SEgurAnçA dA InformAção E gEStão dE rISco                                                     Ano 6          número 10   2...
RISK.indb   2   31/3/2011   16:30:36
w w w. riS k r e p o r t.C o m . B r                                                                                      ...
Índice                SPOT                                                            FOCUS                    6 Uma nova ...
C M YCMMYCYCMY K      RISK.indb   5   31/3/2011   16:30:50
Spot                                                                                            * Gijo Mathew é VP de Mark...
Nossa estratégi é pensar em como oferecer servi                               a                               ços         ...
Overview                       Segurança da Informação                       em três dimensões                            ...
Proteção contra                brechas internas                            A CA anuncia a adição de novos recursos     end...
Portfólio                      Firewalls de                  Autenticação                 Dados críticos                RI...
RISK.indb   5   31/3/2011   16:31:18
Trend            Cloud versus Cloud                 Com benefícios tangíveis, a                                         da...
Vantagens do cloud                                                                                         em nuvem e virt...
Trend                 nwart, responsável pela área de Segurança da compugraf.            processos de aquisição de ambient...
kwarup.com                TABU SOBRE E-COMMERCE                      “Vai demorar para as pessoas                      com...
Financial                           A nova fronteira                           da autenticação                            ...
proteção para as transações presenciais                                                                  “O RIC é uma form...
Financial                                                                                   “O importante é a proteção da ...
2 011                 •	 Exposição de Soluções, Produtos e Serviços                 •	 Painéis de debates com transmissão ...
Focus                 A especialização do                 cibercrime                 Novos dispositivos e redes sociais to...
MaliciousNetworking.org                                                 C&C             Phish           Spam          Expl...
Focus       O outro lado das       redes sociais                        As mídias sociais estão cada                      ...
“As pessoas têm uma fa  lsa                                                                            sensação de impunid...
Risk Report
Risk Report
Risk Report
Risk Report
Risk Report
Risk Report
Risk Report
Risk Report
Risk Report
Risk Report
Risk Report
Risk Report
Risk Report
Upcoming SlideShare
Loading in...5
×

Risk Report

754

Published on

Já está circulando a edição 10 da revista Risk Report. Confira!
Você encontra a Risk Report nas mesas dos principais executivos do País

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
754
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
13
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Risk Report

  1. 1. SEgurAnçA dA InformAção E gEStão dE rISco Ano 6 número 10 2011 Em busca de um padrão Bancos avaliam tendências em autenticação Cibercrime Ataques estão mais específicos Security Leaders Premiação valoriza os profissionais de SI Cloud versus Cloud Embates da computação em nuvem Jorge Krug, superintendente executivo da Unidade de Segurança de TI do BanrisulRISK.indb 34 31/3/2011 16:30:28
  2. 2. RISK.indb 2 31/3/2011 16:30:36
  3. 3. w w w. riS k r e p o r t.C o m . B r Editorial março 2011 Direção e eDição geral Graça Sermoud gsermoud@conteudoeditorial.com.br reportagem Léia Machado Segurança 4.0 lmachado@conteudoeditorial.com.br Ao conSultAr o EdItorIAl dA PrImEIrA EdIção dE Risk RepoRt, em 2007, ratifiquei o quanto a Segurança da Informação evoluiu nesses quatro anos. Vista David Plassa dplassa@conteudoeditorial.com.br como um mal necessário, a SI era considerada um custo pelos executivos fora da área de ColaBoraDor tI e entrave pelos usuários. Ao líder de Segurança da Informação, na maioria das vezes Júlia Zillig subordinado ao cIo, restava estabelecer regras e monitorá-las. de lá para cá, o cenário CorreSpoNDeNteS vem mudando drasticamente. Alda Campos, Europa Gilda Furiati, Brasília Em primeiro lugar, os ataques tornaram-se mais sofisticados, exigindo atenção redo- Vera Dantas, Rio de Janeiro brada do board da companhia e não só dos mais envolvidos com tecnologia. Segundo, o DeSigN fenômeno das redes sociais transformou as empresas, atraindo uma legião de usuários, Rafael Lopes Lisboa mas aumentando consideravelmente as vulnerabilidades. Qual a empresa que pode ne- FotograFia gligenciar, hoje, a questão da Segurança? Qual a companhia que pode subestimar os Izilda França ataques ou considerá-los apenas uma questão de tecnologia? Direção De marketiNg Segurança hoje é comportamento, é cultura, é compartilhamento, é globalização e, em mui- Sérgio Sermoud ssermoud@conteudoeditorial.com.br tos casos, diferencial competitivo. Isso elevou os cSos e os gerentes envolvidos diretamente eXeCUtiVa De CoNta com os riscos a um patamar estratégico dentro das corporações. risk report acompanha Débora Garbosa essa trajetória e tem por missão mostrar a evolução da questão sob todos os ângulos. de um dgarbosa@conteudoeditorial.com.br lado as empresas e os desafios da nova visão holística da Segurança. de outro, a evolução CoorDeNaDoreS De eVeNtoS dos profissionais responsáveis pela condução das políticas e a implementação das soluções. Gabriela Makhoul gmakhoul@conteudoeditorial.com.br fechando as pontas, está o mercado fornecedor, que também evoluiu no mesmo ritmo, Marcos Carvalho oferecendo uma miríade de produtos e serviços aprimorados para a nova demanda. mcarvalho@conteudoeditorial.com.br resta a clássica pergunta: SI já é vista como investimento? Essa é a verdadeira Seguran- ça 4.0? Ao acompanhar as matérias desta edição, é fato que a segurança vai além de ferra- mentas e serviços. As soluções e a infraestrutura necessárias para garantir que os ambien- tes estejam cada vez mais seguros sempre representarão um custo para as empresas e não A revista risk report é uma publica- há como mudar isso. Por outro lado, ao aliar aos produtos, políticas e comportamentos ção da Conteúdo Editorial, uma em- adequados ao novo cenário de vulnerabilidades, as empresas passam a enxergar Segurança presa de produtos e serviços editoriais na área de Tecnologia da Informação como fator estratégico. E essa é a grande transformação que estamos vendo agora. e Comunicação. Saiba mais sobre a Educar, mais do que proibir. monitorar, mais do que cercear. compartilhar, mais do que Risk Report no www.riskreport.com.br. Mais sobre a Conteúdo Editorial em isolar. Enfim, saem de cena antigas expressões e entra um vocabulário mais condizente w w w.conteudo e ditorial.com.b r com os novos tempos, em que as mídias sociais disseminam a informação para além das Fale CoNoSCo: (11) 5049.0202 empresas e da própria internet. Se olharmos o termo Segurança da Informação, vemos que o cerne está exatamente no que hoje se tornou o bem mais precioso das empresas, a Informação. Em nome dela, a Segurança deve e merece ser alçada a uma posição de destaque e vista como elo e não como ruptura. o evento Security leaders, promovido pela primeira vez em novembro do ano passa- do, retratou esse quadro. Entretanto, iremos acompanhar, ao longo do ano, a evolução e as novas cores desse cenário. Alameda dos Maracatins, 992, Cj 71A confiram nesta edição os principais temas debatidos no 04089-001 São Paulo SP evento e acompanhe conosco essa trajetória. o Security Tel/Fax: 11-5049-0202 www.conteudoeditorial.com.br leaders 2011 irá coroar esse trabalho e você faz parte dele. Participe! Graça Sermoud gsermoud@conteudoeditorial.com.br rISK report 3RISK.indb 3 31/3/2011 16:30:38
  4. 4. Índice SPOT FOCUS 6 Uma nova Segurança 20 A especialização do Em entrevista à Risk Report, Gijo Mathew, VP de Marketing cibercrime de Produtos de Segurança da CA Technologies, fala sobre novas mídias como as redes a visão de SI mais voltada para processos de negócios sociais e os novos dispositivos móveis tornam os ataques virtu- ais cada vez mais sofisticados OVERVIEW 22 O outro lado das redes sociais 8 Segurança da Informação em três dimensões Mesmo com o avanço das novas mídias presentes Check Point apresenta solução baseada na Arquitetura no mundo corporativo, ainda há questões como de Software Blade segurança e treinamento de funcionários para lidar com a informação 9 Proteção contra brechas internas CA adiciona novos recursos e funcionalidades à 24 PCI na pauta do e-commerce ferramenta Access Control A adoção do padrão PCI entra em regime de urgên- cia diante do avanço dos negócios via Web. 2012 9 Trend Micro adquire Mobile Armor é o deadline brasileiro Expandir o portfólio é o objetivo da aquisição da especialista em criptografia de dados 25 Riscos sob controle o conceito GRC vem ganhando notoriedade no PORTFÓLIO mercado, mas o amadurecimento e cultura organi- zacional são barreiras que precisam ser vencidas 10 ConhEçA AS noVIDADES Do MERCADo DE SEGURAnçA DA InFoRMAção 27 Muito mais do que nomes e números o gerenciamento de identidade virou condição fundamental para o aprimoramento de proces- TREND sos, definição de perfis e redução de custos 12 Cloud versus Cloud PREMIAÇÃO A computação em nuvem vem quebrando paradigmas. Porém, seu conceito precisa superar o principal obs- 28 Security Leaders táculo, a Segurança da Informação homenageia CSOs o Congresso Security Leaders 2010 premiou FINANCIAL os profissionais de Se- gurança da Informação 16 A nova fronteira da autenticação e os projetos que mais não há um padrão de segurança para as transações se destacaram ao longo financeiras. De acordo com especialistas, existe um do ano conjunto de tecnologias e normas para o setor 32 Tecnologia: Desvendando a segurança Com o avanço tecnológico, o desafio é viabilizar a rotina de milhões de “weblovers” para estabelecer atos prudentes no ambiente pessoal e profissional 4 rISK reportRISK.indb 4 31/3/2011 16:30:44
  5. 5. C M YCMMYCYCMY K RISK.indb 5 31/3/2011 16:30:50
  6. 6. Spot * Gijo Mathew é VP de Marketing de Produtos de Segurança Uma nova segurança Especi l sta da CA T ai echnologies fa a l o primeiro passo é ter uma boa definição do que é Segurança. sobre a vi são de Segurança mai vo tada s l Há dois tipos: segurança em processos de negócio e segurança para processos de negócios e menos para em infraestrutura. Segurança em infraestrutura é um custo, claro, já que é preciso proteger os sistemas, ter antivírus, to- a infraestrutura - Por Graça Sermoud das as coisas necessárias para promover a defesa do ambiente. A preocupação é como fazer isso e reduzir custos. A outra D parte da segurança tem a ver com processos de negócio, em urante encontro de cSos promovido pela cA tech- ter as informações necessárias aos usuários de forma segura, nologies em nova Iorque, no final do ano passado, fornecer a informação certa, na hora certa. É essa parte da o tema que dominou as conversas foi a nova visão segurança que garante a criação de novos serviços e a pos- da Segurança em um cenário cada vez mais voltado sibilidade de tirar vantagem de outros paradigmas, como as para serviços. nesse contexto, a questão da Segurança começa a redes sociais. muitas empresas querem usar redes sociais para ser vista de uma forma diferenciada. negócios. como fazer isso sem comprometer os dados? Estamos diante de uma nova realidade para as empresas, isto é, uma outra forma de consumir e oferecer tI e consequentemente Então, nessa nova visão de computação, as empresas pre- de Segurança. Essa maneira não representa apenas uma fronteira cisam pensar em termos de processos de negócio e menos para os fornecedores de tecnologia da Informação, mas também em infraestrutura? para os líderes de tI e Segurança, que passam a disponibilizar e o que está acontecendo com o surgimento do cloud compu- olhar a tecnologia em um novo formato. ting é que a infraestrutura está perdendo importância. Se mas de que Segurança estamos falando então? As empresas você gasta menos com segurança de infraestrutura, você pode estão preparadas para essa nova maneira de olhar a Seguran- focar mais nos processos de negócio. com isso pode conectar ça? Será que os líderes estão conscientes a mudança? A nova seus aplicativos sem se preocupar tanto com a parte física do forma pode, enfim, ajudar os cSos a mostrar que Segurança processo. A atenção passa a estar no SlA (Service licensing é um investimento? Agreement), o que importa é acesso seguro aos dados, quan- o VP de marketing de Produtos de Segurança da cA technologies, gijo mathew, falou com exclusividade à risk report e comentou essas e outras questões relativas à adoção de tecnologia como serviço e ao desafio da gestão dos ambientes corporativos no novo cenário. Acho que cloud computing Líderes de ti (Cios) e de segurança (Csos) falam sobre a pode ser uma grande grande dificuldade em mostrar que segurança não é um custo, oportunidade de mudar a mas sim investimento. Como convencer o setor financeiro das empresas disso? Há como mudar essa visão? visão de Segurança 6 rISK reportRISK.indb 6 31/3/2011 16:30:51
  7. 7. Nossa estratégi é pensar em como oferecer servi a ços de segurança com foco no processo de negócios do eu acessei e de quais parceiros são esses dados. Vamos falar do mercado de segurança. Hoje vemos for- Com o tempo, será mais fácil para o CSO mostrar que a se- necedores de produtos de segurança que sempre atuaram gurança é importante para os negócios, para melhorar ou- nesse segmento e vemos uma nova geração de provedores tros produtos e mercados? já oferecendo segurança de uma forma diferenciada. Você Acho que cloud computing pode ser uma grande oportunidade de acha que no futuro os produtos de segurança se tornarão mudar a visão de Segurança. não tem a ver com o cSo somente. Ele um serviço? não é responsável só pela segurança e pela infraestrutura, ele é res- Estamos no meio de uma mudança, mas a maioria ainda pensa a ponsável pela segurança dos aplicativos compartilhados e por fazer a segurança em termos de infraestrutura. A estratégia é pensar em interface dos processos de negócio com o restante da companhia. como oferecer esses serviços de segurança com foco no processo de negócios. E como a segurança muda esses processos. como Mas os CSOs não costumam olhar mais para a infraestrutu- fazer isso de modo mais inteligente, mais rápido e mais barato? ra? Isso não é um problema? E como oferecer soluções de modo mais prático às empresas? o Antes, o nosso trabalho era proteger a infraestrutura. Hoje é que estamos fazendo é mostrar as características do nosso pro- proteger o ambiente computacional da empresa. os cSos co- duto mais que propagandear o produto em si. como cada uma meçam a entender que o importante é olhar para os processos dessas características ajuda o cliente a aumentar a segurança de negócios e como a segurança dos dados está ligada a isso. e reduzir seus custos. Será preciso integrar características de como alterar/mexer nos dados pode afetar os negócios. um dos diversos produtos para atender as necessidades de empresas e focos desse processo é o gerenciamento de identidade. Alguns governos e saber integrar esses produtos com sistemas de cloud executivos já focam mais nos processos de negócios. Infraestru- computing. Isso traz outra implicação: é melhor comprar ou tura está virando parte do setor de operações das empresas e o alugar uma solução em cloud e os produtos devem garantir a pessoal operacional lida com firewall e coisas do tipo. lidamos segurança num ambiente computacional desse tipo. mais com a administração e como ajudar os negócios a melho- rarem e, aí sim, reduzir custos. mas você tem razão, 70% dos Ainda do ponto de vista do fornecedor, é difícil integrar os cSos ainda pensam em infra-estrutura. programas quando acontecem muitas aquisições e é mais difícil ainda para os clientes entenderem isso. A CA Techno- logies vem fazendo várias aquisições na área de Segurança. É tarefa do CSO manter a Como vocês estão resolvendo esse problema? nós começamos a projetar a integração entre os produtos antes segurança e os negóci da os mesmo de adquirir a outra empresa. não é nosso interesse ad- manei que a empresa quer ra quirir tecnologias muito divergentes. nós só compramos algo sabendo que os produtos vão funcionar bem juntos. Procura- mos desenvolver uma “inteligência de integração”. o mais im- Você acha que é mais fácil para o CIO entender essa mudan- portante nesse processo é o compartilhamento de informações ça de visão da Segurança do que o próprio CSO? com o parceiro de aquisição e com isso unir produtos que ge- Eu acho que sim. E se eles entenderem isso, fica mais fácil a ado- rem valor para as empresas. com a computação em nuvem, a ção de novas soluções para os negócios. E se eles não pensarem questão é a de entregar um serviço e não importa mais como ele nisso, as mudanças acontecerão de qualquer jeito. Eu vou dar um funciona “atrás das cortinas”. nós gerenciamos todo esse pro- exemplo: estive numa companhia para implementar um sistema cesso “oculto” e garantimos que o cliente tenha o serviço dese- SAP e um dos diretores disse: eu não posso esperar outros oito jado. É assim que funcionam as redes de telefones celulares. As meses e nem mesmo havíamos falado com o cIo. É tarefa do empresas fazem melhorias dia a dia e o cliente não percebe. os cIo e do cSo pensar em como manter a segurança de dados e fa- clientes não devem fazer integração – não é know-how deles, zer com que os negócios sejam da maneira que a empresa quer. não é o trabalho deles. É o nosso. rISK report 7RISK.indb 7 31/3/2011 16:30:52
  8. 8. Overview Segurança da Informação em três dimensões A Check Point apresenta ao mercado o Check Point R75, a última versão do conjunto de produtos para segurança de rede baseado na Arquitetura de Software Blade. A solução conta com os elementos da visão de Segurança 3D, combinando polí- ticas, pessoas e fiscalização. o conjunto de produtos apresenta quatro novos softwares bla- des para Controle de Aplicativo, Informação de Identidade, Pre- venção contra a Perda de Dados e Acesso Móvel. o controle de aplicativos proporciona uma combinação de tecnologia robusta de segurança, garantindo que os funcionários usem as ferra- mentas de Web 2.0 sem prejudicar a segurança da empresa. o novo blade inclui o UserCheck para envolver os funcioná- rios no processo de adaptação e permite personalizar as po- líticas de uso de aplicativos com base no nível de risco e nas necessidades de usuários. A Informação de Identidade é um software blade que permite gerenciar as políticas de segurança por usuários e grupos. Com ela, as empresas ganham controle sobre aplicativos e acesso por meio da criação de políticas precisas. “hoje, as empresas devem desenvolver um plano de seguran- ça que atende às necessidades corporativas enquanto reforçam a segurança de suas informações. A solução trabalha para isso”, diz Dorit Dor, vice-presidente de Produtos da Check Point. 8 rISK reportRISK.indb 8 31/3/2011 16:31:05
  9. 9. Proteção contra brechas internas A CA anuncia a adição de novos recursos endereça as diretrizes PCI-DSS ao gerenciar auto- e funcionalidades à solução CA Access Control, para maticamente estas senhas. ajudar os clientes a atender às necessidades críticas outro recurso é a Gravação e Playback das Ses- do Gerenciamento de Usuários Privilegiados por meio sões de Usuário Privilegiado. A partir do momento do controle, monitoramento e auditoria centralizados, em que um usuário privilegiado entra com sua senha tudo a partir de um único console de gestão. em qualquer dispositivo gerenciado pelo PUPM, suas os novos recursos da ferramenta incluem Ges- ações podem ser gravadas com segurança e ficam tão de Senha de Usuário Privilegiado para opera- disponíveis para o playback em vídeo. ções automatizadas, Aplicação-para-Aplicação e E, por fim, o Login Automático PUPM e Integra- Aplicação-para-Servidor. Este recurso ajuda a me- ção Avançada, que automatiza o login do usuário fi- lhorar a segurança, reduzir o custo relacionado à nal para qualquer dispositivo gerenciado pelo PUPM, gestão de senhas de contas no sistema e também ajudando a prevenir contra o roubo de senha. Trend Micro adquire Mobi Armor le A Trend Micro acaba de adquirir na nuvem pública”, afirmou Fabio Picoli, coun- a Mobile Armor, empresa especializada em try manager da Trend Micro para o Brasil. criptografia de dados e gerenciamento de o próximo passo será o desenvolvimento dispositivos móveis. A iniciativa expande o em conjunto de soluções de Segurança para portfólio de proteção da Trend Micro, esten- atender principalmente as grandes empresas e dendo suas ofertas de criptografia para todos o Governo brasileiro. os tipos de dispositivos. “o foco principal da Mobile Armor é o aten- “Com a aquisição, queremos proteger as in- dimento ao mercado e Governo norte-america- formações dos nossos clientes de uma maneira no. Com a aquisição, queremos adicionar o que mais ampla. Com o uso da criptografia, pode- eles têm de melhor para atender nosso merca- mos estender a proteção além do e-mail e as- do interno e levar esse portfólio ao setor públi- segurar dados em ambientes virtualizados ou co”, completa Picoli. rISK report 9RISK.indb 9 31/3/2011 16:31:14
  10. 10. Portfólio Firewalls de Autenticação Dados críticos RIC exige próxima geração móvel protegidos biometria A SonicWALL anuncia Desenvolvido com o Symantec Data A recente regulamen- a série SuperMassive a finalidade de propor- Loss Prevention 11 é tação do Registro de E10000 de firewalls de cionar autenticação uma solução baseada na Identidade Civil (RIC) próxima geração. A solu- simples e fácil pelo uso identificação de conteúdo no Brasil abre novas ção conta com arquitetura de uma senha dinâmica que descobre, monitora, oportunidades para escalável chegando até a oTP baseada em tem- protege e gerencia dados modernizar os bancos 96 núcleos de processa- po, através de um token críticos onde quer que de dados eletrônicos. mento, mais de 40 Gbps virtual localizado na Bar- eles estejam armazena- Para isso, a nEC Brasil de taxa de transferência ra de Tarefas do Windo- dos. Permite reduzir o ris- disponibiliza ao mercado no firewall e mais de 30 ws, o SafeMoBILE for co de violação de dados, o Sistema Automático de para controle de aplicati- Windows, da BRToken, demonstrar a conformida- Identificação de Impres- vos e serviço de preven- é multiusuário e com- de regulatória e garantir a sões Digitais (Automated ção de invasão (IPS), patível com os sistemas privacidade dos clientes, Fingerprint Identification com métricas de potência, operacionais Windows a proteção da marca e da System - AFIS). espaço e resfriamento. XP, Vista, Server 2003 propriedade intelectual. A solução é baseada na A série utiliza o mecanis- e Server 2008, além de A nova versão tem como tecnologia biométrica e mo RFDPI (Reassembly- Windows 7. objetivo simplificar a tem por objetivo unificar Free Deep Packet Inspec- As senhas continua- detecção e a proteção os bancos de dados dos tion) para varrer cada byte mente geradas pelo das informações mais brasileiros em todo o de cada pacote, fazendo aplicativo podem ser críticas para as empresas País, com um sistema uma inspeção total do arrastadas e copiadas e, consequentemente, digital voltado para go- conteúdo de todo o fluxo, para o campo de au- proteger sua propriedade verno e empresas. mas com alto desempe- tenticação desejado. A intelectual. A identificação de im- nho e baixa latência. solução também permite Essa nova versão inclui o pressões digitais auto- o mecanismo também a migração do token do Vector Machine Learning, matizada está baseada garante inspeção do usuário para aparelhos tecnologia com siste- no processamento dos tráfego SSL codificado celulares ou smartpho- ma de monitoramento pontos característicos das e das aplicações fora do nes e vice-versa. baseado nos equipamen- impressões. o sistema proxy. oferece prote- A versão do SafeMoBI- tos, desenvolvida para proporciona alta precisão, ção independente do LE for Windows pos- facilitar a detecção de independentemente do ta- transporte ou protocolo. sibilita a utilização do ativos de propriedade manho da base de dados. A ferramenta atende as aplicativo por mais de intelectual difíceis de As imagens são recebi- necessidades de seguran- um usuário na mesma identificar. A ferramenta das e o sistema extrai ça de empresas, órgãos estação. A solução também torna o processo automaticamente as do governo, universidades conta com visual leve de correção mais eficien- minúcias, classifica os e provedores de serviço, e amigável e soma-se te e eficaz com os novos tipos de padrões, realiza além de proteger as redes às versões para JAVA, recursos do Data Insight, a busca na base de da- corporativas, data centers iPhone, BlackBerry e além de incluir medidas dos e reporta o resultado e grupos de servidores. Android. de segurança adicionais otimizando a intervenção nos endpoints. humana nos processos referentes à identificação. 10 rISK reportRISK.indb 10 31/3/2011 16:31:17
  11. 11. RISK.indb 5 31/3/2011 16:31:18
  12. 12. Trend Cloud versus Cloud Com benefícios tangíveis, a dade e redução de custos, são alguns exemplos de vantagens da computação em nuvem vem quebrando computação em nuvem, destacados pelos usuários que já imple- mentaram a solução. mesmo assim, o cloud computing ainda barreiras. Mas ainda precisa superar precisa quebrar alguns paradigmas. de acordo com um estudo da seu principa obstáculo, a Segurança l Idc, sobre aplicações de computação em nuvem no Brasil, 75% da Informação - Por Léia Machado das empresas locais ainda não adotaram o cloud. “As principais razões para isso são: eu não sei o que é computação É em nuvem; não me sinto seguro e confortável em utilizar esse tipo cErto dIzEr QuE todAS AS EmPrESAS, de tecnologia; vou estudar, avaliar e identificar internamente se há independente do segmento de atuação, sejam elas necessidade e se essa tecnologia pode me auxiliar segundo minhas grandes, médias ou pequenas, estão analisando a estratégias”, aponta célia Sarauza, gerente de Segurança da Infor- adoção da computação em nuvem, mas é fato também mação da Idc Brasil. que todas ainda têm dúvidas em relação ao quanto esse ambiente é seguro. o que parece estar claro é que a computação em nuvem Caminhos da computação em nuvem traz vantagens para todos os envolvidos, o que nos faz acreditar o maior desafio é evangelizar as companhias sobre sua estrutura, que em 2011 a nova maneira de oferecer e consumir tecnologia implementação e riscos. Há muitos questionamentos, principal- pode superar os principais desafios e conquistar um amadureci- mente no âmbito da Segurança da Informação que traz uma sensa- mento significativo. ção de inconfiabilidade. os benefícios são muitos. Performance, flexibilidade, escalabili- como funciona a computação em nuvem? onde estão os dados e as dade, arquitetura inteligente, autonomia, disponibilidade, agili- aplicações? A que vulnerabilidades as informações estão sujeitas? 12 rISK reportRISK.indb 12 31/3/2011 16:31:34
  13. 13. Vantagens do cloud em nuvem e virtualização. tudo que Performance Qual é o nível de proteção? Essas e outras questões são colocadas na mesa no momento da contratação de serviços e tecnologias poderá ser serviço e deixar de ser custo Flexibilidade baseadas nesse conceito. de aquisição tem grandes chances de ter Escalabilidade o desafio é lançado principalmente aos fornecedores que têm a uma boa aceitabilidade no mercado. Arquitetura inteligente missão de informar e exemplificar situações de como funciona “uma das grandes vantagens do cloud Autonomia toda essa infraestrutura para que se propague a divulgação e evan- e da virtualização é a racionalização de Segurança gelização dessa tecnologia. na opinião de Alexandre moraes, team custos. A economia se destaca por meio Disponibilidade leader Systems Engineering lAt da HP o ponto chave para a , da computação mais utilitária, onde Agilidade adoção do cloud é o orçamento. a companhia paga apenas por aquilo Redução de custos “As empresas sabem que o lado financeiro pesa muito em qualquer que usa”, opina o gerente de canais da decisão, é função do gestor de finanças cobrar retorno de investi- check Point Brasil, daniel romio. José mento. todos que trabalham com Segurança sofrem com isso, pois Antunes, gerente de Engenharia de Sistemas da mcAfee, com- tem todo o trabalho de explicar que trata-se de uma medida de partilha dessa mesma opinião e acrescenta os ganhos do aluguel de prevenção para justamente evitar perda de dados e prejuízos para uma infraestrutura baseada em nuvem. a companhia. Além disso, as PmEs, muitas vezes, não conseguem “Estamos falando em custos e a grande vantagem para as empresas desfrutar de uma solução completa de Segurança porque tudo é que não têm como investir em infraestrutura, comprar bons servi- muito caro”, dispara. dores, hardwares, equipamentos para disponibilizar segurança “Se uma empresa tem um ambiente de cloud com uma infraestru- para seu usuário, elas terão muito benefícios utilizando modelos tura robusta, atualizada, com sistema de proteção de rede de fire- SaaS e IaaS. E se ela crescer, a infraestrutura de nuvem cresce junto wall, IPS, dlP além de todas as vantagens da nuvem, ela terá um , acompanhando todo o desenvolvimento corporativo”, completa. excelente ambiente para trabalhar com alto nível de automação e competitividade. Ela terá uma infraestrutura tão completa que, Seleção de Serviços muitas vezes por questão de orçamento, dificilmente conseguiria outro procedimento fundamental para o sucesso da implementa- ter em house”, acrescenta moraes. ção de um ambiente em nuvem é a escolha do provedor. cada em- presa tem suas próprias características de negócio e necessidades Economia particulares de infraestrutura. nesse caso, o processo de escolha Essa questão de custos é sempre um dos critérios preponderantes do provedor passa por uma série de análises contratuais de entrega na adoção de qualquer tecnologia. com isso, a tI como serviço de serviço, performance, garantias, nível de redundância e a segu- vem se tornando uma tendência como, por exemplo, os modelos rança desse ambiente. SaaS (Software as a Service) ou IaaS (Infrastructure as a Service). Questões como: o fornecedor tem a melhor solução de link para Essa evolução tem sido muito natural também para a computação o meu negócio? Ele pode me garantir armazenamento? Eu terei um alto nível de segurança ao contratar esse serviço? como esse provedor fará a adminis- tração desse ambiente em nuvem? tudo está Pontos importantes para escolha do sendo feito de forma adequada? São procedi- provedor de cloud computing mentos analíticos que os especialistas destacam Como são as instalações do provedor? no momento de contratação de um provedor de o fornecedor tem a melhor solução de link para o meu negócio? computação em nuvem. o fornecedor pode me garantir armazenamento? “nós temos uma latência muito grande no Como se dá o acesso aos dados e quem tem acesso a eles? acesso as informações, o que depende muito Qual é o plano para recuperação em casos de desastre? do provedor. muitas vezes, o cloud público não As senhas do cliente estão armazenadas de forma segura? Como? está no Brasil e esse acesso é feito pela Internet. como será a desempenho desse acesso? Por isso Senhas são transmitidas usando conexão criptografada? a importância em escolher criteriosamente esse Como funciona o monitoramento do ambiente cloud? parceiro de tecnologia. o provedor que consiga Como funciona o registro de logins autorizados e negados? hospedar a solução dele mais próximo da reali- Eu terei um alto nível de segurança ao contratar esse serviço? dade da empresa passa a ser mais interessante Como esse provedor fará a administração desse ambiente em nuvem? o acesso das aplicações”, aponta claudio Ban- rISK report 13RISK.indb 13 31/3/2011 16:31:41
  14. 14. Trend nwart, responsável pela área de Segurança da compugraf. processos de aquisição de ambientes em nuvem. Acessos aos con- Essa análise crítica também é destacada por moraes. “A com- teúdos alocados, quem terá ou não permissão para obter as infor- panhia que pretende adotar uma infraestrutura baseada em mações e, em casos de desastres, se essas informações poderão ser cloud computing precisa conhecer bem seu parceiro para evitar recuperadas, são algumas dúvidas que surgem. na opinião de Bre- problemas futuros. É muito importante analisar a relação custo- no lastra, líder técnico de rede da locaweb, o acesso aos dados e benefício, pois nem sempre o fornecedor mais barato é o melhor. a questão da permissão, dependem muito da gestão da informação, Se o custo for muito baixo, é prudente questionar se os procedi- independente se o ambiente for físico ou em nuvem. mentos serão feitos adequadamente. A questão da redução de “na virtualização, meus dados estão no storage do meu fornece- custo no ambiente na nuvem é algo real, mas precisamos pon- dor, que precisa ter acesso para fazer a manutenção. É nessa hora derar as opções de fornecedores para não cair numa cilada”. que posso ter problemas com segurança. mas também posso ter vulnerabilidades em um servidor físico. Por exemplo, se der um Segurança problema no disco com a necessidade de troca, a empresa pode o modelo cloud computing ainda deixa muitas dúvidas entre os fazer um descarte inadequado sem apagar os dados e qualquer pes- gestores de tI, com isso, surgem antigos questionamentos nos soa pode ter acesso às informações daquele disco. ou seja, tudo depende do gerenciamento desses dados”, explica lastra. Em relação à recuperação de dados, o executivo é bem categórico. “Se um servidor está sendo invadindo por um hacker, com acesso àquela máquina, ele pode simplesmente rodar um software para apagar tudo que está no disco. mas em um servidor virtual, mesmo que isso ocorra, todos os dados poderão ser recuperados”. o fato é que em qualquer aquisição de tecnologia, a companhia precisa contar com um bom planejamento interno para que a Se- gurança da Informação seja preservada. São várias as ofertas de cloud pública, privada ou híbrida. A verdade é que o provedor precisa entregar uma série de ga- rantias à companhia que está contratando o serviço. Segurança, disponibilidade de infraestrutura, performance, comunicação, acesso aos dados e ambiente seguro são peças fundamentais na contratação do serviço. Além disso, a empresa contratante espera uma maturidade profissional para garantir a segurança dos dados. Existem muitos serviços ofertados com vários níveis de segu- rança, mas essa garantia depende do bom planejamento inter- no, relação custo-benefício e escolha do provedor. os critérios de adoção dependem da confiança da empresa contratante em relação ao seu fornecedor. um relacionamento transparente é o melhor caminho para a confiabilidade. São quesitos importantes que precisam ser colocados na balança. Desafios da computação em nuvem De acordo com um estudo da IDC, 75% das empresas brasileiras ainda não adotaram o cloud Principais razões citadas pelos gestores de TI: eu não sei o que é computação em nuvem não me sinto seguro e confortável em utilizar esse tipo de tecnologia vou avaliar a possibilidade de conhecer esse ambiente cloud vou analisar internamente se há necessidade e se essa tecnologia pode me auxiliar segundo minhas estratégias 14 rISK reportRISK.indb 14 31/3/2011 16:31:45
  15. 15. kwarup.com TABU SOBRE E-COMMERCE “Vai demorar para as pessoas comprarem pela Internet.” TABU SOBRE CLOUD COMPUTING “Vai demorar para eliminarem os servidores físicos nas empresas.” TABU FOI FEITO PARA SER QUEBRADO. CHEGOU O CLOUD SERVER PRO LOCAWEB. Há pouco tempo, muitos achavam que as pessoas teriam medo de fazer compras pela web. Mas o e-commerce no Brasil cresce cerca de 30% ao ano e já movimenta bilhões. E, ainda hoje, há quem ache que manter os servidores na empresa gerando custos de manutenção e gerenciamento é a melhor alternativa para o processamento de dados. Para mudar essa mentalidade, a Locaweb lançou o Cloud Server Pro, a mais avançada e segura computação em nuvem do mercado. É a solução para empresas que querem atuar com mais inteligência, cortando gastos e ganhando performance. SEGURO RÁPIDO ECONÔMICO SIMPLES E ÁGIL Seus dados são Utiliza a tecnologia Você não gasta com São diversos sistemas operacionais para você armazenados Xen de virtualização, infraestrutura e só paga escolher e gerenciar suas informações. isoladamente. e cada cliente possui pela capacidade que Em até 30 minutos* os servidores sua própria VLAN. utilizar. já estão à sua disposição. *Prazo para a instalação-padrão, após o reconhecimento do pagamento. Em alguns casos é necessário confirmar a disponibilidade técnica e operacional. ,00 R$ 199 ! Ganhe sconto de de rverPr o .br/Clo udSe e b.com romocional: Locaw op Acesse ilize o códig 06A e ut DREP 627 ês no o 1º m grátis. s conto é sse de inux* Com e r Pro 1 GB L Serve para Cloud 99,00 válido e d e R$ 1 ções onto d iras contrata 1/05/2011. *Desc rime té 3 0p e, a as 100 Pro pelo sit er Clou d Serv Locaweb.com.br/CloudServerProRISK.indb 5 31/3/2011 16:31:47
  16. 16. Financial A nova fronteira da autenticação C Especia istas l IfrAS, cHEQuES, cArtõES, InVEStImEntoS. A humanidade é dependente do setor financeiro, des- debatem as de um simples pagamento de uma fatura de cartão de tendências em crédito às altas aplicações nas bolsas de valores. com autenticação e o avanço da Web e da mobilidade, essa dependência segurança para o ficou facilitada. Hoje, os equipamentos tecnológicos permitem transações financeiras independente da presença física do usu- setor financeiro. ário. A contratação de um empréstimo ou cheque especial, por exemplo, Não há apenas pode ser feita com alguns cliques no Internet Banking. um padrão que contudo, essa revolução tecnológica ao mesmo tempo em que pro- assegure as porciona comodidade, flexibilidade e agilidade aos usuários, também transações, mas avança no campo das fraudes, com ameaças online cada vez mais sofisti- cadas e com claros objetivos de roubar informações de cartões e contas um conjunto de bancárias para obter lucro com elas. o desafio do setor é desenvolver tecnologias e soluções de proteção e autenticação nas transações financeiras de acordo normas - Por com o aumento da demanda. Léia Machado “Todos os sistemas de autenticação tem suas vantagens e vulne- rabilidades. dificilcimente teremos um padrão de segurança para o setor financeiro, pois todas as tecnologias de autenticação de transações são vá- lidas como uma nova camada de segurança”, aponta francimara Viotti, gerente Executiva do Banco do Brasil. Para francimara, as transações bancárias são realizadas através de vá- rias tecnologias e não seria diferente usar vários dispositivos para propor- cionar a segurança aos clientes. “Há riqueza na tecnologia onde as pessoas usam a criatividade para desenvolver formas de proteção. cada tecnologia tem o nível de fragilidade e, às vezes, é preciso agregar outras soluções para complementar a segurança na atutenticação financeira”, explica. Medidas de Segurança Ao longo dos anos, o mercado financeiro, sendo a principal vítima de fraudes e roubos milionários, vem desenvolvendo novas ferramentas de 16 rISK reportRISK.indb 16 31/3/2011 16:31:56
  17. 17. proteção para as transações presenciais “O RIC é uma forma e online. Por uma questão de segurança, a partir da colaboração entre os sistemas natura de manter a l de pagamento mundiais Europay, mas- autenti cação no mundo tercard e Visa, criou-se o padrão EmV físico e vai se transferir para as transações de cartões de débito, para o universo virtua . Ele l crédito e smart card. identifica o indivíduo e “ou seja, o início da migração da tarja magnética – que é carente de se- tem tecnologia para fazer a gurança sem proteção por criptografia, assinatura de uma transação capacidade de memória limitada de fá- e etrôni , garantindo l ca cil reprodução e clonagem dos dados – a autenticação do cidadão. para os cartões com chip. Por sua vez, possuem maior capacidade de armaze- Claro que ele não será uma namento de dados criptografados, com solução única, mas pode agregar microprocessador interno sem a pos- maior segurança” diz , sibilidade de clonagem do cartão por Francimara Viotti, gerente meios simples”, diz Jorge Krug, supe- Executiva do Banco do Brasil rintendente Executivo da unidade de Segurança de tI do Banrisul. da memória do computador no ato da será uma solução única, mas pode agregar mais adiante, de novo as bandeiras se transação. de acordo com francimara, maior segurança”, acrescenta francimara. reuniram para a criação do padrão Pay- a forma de combater essa ameaça seria a ment card Industry (PcI), segurança de blindagem do browser. “com isso, o usu- Padrões e Regras dados de cartões de pagamento. trata-se ário não permite que um malware consi- diante dessas tendências em autentica- de um conjunto de normas que garante ga ler o que está na memória para fazer a ção e segurança para o setor financeiro, a proteção das informações do titular adulteração dos dados da transação antes hoje, a área não tem uma bala de prata dos cartões durante as transações finan- de entrar para um smart card, token ou que seja 100% segura, barrando qualquer ceiras, online e presenciais. Em termos qualquer outro dispositivo para assinatu- tipo de fraude. não há uma única forma gerais, as operadoras de cartão estabele- ra. Esse procedimento é um reforço para de proteção. o que está sendo feito é o ceram normas de segurança, nas quais o a segurança do usuário”. uso de um conjunto de soluções de segu- comércio precisa entrar em conformida- Além disso, o rIc (registro de Iden- rança de acordo com a complexidade de de com o padrão. tidade civil) também poderá ser usado cada transação, seja usando o certificado como um método convergente de autenti- digital, token, biometria ou cartões de Por outro lado, o token também é um cação para as transações financeiras. o do- crédito e débito com chip. fator a mais para autenticar as transações cumento será um registro único para todos financeiras através do Internet Banking. os cidadãos brasileiros e contará com um “O fato é que o mundo ficou mais A confirmação da transação é online, tanto chip de armazenamento de documentos complexo e, por consequência, a segurança as de maiores riscos quanto as de valores como rg, cPf, título de eleitor, informa- também. Antigamente, uma das fraudes que menores. “o dispositivo, que está passan- ções previdenciárias e trabalhistas, além mais davam dor de cabeça aos bancos era do por uma revolução com novos recursos de dados biométricos e certificado digital. a falsificação de cheques, hoje estão sendo de segurança e assinatura de transações “o rIc é uma forma natural de man- acrescentadas novas modalidades para burlar associada a outras funções como garantia ter a autenticação no mundo físico e vai se a segurança das instituições. Para mudar esse do browser, já faz parte da vida de muitos transferir para o universo virtual. Ele iden- cenário, acredito em algumas convergências clientes bancários. o fato é que ele veio tifica o indivíduo e tem tecno- tecnológicas específicas para determinados para ficar”, afirma Alexandre cagnoni, di- logia para fazer a assinatura negócios”, opina cesar Augusto faustino, retor de tecnologia da Brtoken. de uma transação eletrônica, gerente de Auditoria na Banco Itaú e coor- Há também a questão da assinatu- garantindo a autenticação do denador da Sub-comissão de Prevenção a ra cega, onde acontece uma adulteração cidadão. claro que ele não fraudes Eletrônicas na febraban. rISK report 17RISK.indb 17 31/3/2011 16:31:58
  18. 18. Financial “O importante é a proteção da transação com o uso das ferramentas existentes no mercado, da padronização e regras de segurança que as bandeiras e instituições financeiras estão discutindo em conjunto” a , lerta Jorge Krug, superintendente executivo da Unidade de Segurança de TI do Banrisul Além disso, há ainda um outro fator bancário com um menor grau de instru- sociedade. “Eu coloco isso em dois pata- relevante nesse processo. o avanço da ção, tem dificuldades para acompanhar mares: o primeiro é essa evangelização mobilidade. A cada dia aumenta o nú- a evolução das transações até mesmo em da sociedade digital que avança no uso mero de pessoas realizando transações uma agência bancária. É comum nos da tecnologia, precisamos sim falar em bancárias através dos smartphones, o depararmos com funcionários do ban- segurança com todos, sem exceção”. que expande o desafio do setor em de- co auxiliando alguns clientes durante a “mas um outro ponto importante senvolver padões de segurança para os transação em um caixa eletrônico. é a legislação do país. não adianta ter usuários. “Em pouco tempo teremos Essa dificuldade é ainda maior no todo um processo de conscientização se mais 100 milhões de celulares fazendo ambiente online, com diversas senhas, não temos uma legislação eficiente que transações bancárias, fica dificil que se tokens e assinaturas eletrônicas. A mi- garanta segurança em todo o processo. estabeleça apenas um de padrão de se- gração dessas transações para a Internet os bancos investem muito dinheiro em gurança”, acrescenta faustino. obriga as instituições financeiras a de- segurança e eles têm processo muito se- senvolverem cartilhas e ações para ensi- guros. mas o próprio país precisa ofere- Cabe aos bancos e instituições fi- nar seus clientes, inclusive as crianças, cer infraestrutura eficiente para ajudar nanceiras a monitoração permanente a usar a internet de uma maneira mais nesse combate às fraudes”. de cada transação, checando as infor- segura, além de conscientizá-los sobre mações com os clientes e estabelecen- os riscos de fraudes no mundo digital. Na opinião de Francimara , é do um atendimento personalizado. “o preciso ter uma conscientização de que importante é a proteção da transação Essa preocupação com a segurança crime é crime independente se for co- com o uso das ferramentas existentes não se restringe apenas aos bancos com metido na esfera online ou física. “nor- no mercado, da padronização e regras a febraran, mas também de outros ór- malmente as pessoas entendem as amea- de segurança que as bandeiras e insti- gãos como a fecomercio e a oAB, que ças quando são atacadas, quando passam tuições financeiras estão discutindo em desenvolvem cartilhas e ações de cons- por desvio de dinheiro em conta corren- conjunto”, alerta Krug. cientização do usuário. “Essa série de te ou em alguma situação de clonagem recomendações que falamos o tempo de cartão. Essa evolução na educação Educação do usuário todo tem que ser exaustivamente deba- será natural na sociedade”, finaliza. outro pilar importante para a segurança tida”, complementa faustino. nas transações financeiras é a conscien- Para Krug, esse modelo de cons- tização do usuário, que precisa ser evan- cientização precisa ser difundio o mais Leia mais: gelizado em relação às fraudes e amea- rápido possível, mas alerta que o esfor- http://www.fraudes.org/showpage1 ças do universo digital. Aquele cliente ço não depende apenas dos bancos e da http://portal.mj.gov.br/ric 18 rISK reportRISK.indb 18 31/3/2011 16:32:04
  19. 19. 2 011 • Exposição de Soluções, Produtos e Serviços • Painéis de debates com transmissão ao vivo e interatividade • Apresentação de Cases • Prêmio Security Leaders : Premiação dos principais líderes do setor de Segurança da Informação CONGRESSO, EXPOSIÇÃO E PREMIAÇÃO DE LÍDERES E PROFISSIONAIS DE SEGURANÇA DA INFORMAÇÃO E RISCO Tel. (11) 5049-0202 www. securityleaders .com.br Realização: Apoio de Mídia: Transmissão:RISK.indb 10 31/3/2011 16:32:34
  20. 20. Focus A especialização do cibercrime Novos dispositivos e redes sociais tornam os ataques vi rtuais mais específicos e sofisticados. Especia ista internaciona l l aponta outras técnicas de golpes - Por Léia Machado O S crImES VIrtuAIS forAm EVoluIndo crimes virtuais é clara, desde a criação do worm “I love You”, conforme a própria internet. no passado, o ciber- em 2000, até as ameaças atuais como o geneXus. Segundo a enti- crime não tinha uma motivação financeira e era dade Internet World Stats, o uso da Web cresceu de 361 milhões comandado por jovens com objetivos distintos. de usuários, em 2000, para quase 2 bilhões em 2010. com isso, a Atacavam para mostrar as vulnerabilidades de um sistema ou Internet tornou-se um importante alvo para os criminosos. para ganhar status por sua capacidade de invasão. mas com o avanço da Internet e o surgimento de novas tecnologias essa Variedades de ataques ideia está obsoleta. de acordo com Sutton, os aplicativos da Web 2.0 são muito di- os ataques no universo online estão cada nâmicos e mais fáceis de atacar. uma das vez mais sofisticados e conta com as mais grandes tendências destacadas pelo pes- diversas ferramentas tecnológicas, o pró- quisador é o phishing, um golpe online prio perfil do cibercriminoso mudou. de falsificação de sites legítimos. os cri- Hoje, são quadrilhas inteiras que atacam minosos usam spams, websites malicio- via web e tem um objetivo claro: roubar sos e mensagens de e-mail para roubar informações pessoais para obter lucro informações sigilosas. “normalmente são com elas. “na Internet há muita vulnera- sites que usamos no nosso dia a dia e esses bilidade, o que facilita a criação de novas criminosos tentam nos convencer a entrar ferramentas de ataques”, afirma michael nessa página infectada”, comenta Sutton. Sutton, pesquisador na área de Segurança Além disso, as práticas de ataques são as e vice-presidente da zscaler. mais variadas. os e-mails, por exemplo, já na última década, o cibercrime prospe- não são os maiores vilões na disseminação rou e custou aos consumidores centenas de ameaças de segurança pela Web. As re- de milhões de dólares. A sofisticação dos des sociais são os atuais alvos de ataques 20 rISK reportRISK.indb 20 31/3/2011 16:32:40
  21. 21. MaliciousNetworking.org C&C Phish Spam Exploit Country Score não é a lista em que um país gostaria de Servers Servers Servers Servers figurar nos primeiros lugares. A Segu- US 190.79 398 81 214 335 rança deve estar na mente das pessoas e das empresas”. RU 31.25 60 0 8 55 Cn 27.61 255 7 28 89 Medidas de segurança BR 26.65 88 0 4 11 com a especialização do cibercrime, DE 25.84 51 32 8 43 é natural que as empresas tomem me- didas de Segurança em seu ambiente UK 21.02 46 0 1 44 corporativo. E Sutton provoca algu- KR 17.65 66 9 0 93 mas discussões: as companhias devem CA 14.47 22 9 0 21 bloquear o acesso às redes socias? Em relação aos ataques, qual é o foco dos Ph 12.64 17 0 3 16 recursos de Segurança? como é feita a nL 12.46 31 0 0 19 Segurança nos dispositivos móveis? diante dessas questões, o executivo foi bem categórico. “não acredito que blo- virtuais tornando-se uma quear o acesso às mídias sociais seja um caminho seguro. muito das principais fontes de menos de 1% dos ataques na Web vêm dessas mídias. com o blo- As redes sociais disseminação do cibercri- queio desses websites, os usuários acabam achando outra manei- são os atuais alvos me. ra de acessá-los, o que pode causar um maior descontrole na rede de ataques virtuais, outra vítima dos crimes e aumento da vulnerabilidade”. tornando-se uma digitais sãos os mecanis- o pesquisador acredita que a melhor medida nessas situações das principais fontes mos de busca. Segundo é monitoração do tráfego no ambiente corporativo. As empre- de disseminação do Sutton, a cada 100 resul- sas podem criar suas próprias regras e políticas internas, o que cibercrime tados 1 já se refere a uma garante o controle e transparência no relacionamento. Em rela- página maliciosa. Esses ção aos recursos de Segurança, o executivo afirma que o melhor endereços contaminados estão entre os primeiros que aparecem caminho é investir na educação do usuário. “gastamos muito nas pesquisas. A mobilidade também não escapou dos ataques dinheiro protegendo servidores, mas esquecemos dos nossos co- por meio da Web, o cibercrime desenvolve vírus específicos para laboradores, é aí que devemos trabalhar”. esses dispositivos. Em termos de mobilidade, a Segurança precisa ser semelhante à Sutton também destacou outra vulnerabilidade chamada clickja- de um desktop. “os ataques funcionam muito bem em qualquer cking. trata-se de uma técnica usada por um cracker para escon- plataforma, se as empresas não fizerem nada para proteger todos der programas maliciosos embaixo de um botão legítimo de um os dispositivos, independente se for móvel ou não, provavelmen- site legítimo. ou seja, é uma forma de enganar o usuário para que te já esteja infectada”, finaliza o pesquisador. entre em uma página, embora tenha visualizado outra. “os criminosos simplesmente tiram vantagens, eles conhecem as formas legitimas de formatar uma página, enganam os usuários e Mecanismos de busca exploram a credibilidade dos sites. normalmente eles tiram van- tagem de uma vulnerabilidade, escrevem um script e colocam os cibercriminosos conteúdo malicioso. A meta é atingir o maior número possível usam técnicas para atacar de sites”, explica o executivo. as vulnerabilidades dos Em um estudo realizado pelo website maliciousnetworkin.org, sites. A cada 100 resultados mantido pelo International Secure Systems lab, Vienna univer- 1 já se refere a uma página sity of technology, Eurecom france e uc Santa Barbara, entre maliciosa. Esses endereços os dez países que possuem a maior quantidade de conteúdo mali- contaminados estão entre cioso o Brasil aparece em quarto lugar, atrás apenas dos Estados os primeiros que aparecem unidos, rússia e china, respectivamente.”definitivamente, essa nas pesquisas rISK report 21RISK.indb 21 31/3/2011 16:32:43
  22. 22. Focus O outro lado das redes sociais As mídias sociais estão cada vez mais presentes no mundo corporativo. Como é possível de dois bilhões de pessoas que acessam a internet no util las em favor dos negócios? izá- país. Para as corporações, o horizonte é um pouco mais amplo. Essa plataforma pode ajudar a incrementar seus Ainda há algumas questões a negócios. A grande questão é como lidar com esse mo- serem olhadas com atenção, como vimento e obter lucro com ela. a segurança e o treinamento de Segundo marcelo duarte, gerente de infraestrutura do Banco carrefour, a rede social pode trazer agilida- funcionários para lidar com a de. “temos olhado isso como uma possibilidade de se informação - Por Júl Zil ig ia l comunicar mais rápido e isso significa também fazer negócios com mais agilidade. Já existem empresas ganhando dinheiro por meio das redes sociais, outras A estão perdendo. no entanto, precisamos ficar aten- lÉm dE EStAr PrESEntE nA VIdA tos, pois a penetração das redes sociais nas empresas das pessoas, até mesmo dentro do bolso, é algo inevitável e vai nos abrir a oportunidade de por meio de smartphones, a realidade das fazer negócios diferentes.” redes sociais também já faz parte do mun- Além do lado financeiro, a questão da segurança é ou- do corporativo. Para as pessoas, a palavra que resume tro aspecto que está sendo olhado com cuidado pelas sua vantagem, em grande parte do tempo, é relaciona- empresas. “não acredito na liberação das redes sociais mento. nesse caso, estamos falando de um universo de para todas as pessoas da empresa, mas sim para aque- 70 milhões de usuários, que representam 40% do total las que façam sentido, ou seja, que têm a oportunidade 22 rISK reportRISK.indb 22 31/3/2011 16:32:45
  23. 23. “As pessoas têm uma fa lsa sensação de impunidade. Elas acham que podem acessar o Orkut, criar comunidades, fa lar ma das empresas, l mas não sabem que estão sujeitas às ações das leis civis, penais e criminais. Hoje a internet é monitorada”, Yanis Cardoso Stoyannis, gerente de Segurança da Informação da Embratel sabem que estão sujeitas às ações das leis civis, penais e criminais. Hoje a internet é monitorada. Existem mais de 30 mil processos em andamento no país por uso indevido desse tipo de ferramenta”, explica Yanis cardoso Stoyannis, gerente de Segurança Informa- ção da Embratel. de trazer resultados para a companhia, o que é uma no entanto, o caminho pode ser muito promissor tendência natural”, diz duarte. para a empresa. “Por meio das redes sociais, que atrai Isso deve se tornar cada vez mais realidade pelo fato de seguidores, as companhias devem criar modelos de que mais de 70% dos problemas de ataque de seguran- atratividade para que o público em geral se interesse ça provêm de dentro da empresa, segundo frederico em seguir as tendências e/ou benefícios que elas tra- Pacheco, gerente de Educação e Investigação da ESEt zem. Se o consumidor entender que há valor agrega- para a América latina. “Se eu vou colocar várias bar- do por trás das informações da empresa na rede, ele reiras internas e proteger minha empresa de maneira passará a segui-la. Isso é uma grande simples, isso se torna complicado, pois eu preciso for- oportunidade”, enfatiza duarte, do necer acesso às pessoas. muitas vezes, uma pessoa que Banco carrefour. tem acesso acaba sendo usada por outra que quer pre- mas é necessário direcionar seus judicar a empresa de alguma forma. A coisa fica pior esforços em relação a uma questão: quando envolvem o pessoal mais técnico.” a conscientização e treinamento de Alexandre moraes, team leader dos engenheiros de seus colaboradores. “uma frase in- Sistemas da HP tippingPoint, ressalta que, por mais devida pode gerar uma interpretação que a empresa implante a solução tecnológica mais errada”, diz morais. Essas ações de- sofisticada, o elo mais fraco da corrente é o usuário. vem acontecer antes de ter o seu acesso duarte completa. “Ainda não existem tecnologias que liberado. E duarte, complementa.“É controlem o ser humano na utilização da informação importante que as pessoas compreen- inadequada. Esse não é um problema da rede social, dam que a Segurança da Informação é mas sim do convívio em sociedade.” um problema delas mesmas e não so- o número de pessoas com acesso a essas redes sociais mente da empresa. É importante tra- não para de aumentar e isso maximiza os riscos dos balhar com os usuários internos dentro efeitos colaterais das mídias sociais no mundo cor- das nossas companhias, para que as in- porativo. “As pessoas têm uma falsa sensação de im- formações confidenciais nas quais temos punidade. Elas acham que podem acessar o orkut, acesso sejam utilizadas de forma adequa- criar comunidades, falar mal das empresas, mas não da. É fundamental ter ética”. rISK report 23RISK.indb 23 31/3/2011 16:32:50

×