte a próxima seção, Proteção para Dados Corporativos em Nuvem) também estão aumentando o potencial de roubo ou comprometimento de dados. Neste cenário, não é surpreendente que mais empresas estejam renovando seu foco em esforços de preservação de perda de dados (DLP). “Hoje, as empresas estão avaliando seus programas DLP para determinar dois pontos: se eles estão protegendo os dados corretos e se estão fazendo o que é necessário para manter os dados seguros”, contou John N. Stewart, vice-presidente e diretor de segurança da Cisco. Ao categorizar os dados que devem ser mantidos seguros, um bom ponto de partida para muitas empresas é determinar que tipos de dados requerem proteção e segurança, com base nas legislações e regulamentações em vigor, que podem variar por indústria e localização geográfica (ex. estado, país). “Você não pode construir anéis de segurança em torno do que precisa proteger se não souber o que são essas coisas”, declarou Jeff Shipley, Gerente de Operações e Pesquisa de Segurança da Cisco. “Essa é uma grande mudança na forma de pensar de muitas empresas que focam seus controles de segurança nos sistemas e na rede, e não na granularidade dos dados reais nos vários sistemas, entre inúmeros sistemas ou na rede.” Ele acrescentou que as empresas não devem negligenciar a propriedade intelectual ao categorizar os dados a serem protegidos. Shipley também recomenda aos departamentos de TI corporativos que não percam oportunidades óbvias para evitar que os dados escapem pela porta da frente. Ele disse, “Aqui temos um exemplo: se uma empresa fosse proteger seus arquivos confidenciais, como planilhas Excel que contêm dados de clientes, com controles para evitar o download ou a transferência de dados de aplicativos ou banco de dados centralizados, a chance de um funcionário fazer o download de dados para um dispositivo pessoal ou portátil antes de sair da empresa é altamente reduzida.” Paschich também adverte às empresas de que elas não devem negligenciar uma ameaça menos conhecida, mas muito potente, os dispositivos USB. “Enquanto as empresas estão preocupadas se devem ou não permitir que um funcionário conecte-se à rede com um iPhone porque estão preocupados em prejudicar a segurança corporativa, elas estão permitindo que seus funcionários conectem dispositivos USB a seus laptops e copiem os dados que desejarem.” Ele oferece uma dica adicional para reforçar a proteção de dados da empresa: estabelecer metas de DPLP e políticas de uso aceitáveis (AUPs) em documentos separados. “Esses esforços estão integrados, certamente, mas são diferentes”, declarou Paschich. (Veja “O Futuro das Políticas de Uso Aceitável,” página 19.) Proteção de dados corporativos em nuvem O compartilhamento de arquivos baseado em nuvem tornou-se um método conveniente e popular para compartilhar grandes arquivos pela Internet, e representa outra possível área de risco para a segurança de dados corporativos. A ideia de informações corporativas confidenciais circulando pelos serviços de nuvem baseados na Web, que não são gerenciados pela empresa, pode fazer os profissionais de segurança perderem noites de sono. A influência de dispositivos portáteis, serviços em nuvem e mídia social na política de segurança da empresa 5 Ataque de email: Já era hora de ser pessoal, Cisco, Junho de 2011, www.cisco.com/en/US/prod/collateral/vpndevc/ps10128/ps10339/ps10354/targeted_attacks.pdf. O compartilhamento de arquivos baseados em nuvem está ganhando terreno porque é fácil de usar: O processo de assinatura de serviços como o Box.net ou o Dropbox é rápido e simples, os serviços não requerem hardware ou software avançado, e são gratuitos ou de baixo custo. Eles também simplificam a colaboração entre funcionários e consultores externos e parceiros, visto que os arquivos podem ser compartilhados sem gerar processos demorados e complexos para acessar as redes corporativas. A força de trabalho mais jovem, que está condicionada a confiar nos serviços de rede como webmail e redes sociais não hesitará em adotar o compartilhamento de arquivos em nuvem e promover sua maior adoção na empresa. Ceder o controle dos dados corporativos para a nuvem, especialmente, uma parte da nuvem sob a qual uma empresa não tem controle, levanta dúvidas legítimas sobre a segurança das informações. “Muitos novos fornecedores neste mercado são novas empresas com experiência limitada em fornecer serviços para toda a corporação e em todos os desafios que isso apresenta”, declarou Pat Calhoun, Vice-Presidente e Gerente Geral da Unidade de Negócios de Serviços Seguros de Rede da Cisco. “Além disso, os padrões de segurança e criptografia podem variar amplamente de fornecedor para fornecedor. Os benefícios do compartilhamento de arquivos em nuvem são muitos, mas as empresas devem fazer perguntas diretas aos provedores de compartilhamento de informações sobre suas políticas para manter a segurança.” Essas perguntas incluem: • Que tipo de controles de criptografia o fornecedor oferece? • Que pessoas possuem acesso a dados de clientes? • Quem gerencia a resposta a incidentes e monitoração, o fornecedor ou o cliente? • O fornecedor terceiriza alguns serviços para outros fornecedores? Esses fornecedores estão colocando os dados em cache? • As políticas DLP estão implantadas? • O fornecedor conduz avaliações periódicas de segurança? • Que medidas de segurança estão implantadas? Como e onde os arquivos de backup são armazenados? Juntamente com a avaliação de fornecedores, as prevén empresas que estiverem planejando estabelecer política corporativa sobre compartilhamento de arquivos em nuvem devem tomar as seguintes providências: Estabelecer um sistema para classificar dados. Os documentos podem ser classificados por grau de confidencialidade — por exemplo, “público”, “confidencial”, “altamente confidencial” e outros, dependendo das necessidades corporativas. Os funcionários devem ser treinados em como aplicar essas designações e em entender como elas podem afetar a capacidade de compartilhar arquivos em nuvem. Estabelecer um sistema para utilizar dados especializados. Os dados que possuam implicações jurídicas ou de conformidade em termos de políticas de retenção, localização física e requisitos de mídia de backup. As empresas precisam definir políticas para enviar esses dados para públicos externos, além de sua classificação por grau de confidencialidade. Implemente uma solução DLP. Os fornecedores de compartilhamento de arquivos podem não oferecer o grau de detalhamento de controle DLP que as empresas exigem. Uma solução DLP na rede pode impedir que os dados sejam carregados para serviços de compartilhamento de arquivos baseados em classificações, por exemplo, arquivos de impostos ou código-fonte. Fornece gerenciamento de identidade para controlar acesso. Os usuários devem ser autenticados pela rede antes de terem permissão para fazer upload ou download de arquivos. Aproveitar a identidade corporativa e a federação de identidades para colaboração interna e externa e gerenciar o ciclo de vida de contas provisionadas são fundamentais. Defina as expectativas do fornecedor. Políticas e serviços claros e bem definidos devem fazer parte do contrato de nível de serviços (SLA), por exemplo, os sistemas de redundância e controles de criptografia, as práticas em torno do acesso a dados por terceiros (ex., aplicação da lei), definindo responsabilidades compartilhadas que podem incluir resposta a incidentes, funções de monitoração e administrativas, e atividades transferência e depuração de de dados antes do encerramento do contrato.
  11. 11. Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. Relatório Anual de Segurança da Cisco 2011 1918 Relatório Anual de Segurança da Cisco 2011 Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. Diversas violações de dados de grande repercussão em 2011, incluindo incidentes que envolveram a Sony Corp.6 e o Citigroup Inc.7 , fizeram os legisladores americanos trabalharem para aprovar leis que afetarão a maneira como as empresas protegem as informações do consumidor e notificam o público sobre incidentes de cibersegurança. Três leis sobre violação de dados e privacidade foram aprovadas pela Comissão de Justiça do Senado Americano em setembro de 2011; a Câmera de Comércio do Senado e a Câmara de Energia e Comércio estão trabalhando em suas versões. No Senado, qualquer versão sancionada será um compromisso de todas as versões aprovadas pelas comissões e, talvez, incorporadas em leis cibernéticas mais abrangentes que estejam em trâmite pelo Senado. As versões aprovadas pelo Comitê Judiciário do Senado são: Lei de Notificação de Violação de Dados de 20118 Esta medida deverá exigir que agências e empresas federais envolvidas em comércio interestadual e que possuam dados que contenham informações pessoalmente identificáveis e confidenciais revelem toda e qualquer violação de seus sistemas. Lei de Responsabilização por Violação e Proteção de Dados Pessoais9 A lei estabeleceria um processo para auxiliar as empresas a criarem padrões mínimos de segurança para proteger informações confidenciais do consumidor. Ela também exigiria que as empresas emitissem uma notificação para os indivíduos após a violação de dados. Lei de Privacidade e Segurança de Dados Pessoais de 201110 A lei estabeleceria um processo para auxiliar as empresas a criarem padrões mínimos de segurança para proteger informações confidenciais do consumidor. Ela também exigiria que as empresas emitissem uma notificação para os indivíduos após uma violação de dados. Quando o Relatório Anual de Segurança da Cisco 2011 foi concluído, a legislação de notificação de dados federais ainda estava em trâmite no Congresso americano, juntamente com uma ampla legislação sobre segurança cibernética para ajudar a proteger as redes financeiras, os sistemas de transporte e as empresas de energia. O Senado estava trabalhando em uma ampla legislação de segurança cibernética há mais de um ano; em maio de 2011, a administração de Obama compartilhou sua visão sobre o que a legislação deveria incluir. 11 Legisladores dos EUA buscam medidas para revelação de violação de dados 6 “Sony Playstation sofre violação maciça de dados”, de Liana B. Baker and Jim Finkle, Reuters.com, 26 de abril de 2011, www.reuters.com/article/2011/04/26/us-sony-stoldendata-idUSTRE73P6WB20110426 7 “Citi declara que muitos outros clientes tiveram os dados roubados por hackers” de Eric Dash, The New York Times, 16 de junho de 2011, www.nytimes.com/2011/06/16/technology/16citi.html 8. Lei de Notificação de Violação de Dados de 2011: www.govtrack.us/congress/billtext.xpd?bill=s112-1408 9 Lei de Responsabilização por Violação e Proteção de Dados Pessoais: http://judiciary.senate.gov/legislation/upload/ALB11771-Blumenthal-Sub.pdf 10 Lei de Segurança e Privacidade de Dados Pessoais: www.govtrack.us/congress/billtext.xpd?bill=s112-1151 11 “Cartas para os Membros do Congresso e do Senado sobre a proposta de segurança cibernética da Administração”, WhiteHouse.gov, 12 de maio de 2011, www.whitehouse.gov/sites/default/files/omb/legislative/letters/ Cybersecurity-letters-to-congress-house-signed.pdf. Muitas políticas de uso aceitável (AUPs Acceptable Use Policies) surgiram de uma necessidade das empresas estabelecerem regras sobre como os funcionários deveriam acessar a Internet durante o horário comercial utilizando os ativos da empresa. Com o passar do tempo, muitas dessas políticas se tornaram uma verdadeira coletânea inflada de documentos para cobrir tudo desde acesso à Internet ao uso de mídia social até o que os funcionários não podem dizer sobre sua empresa enquanto interagem em canais online fora do expediente de trabalho. Como resultado, essas políticas, apesar de bem intencionadas, eram difíceis de absorver e aderir para os funcionários, e quase impossível de aplicar para as empresas. Considerando os resultados da pesquisa Cisco Connected World, pareceria que a maioria das AUPs é ineficiente por outro motivo: Os funcionários não acham que caiba a eles ajudar a empresa a aplicar essas políticas. A pesquisa revela que três a cada cinco funcionários (61%) acreditam que não são responsáveis por proteger informações corporativas e dispositivos; em vez disso, sua visão é que essa responsabilidade cabe à TI e/ou aos provedores de serviço. Portanto, a pergunta é, qual a finalidade de ter um AUP? “As políticas de uso aceitável são importantes por muitos motivos, incluindo a conformidade regulatória, mas a maioria dessas políticas não é nada realista”, segundo o gerente Gavin Reid, Cisco CSIRT. “Muitas parecem uma longa lista de lavanderia repleta de proibições. Na verdade, elas são apenas uma forma de a empresa dizer ao funcionário, seu departamento jurídico ou investigadores, no caso de um incidente de segurança, “Bem, nós avisamos que isso não deveria ser feito.” Reid diz que uma melhor abordagem seria as empresas repensarem a AUP para torná-la relevante e aplicável e acrescenta que muitas empresas já estão fazendo isso. As novas AUPs resultantes desse processo são mais enxutas e sólidas. Em geral, elas são listas bem menores, algumas incluem inúmeros itens, como deixar claro para os usuários que eles não podem utilizar aplicativos ponto a ponto (P2P) ou enviar spam de seu desktop. E todos os itens dessas listas são “tecnicamente aplicáveis”, de acordo com Reid, o que significa que a empresa implantou a tecnologia necessária para identificar violações de AUP. “A tendência atual das AUPs é que as empresas assumam uma abordagem de maior risco”, explica Nilesh Bhandari, gerente de produtos da Cisco. “As empresas estão se concentrando naquilo que elas absolutamente precisam incluir em uma AUP e o que é mais importante para a empresa, especialmente em termos de custo e tempo necessários para monitorar a adesão dos funcionários à política.” Ele acrescenta que uma AUP bem definida é mais fácil de ser entendida e seguida pelos funcionários e fornece à empresa uma maior margem de manobra com a sua força de trabalho. “Os usuários prestam atenção a uma AUP quando entendem inteiramente o que acontecerá se eles não aderirem à política”, conta Bhandari. O Futuro para Políticas de Uso Aceitável “A tendência atual das Políticas de Uso Aceitável é que as empresas adotem uma postura bem mais propensa a riscos”. —Nilesh Bhandari, Gerente de Produto, Cisco Mito vs. realidade: As AUPs não são aplicáveis Mito: As AUPs não possuem impacto porque é impossível implementá-las e, antes de tudo, elas são simplesmente muito complexas para serem elaboradas pela empresa. Realidade: As empresas não conseguem aplicar com eficácia uma política geral. Embora seja preciso dedicar tempo e pesquisa para determinar o que uma AUP deve incluir e se cada item pode realmente ser implantado, o resultado final será uma política mais fácil para os funcionários entenderem e seguirem, e que é mais provável que ela aprimore a segurança da empresa. Deve-se dar um foco especial ao treinamento dos funcionários no uso seguro de email e da web, visto que essas são as trilhas que os cibercriminosos costumam traçar para se infiltrarem e infectarem redes, roubar propriedade intelectual e outros dados confidenciais e comprometer os usuários individuais.
  12. 12. Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. Relatório Anual de Segurança da Cisco 2011 2120 Relatório Anual de Segurança da Cisco 2011 Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. Como começar a adotar a segurança de colaboração As empresas podem usar as seguintes etapas para ajudar a estabelecer políticas de segurança, tecnologias e processos relacionados para colaboração e segurança de mídia social: • Crie um plano comercial para soluções de colaboração e rede social, iniciando com a necessidade da empresa. • Elabore mecanismos claros de governança de segurança para colaboração. • Crie políticas sobre confidencialidade das informações e expectativas para as interações dos funcionários em sites de colaboração. • Defina políticas relativas às medidas de segurança de rede, como acesso remoto por dispositivos portáteis, nível de proteção de rede e uso de compartilhamento de arquivos diretos. • Identifique requisitos regulatórios e de conformidade que possam restringir o uso ou a revelação de informações sobre mídia social. • Crie recursos de treinamento para todos os usuários. A julgar pelos resultados do estudo Connected World, os universitários e jovens profissionais provavelmente encontrarão formas de burlar as restrições de acesso à mídia social se considerarem isso necessário, a despeito das políticas corporativas. Três de cada quatro profissionais pesquisados acreditam que suas empresas deveriam permitir que eles acessassem a mídia social e seus sites pessoais com os dispositivos fornecidos pela companhia. Além disso, 40% dos alunos de faculdade declararam que quebrariam as regras de mídia social da empresa. Essa é uma parte considerável da força de trabalho potencial pesquisada no estudo e serve como advertência para as empresas que estão definindo suas AUPs para mídia social. Em outras palavras, você pode banir totalmente ou restringir a mídia social, mas é bem provável que seus funcionários acabem acessando-a mesmo assim. Empresas com AUPs que limitam o acesso às mídias sociais para seus funcionários provavelmente terão dificuldades de atrair os melhores e mais brilhantes talentos. Vinte e nove por cento dos alunos pesquisados declararam que recusariam uma proposta de trabalho de uma empresa que não lhes permitisse acessar mídia social durante o horário comercial. E dentre os alunos que aceitariam tal emprego, apenas 30% declararam que obedeceriam a essas políticas. “O acesso à mídia social e a liberdade tecnológica passarão a ser benefícios decisivos para os jovens em busca de emprego para começar suas carreiras”, declarou Chris Young, vice-presidente sênior do Security Group da Cisco. “As organizações de RH precisam levar esses fatores em conta na cultura e na política da empresa se quiserem se manter altamente competitivas. As empresas devem encontrar um meio termo viável entre os desejos dos funcionários de compartilhar e as necessidades da empresa de manter a segurança da TI e dos dados, a privacidade e a proteção de ativos.” Tal solução conciliatória envolve conceder acesso à mídia social e a outras tecnologias de colaboração utilizando controles de tecnologia para eliminar ameaças como mensagens de malware ou phishing. Na maioria dos casos, as configurações de segurança são controladas pelos usuários, não pela TI. Para compensar essa falta de controle, medidas adicionais de segurança podem ser implementadas — por exemplo, um sistema de prevenção de invasão para proteger contra ameaças de rede e filtro de reputação para detectar atividade e conteúdo suspeito. Os controles de tecnologias devem ser combinados com um treinamento de usuário que esclareça as expectativas da empresa em relação a comportamentos e práticas apropriados enquanto acessam mídia social em dispositivos da empresa ou através de redes corporativas. Como discutido antes (consulte Mídia Social: agora uma ferramenta de produtividade”, página 8), os jovens profissionais sentem-se muito confortáveis com o compartilhamento de informações no ambiente de mídia social de forma que não percebem - e não foram ensin ados a perceber - que mesmo pequenas informações postadas em uma mídia social podem trazer prejuízos a uma empresa. Falta de treinamento de usuário sobre preocupações de segurança de colaboração e diretrizes para revelar informações online pode trazer riscos de exposição. Mídia Social: políticas combinadas com controles de tecnologia PARTE 2
  13. 13. Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. Relatório Anual de Segurança da Cisco 2011 2322 Relatório Anual de Segurança da Cisco 2011 Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. Perspectiva de ameaça cibernética para 2012: O Fator Hacktivismo Tendências Geopolíticas: Influência da Mídia Social Ganha Força As empresas de hoje precisam lidar com uma grande variedade de problemas de segurança trazidos por mudanças de atitude e hábitos de trabalho entre seus funcionários e as dinâmicas de um universo mais móvel, cooperativo e conectado. Conforme analisado por esta metade do Relatório Anual de Segurança da Cisco 2011, as empresas também devem continuar a se proteger contra uma grande variedade de ameaças potentes com as quais os cibercriminosos já estão obtendo vantagens e nas quais estão investindo recursos adicionais para refiná-las, entre elas temos ameaças persistentes e avançadas (APTs), Cavalos-de- Tróia que roubam dados e explorações da web. No entanto, as empresas agora também precisam considerar outra possível ameaça à segurança que pode ser ainda mais perturbadora caso suas operações sejam atingidas: o hacktivismo. “Hacktivismo é uma variação do hacking tradicional”, expôs John N. Stewart, vice-presidente e diretor de segurança da Cisco. “Os hackers costumavam hackear para se divertir e conquistar fama. Depois, passaram a buscar recompensas financeiras. Agora, muitas vezes querem transmitir uma mensagem e você pode nunca saber por que se transformou em alvo. Estamos defendendo um novo domínio agora.” EO Hacktivismo— uma combinação de hacking e ativismo — saltou para a metade superior das preocupações de segurança no fim de 2010 quando os defensores do WikiLeaks.org lançaram ataques distribuídos de negação de serviços (DDoS) contra instituições como PayPal e Mastercard; a iniciativa foi chamada de “Operação Payback”.12 De muitas formas, o hacktivismo é uma extensão natural de como as pessoas estão usando a Internet hoje, para se conectarem a pessoas com afinidades em todas as partes do globo. A Internet serve como uma plataforma poderosa para aqueles que querem divulgar uma mensagem, chamar a atenção de um público amplo e motivar os outros a realizarem ações semelhantes. (Veja a seção “Influência da Mídia Social Ganha Força” na página oposta.) Por trás da Operação Payback, havia um grupo conhecido como coletivo Anonymous que tem ganhado adeptos e influência no mundo inteiro desde então. (Para saber mais sobre os Anonymous, veja “Apresentação Cibernética da Cisco”, página 24.) Mais recentemente, os Anonymous estabeleceram um vínculo com o movimento de ocupação de Wall Street.13 Os protestos do “Occupy” começaram em Nova Iorque, mas rapidamente geraram movimentos semelhantes em mais de 900 cidades em todo o mundo. Ativistas representando os Anonymous coletivamente incentivaram seus simpatizantes a participarem do movimento, que na sua maioria tem sido pacífica, mas registrou alguns confrontos mais violentos com a polícia em algumas cidades, incluindo Roma, Itália,14 e Oakland, Califórnia.15 Muitas vezes, facções dos Anonymous que se identificam com o movimento Occupy ameaçaram maiores interrupções, como campanhas de hacking para interromper as operações de grandes mercados financeiros. Os incidentes de outros grupos de hacktivismo no último ano ajudaram a elevar esta ameaça para a metade superior das preocupações cibernéticas das empresas. A LulzSec, por exemplo, concentrou seus esforços em organizações de aplicação da lei, executando ataques DDoS e roubos de dados contra organizações de crime cibernético no Reino Unido.16 Em julho, um grupo associado, conhecido como “Script Kiddies”, hackeou as contas de Twitter da Fox News para postar que o presidente dos EUA Barack Obama havia sido assassinado.17 O Hacktivismo pode ocorrer de forma repentina e inesperada, embora os Anonymous tenham anunciado alguns de seus alvos, como a HBGary Federal, uma empresa contratada pelo governo federal dos EUA para monitorar as companhias que são alvos preferenciais dos ciberativistas por terem retirado o apoio ao WikiLeaks.org. Embora a ameaça de hacktivismo possa parecer remota, ela é muito real e representa uma mudança na natureza do próprio crime cibernético. “Entender a motivação dos criminosos tem sido o princípio que orienta a definição de uma estratégia de segurança. No entanto, a meta dos hacktivistas de provocar o caos prejudica este modelo, visto que as empresas podem ser alvo a qualquer hora, por qualquer motivo e por qualquer um”, explica Patrick Peterson, pesquisador sênior de segurança da Cisco. “Aquilo que normalmente as empresas tentariam proteger em uma ´violação de segurança tradicional´ como a propriedade intelectual, pode não representar nenhum interesse para este tipo de hacker. O verdadeiro objetivo da ação é perturbar, causar situações embaraçosas ou fazer com que seu alvo sirva de exemplo ou mesmo tudo isso ao mesmo tempo.” Stewart acrescenta, “O planejamento avançado de um incidente de hacktivismo significa criar um plano de ação que defina o que a organização diria e faria após tal evento ter ocorrido. A elaboração deste plano seria um esforço multifuncional que inclui equipes de gerenciamento e segurança, o setor jurídico e mesmo profissionais de segurança. Se isso acontecer na sua empresa, é preciso administrar bem a situação, pois isso pode resultar em prejuízos de longa duração à imagem da sua marca. Como é verdade em muitas outras coisas, esteja preparado para ter um plano antes que ocorra um incidente.” Se alguém ainda tinha alguma dúvida de que a mídia social é capaz de promover mudanças sociais na velocidade da luz, 2011 foi o ano em que este poder foi definitivamente comprovado. Os protestos da “Primavera Árabe” no início do ano e os tumultos em Londres e em outras cidades britânicas durante o verão demonstraram que a mídia social tem uma capacidade de mobilização que nenhum outro meio de comunicação jamais teve. Nos dois casos, o Twitter e o Facebook foram usados para convocar o público para aglomerações públicas e, também, nos dois casos, as entidades governamentais sugeriram bloquear o acesso à mídia social cortando o acesso à Internet ou assumindo o controle de registros de contas pessoais. Um estudo de setembro de 2011 da Universidade de Washington conclui que a mídia social, especialmente o Twitter” teve um papel central no direcionamento dos debates políticos da Primavera Árabe”, especialmente no Egito e na Tunísia, de acordo com um resumo do estudo. “As conversas sobre a revolução muitas vezes precederam grandes eventos na região, e a mídia social divulgou histórias inspiradoras sobre protestos em outros países.”18 Os observadores da mídia social acreditam que essa tendência continuará, à medida que as frustrações dos protestos contra os governos ganham voz nas redes de mídia social. 19 As implicações para as empresas e sua segurança estão na possibilidade de a mídia social estar sendo usada para gerar reviravoltas dentro de suas próprias organizações ou direcionadas a suas marcas ou indústrias. (Veja “Perspectiva de ameaça cibernética para 2012: o fator hacktivismo,” página 22.) “A percepção de anonimato online aumenta o risco de consequências imprevistas se os chamados neizens se sentirem livres para fazer acusações sem se preocuparem em verificar os fatos”, explica o analista global da Cisco Jean Gordon Kocienda. “Para as empresas e seus executivos, principalmente no ambiente globalizado de frustração em relação a grupos percebidos como privilegiados, isso aumenta as preocupações de segurança física e virtual.” Além disso, as empresas podem esperar passar por sérias interrupções de atividade se os escritórios ou funcionários estiverem baseados em áreas onde essas revoltas possam estar ocorrendo, por exemplo, corte do acesso à Internet pelas autoridades como medida de segurança. Também é possível que as organizações consideradas como apoiadoras ou colaboradoras de um regime corrupto sejam alvos ou sofram algum tipo de represália se forem consideradas como uma instituição repressora dos movimentos revolucionários. Também está no radar das empresas o aumento na tendência dos governos tentarem bloquear a mídia social ou mesmo os serviços da Internet em uma escala mais ampla, ou solicitar acesso à conta de mídia social ou informações de dispositivos portáteis que normalmente são privados. Por exemplo, durante os protestos no Reino Unidos, as pessoas usaram o BlackBerry Messenger (BBM), o serviço de mensagens instantâneas para usuários de BlackBerry, para trocar informações sobre locais a serem saqueados ou sobre pontos de concentração de manifestantes. O BBM é uma mensagem telefônica ponto a ponto que, em geral, é mais difícil de ser rastreada pelas autoridades policiais. A RIM, desenvolvedora do BlackBerry, concordou em cooperar com a polícia do Reino Unido na tentativa de identificar os usuários do BBM que incitaram os tumultos, embora a empresa não tenha revelado que tipo de informações da conta do BBM ela revelaria.20 Como consequência das revoltas, as autoridades britânicas advertiram que, no futuro, o governo pode solicitar poderes de polícia mais amplos para controlar tumultos e propôs solicitar aos provedores de mídias sociais que restringissem o acesso a seus serviços durante tais situações de emergência. O Twitter respondeu citando uma postagem de blog no início de 2011 reafirmando o compromisso da empresa em manter o seu serviço em funcionamento independentemente de que eventos de grande impacto estivessem sendo discutidos via tweets: “Nós nem sempre concordamos com as coisas que as pessoas optam por tuitar, mas mantemos o fluxo de informações independentemente de qualquer opinião que possamos ter a respeito de seu conteúdo.”21 Os responsáveis pela segurança prevêem um cabo-de- guerra entre governos, que cada vez mais exigirão acesso aos dados de usuários para manter a lei e a ordem— e os defensores da privacidade, que protestaram contra tais revelações dos provedores de tecnologia. Como exemplo, a Índia expressou preocupação com sua capacidade de ter acesso a tais dados (por exemplo, para rastrear atividades terroristas), e firmou um acordo com a RIM segundo o qual o governo pode solicitar dados privados de usuários da empresa caso a caso. A Diretiva de Retenção de Dados Européia, que foi criada em 2006 e exige que os dados de comunicação sejam retidos em caso de necessidade pelas autoridades policiais, foi implantada por alguns países da União Europeia, e adiada por outros.22 “Ficou claro que os governos globais estão lutando para aplicar os novos cenários de tecnologia e comunicação aos princípios básicos da lei e da sociedade”, contou Adam Golodner, Diretor de Segurança Global e Política de Tecnologia da Cisco. “À medida que a tecnologia progride e avança no ciberespaço, esta aplicação de novos cenários a princípios antigos passará a ser a questão central da política para um futuro imprevisível.” 12 “‘O Anonymous lança ataques de DDoS contra os inimigos do WikiLeaks,” de Leslie Horn, PCMag.com, 8 de dezembro de 2010, www.pcmag.com/article2/0,2817,2374023,00.asp#fbid=jU1HvGyTz7f. 13 Website do Occupy Wall Street: http://occupywallst.org/. 14 “Protestos de Ocupação se espalham pelo mundo; 70 feridos em Roma”, de Faith Karimi e Joe Sterling, CNN.com, 15 de outubro de 2011, www.cnn.com/2011/10/15/world/occupy-goes-global/index.html. 15 “Violência no Occupy Oakland: os protestos pacíficos do Ocuppy acabam em caos, Associated Press, The Huffington Post, 3 de novembro de 2011, www.huffingtonpost.com/2011/11/03/occupy-oakland-violence-_n_1073325html. 16 “Lulzec divulga dados da polícia do Arizona, alegando retaliações pela Lei da Imigração”, de Alexia Tsotsis, TechCrunch.com, 23 de junho de 2011, http://techcrunch.com/2011/06/23/lulzsec-releases-arizona-law-enforcementdata- in-retaliation-for-immigration-law/. 17 ”Script Kiddies hackeia conta da Fox News e envia tweet anunciando morte de Obama”, de Nicholas Jackson, The Atlantic, 4 de julho de 2011, www.theatlantic.com/technology/archive/2011/07/script-kiddies-hack-fox-news-account-tweet- obamas-death/241393/. 18 “Abrindo os regimes fechados: Qual foi o papel das mídias sociais durante a Primavera Árabe?,” Projeto sobre Tecnologia da Informação e o Islã Político, http://pitpi.org/index.php/2011/09/11/opening-closed-regimes-what-was-the-role-of- social-media-during-the-arab-spring/. 19 “Os controles de mídia social do Reino Unido apontam para uma intensificação da ‘guerra das informações’” Reuters, 18 de agosto de 2011, www.reuters.com/article/2011/08/18/us-britain-socialmedia-idUSTRE77H61Y20110818. 20 “O amor não correspondido dos manifestantes de Londres pelo BlackBerry”, FastCompany.com, 8 de agosto de 2011, www.fastcompany.com/1772171/london-protestors-unrequited-love-for-blackberry. 21 “Os Tweets não serão interrompidos,” blog do Twitter, 28 de janeiro de 2011, http://blog.twitter.com/2011/01/tweets-must-flow.html. 22 “Suécia adia a lei de retenção de dados da UE”, The Register, 18 de março de 2011, www.theregister.co.uk/2011/03/18/sweden_postpones_eu_data_retention_directive/.
  14. 14. Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. Relatório Anual de Segurança da Cisco 2011 2524 Relatório Anual de Segurança da Cisco 2011 Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. Anunciando os vencedores de 2011 na Apresentação de Crime Cibernético da Cisco Sempre teremos vilões e heróis, e a indústria da segurança não é nenhuma exceção. Os personagens podem mudar, mas todos os anos indivíduos mal-intencionados estão fazendo de tudo para descobrir novas formas de roubar dinheiro e informações e provocar caos em canais online, e os combatentes do crime cibernético estão trabalhando sem descanso para detê-los. Nesta terceira Apresentação Anual de Crime Cibernético da Cisco, mais uma vez reconheceremos representantes do “bem” e do “mal’ no campo de batalha de segurança que tiveram um impacto notável no cenário da segurança cibernética no passado. 23 “Desativando botnets para criar uma Internet mais segura e confiável”, Microsoft.com: www.microsoft.com/mscorp/twc/ endtoendtrust/vision/botnet.aspx. 24 “O desmantelamento da Rustock prova que é possível enfraquecer os botnets, declara a Microsoft,” Computerworld. com, 5 de julho de 2011, www.computerworld. com/s/ article/9218180/Rustock_take_down_proves_botnets_can_ be_crippled_says_Microsoft. 25 “Como a Microsoft Derrubou a Gigantesca Botnet Kelihos”, The Huffington Post, 3 de outubro de 2011, www.huffingtonpost. com/2011/10/03/microsoft-kelihos-botnet_n_992030. html. MICROSOFT DO BEM ANONYMOUS DO MAU A tecnologia da Microsoft sempre atraiu a atenção de criminosos devido à sua penetração nos mercados corporativos e de usuários domésticos. Em particular, os criadores de botnets exploraram as vulnerabilidades do sistema operacional Windows utilizando engenharia social, ataques baseados na Web e vulnerabilidades não corrigidas. Nos últimos anos, a Microsoft combateu os botnets de três formas principais. Primeiro, a Microsoft melhorou consideravelmente a segurança dos seus produtos. Os principais desenvolvimentos incluem descoberta agressiva de vulnerabilidades e ciclos semanais de patches; implementações de Microsoft Security Development Lifecycle (SDL) para aumentar drasticamente a segurança do produto; sistemas de atualização automática para o Windows Internet Explorer, incluindo um novo modelo de segurança para controles ActiveX; e para o desenvolvimento de Malicious Software Removal Tool (MSRT), que remove cirurgicamente o malware dos PCs. O MSRT foi implantado contra famílias de malware que alimentam mais de 150 dos maiores botnets do mundo, incluindo o Zeus (Zbot), Cutwail, Waledac e Koobface, para remover centenas de milhões de infecções de malware em PCs. A pesquisa da Cisco demonstrou grandes declínios ano após ano na exploração bem-sucedida realizada com kits de ferramentas para exploração da Web. ESegundo, a Microsoft liderou a comunidade de segurança na luta contra o crime cibernético. A Unidade de Crimes Digitais da Microsoft realiza o Digital Crimes Consortium (DCC) anual, que é uma oportunidades para autoridades da polícia e membros da comunidade de segurança da tecnologia discutirem os esforços policiais relativos aos crimes cibernéticos no mundo inteiro. O evento deste ano englobou 340 participantes de 33 países. Em terceiro lugar, a Microsoft realizou agressivamente ações legais contra criminosos cibernéticos. Em 2010, a Microsoft entrou com uma ação para fechar o botnet Waledac, que infectou centenas de milhares de computadores em todo o mundo e estava enviando até 1,5 bilhões de mensagens de spam diariamente ,solicitando a um juiz federal que emitisse uma ordem de proteção judicial contra quase 300 domínios da Internet supostamente controlados por criminosos da Waledac. Esta ação cortou a comunicação entre os centros de comando e controle dos botnets e os computadores que eles controlavam, “matando” efetivamente o botnet.23 No início de 2011, os advogados da Microsoft e autoridade dos EUA confiscaram os servidores de comando e controle do botnet Rustock, que era hospedado em vários provedores de hospedagem dos Estados Unidos. O malware difundido pela Rustock, que era operada por criminosos russos e, na sua maioria, distribuía spams farmacêuticos, registrou um declínio dramático e a atividade do botnet foi reduzindo até ser totalmente interrompida. Além disso, a Microsoft ofereceu uma recompensa de US$250.000 para informações que levassem à prisão dos criadores do Rustock.24 De acordo com a Cisco IronPort SenderBase Security Network, desde que a Rustock foi desmantelada, o volume diário de spam caiu consideravelmente em todo o mundo. Em setembro de 2011, a Microsoft usou táticas jurídicas semelhantes para fechar o botnet Kelihos e pela primeira vez, colocou no banco dos réus o suposto proprietário de um domínio da web que controlava o botnet.25 As ações anti-botnet da Microsoft combinadas com os números recordes de fornecimento pela empresa de patches para redução de vulnerabilidades, que também ajudou a limitar a ação das atividades criminosas, a transformaram em uma verdadeira combatente do crime cibernético. O projeto MARS (Microsoft Active Response for Security) da empresa, que supervisiona esses esforços para derrubar botnets, também compartilhou suas conclusões em relação a botnets com membros do setor de segurança. A O O Anonymous, descrito como uma “comunidade online descentralizada atuando anonimamente de forma coordenada” é uma “coalizão frouxa de internautas” que já existe há muitos anos, e tem chamado a atenção dos jornais com mais frequência ultimamente à medida que o grupo se torna cada vez mais associado com hacktivismo colaborador e internacional. (Para mais informações sobre hacktivismo, veja “Perspectiva de ameaça cibernética para 2012: o fator hacktivismo,” página 22.) Os simpatizantes do grupo Anonymous estão espalhados por todas as partes do mundo e conectam-se entre eles através de fóruns da Internet, imageboards, e outros pontos de encontro na Web como 4chan, 711chan, Encyclopedia Dramatica, os canais IRC e mesmo sites mais convencionais como o YouTube e o Facebook. “Esse é um grupo bem organizado, embora tenha poucos afiliados”, conta Patrick Peterson, pesquisador sênior de segurança da Cisco. “As pessoas envolvidas são altamente talentosas e incrivelmente ambiciosas. Em muitos casos, suas ações não são impulsionadas por motivos financeiros. É mais uma questão de ‘Vejam só o que eu sou capaz de fazer’. E quando acabam, eles desmantelam tudo e desaparecem sem deixar rastros.” Em 2011, o Anonymous foi associado a diversos incidentes de hacking de grande repercussão, alguns previamente anunciados e todos com a intenção de passar alguma mensagem, incluindo ataques diretos aos websites de: • Diversas instituições de polícia americanas, o que acabou na divulgação de informações pessoais confidenciais de negociadores de paz e informantes do governo • O governo da Tunísia, como parte do movimento “Primavera Árabe” (veja Influência da Mídia Social Ganha Força, página 23) • Empresa de segurança HBGary Federal • Sony Computer Entertainment America Que ameaças o Anonymous oferece no futuro? “Este grupo tem a capacidade de infligir danos reais”, afirma Scott Olechowski, gerente de pesquisa de ameaças da Cisco. “A maior parte das atividades que pude observar no movimento não era radical, muito provavelmente, eles são mais capazes de provocar perturbações do que danos reais. Você poderia defini-los como nocivos mesmo assim. Mas se pessoas que realmente querem causar danos se infiltrarem no Anonymous ou se o grupo se radicalizar um pouco mais ao tentar passar suas mensagens, poderemos ter um problema real.” Considere que esse quase-incidente teria o potencial de repercutir em uma economia global já incerta: Em outubro, facções do Anonymous tinham o grande objetivo de “apagar” a Bolsa de Valores de Nova Iorque em 10 de outubro de 2011, através de um ataque distribuído de DDoS em uma demonstração de suporte ao movimento Occupy Wall Street.27 Uma razão possível para o grupo não ter cumprido suas ameaças de derrubar a bolsa é que “o grito de guerra suscitou críticas tanto entre os defensores quanto entre seus críticos, condenando o esforço.”28 Portanto, parece que o Anonymous, com suas conexões enfraquecidas no momento, pode ser influenciado pela consciência coletiva para não provocar danos sérios, ao menos neste caso. “As pessoas envolvidas são altamente talentosas e incrivelmente ambiciosos. Em muitos casos, suas ações não são impulsionadas por motivos financeiros. É mais uma questão de ‘Vejam só o que eu sou capaz de fazer’”. —Patrick Peterson, pesquisador sênior de segurança, Cisco 27 “O grupo de hackers Anonymous ameaça derrubar a Bolsa de Valores de Nova Iorque” de Ned Potter, ABC News, 10 de outubro de 2011, http://abcnews.go.com/Technology/anonymous-hackers-threaten-erase- york-stock-exchange-site/story?id=14705072. 28 “Basta piscar e você nem vai ver: O Anonymous ataca a NYSE”, de Chris Barth, Forbes.com, 10 de outubro de 2011, www.forbes.com/sites/chrisbarth/2011/10/10/blink-and-you-missed-it-anonymous-attacks-nyse/.
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×