Blog da AuditSafe, participe!

 

 

 

Vazamento de dados em mídias sociais:
Como evitar?


De: Fernando Ferreira, CEO; Equipe de Comunicação, AXUR

Data: 17/10/2019

Uma coisa é certa: se uma empresa quer engajar seus clientes e estreitar o relacionamento com eles, ter um perfil nas mídias sociais é um dos primeiros passos.

 

Aliás, são poucas as organizações que se arriscam a viver fora desse mundo digital nos dias de hoje. No entanto, em tempos em que tantas instituições são invadidas e têm seus dados vazados, todo cuidado é pouco. Afinal, se até o CEO do Twitter teve a própria conta hackeada, o que dizer de quem as usam sem a menor precaução, não é mesmo?


Entre tantas maneiras de invadir uma rede social, duas se destacam. A primeira diz respeito ao uso de credenciais vazadas (login e senha) para acessar contas oficiais. Existem bilhões delas divulgadas diariamente e nelas podem ter autorizações a redes sociais de empresas ou mesmo de funcionários com possibilidade de acesso a esses sites. Outra prática comum é via SIMSwap, a mesma usada em agosto para invadir a conta de Jack Dorsey (CEO do Twitter). Ela funciona por um “desvio” do SMS ou chamada utilizados na autenticação de dois fatores, permitindo que o cibercriminoso tenha acesso ao código de validação.


Não é comum as organizações compartilharem informações críticas nesses canais, mas como muitas usam o chat disponível para interagir com os clientes (ou até mesmo solicitar dados), existe um risco desse conteúdo ser exposto. É por isso que o profissional responsável por gerir esses canais tenha boas práticas de proteção de senhas e esteja sempre alerta.
 

Dicas para incrementar a segurança
 

Importante destacar que não é necessário fazer nenhum treinamento técnico específico com quem for operar as mídias sociais de uma empresa. No entanto, é fundamental que ele saiba como utilizar um gerenciador de senhas, como o LastPass ou OnePassword. Usar a autenticação de dois fatores (2FA) e criá-las com caracteres especiais, para aumentar a complexidade e diminuir as chances de que o hash (forma de criptografia) seja decifrado, também ajuda muito.


Além disso, é válido deixar todos os colaboradores conscientes do papel de cada um na proteção dos dados. Por exemplo, é importante que ninguém use o e-mail corporativo em sistemas externos, muito menos que repitam a senha da empresa em outros sites (isso evita a prática do credential stuffing, ação de testar uma credencial vazada em outros canais).

 

Normalmente os ataques contra redes sociais são realizados por ações fora do perímetro - ou seja, dificilmente um controle tecnológico interno conseguiria impedir a invasão, já que ele passa “por baixo do radar” das empresas em termos de monitoramento. A recomendação é que as organizações monitorem o seu footprint digital, identificando casos fora do seu ambiente e dados de sua propriedade em lugares onde não deveriam estar.

 

Foi invadido?


O primeiro passo é mudar a senha vazada e recuperar a conta da rede social novamente. Em seguida, avise os possíveis clientes que tiveram suas informações expostas e comunique as autoridades competentes. No processo de remediação, é indispensável que todos os canais em que esses vazamentos ocorreram, ou venham a acontecer, sejam monitorados. Assim, quanto maior for a proatividade, menores os riscos e os danos para a sua empresa e seus clientes.

 

Para saber se a sua empresa já teve credenciais vazadas, acesse o minhasenha.com, uma base com mais de 9 bilhões de dados. 

 

Agora, caso queira ter atuação pró-ativa com a monitoração de riscos digitais, clique aqui para saber mais como a AuditSafe poderá ajudar. Nossa plataforma e serviços de monitoramento da presença digital das empresas na Internet possuem capacidade de identificar o uso indevido da marca, fraude ou estelionato nos  canais digitais de sua empresa.

 

 

Ainda tem dúvidas? Quer saber mais? Entre em contato conosco.

 

Uma coisa é certa: se uma empresa quer engajar seus clientes e estreitar o relacionamento com eles, ter um perfil nas mídias sociais é um dos primeiros passos.

 

Aliás, são poucas as organizações que se arriscam a viver fora desse mundo digital nos dias de hoje. No entanto, em tempos em que tantas instituições são invadidas e têm seus dados vazados, todo cuidado é pouco. Afinal, se até o CEO do Twitter teve a própria conta hackeada, o que dizer de quem as usam sem a menor precaução, não é mesmo?


Entre tantas maneiras de invadir uma rede social, duas se destacam. A primeira diz respeito ao uso de credenciais vazadas (login e senha) para acessar contas oficiais. Existem bilhões delas divulgadas diariamente e nelas podem ter autorizações a redes sociais de empresas ou mesmo de funcionários com possibilidade de acesso a esses sites. Outra prática comum é via SIMSwap, a mesma usada em agosto para invadir a conta de Jack Dorsey (CEO do Twitter). Ela funciona por um “desvio” do SMS ou chamada utilizados na autenticação de dois fatores, permitindo que o cibercriminoso tenha acesso ao código de validação.


Não é comum as organizações compartilharem informações críticas nesses canais, mas como muitas usam o chat disponível para interagir com os clientes (ou até mesmo solicitar dados), existe um risco desse conteúdo ser exposto. É por isso que o profissional responsável por gerir esses canais tenha boas práticas de proteção de senhas e esteja sempre alerta.
 

Dicas para incrementar a segurança
 

Importante destacar que não é necessário fazer nenhum treinamento técnico específico com quem for operar as mídias sociais de uma empresa. No entanto, é fundamental que ele saiba como utilizar um gerenciador de senhas, como o LastPass ou OnePassword. Usar a autenticação de dois fatores (2FA) e criá-las com caracteres especiais, para aumentar a complexidade e diminuir as chances de que o hash (forma de criptografia) seja decifrado, também ajuda muito.


Além disso, é válido deixar todos os colaboradores conscientes do papel de cada um na proteção dos dados. Por exemplo, é importante que ninguém use o e-mail corporativo em sistemas externos, muito menos que repitam a senha da empresa em outros sites (isso evita a prática do credential stuffing, ação de testar uma credencial vazada em outros canais).

 

Normalmente os ataques contra redes sociais são realizados por ações fora do perímetro - ou seja, dificilmente um controle tecnológico interno conseguiria impedir a invasão, já que ele passa “por baixo do radar” das empresas em termos de monitoramento. A recomendação é que as organizações monitorem o seu footprint digital, identificando casos fora do seu ambiente e dados de sua propriedade em lugares onde não deveriam estar.

 

Foi invadido?


O primeiro passo é mudar a senha vazada e recuperar a conta da rede social novamente. Em seguida, avise os possíveis clientes que tiveram suas informações expostas e comunique as autoridades competentes. No processo de remediação, é indispensável que todos os canais em que esses vazamentos ocorreram, ou venham a acontecer, sejam monitorados. Assim, quanto maior for a proatividade, menores os riscos e os danos para a sua empresa e seus clientes.

 

Para saber se a sua empresa já teve credenciais vazadas, acesse o minhasenha.com, uma base com mais de 9 bilhões de dados. 

 

Agora, caso queira ter atuação pró-ativa com a monitoração de riscos digitais, clique aqui para saber mais como a AuditSafe poderá ajudar. Nossa plataforma e serviços de monitoramento da presença digital das empresas na Internet possuem capacidade de identificar o uso indevido da marca, fraude ou estelionato nos  canais digitais de sua empresa.

 

 

Ainda tem dúvidas? Quer saber mais? Entre em contato conosco.

 

 

 

 

Dúvidas sobre o PCI-DSS?
A importância do antivírus para
transações mais seguras.


De: Fernando Ferreira, CEO

Data: 19/09/2019

Recentemente, muitas empresas começaram a questionar o papel dos antivírus diante da evolução das ameaças. Seria essa ferramenta tão tradicional ainda capaz de barrar malwares e outros softwares mal-intencionados, mesmo estes tendo avançado tanto recentemente? 


Assim como outras tecnologias de Segurança da Informação, o antivírus evoluiu muito nos últimos anos e ainda é considerada uma ferramenta fundamental para transacionar dados de maneira segura. Tanto que o recurso faz parte de um dos requerimentos essenciais para estar em pleno compliance com o PCI-DSS.


O software de antivírus deve ser usado em todos os sistemas normalmente afetados por malwares a fim de protegê-los contra os riscos atuais. Aliás, ele é parte dos mecanismos vitais para identificar ameaças do tipo “zero day”. No entanto, o programa deve estar instalado e atualizado adequadamente. Caso contrário, é ineficaz.


É preciso que, mesmo nos sistemas não muito visados, como os mainframes, sejam feitas avaliações periódicas para identificar e avaliar a presença de malware, e confirmar se tais ambientes não precisam desse tipo de proteção de fato. em algum momento .


Há quem desabilite a ferramenta para realizar procedimentos específicos, mas é importante frisar que esta nunca seja desativada pelo usuário. O programa só deve ser desligado momentaneamente em algum caso específico de incompatibilidade. Mesmo assim, esse caso exige o acompanhamento de um Especialista de Segurança da Informação.


Potencializando seu uso
 

Por mais eficiente que seja o produto, ferramentas adicionais são bem-vindas para impulsionar ainda mais a sua efetividade. O antivírus se integra muito bem às demais tecnologias e trabalha em plena sintonia com outras soluções de DLP, anti-malware, entre outras.


Existe hoje uma série de produtos antivírus disponíveis no mercado, oferecendo opções para empresas de todos os portes. O PCI não indica nenhuma marca ou fabricante preferencialmente, mas determina quais funcionalidades as soluções devem possuir assim como a forma de operação do processo. 
 

Por exemplo: é preciso se certificar junto ao fornecedor, se a configuração do antivírus permite detectar todos os tipos de softwares mal-intencionados, se os removem e protegem contra vírus, worms, trojans, spyware, adware e rootkits. Além disso, logs de auditoria oferecem a capacidade de monitorar as atividades do vírus e de malware e as reações contra eles. Dessa forma, é imprescindível que as soluções sejam configuradas de forma a gerar logs para essa finalidade. 


Mesmo as melhores soluções antivírus, se não forem atualizadas com os mais recentes updates de segurança, arquivos de assinatura ou proteções contra malware, se tornam inúteis. Por isso, é fundamental as empresas contarem com consultorias especializadas para instalar, configurar e suportar esse processo, como a AuditSafe.
 

Embora pareça uma tarefa simples, tudo que envolve Segurança da Informação e proteção de dados de terceiros deve ser feito de maneira minuciosa para evitar falhas. Diariamente são criadas e disseminadas pragas virtuais que afetam as organizações menos preparadas. O ransomware foi um exemplo clássico. Muitas empresas ficaram inoperantes simplesmente pelo fato de não executarem esse processo de forma eficaz. O PCI-DSS determina que as companhias instalem as atualizações críticas em um mês, no máximo. Mas infelizmente vemos inúmeros empreendimentos adiando essa decisão, deixando os dados de seus clientes vulneráveis. 
 

Portanto, as empresas não podem se dar ao luxo de não adotar essa solução, muito menos instalá-las erroneamente. É preciso implementar de forma correta, seguir todas as recomendações de Segurança apontadas pelo PCI-DSS e potencializar seu uso conjuntamente com outras tecnologias.

 

 

Ainda tem dúvidas? Quer saber mais? Entre em contato conosco.

 

 

 

 

ISO 27001:
Por que ela é tão importante para o seu negócio?


De: Fernando Ferreira, CEO, e Leonardo Mariano, Consultor

Data: 07/08/2019

É cada vez mais frequente visitar meus clientes e ouvir que os fornecedores estão sendo cobrados para ter a certificação ISO 27001.

 

Não é à toa que a AuditSafe tem recebido cada vez mais demandas de implementação dessa norma. E você sabe por quê? Porque por meio dela a empresa ganha mais credibilidade diante dos seus clientes, se diferencia entre os seus competidores e, ainda por cima, evita muitas dores de cabeça causadas por incidentes de segurança.
 

Importante relembrar que a ISO 27001 é um padrão internacional para sistemas de gestão de Segurança da Informação. Ela diz respeito às melhores práticas de SI no que tange a implementação de sistemas, monitoramento, configurações, processos, e muito mais. Quando adotada, a empresa ganha um selo que, acima de tudo, representa mais credibilidade diante de parceiros, clientes e stakeholders.
 

O que dizem os gestores
 

Apenas para ter uma ideia de sua importância: em 2016, uma empresa britânica fez uma pesquisa sobre o impacto da norma nas organizações. Cerca de 70% dos respondentes afirmaram que implementaram o padrão para melhorar a postura da empresa em relação à Segurança da Informação. Outros 56% disseram que ganharam diferencial competitivo após sua adoção.
 

O estudo revelou ainda que 55% dos executivos encontraram avanços de SI em toda a empresa depois da implementação e 11% relataram melhora na reputação da companhia. Ou seja, é inegável o valor que essa certificação agrega às empresas de todos os portes e segmentos.


As empresas certificadas com a ISO 27001 enfrentam regularmente um processo de auditoria. Nessa etapa, as organizações passam por uma análise rigorosa e uma avaliação detalhada de informações (Due Diligence). 
 

Em um momento em que temas como privacidade, vazamento de dados, ciberataques, entre tantos outros, estão em evidência, a certificação ISO 27001 representa a busca pela excelência e o respeito com os dados dos seus usuários. 
 

A tendência é que as empresas sejam cada vez mais influenciadas em ter a certificação ISO 27001, uma vez que mostram sua preocupação com o assunto. Além disso, as multas pesadas que a LGPD aplicará em caso de vazamento de dados poderão ser atenuadas se elas apresentarem engajamento e proatividade em proteger as informações de seus usuários.
 

Vale a pena lembrar que a implementação da ISO 27001 deve ser feita por uma empresa qualificada. A AuditSafe possui todas as credenciais necessárias para aplicá-la em organizações de todos os tamanhos e campos de atuação. Além de ser devidamente certificada, a AuditSafe tem profissionais capacitados, realizou inúmeros projetos bem-sucedidos e possui metodologia própria de trabalho.

 

 

Ainda tem dúvidas? Quer saber mais? Entre em contato conosco.

 

 

 

 

LGPD e a Corrida Contra o Relógio.


De: Fernando Ferreira, CEO, e Maurício Sena, Consultor

Data: 12/07/2019

Estamos há aproximadamente um ano para a Lei Geral de Proteção de Dados entrar em vigência no País. No entanto, ainda é possível (e assustador) ver tantas empresas inativas para entrar em compliance com ela. Conselhos e Comitês internos das empresas até estão cientes da importância e gravidade do assunto, mas faltam agora compreender a sua urgência.


O prazo já está bem apertado para colocar em prática todas as adequações e implementações necessárias. Parte das organizações enfrenta desafios iniciais quando já deveriam se encontrar num estágio mais avançado em relação à classificação de dados, ao mapeamento de onde eles estão armazenados, treinamento do encarregado DPO (Data Protection Officer), melhor conhecimento sobre os direitos dos titulares dos dados e elaborando relatórios de impacto a dados pessoais.

 

Outro problema é que muitos ainda pensam que a LGPD atinge apenas a área de Tecnologia, mas se esquecem do Marketing, dos Recursos Humanos, do Jurídico e de tantos outros departamentos que operam com dados pessoais. Todos estes têm que repensar e estruturar muitas de suas políticas e procedimentos para se tornarem compatíveis com a LGPD. O maior obstáculo é que muitos não previram os valores de tais mudanças em seu budget e agora enfrentam grandes barreiras em relação a esses custos.


Ainda dá tempo
 

Mesmo assim, é possível facilitar essa jornada de adequação e tirar proveito dela. Para isso é preciso contar com a ajuda de uma empresa especializada para apoiá-la na realização de um Gap Analysis, como a AuditSafe. Fazer um diagnóstico para avaliar o nível de maturidade em que se encontra é o primeiro degrau que as empresas precisam vencer para atender a Lei.

 

Há organizações que estão implementando a ISO27001 em processos que possuem as informações elegíveis de proteção pela LGPD. Com essa ação, os Conselhos atuam de forma mais proativa e diminuem sua “Liability” e os impactos decorrentes de vazamento de informações. Por isso, deve-se agilizar um Diagnóstico de aderência para focar em riscos e aplicar os controles necessários para minimizá-los.


A Lei prevê multas pesadas àqueles não cumprirem com as determinações previstas, podendo variar entre 2% do faturamento total da empresa e R$ 50 milhões por infração. Outras penalidades também serão impostas, como a dificuldade em fechar novos acordos comerciais e firmar parcerias com outras operadoras de serviço.


Após a aprovação da MP 869/2019, ficou acertada a instauração da Autoridade Nacional da Proteção de Dados (ANPD). Caberá a ela zelar pela proteção dos dados pessoais; editar normas e procedimentos sobre a proteção de dados pessoais, fiscalizar e aplicar as devidas sanções em caso de descumprimento à legislação.


Ou seja, se você estava contando que a Lei seria novamente adiada, é bom começar a se mexer. O processo de adaptação é demorado e requer planejamento. Quanto mais tarde sua empresa iniciar esse caminho, mais custoso ele será.  

 

A AuditSafe está à disposição para preparar sua organização durante essa jornada e vencer essa corrida iniciada contra o relógio.

 

 

Ainda tem dúvidas? Quer saber mais? Entre em contato conosco.

 

 

 

 

Quais os cuidados que devemos ter ao compartilhar arquivos na nuvem?


De: Fernando Ferreira, CEO da AuditSafe

Data: 26/06/2019

É natural que alguns colaboradores utilizem programas de compartilhamento de arquivos para enviar ou receber documentos. Praticidade e agilidade estão entre os principais argumentos deles. O problema acontece quando os gestores de TI e SI não estão cientes do uso desses sistemas (Shadow IT), deixando dados e outras informações de uso confidencial e privado em risco desnecessário.

 

Muitos funcionários têm a falsa sensação de Segurança ao confiar demais em alguns serviços oferecidos por grandes empresas. É evidente que quanto maior o seu porte, melhor a sua infraestrutura e, consequentemente sua segurança. No entanto, mesmo as grandes companhias tecnológicas também estão sujeitas a falhas e, vez ou outra, os dados de seus usuários ficam expostos.

 

Em março, diversas empresas que faziam uso do Box, por exemplo, tiveram suas pastas com arquivos visíveis devido a uma falha no serviço de Nuvem. Apple, Herbalife, Discovery Networks, Edelman e tantas outras organizações foram algumas das vítimas. Segundo uma empresa de Segurança que apontou a falha, qualquer pessoa poderia descobrir o link de compartilhamento e ter acesso a esses dados por meio de um script simples. Se esse usuário mal-intencionado rodasse um algoritmo de força bruta, ele poderia ainda encontrar outras pastas e arquivos da mesma vítima.

 

Evite riscos desnecessários!

 

Nem mesmo esses serviços mais conhecidos estão imunes a falhas, porque os sites de compartilhamento de arquivos estão diretamente acessíveis pela web, aumentando a probabilidade de exposição e vazamento de informações. Tais programas não devem ser utilizados para fins comerciais ou de negócio, pois uma vez que o arquivo de uma empresa é copiado em um provedor, mesmo que ele seja apagado posteriormente e não esteja mais visível, o material continuará lá.

 

É preciso ter em mente que sites de aplicações ou de internet banking possuem uma série de camadas de proteção, autenticações diversas e validações de credenciais de usuários. Se você usa um servidor de arquivo virtual bem-configurado, ele não está diretamente acessível na web, e existe ainda uma VPN. Essa arquitetura de Segurança não é a mesma utilizada em sites de transferência, que geralmente têm apenas um usuário e senha para acessar as informações.


Como fazer?

 

Caso os colaboradores queiram fazer uso desse tipo de serviço, é imprescindível que seus gestores estejam cientes para que estes estabeleçam um controle mais rígido das informações que serão compartilhadas ou armazenadas nele. Assim, se algum material ficar exposto, é possível definir processos e utilizar tecnologias complementares que rastreiam o incidente, minimiza os impactos negativos e responsabiliza os envolvidos, se necessário.

 

Mesmo assim, por mais que algumas empresas insistam em criar programas internos similares aos mais populares, muitos colaboradores arriscam a compartilhar arquivos através dos mecanismos mais tradicionais. Cabe aos gestores conscientizar seus usuários sobre os riscos reais e as consequências que o desconhecimento das normas corporativas de Segurança da Informação pode, inclusive, afetar sua vida profissional e pessoal.

 

A Shadow IT é um problema real e responsável por inúmeros incidentes de segurança em organizações de todos os portes. Criar programas de educação digital entre seus colaboradores é fundamental, assim como atualizar normativos internos e usar tecnologias que monitorem e restrinjam tais tentativas. De qualquer forma, a estratégia é criar um programa capaz de abranger pessoas, processos e tecnologias.
 

Ainda tem dúvidas? Quer saber mais? Entre em contato conosco.

 

 

 

 

Dúvidas sobre o PCI-DSS?
O papel da criptografia para a transmissão de dados.


De: Fernando Ferreira, CEO da AuditSafe

Data: 12/03/2019

Por mais sabido que seja, ainda é comum encontrar pessoas que acessam redes wi-fi abertas e estabelecimentos que as fornecem sem a devida proteção. No entanto, os riscos são iminentes para usuários e organizações, principalmente para aquelas que transacionam informações críticas, como dados bancários. Transmitir dados do titular do cartão em redes abertas e públicas requer uma infraestrutura de criptografia robusta que minimize as chances de um indivíduo mal-intencionado de explorar a rede e obter acesso indevido. É justamente sobre isso que trata o requerimento 4 do PCI-DSS.


As informações confidenciais devem ser criptografadas durante a transmissão por redes públicas, pois facilmente podem ser interceptadas por um invasor. Sendo assim, é necessário o uso de chaves e certificados confiáveis, um protocolo seguro para assegurar os dados do titular do cartão. Não usar o tipo de criptografia adequado para essa transmissão de dados costuma ser uma prática comum entre as empresas, pois existem muitas cifras que estão ultrapassadas e vulneráveis. Não é por acaso que o PCI obrigou desde 2018 a troca por outro protocolo mais seguro.


Embora a criptografia seja a principal forma de manter a confidencialidade das informações, é inegável que o processo criptográfico ainda assuste muitos usuários. Existem muitas ferramentas que suportam algum tipo de criptografia, além de uma grande variedade de opções e termos técnicos que exigem dos profissionais um conhecimento específico. Por essa complexidade que a análise deste requerimento deve ser feita por um especialista, conhecedor das cifras recomendadas pelos padrões de segurança mais exigidos do mercado.


Ainda há inúmeras empresas que, por usarem algum tipo de protocolo ou certificação, acreditam estar protegidas de ameaças. No entanto, algumas dessas implementações possuem vulnerabilidades conhecidas. Por isso, as organizações devem submeter-se a análises de segurança periódicas, como scans de vulnerabilidades, pentests, avaliações em sua arquitetura de sistemas e serviços. Um dos motivos que o PCI obriga a execução desses testes é garantir o processo de gestão de vulnerabilidades adequado e testar as segmentações de redes implementadas. 


Existem padrões de segurança para criptografia e algoritmos seguros, como a Publicação Especial NIST 800-57, que orientam definições referentes a robustez e ao gerenciamento de chaves. Exemplos de padrões e algoritmos incluem AES (128 bits ou superior), RSA (2048 bits ou superior), ECC (224 bits ou superior) e DSA/D-H (2048/224 bits ou superior). Desde 30/06/2018 o PCI obriga utilizar o Transport Layer Security (TLS), que é um protocolo criptográfico usado para estabelecer um canal de comunicação seguro entre dois ambientes. Ele é usado para autenticar um ou ambas plataformas e proteger a confidencialidade e a integridade das informações que passam entre os sistemas. 


A AuditSafe, como empresa QSA para o PCI, pode analisar se a infraestrutura utilizada para processar, armazenar e transmitir dados de cartão estão em conformidade e aderentes aos requerimentos do PCI, seja com as Análises de Vulnerabilidades, os Testes de Invasão, a Revisão de Regras de Firewall, a Análise de Protocolos de Criptografia, entre outros métodos.

 

Ainda tem dúvidas? Quer saber mais? Entre em contato conosco.

 

 

 

 

Trabalho da AuditSafe em Certificação Digital
com Repercussão Internacional


De: Marketing, Valid Certificadora

Data: 07/03/2019

Valid Certificadora chega à Honduras e avança em sua operação internacional.

Companhia será responsável pela estruturação de nova Autoridade Certificadora da Tecnisign

 

Com atuação no Brasil desde 2011, consolidando-se como uma das maiores empresas de Certificação Digital do País, a Valid Certificadora chega à Honduras e avança em sua atuação internacional. A companhia será a parceira tecnológica da Tecnisign, nova empresa do Grupo Visión, que passará a emitir certificados digitais aos cidadãos e profissionais hondurenhos.

 

A operação da Valid no país envolve o gerenciamento do ciclo de vida dos certificados digitais emitidos na América Central, a consultoria para criar os documentos e procedimentos normativos e o suporte e a manutenção do ambiente computacional, além de uma consultoria especializada e um treinamento técnico e operacional.

 

Após a consultoria internacional efetuada pela equipe brasileira da AuditSafe, a Valid Certificadora atuará como uma Autoridade Certificadora Global com acreditação WebTrust, que garante total conformidade com o American Institute of Certified Public Accountants (AICPA) e o Canadian Institute of Chartered Accountants (CICA). A estruturação da Autoridade Certificadora que vai gerar o Certificado Digital da Tecnisign foi auditada pelo Instituto de La Propriedad, responsável pela segurança jurídica aos detentores de bens móveis, imóveis e intelectuais em Honduras. 

 

Jonathan Schacher, representante do Grupo Visión, ao qual a Tecnisign pertence, destaca a responsabilidade da empresa em ser a primeira a companhia a prestar serviços de certificação para levar modernidade ao país. “Estamos em um mundo cada vez mais conectado e a adoção de um estilo de vida digital é uma realidade que agora fará parte do dia a dia dos hondurenhos”.

 

Márcio Nunes, Diretor de Certificação Digital e CIO da Valid, explica que este projeto reforça a presença da companhia no mercado global. “Nossas soluções podem ser customizadas e adaptadas a qualquer norma ou legislação internacional, garantindo a qualidade e a segurança do produto em qualquer parte do mundo”.

 

Cooperação internacional – A escolha da Valid pela Tecnisign não se deu por acaso. Honduras se espelha no modelo brasileiro de Certificação Digital. No dia 29 de novembro, o diretor-presidente do Instituto Nacional de Tecnologia da Informação (ITI) Gastão Ramos esteve em Tegucigalpa, capital hondurenha, para assinar um Memorando de Entendimento entre o ITI e o Instituto de La Propriedad. O documento estabelece uma cooperação técnica entre os dois países, em temas voltados ao desenvolvimento de infraestrutura, disponibilização e comercialização da certificação digital.

 

 

 

 

Desafios da Segurança da Informação:
O que vem por aí??


De: Fernando Ferreira, CEO da AuditSafe

Data: 21/02/2019

Bastaram apenas dois meses para mostrar a que veio 2019.

 

Uma série de vazamentos de dados marcou o início do ano, revelando que esse tipo de ação maliciosa tende a continuar no foco dos cibercriminosos. Vulnerabilidade no módulo de pesquisa pública em instalações do Sistema Eletrônico de Informações (SEI) de órgãos públicos, brechas batizadas de Collection #1 e Collection #2-5, que expôs bilhões de credenciais de e-mails, entre outros, mostraram que os ciberataques devem continuar crescendo em número e agressividade, afetando organizações independentemente do porte e segmento em que atuam.

 

Casos de vazamento de dados tendem a continuar, especialmente em atividades que tenham algum tipo de clamor público. A tragédia em Brumadinho pode ser vista como um exemplo recente, já que poucos dias após o rompimento da barragem, hackers invadiram os sistemas da Vale com o intuito de obterem informações que pudessem responsabilizá-los ainda mais sobre o ocorrido.

 

Essa realidade mostra que as instituições precisam se proteger de uma ameaça em comum: os usuários. O phishing é e continuará sendo o meio mais eficiente pelo qual os cibercriminosos conseguem invadir as empresas. Isso porque eles estão sendo bem-sucedidos ao criarem táticas de invasão que burlam as ferramentas de proteção corporativa. E o pior é que os usuários continuam clicando em e-mails e mensagens falsas. O cenário atual exige medidas mais efetivas referentes a campanhas e ações de conscientização e prevenção de ataques via engenharia social.

 

Como o risco de um ciberataque é iminente, é mandatória a criação de uma área voltada para a Gestão de Crises. É preciso que as organizações tenham mais visibilidade de seus ambientes, elaborando estratégias específicas baseadas em riscos. Em casos de incidentes, a Nuvem é uma forte aliada das empresas, já que ao utilizar a tecnologia podem recuperar informações salvas em seus bancos de dados e minimizar os impactos de um ransomware, por exemplo. 

 

2019 será o ano da consolidação da segurança?

 

Recentemente, regulamentações e leis importantes foram aprovadas a fim de tornar o ambiente digital mais seguro, sendo a Circular no 3.909 e a Resolução no 4.658, que tratam da Segurança Cibernética para empresas financeiras de meios de pagamentos e instituições financeiras, respectivamente. Além dessas, teve a sanção da Lei Geral de Proteção de Dados (LGPD), que deixou muitos executivos do C-Level preocupados com a responsabilização em casos de vazamentos.


No que diz respeito a LGPD, muitos gestores perceberam que se implementarem e certificarem um Sistema de Gestão de Segurança da Informação baseado na NBR ISO/IEC 27001:2013, poderão ter uma penalização atenuada (diminuição da liability). Por essa razão, vê-se muitas empresas contratando escritórios de advocacia para cuidarem da LGPD e acham que está tudo resolvido. 

 

No entanto, mal sabem esses executivos que tais escritórios fazem apenas parte do trabalho, como interpretação da lei e ajuste em suas políticas e alguns processos, deixando de lado a implementação técnica da Segurança da Informação, como a elaboração do Programa de Conscientização sobre SI e Proteção de dados, Classificação e Inventário de Informações, Gestão e Revisão de Perfis de Acessos, Monitoramento do Ambiente e Gestão de Incidentes de Segurança e Anonimização de Dados Pessoais.

 

Sendo assim, é imprescindível que os gestores se atentem à importância de ter um parceiro tecnológico capacitado para desenvolver as melhores práticas e estratégias de segurança. A cada ano, a AuditSafe melhora seu quadro de funcionários com treinamentos internacionais, capacitações e novos serviços, como é o caso do PCI. Desde setembro de 2018, a AuditSafe é um Qualified Security Assessor (QSA) para o PCI e certifica empresa no PCI-DSS

 

Para esse serviço, foi feito um investimento em nossa equipe responsável pelas Varreduras (Scans) de Vulnerabilidades, assim como pelos Testes de Invasão. Fortalecemos ainda mais nosso corpo de profissionais de GRC, responsáveis pelos trabalhos de Diagnósticos e Gaps (de segurança, ISO27001, NIST, PCI) para que sejam minuciosos e meticulosos em suas análises e gestão de riscos.
 

Ainda tem dúvidas? Entre em contato conosco.

 

 

 

 

Red Team vs Blue Team? 
Como usar a favor da
Cyber Segurança e fortalecimento da sua equipe?


De: Fernando Ferreira, CEO da AuditSafe

Data: 04/12/2018

Toda organização que zela pela reputação da marca, pela saúde financeira da companhia e pela proteção dos dados dos seus clientes precisa testar suas estratégias de segurança.

 

O cenário de ataques evolui constantemente, seja em volume, profundidade ou técnicas de invasão, e checar se o seu time está preparado, assim como, se os processos estão adequados e as tecnologias são suficientes, é um ato crucial para as instituições que não desejam sofrer com os prejuízos gerados por um incidente de segurança. Existem hoje no mercado diversas formas de realizar esses testes e a simulação conhecida como Red Team VS Blue Team é uma das mais recomendadas para as empresas de todos os segmentos.

 

Red Team VS Blue Team é, na verdade, um exercício de simulação e treinamento onde os membros de uma organização são divididos em equipes para competir em atividades combativas virtuais. Em Segurança da Informação, visa identificar vulnerabilidades e encontrar falhas na infraestrutura da empresa. As ações são normalmente usadas para testar as tecnologias, os processos e as pessoas que integram os times de segurança.
 

Como funciona

 

Geralmente, dividem-se em dois grupos um time vermelho e um azul. Cabe à equipe vermelha buscar brechas para “atacar” a empresa, enquanto a azul de protegê-la, consertando as vulnerabilidades e respondendo aos ataques conforme eles vão acontecendo.

 

O time azul deve ser formado pela equipe de Segurança da organização, seja interno ou terceirizado. São eles os responsáveis pela gestão dos serviços de segurança como firewall, IPS, Proxy, Antivírus, Antispam, entre outros. Já a equipe vermelha, geralmente, é composta por uma consultoria especializada nessa atividade, que não tem o conhecimento do ambiente da empresa testada para que possa explorar ao máximo todas as possibilidades de ataques possíveis.

 

Existem algumas organizações que realizam essa simulação separando a própria equipe entre time azul e vermelho e depois invertem, mas não é o mais indicado. Isso porque a equipe de ataque tende a conhecer a empresa por dentro, possui acesso privilegiado e conhecimento dos pontos vulneráveis, gerando um resultado que possivelmente não irá condizer com a realidade. 

 

Sem falar no conflito de interesse, afinal, dar ao colaborador a possibilidade dele mesmo testar os controles que ele mesmo criou é similar a um auditor auditar o próprio trabalho. 

 

Nos ataques Red Team VS Blue team, as equipes são separadas e não se intercalam. No entanto, os dois grupos, ao final do treinamento, trocam conhecimento cuja finalidade é ajudar a organização a se defender melhor. Caso os ataques sejam bem-sucedidos, o Red Team envia todo o trabalho ao Blue Team e auxilia no aprimoramento da defesa e mitigação das vulnerabilidades, bem como na validação das correções, consistindo em uma atuação sinérgica entre ambas as equipes.

 

Quem faz e quando fazer?

 

A equipe vermelha deve ser formada por uma equipe híbrida de profissionais especialistas em testes de invasão de sistemas, com as mais variadas habilidades, que tornarão o exercício o mais próximo da realidade possível. Se houver a necessidade, por exemplo, desse profissional desenvolver um software específico para explorar as vulnerabilidades daquele ambiente, será feito. 


Diferente dos Testes de Invasão, que são pontuais e - em alguns casos - exigidos por entidades certificadoras com certa periodicidade, a simulação Red Team VS Blue Team depende mais do nível de maturidade em segurança que a organização deseja chegar. Pode ser alinhada para ocorrer como um teste periódico, definindo um momento aleatório - sem que a empresa seja notificada -, ou contínuo, sendo este último o mais recomendado.


A AuditSafe realiza simulações do tipo Red Team VS Blue Team com profissionais qualificados e tecnologias de ponta para testar os ambientes das organizações de diversas formas. Para entender melhor como se dá esse treinamento, basta entrar em contato com a nossa equipe para definir o melhor modelo de treinamento para o seu time de segurança.

 

Ainda tem dúvidas? Entre em contato conosco.

 

 

 

 

Dúvidas sobre o PCI-DSS?
Como armazenar e proteger os dados pessoais do titular do cartão? - Requerimento 3


De: Fernando Ferreira, CEO da AuditSafe

Data: 22/11/2018

Quando um invasor tirou do ar os serviços da PlayStation Network PSN (rede online de jogos da Sony) e do portal de venda de música Qriocity, furtando dados dos cartões de créditos dos usuários cadastrados, os danos só não foram maiores porque as informações roubadas estavam criptografadas. Esse caso exemplifica que empresas de todos os portes e segmentos têm chances de sofrer algum incidente de segurança, mas que boas práticas, quando adotadas, podem minimizar significativamente os possíveis prejuízos.

 

Todo empresário que realiza transações financeiras eletrônicas e tem informações pessoais armazenadas corre inúmeros riscos de fraudes digitais. Ver os dados de clientes vazados, seja por alguma brecha de segurança, vulnerabilidade do sistema ou ataque cibernético, é um dos principais pesadelos dos donos de negócios atualmente, principalmente com a Lei Geral de Proteção de Dados prestes a entrar em vigor. Por essa razão, o requisito 3 do PCI dedica um capítulo especial para orientar os responsáveis pela segurança das organizações sobre como proteger dados armazenados do titular do cartão.

 

Pelo fato do PCI se aplicar a uma grande variedade de instituições, convém dizer que a regra de ouro é: “se não precisa, não armazene dados do titular do cartão”. Ainda é comum encontrar empresas que criptografam todas informações sensíveis e as armazenam em suas bases de dados sem nenhum tratamento adicional. 

 

Mas mesmo em um cenário onde a maioria das empresas protege adequadamente suas informações, alguns dados não podem ser recolhidos de forma alguma, como por exemplo o código de verificação (CVV, CVV2, etc.). Geralmente, isso ocorre por falta de conhecimento das regras do PCI e boas práticas da indústria de Cartão de Crédito. 

 

A LGPD certamente ajudará na conscientização por parte das empresas de que as informações não devem ser armazenadas somente para formar uma base massiva de dados e sim por um motivo válido de negócio. Além disso, as multas previstas em caso de descumprimento da legislação tendem a fazer com que as empresas se adequem.

 

Melhores práticas

 

Caso acumular tais informações seja necessário por alguma razão de negócio, as organizações devem se atentar em realizar a tokenização, ou seja, a substituição de parte do número por uma sequência aleatória do número do cartão. Fundamental ainda armazenar esses dados de modo criptografado.
 

Toda a infraestrutura por onde as informações de cartão de crédito trafega ou são armazenadas faz parte do escopo do PCI e estará sujeita às suas regras. Não há restrições quanto ao uso de nuvem, desde que sejam observados os mesmos princípios de segurança. Existe até um documento do PCI SSC referente a utilização de Cloud Computing (PCI SSC Cloud Computing Guidelines).

 

Embora existam diversos procedimentos aconselháveis para proteção desses dados, o PCI DSS não determina a utilização de um método específico. A entidade deixa para que cada empresa implemente o método mais factível com o seu modelo de negócio e infraestrutura, mas entre os mais indicados estão: one-way hashes baseados em criptografia forte; truncamento; index tokens e pads, sendo estes armazenados de forma segura; e uso de criptografia forte com processos e procedimentos definidos para gerenciamento de chaves.

 

Quando se fala em criptografia, é muito importante ter um programa de gestão dessas chaves, como um Hardware Security Modules (HSM). A utilização deste tende a ser o modo mais simples de realizar essa tarefa. Além disso, todos os processos devem ser muito bem documentados para que todas as etapas do ciclo de vida da chave possam ser realizadas por qualquer colaborador, mesmo quem não tenha tanto conhecimento do ambiente ou da utilização do HSM.

 

A AuditSafe consegue ajudar seus clientes por meio de serviços especializados, tornando as transações mais seguras e os dados dos titulares dos cartões mais protegidos. Entre alguns dos trabalhos prestados, estão: Gap Analysis, desenho de fluxo de dados do cartão de crédito, suporte à implementação das políticas necessárias, entre outras.
 

Ainda tem dúvidas? Entre em contato conosco.

 

 

 

 

Dúvidas sobre o PCI-DSS?
A importância de senha forte e configuração adequada como parâmetro de Segurança - Requerimento 2


De: Fernando Ferreira, CEO da AuditSafe

Data: 09/11/2018

Em junho de 2016, Mark Zuckerberg, um dos fundadores do Facebook, teve suas contas do Twitter e Pinterest hackeadas. O curioso é que mesmo ele sendo um executivo bem-instruído, usava uma senha fraca.

 

Verdade seja dita, Zuckerberg não é exceção. Pelo contrário, ele pertence a um enorme grupo de usuários que, mesmo conhecendo o mundo da tecnologia e sendo ciente dos riscos, negligenciou o uso de senhas fortes ou configurações não padronizadas. Essa má prática é tão comum e crítica que até mesmo o PCI possui um requerimento específico sobre o tema.

 

A configuração adequada de certas informações, como endereços de IP e portas padrões, continuam sendo os pontos mais deixados de lado pelas companhias, junto com os protocolos de monitoramento (SNMP). Ajustes de redes wireless também estão longe do ideal. Por isso o documento reforça a importância de se atentar a esses detalhes.

 

O uso de senhas fracas e configurações padrões ainda é considerado uma das principais causas de vulnerabilidades nas organizações atualmente, independente do porte e segmento da organização. Uma vez descoberto, o acesso a dispositivos fica exposto a hackers e usuários mal-intencionados. Um agravante nesse cenário é que certos recursos raramente possuem updates de Firmware disponibilizados pelos fabricantes e, quando essas atualizações são lançadas, poucos usuários se preocupam em atualizá-lo.


Causas e consequências

 

Esse tipo de comportamento geralmente é atribuído a uma combinação de fatores. O primeiro deles é que muitas empresas crescem de forma desorganizada, tendo um time de TI júnior com pouco conhecimento do dia a dia de um ambiente estruturado. Quando esse espaço tecnológico cresce, nem sempre há investimento em número e qualificação dos colaboradores, deixando a Segurança em segundo ou terceiro plano. E quando tudo se torna estável, as mudanças ficam mais complexas e as equipes não possuem mão de obra suficiente para implementar as melhorias necessárias.

 

Muitas empresas também possuem uma estrutura de gerenciamento de senhas descentralizada, ficando à cargo das áreas de negócio fazer o controle dos acessos aos sistemas internos. Poucos lugares têm uma Política de Gestão de Acessos definida com processos formais para solicitação de acesso, níveis independentes de aprovação, revisão de perfis, etc. E quando esse trabalho é deixado para depois, o resultado não poderia ser diferente: caixa eletrônico canadense hackeado por senha padrão, um mesmo código padrão usado há 25 anos no produto de uma companhia, ataques DDoS que se espalham por incontáveis dispositivos vulneráveis graças ao uso de logins e senhas vindos de fábrica, entre outros.


O que fazer?

 

Para quem precisa entrar em conformidade com o PCI, a AuditSafe instrui de várias maneiras as empresas a desenvolverem senhas mais fortes e configurar adequadamente seus produtos, seja através da criação de baselines de segurança, hardening de equipamentos, realização de políticas de gestão de acesso, desenvolvimento de matrizes de segregação de função ou projetos de revisão de perfis. Sempre que possível, também é indicada a utilização de um Cofre de Senhas, usado especialmente para a gestão de acessos privilegiados nos ativos. 

 

Para usuários, a recomendação é utilizar um programa gerenciador de senhas que auxilia na criação de códigos mais complexos, fazendo com que a pessoa possa ter senhas longas e difíceis de serem descobertas, sem ter que confiar em sua própria memória. 

 

Outra sugestão é adotar uma passphrase, ou seja, uma frase como chave ao invés de uma única palavra, como por exemplo: “Minha senha de Redes Sociais!”. Além disso, uma mesma senha não deve ser utilizada em mais de um site/sistema/serviço para evitar que o comprometimento de um afete os demais, como feito por Mark Zuckerberg.

 

Ainda tem dúvidas? Entre em contato conosco.

 

 

 

 

Dúvidas sobre o PCI-DSS?
Saiba como construir e manter
a segurança de redes e sistemas - Requerimento 1


De: Fernando Ferreira, CEO da AuditSafe

Data: 22/10/2018

Vez ou outra nos deparamos com algum pop-up em nossa tela e uma mensagem nos diz que está na hora de atualizar determinado software. O tal do “deixar para depois” é uma prática comum entre usuários, afinal, fazer um update requer parar as nossas atividades, lidar com possíveis bugs, entre outros imprevistos. Mas não são apenas os programas que passam por atualizações; as regulamentações também são modernizadas constantemente a fim de garantir mais eficiência na proteção de dados, como é o caso do PCI.

 

Desde o seu surgimento, em 2006, o PCI já passou por diversas atualizações. Esses updates ocorrem sempre que novas tecnologias são lançadas no mercado e as instituições passam a adotá-las em massa. A mais recente é a de maio de 2018 (v3.2.1).

 

O primeiro requisito do PCI diz respeito a construir e manter a segurança de rede e sistemas por meio da instalação e configuração adequada do Firewall. É esse recurso que faz toda a segregação de redes, tanto interna (restringindo o acesso ao escopo de PCI) como externa (prevenindo o acesso externo à instituição), por isso a sua importância. E para garantir que funcione esse controle, há necessidade de se realizar Testes de Invasão, internos e externos, anualmente.

 

Da versão 2.0 para a 3.0, as principais mudanças referentes ao Firewall foram que as configurações devem ser documentadas, o diagrama de rede deve mostrar o fluxo de dados de cartão, o uso de protocolos inseguros é estritamente proibido e métodos anti-spoofing devem ser utilizados para detectar e bloquear IPs forjados na rede. A versão 3.0 entrou em vigor em 2013 e, de lá para cá, não houveram grandes mudanças. 

 

Dentre as orientações do requisito 1, o procedimento mais desafiador para as organizações é mapear corretamente todo o fluxo por onde os dados de cartão de crédito passam em sua infraestrutura. Quando esse mapeamento é realizado corretamente, incluindo servidores e portas utilizadas, repassar as informações para o Firewall é a parte mais simples. 

 

Por incrível que pareça, o ajuste incorreto do recurso é o maior erro cometido quanto se fala em Firewall. Para “facilitar o gerenciamento”, são feitas configurações muito abrangentes, permitindo tráfego maior de informações do que o necessário, abrindo brechas para ataques e vazamento de informações. Sem falar no uso de configuração padrão e de credenciais frágeis (como usuário e senha padrões ou fracas), que também aparecem como algumas das falhas mais comuns praticadas pelos usuários.

 

Embora existam diversos tipos de Firewall, o PCI não indica nenhum tipo específico a ser utilizado. Mesmo as soluções que têm recursos similares ao Firewall são permitidas, desde que o produto seja capaz de realizar o filtro certo de pacotes e segregar a rede corretamente.

 

Em suma, sempre que os dados saem da empresa de alguma forma que não seja fisicamente (pen-drives, HD externo, notebook, etc.) é porque há uma falha de segurança, seja na política de acessos ou de configuração. É nesse ponto que a AuditSafe pode ajudar, realizando trabalhos de análise e revisão de regras de Firewall, definindo melhor as políticas de acesso e mapeamento devido do fluxo de informações de cartão de crédito.

 

Ainda tem dúvidas? Entre em contato conosco.

 

 

 

 

ITI anuncia novas regras para Autoridades Certificadoras (ACs) e reforça selo WebTrust


De: Fernando Ferreira, CEO da AuditSafe

Data: 16/10/2018

Na qualidade de Autoridade Certificadora Raiz da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, o Instituto Nacional de Tecnologia da Informação – ITI emitiu certificados digitais nas novas cadeias v8 e v9.

 

Sob a cadeia v8 serão emitidos certificados digitais SSL – Secure Sockets Layer -  enquanto que a v9 servirá para os certificados digitais Code Signing. Com isso, as Autoridades Certificadoras (ACs) que emitem os certificados SSL e Código Seguro terão de emitir novos certificados nessa nova estrutura.

 

Segundo a norma, as Autoridades Certificadoras (ACs) devem realizar procedimentos de auditoria anteriores à emissão de qualquer certificado com emissão de relatórios denominados point-in-time.

 

Esta medida tem como objetivo permitir que os navegadores (Google, Internet Explorer e demais browsers) reconheçam como válidos os certificados SSL e de Assinatura de Código emitidos abaixo da Infraestrutura de Chaves Públicas (ICP-Brasil).

 

As ACs que emitem certificados SSL e Code Signing terão que realizar as auditorias Webtrust com os critérios do Baseline with Network Security (SSL) e Publicly Trusted Code Signing Certificates (Code Signing). 

 

A AuditSafe está credenciada no ITI, desde 2009, para realização de auditorias operacionais e credenciamentos em Autoridade Certificadora. Além de estar credenciada no ITI, também está autorizada a realizar auditorias do Programa WebTrust, conquistada após rigorosa análise realizada pelo American Institute of Certified Public Accountants (AICPA) e Canadian Institute of Chartered Accountants (CICA). 

 

Sobre o WebTrust
 

As auditorias WebTrust para Autoridades Certificadoras têm como objetivo verificar se a AC está seguindo sua Declaração de Práticas de Certificação (DPC), o principal documento no âmbito da certificação digital. O escopo das auditorias tem a finalidade de auditar os processos relacionados ao ciclo de vida dos certificados digitais. 

 

Essas auditorias incluem, por exemplo, a geração das chaves dos certificados, a verificação das credenciais dos titulares dos certificados, a guarda das informações dos titulares, acessos a ambientes controlados, entre outros.  O programa engloba, portanto, todos os aspectos da Segurança da Informação: Segurança física, lógica e processual. 

 

Precisa de ajuda? Vamos conversar? Entre em contato.

 

 

 

 

Vazamento de dados:
De quem é a responsabilidade e
como podemos evitar isso?


De: Fernando Ferreira, CEO da AuditSafe

Data: 25/09/2018

T-Mobile, Boa Vista SCPC, British Airways, C&A...

 

Nos últimos meses, diversos casos de vazamento de dados se tornaram notícias. A causa para o possível aumento de números de casos pode estar numa desconexão entre o avanço das ameaças e a escassez de recursos em Segurança. 

 

Existe cada vez mais um senso comum que aponta o CEO como o principal responsável por garantir a segurança das informações corporativas. Faz sentido, afinal, é ele quem deveria estar sensibilizado com os riscos, perdas e prejuízos à imagem da organização e prover os recursos necessários para que os responsáveis pela SI possam fazer o trabalho da melhor maneira possível. 

 

Dessa forma, mesmo que um incidente ocorra (já que ninguém está totalmente imune a essa nova realidade) as consequências podem ser melhores gerenciadas e os impactos menores quando se tem os recursos necessários.

 

Presidentes e CEOs precisam pensar na Segurança da Informação de forma estratégica, totalmente alinhada com os objetivos dos negócios. Esse alinhamento pode começar com uma Análise de Maturidade dos processos e tecnologias utilizadas pelas empresas.

 

É claro que um bom processo, adequadamente implementado e aprimorado continuamente, que seja corretamente configurado nas ferramentas e soluções corporativas, e que tenha pessoas qualificadas para conduzi-los, reduzem drasticamente a probabilidade e o impacto de incidentes de segurança. 

 

No entanto, muitos executivos estão preocupados em bater metas e deixar cada vez mais as empresas com a melhor saúde financeira possível. Consequentemente, cortam custos, reduzem equipes e pouco investem em qualificação e recursos para seus profissionais.

 

O ideal seria que a Alta Direção criasse um Comitê de Auditoria, de modo que a Segurança da Informação seja tratada de forma correta, para que o Conselho seja sensibilizado e orientado a tomar as medidas necessárias. Tais orientações poderiam ser traçadas com a ajuda de consultorias especializadas. 

 

A AuditSafe trabalha em um modelo em que os recursos são instruídos de forma contínua ou sob demanda. Isso quer dizer que, no mesmo contrato, os clientes podem utilizar todos os seus profissionais de acordo com suas necessidades, seja para realizar um PenTest, tratar incidentes, gerir vulnerabilidades, entre outros serviços prestados.

 

As empresas podem ganhar dinheiro fazendo uma Segurança da Informação adequada. O segredo é incorporá-la aos negócios para que seja sua impulsionadora. 
 

 

 

 

 

AuditSafe amplia seu portfólio e
conquista denominação PCI-QSA


De: Fernando Ferreira, CEO da AuditSafe

Data: 05/09/2018

A partir de agora, a AuditSafe e sua equipe especializada estão qualificados para prestarem auditorias de certificação em PCI-DSS.
 

Em 2006, as principais bandeiras de cartão do mundo se uniram com o objetivo de tornar as operações mais seguras, resultando na criação do Payment Card Industry Standards Council. Desse conselho, foi estipulado um conjunto de requisitos mínimos de segurança para empresas que processam, transmitem e armazenam informações de cartões de crédito, o Payment Card Industry Data Security Standard (PCI DSS).
 

Para muitas empresas de auditoria e consultoria, conseguir a qualificação de Qualified Security Assessor é um processo complicado. O PCI Council exige um altíssimo padrão de qualidade em seus relatórios. Além de conhecimento técnico muito específico dos profissionais em Segurança da Informação, também é preciso o conhecimento nas regras de negócios, tornando a conquista da certificação ainda mais difícil e complexa.
 

Pensando na segurança e conformidade de seus clientes com os requisitos do PCI-DSS, a AuditSafe aprimorou seu processo de revisão da qualidade (Quality Assurance), aprovado pelo PCI Council, sendo seu sócio e fundador participante desse fluxo e também certificado como Qualified Security Assessor (QSA).
 

No Brasil
 

O brasileiro é um consumidor que, infelizmente, está habituado à sensação de insegurança ao fazer uma transação financeira. Não é para menos. Um recente estudo intitulado Raio-X da Fraude revelou que o e-commerce nacional, por exemplo, sofreu uma tentativa de golpe a cada cinco segundos e a maior parte deles ocorreu a partir de compras feitas com cartões de crédito clonados. O ponto é que a indústria de cartões de crédito movimenta milhões de reais diariamente e se tornou um dos alvos preferidos dos cibercriminosos.
 

As condições de segurança do PCI-DSS se aplicam aos componentes que participam diretamente do processamento de dados de cartão de crédito, ou seja, servidores de rede, aplicativos, bancos de dados, entre outros. Informações como nome, número do cartão e código de segurança devem ser protegidos para a segurança dos portadores de cartões.
 

Bancos, processadoras, provedores de serviços de pagamentos, agências de viagens, companhias aéreas, lojas de e-commerce e demais instituições financeiras e de meios de pagamentos que desejam implementar o padrão PCI-DSS devem consultar e ser acompanhadas por uma organização que tenha a denominação QSA – Qualified Security Assessor, como é o caso da AuditSafe.
 

Será ela a responsável por auxiliar e auditar a instituição em busca da certificação. Para que a companhia seja auditada, ela deve atingir todos os requisitos e processos estabelecidos pelo padrão para estar em conformidade e consequentemente mais segurança nas transações.

 

Precisa de ajuda? Vamos conversar? Entre em contato.

 

 

 

 

 

Foi invadido?
Saiba como criar um plano efetivo de resposta a incidentes?


De: Fernando Ferreira, CEO da AuditSafe

Data: 28/08/2018

Existe uma máxima no mundo da Tecnologia que diz o seguinte: “Toda empresa sofrerá um ataque virtual, é só uma questão de tempo”. 

 

A afirmação considera inúmeros fatores, entre eles: não existem tecnologias 100% seguras, pessoas falham, os ataques estão cada vez mais sofisticados e os investimentos para a área de Segurança não correspondem às necessidades dos atuais gestores de SI. Mas já que sofrer um ataque é inevitável, você pode ao menos ter um bom plano de resposta para minimizar o impacto e as consequências do incidente. 

 

Ao detectar um problema, o responsável deve trabalhar rapidamente na identificação da origem, avaliar o impacto e traçar um plano para a contenção. Uma das formas para mensurar as consequências pode ser por meio de uma BIA (Business Impact Analysis – análise de impacto nos negócios) ou através de um cálculo de perdas operacionais e financeiras. Situações que envolvem danos à imagem são mais difíceis de medir quantitativamente.

 

O plano de resposta deve ser elaborado pela área de Segurança da Informação (CSIRT), que assumirá a responsabilidade. No entanto, o programa exigirá sempre interação e interdependência das áreas de suporte (por exemplo, a infraestrutura de TI) e de negócios, principalmente no que tange a severidade e criticidade do incidente para a organização. Incidentes menores podem ser comunicados periodicamente ao board, enquanto os mais graves têm de ser reportados imediatamente.

 

Um plano eficiente de gestão de resposta a incidentes é composto por alguns processos: rastreabilidade das ações realizadas, identificação da origem do problema, a preservação das evidências (que poderão ser utilizadas para questões legais, posteriormente), fortalecimento da comunicação entre todas as áreas envolvidas e no reporte ao board, informando-o sobre o impacto do incidente.

 

Treinamentos periódicos ajudam na harmonia entre as partes envolvidas para que os processos de resposta a incidentes e gerenciamento de crises sejam melhorados continuamente. Eles são fundamentais para o desenvolvimento das lições aprendidas, revisão dos procedimentos existentes, estruturação das bases de conhecimentos e readequação dos cenários de testes contemplando novas ameaças. 

 

Infelizmente, muitas empresas ainda possuem uma visão reativa frente aos riscos que podem enfrentar. Mas o atual cenário exige que as organizações sejam mais proativas e preventivas, principalmente quando se trata de assuntos relacionados à Segurança da Informação e aos dados dos seus clientes.

 

Realizar um Diagnóstico de Riscos de SI para que as instituições tenham uma percepção mais real dos riscos os quais estão sujeitos facilita na hora de estruturar um plano de resposta mais efetivo. Somente dessa forma as pessoas envolvidas saberão lidar com as possíveis crises quando elas vierem a acontecer.

 

Entre em contato com a AuditSafe para uma conversa!

 

 

 

 

 

Por que estar em conformidade com leis e regulamentações é tão importante para a sua empresa?


De: Fernando Ferreira, CEO da AuditSafe

Data: 16/08/2018

A Segurança da Informação nunca esteve tão em evidência como nos dias de hoje.

 

Desde o fatídico 12 de maio de 2017, quando o mundo foi pego de “surpresa” pelo Wannacry (ransomware que fez mais de 300 mil vítimas em cerca de 150 países), o tema ganhou sobrevida dentro das organizações. Tanto que de lá para cá foi possível perceber uma grande movimentação no mercado e novas resoluções, regulamentações e propostas de leis foram criadas a fim de proporcionar um ambiente mais seguro para os negócios digitais.
 

GDPR, LGDP, Resolução 4.658, ISO27001, NIST, CobiT...
 

Todas elas têm um papel fundamental para as companhias hoje, independente do porte ou segmento em que atua. Elas são produtos originados a partir de anos de experiência e estudos. Consequentemente, todos as empresas podem se beneficiar e gerenciar seus riscos tecnológicos, cibernéticos e corporativos se as utilizarem corretamente. Até já falei aqui, em meu artigo anterior, que a Gestão de Riscos Cibernéticos pode alavancar os negócios quando bem aplicada.
 

No entanto, muitas empresas fazem gastos elevados (e muitas vezes, desnecessários) em tecnologias que prometem deixá-las em conformidade com tais regras, quando na verdade deveriam inicialmente realizar um diagnóstico para ter um retrato de sua situação atual. 
 

Por meio desse trabalho, as organizações saberão seu grau de aderência às regras desejadas, seu nível de maturidade e os riscos dos controles das normas frente aos negócios. Através desse relatório (que nada mais é que um Plano Diretor) ficará mais fácil para as companhias decidirem o quanto desejam investir, mensurando os riscos que desejam evitar.
 

Algumas pequenas e médias empresas tendem achar que, por serem menores, não serem tão desejadas por atacantes ou terem faturamento elevado não precisam se preocupar com essas regras. Ledo engano! Por mais que elas utilizem recursos tecnológicos, seja um firewall, ferramentas de prevenção ao vazamento de dados ou de criptografia de dados, não dá para desconsiderar o fator humano. Ou seja, de nada adiantam tecnologias se o funcionário da empresa ou o parceiro burlar os controles de segurança (seja de maneira intencional ou acidental). 
 

Atualmente há um grande esforço a ser desenvolvido quando o assunto é Conscientização em Segurança, Cyber Awareness ou Educação Digital. É preciso investir em um Programa Contínuo de Conscientização, considerando e-learning, simulações de phishing, jogos entre as áreas e materiais informativos, e não apenas realizar palestras. Qualquer regra, resolução, norma e boa prática abordará esse tema.
 

As leis e regulamentações brasileiras vigentes hoje são comparadas às internacionais e, a Lei Geral de Proteção de Dados aprovada, o Brasil estará entre um seleto time de países que têm leis específicas para proteger os dados dos cidadãos. Isso quer dizer que estamos entrando em um caminho sem volta.

 

Outras leis e regulamentações virão. Estar em conformidade com elas é um diferencial competitivo.

 

Entre em contato com a AuditSafe para uma conversa!

 

 

 

 

 

Prezado CEO,

Você Sabia que a Segurança da Informação
é Estratégica para o seu Negócio?


De: Fernando Ferreira, CEO da AuditSafe

Data: 07/08/2018

A “transformação digital” se tornou um dos termos mais mencionados pelos executivos de negócios nos últimos anos.

 

A busca por mais agilidade nas decisões, inovações tecnológicas, novas oportunidades de negócios e na maneira de interagir com os clientes são apenas algumas das razões que levaram os CEOs do mundo todo a investir tanto nessa nova Era Digital.

 

Infelizmente, os investimentos em Segurança não tiveram a mesma prioridade e os resultados podem ser vistos hoje com cada vez mais frequência: vazamento de dados, segredos comerciais revelados, dano à reputação da marca, perda de credibilidade, operações paralisadas, prejuízo financeiro, entre outros. Parte dessas consequências se deve, principalmente, ao distanciamento entre o Conselho de Administração e os profissionais de Segurança e Tecnologia da Informação.

 

A ausência dos responsáveis pela Segurança da Informação (SI) nas decisões do board é algo que precisa ser revisto dentro das organizações em caráter de urgência. Na maioria das instituições, o tema de SI está restrito aos Comitês de Auditoria, que solicitam esporadicamente a presença de um "C?O" para defender um projeto ou explicar algum incidente quando ocorrido. Mas, o fato é que as empresas precisam de um membro fixo no board com conhecimento em Segurança e Tecnologia da Informação.

 

O CEO precisa ter clara visão de que, para levar o negócio ao sucesso, deve encarar os assuntos de Tech e Cyber como oportunidades e impulsionadores dos negócios fazendo a Gestão dos Riscos Cibernéticos, ou seja, temas inerentes, integrados, que se complementam, onde não é possível fazer um sem investir no outro.

 

Muitas empresas ainda enxergam a área de Segurança da Informação como um centro de custo, e não como uma aceleradora dos negócios. É preciso mudar o mindset e ver a Cyber Security como  vantagem competitiva frente a concorrência.

 

A SI pode ser perfeitamente utilizada de maneira estratégica, como propulsora de inovações se dimensionada corretamente, afinal de contas, em um mundo cada vez mais digitalizado e ameaçado pelos riscos virtuais, a segurança tem tudo para ser o elemento-chave que definirá a escolha do cliente por determinado produto ou serviço no futuro. Você não vai querer perder essa chance, vai?

 

Não sabe por onde começar? Fale comigo, que posso te ajudar!

 

 

 

 

 

PenTest:
O que é, pra que serve e com qual frequência deve ser feito?

De: Fernando Ferreira, CEO da AuditSafe

Data: 19/07/2018

Quando foi a última vez que você fez um PenTest na sua organização? Ele foi realizado por uma equipe especializada?

 

O fato é que por mais que você tenha uma equipe de Tecnologia ou Segurança na sua empresa, é essencial contar com uma empresa especializada para realizar os testes de intrusão, principalmente por profissionais devidamente qualificados.

 

Em uma realidade onde empresas usam cada vez mais sistemas e aplicações, o PenTest se mostra fundamental para a estratégia de Segurança das organizações. Para se ter uma ideia, pesquisas revelam que empresas têm mais de 800 apps em uso (cerca de 20% a mais que o previsto) e, apesar de muitos deles terem bons recursos de proteção, alguns aplicativos contém vulnerabilidades e brechas capazes de comprometer os negócios das empresas.

 

É diante desse contexto que os testes de intrusão se mostram necessários. Eles auxiliam na elaboração de estratégias de proteção que garantem a confidencialidade, integridade e disponibilidade das informações e ambientes de processamento de dados, evitando vazamento e roubo de dados. 

 

A qualificação do profissional de PenTester

 

Aí você se pergunta: mas se eu tenho uma equipe boa de TI e SI, por que eu não posso pedir que eles façam um PenTest? Muitos das varreduras de redes comuns, confundidos com testes de intrusão, geram uma infinidade de falsos-positivos. Um profissional qualificado se certificará qual vulnerabilidade é realmente capaz de trazer algum risco real à empresa.

 

Esse profissional possui habilidades bastante específicas, que vão muito além do perfil técnico de quem, esporadicamente, faz as vezes de PenTester. Ele tem que ser autodidata e estar antenado com os principais fóruns de hacker para troca de informações, além de contar certificações internacionais, como Certified Ethical Hacker (CEH), Offensive Security Certified Proffesional (OSCP) e Certified Information Systems Security Professional‎ (CISSP).

 

Quando se fala em PenTest, o Gray Box é um dos mais comuns, pois os testes são iniciados às cegas e sem nenhuma informação do ambiente a fim de mapear e analisar as vulnerabilidades existentes. Em seguida, as credenciais são utilizadas para simular usuários internos legítimos (ex.: colaboradores) e verificar quais fraudes e brechas podem ser exploradas por um possível invasor.

 

Algumas instituições realizam testes constantemente antes de disponibilizarem serviços aos usuários. No entanto, é recomendável que a maior parte das organizações realize um ou dois testes por ano, na modalidade Gray Box, complementado por Scan/Varreduras trimestrais de vulnerabilidades.

 

A AuditSafe disponibiliza um time qualificado de profissionais que realizam PenTests em instituições de segmentos variados. Entre os serviços prestados estão o monitoramento dos ativos de infraestrutura, preparação de relatórios personalizados, interação humana para validação das vulnerabilidades e todo o apoio técnico dos nossos consultores na Gestão do Ciclo de Vida das Vulnerabilidades, do início ao fim da sua tratativa.

 

Para saber mais sobre o nosso serviço, clique aqui ou pergunte como nós podemos ajudá-lo no espaço abaixo.

 

 

 

 

 

Resolução No 4.658: o que você tem a ver com isso?

De: Fernando Ferreira, CEO da AuditSafe

Data: 10/07/2018

Espera-se que alguns dos novos quesitos de Segurança virem referência para a maioria das empresas, no entanto, instituições devem continuar investindo em trabalhos de Avaliação de Riscos de Cibersegurança em seus ambientes.

 

A nova Resolução No 4.658, publicada recentemente pelo Banco Central, foi vista com bons olhos pelos profissionais de Segurança como um todo. Ao estabelecer a necessidade das instituições financeiras em ter uma política de segurança cibernética, incluindo um plano de ação e de resposta a incidentes, bem como a definição dos requisitos para contratação de serviços em processamento e armazenamento de dados e de computação em nuvem.

 

Espera-se que alguns desses itens virem referência para outros setores além do setor financeiro.
 
As organizações que possuírem os processos de Segurança da Informação bem-estruturados terão mais facilidade para implementar o detalhamento dos controles exigidos pela referida resolução. 

 

Um aspecto importante da resolução 4.658, é que a instituição deverá nomear um diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de respostas a incidentes, além de reportar periodicamente sobre o andamento e tratamento das ações junto ao Banco Central.

 

Seguem algumas datas importantes previstas pela resolução que a instituição deve ficar atenta:
 
•    03/10/2018 - Data limite para apresentação do Plano de Adequação

•    06/05/2019 - Data limite para Elaboração e Aprovação da Política de Segurança Cibernética

•    31/12/2019 e 31/03/2020 - Data base e de limite para apresentação do 1º relatório anual

•    31/12/2021 - Data limite para adequação às diretrizes da resolução
 
Em virtude desse cenário, a AuditSafe tem sido contatada frequentemente como prestadora de serviços para avaliar o ambiente tecnológico dessas instituições de modo a avaliar sua aderência dos controles estabelecidos por essa resolução.

 

Tais serviços, incluem, por exemplo, analisar o nível de maturidade de processos, pessoas e das tecnologias existentes; identificar as fragilidades nos controles e exposição dos riscos atuais; e elaborar os planos de ação para correção e mitigação dos riscos de acordo com as necessidades de negócios.

 

Saiba mais.