Blog da AuditSafe, participe!

 

 

 

Dúvidas sobre o PCI-DSS?
O papel da criptografia para a transmissão de dados.


De: Fernando Ferreira, CEO da AuditSafe

Data: 12/03/2019

Por mais sabido que seja, ainda é comum encontrar pessoas que acessam redes wi-fi abertas e estabelecimentos que as fornecem sem a devida proteção. No entanto, os riscos são iminentes para usuários e organizações, principalmente para aquelas que transacionam informações críticas, como dados bancários. Transmitir dados do titular do cartão em redes abertas e públicas requer uma infraestrutura de criptografia robusta que minimize as chances de um indivíduo mal-intencionado de explorar a rede e obter acesso indevido. É justamente sobre isso que trata o requerimento 4 do PCI-DSS.


As informações confidenciais devem ser criptografadas durante a transmissão por redes públicas, pois facilmente podem ser interceptadas por um invasor. Sendo assim, é necessário o uso de chaves e certificados confiáveis, um protocolo seguro para assegurar os dados do titular do cartão. Não usar o tipo de criptografia adequado para essa transmissão de dados costuma ser uma prática comum entre as empresas, pois existem muitas cifras que estão ultrapassadas e vulneráveis. Não é por acaso que o PCI obrigou desde 2018 a troca por outro protocolo mais seguro.


Embora a criptografia seja a principal forma de manter a confidencialidade das informações, é inegável que o processo criptográfico ainda assuste muitos usuários. Existem muitas ferramentas que suportam algum tipo de criptografia, além de uma grande variedade de opções e termos técnicos que exigem dos profissionais um conhecimento específico. Por essa complexidade que a análise deste requerimento deve ser feita por um especialista, conhecedor das cifras recomendadas pelos padrões de segurança mais exigidos do mercado.


Ainda há inúmeras empresas que, por usarem algum tipo de protocolo ou certificação, acreditam estar protegidas de ameaças. No entanto, algumas dessas implementações possuem vulnerabilidades conhecidas. Por isso, as organizações devem submeter-se a análises de segurança periódicas, como scans de vulnerabilidades, pentests, avaliações em sua arquitetura de sistemas e serviços. Um dos motivos que o PCI obriga a execução desses testes é garantir o processo de gestão de vulnerabilidades adequado e testar as segmentações de redes implementadas. 


Existem padrões de segurança para criptografia e algoritmos seguros, como a Publicação Especial NIST 800-57, que orientam definições referentes a robustez e ao gerenciamento de chaves. Exemplos de padrões e algoritmos incluem AES (128 bits ou superior), RSA (2048 bits ou superior), ECC (224 bits ou superior) e DSA/D-H (2048/224 bits ou superior). Desde 30/06/2018 o PCI obriga utilizar o Transport Layer Security (TLS), que é um protocolo criptográfico usado para estabelecer um canal de comunicação seguro entre dois ambientes. Ele é usado para autenticar um ou ambas plataformas e proteger a confidencialidade e a integridade das informações que passam entre os sistemas. 


A AuditSafe, como empresa QSA para o PCI, pode analisar se a infraestrutura utilizada para processar, armazenar e transmitir dados de cartão estão em conformidade e aderentes aos requerimentos do PCI, seja com as Análises de Vulnerabilidades, os Testes de Invasão, a Revisão de Regras de Firewall, a Análise de Protocolos de Criptografia, entre outros métodos.

 

Ainda tem dúvidas? Quer saber mais? Entre em contato conosco.

 

 

 

 

Trabalho da AuditSafe em Certificação Digital
com Repercussão Internacional


De: Marketing, Valid Certificadora

Data: 07/03/2019

Valid Certificadora chega à Honduras e avança em sua operação internacional.

Companhia será responsável pela estruturação de nova Autoridade Certificadora da Tecnisign

 

Com atuação no Brasil desde 2011, consolidando-se como uma das maiores empresas de Certificação Digital do País, a Valid Certificadora chega à Honduras e avança em sua atuação internacional. A companhia será a parceira tecnológica da Tecnisign, nova empresa do Grupo Visión, que passará a emitir certificados digitais aos cidadãos e profissionais hondurenhos.

 

A operação da Valid no país envolve o gerenciamento do ciclo de vida dos certificados digitais emitidos na América Central, a consultoria para criar os documentos e procedimentos normativos e o suporte e a manutenção do ambiente computacional, além de uma consultoria especializada e um treinamento técnico e operacional.

 

Após a consultoria internacional efetuada pela equipe brasileira da AuditSafe, a Valid Certificadora atuará como uma Autoridade Certificadora Global com acreditação WebTrust, que garante total conformidade com o American Institute of Certified Public Accountants (AICPA) e o Canadian Institute of Chartered Accountants (CICA). A estruturação da Autoridade Certificadora que vai gerar o Certificado Digital da Tecnisign foi auditada pelo Instituto de La Propriedad, responsável pela segurança jurídica aos detentores de bens móveis, imóveis e intelectuais em Honduras. 

 

Jonathan Schacher, representante do Grupo Visión, ao qual a Tecnisign pertence, destaca a responsabilidade da empresa em ser a primeira a companhia a prestar serviços de certificação para levar modernidade ao país. “Estamos em um mundo cada vez mais conectado e a adoção de um estilo de vida digital é uma realidade que agora fará parte do dia a dia dos hondurenhos”.

 

Márcio Nunes, Diretor de Certificação Digital e CIO da Valid, explica que este projeto reforça a presença da companhia no mercado global. “Nossas soluções podem ser customizadas e adaptadas a qualquer norma ou legislação internacional, garantindo a qualidade e a segurança do produto em qualquer parte do mundo”.

 

Cooperação internacional – A escolha da Valid pela Tecnisign não se deu por acaso. Honduras se espelha no modelo brasileiro de Certificação Digital. No dia 29 de novembro, o diretor-presidente do Instituto Nacional de Tecnologia da Informação (ITI) Gastão Ramos esteve em Tegucigalpa, capital hondurenha, para assinar um Memorando de Entendimento entre o ITI e o Instituto de La Propriedad. O documento estabelece uma cooperação técnica entre os dois países, em temas voltados ao desenvolvimento de infraestrutura, disponibilização e comercialização da certificação digital.

 

 

 

 

Desafios da Segurança da Informação:
O que vem por aí??


De: Fernando Ferreira, CEO da AuditSafe

Data: 21/02/2019

Bastaram apenas dois meses para mostrar a que veio 2019.

 

Uma série de vazamentos de dados marcou o início do ano, revelando que esse tipo de ação maliciosa tende a continuar no foco dos cibercriminosos. Vulnerabilidade no módulo de pesquisa pública em instalações do Sistema Eletrônico de Informações (SEI) de órgãos públicos, brechas batizadas de Collection #1 e Collection #2-5, que expôs bilhões de credenciais de e-mails, entre outros, mostraram que os ciberataques devem continuar crescendo em número e agressividade, afetando organizações independentemente do porte e segmento em que atuam.

 

Casos de vazamento de dados tendem a continuar, especialmente em atividades que tenham algum tipo de clamor público. A tragédia em Brumadinho pode ser vista como um exemplo recente, já que poucos dias após o rompimento da barragem, hackers invadiram os sistemas da Vale com o intuito de obterem informações que pudessem responsabilizá-los ainda mais sobre o ocorrido.

 

Essa realidade mostra que as instituições precisam se proteger de uma ameaça em comum: os usuários. O phishing é e continuará sendo o meio mais eficiente pelo qual os cibercriminosos conseguem invadir as empresas. Isso porque eles estão sendo bem-sucedidos ao criarem táticas de invasão que burlam as ferramentas de proteção corporativa. E o pior é que os usuários continuam clicando em e-mails e mensagens falsas. O cenário atual exige medidas mais efetivas referentes a campanhas e ações de conscientização e prevenção de ataques via engenharia social.

 

Como o risco de um ciberataque é iminente, é mandatória a criação de uma área voltada para a Gestão de Crises. É preciso que as organizações tenham mais visibilidade de seus ambientes, elaborando estratégias específicas baseadas em riscos. Em casos de incidentes, a Nuvem é uma forte aliada das empresas, já que ao utilizar a tecnologia podem recuperar informações salvas em seus bancos de dados e minimizar os impactos de um ransomware, por exemplo. 

 

2019 será o ano da consolidação da segurança?

 

Recentemente, regulamentações e leis importantes foram aprovadas a fim de tornar o ambiente digital mais seguro, sendo a Circular no 3.909 e a Resolução no 4.658, que tratam da Segurança Cibernética para empresas financeiras de meios de pagamentos e instituições financeiras, respectivamente. Além dessas, teve a sanção da Lei Geral de Proteção de Dados (LGPD), que deixou muitos executivos do C-Level preocupados com a responsabilização em casos de vazamentos.


No que diz respeito a LGPD, muitos gestores perceberam que se implementarem e certificarem um Sistema de Gestão de Segurança da Informação baseado na NBR ISO/IEC 27001:2013, poderão ter uma penalização atenuada (diminuição da liability). Por essa razão, vê-se muitas empresas contratando escritórios de advocacia para cuidarem da LGPD e acham que está tudo resolvido. 

 

No entanto, mal sabem esses executivos que tais escritórios fazem apenas parte do trabalho, como interpretação da lei e ajuste em suas políticas e alguns processos, deixando de lado a implementação técnica da Segurança da Informação, como a elaboração do Programa de Conscientização sobre SI e Proteção de dados, Classificação e Inventário de Informações, Gestão e Revisão de Perfis de Acessos, Monitoramento do Ambiente e Gestão de Incidentes de Segurança e Anonimização de Dados Pessoais.

 

Sendo assim, é imprescindível que os gestores se atentem à importância de ter um parceiro tecnológico capacitado para desenvolver as melhores práticas e estratégias de segurança. A cada ano, a AuditSafe melhora seu quadro de funcionários com treinamentos internacionais, capacitações e novos serviços, como é o caso do PCI. Desde setembro de 2018, a AuditSafe é um Qualified Security Assessor (QSA) para o PCI e certifica empresa no PCI-DSS

 

Para esse serviço, foi feito um investimento em nossa equipe responsável pelas Varreduras (Scans) de Vulnerabilidades, assim como pelos Testes de Invasão. Fortalecemos ainda mais nosso corpo de profissionais de GRC, responsáveis pelos trabalhos de Diagnósticos e Gaps (de segurança, ISO27001, NIST, PCI) para que sejam minuciosos e meticulosos em suas análises e gestão de riscos.
 

Ainda tem dúvidas? Entre em contato conosco.

 

 

 

 

Red Team vs Blue Team? 
Como usar a favor da
Cyber Segurança e fortalecimento da sua equipe?


De: Fernando Ferreira, CEO da AuditSafe

Data: 04/12/2018

Toda organização que zela pela reputação da marca, pela saúde financeira da companhia e pela proteção dos dados dos seus clientes precisa testar suas estratégias de segurança.

 

O cenário de ataques evolui constantemente, seja em volume, profundidade ou técnicas de invasão, e checar se o seu time está preparado, assim como, se os processos estão adequados e as tecnologias são suficientes, é um ato crucial para as instituições que não desejam sofrer com os prejuízos gerados por um incidente de segurança. Existem hoje no mercado diversas formas de realizar esses testes e a simulação conhecida como Red Team VS Blue Team é uma das mais recomendadas para as empresas de todos os segmentos.

 

Red Team VS Blue Team é, na verdade, um exercício de simulação e treinamento onde os membros de uma organização são divididos em equipes para competir em atividades combativas virtuais. Em Segurança da Informação, visa identificar vulnerabilidades e encontrar falhas na infraestrutura da empresa. As ações são normalmente usadas para testar as tecnologias, os processos e as pessoas que integram os times de segurança.
 

Como funciona

 

Geralmente, dividem-se em dois grupos um time vermelho e um azul. Cabe à equipe vermelha buscar brechas para “atacar” a empresa, enquanto a azul de protegê-la, consertando as vulnerabilidades e respondendo aos ataques conforme eles vão acontecendo.

 

O time azul deve ser formado pela equipe de Segurança da organização, seja interno ou terceirizado. São eles os responsáveis pela gestão dos serviços de segurança como firewall, IPS, Proxy, Antivírus, Antispam, entre outros. Já a equipe vermelha, geralmente, é composta por uma consultoria especializada nessa atividade, que não tem o conhecimento do ambiente da empresa testada para que possa explorar ao máximo todas as possibilidades de ataques possíveis.

 

Existem algumas organizações que realizam essa simulação separando a própria equipe entre time azul e vermelho e depois invertem, mas não é o mais indicado. Isso porque a equipe de ataque tende a conhecer a empresa por dentro, possui acesso privilegiado e conhecimento dos pontos vulneráveis, gerando um resultado que possivelmente não irá condizer com a realidade. 

 

Sem falar no conflito de interesse, afinal, dar ao colaborador a possibilidade dele mesmo testar os controles que ele mesmo criou é similar a um auditor auditar o próprio trabalho. 

 

Nos ataques Red Team VS Blue team, as equipes são separadas e não se intercalam. No entanto, os dois grupos, ao final do treinamento, trocam conhecimento cuja finalidade é ajudar a organização a se defender melhor. Caso os ataques sejam bem-sucedidos, o Red Team envia todo o trabalho ao Blue Team e auxilia no aprimoramento da defesa e mitigação das vulnerabilidades, bem como na validação das correções, consistindo em uma atuação sinérgica entre ambas as equipes.

 

Quem faz e quando fazer?

 

A equipe vermelha deve ser formada por uma equipe híbrida de profissionais especialistas em testes de invasão de sistemas, com as mais variadas habilidades, que tornarão o exercício o mais próximo da realidade possível. Se houver a necessidade, por exemplo, desse profissional desenvolver um software específico para explorar as vulnerabilidades daquele ambiente, será feito. 


Diferente dos Testes de Invasão, que são pontuais e - em alguns casos - exigidos por entidades certificadoras com certa periodicidade, a simulação Red Team VS Blue Team depende mais do nível de maturidade em segurança que a organização deseja chegar. Pode ser alinhada para ocorrer como um teste periódico, definindo um momento aleatório - sem que a empresa seja notificada -, ou contínuo, sendo este último o mais recomendado.


A AuditSafe realiza simulações do tipo Red Team VS Blue Team com profissionais qualificados e tecnologias de ponta para testar os ambientes das organizações de diversas formas. Para entender melhor como se dá esse treinamento, basta entrar em contato com a nossa equipe para definir o melhor modelo de treinamento para o seu time de segurança.

 

Ainda tem dúvidas? Entre em contato conosco.

 

 

 

 

Dúvidas sobre o PCI-DSS?
Como armazenar e proteger os dados pessoais do titular do cartão? - Requerimento 3


De: Fernando Ferreira, CEO da AuditSafe

Data: 22/11/2018

Quando um invasor tirou do ar os serviços da PlayStation Network PSN (rede online de jogos da Sony) e do portal de venda de música Qriocity, furtando dados dos cartões de créditos dos usuários cadastrados, os danos só não foram maiores porque as informações roubadas estavam criptografadas. Esse caso exemplifica que empresas de todos os portes e segmentos têm chances de sofrer algum incidente de segurança, mas que boas práticas, quando adotadas, podem minimizar significativamente os possíveis prejuízos.

 

Todo empresário que realiza transações financeiras eletrônicas e tem informações pessoais armazenadas corre inúmeros riscos de fraudes digitais. Ver os dados de clientes vazados, seja por alguma brecha de segurança, vulnerabilidade do sistema ou ataque cibernético, é um dos principais pesadelos dos donos de negócios atualmente, principalmente com a Lei Geral de Proteção de Dados prestes a entrar em vigor. Por essa razão, o requisito 3 do PCI dedica um capítulo especial para orientar os responsáveis pela segurança das organizações sobre como proteger dados armazenados do titular do cartão.

 

Pelo fato do PCI se aplicar a uma grande variedade de instituições, convém dizer que a regra de ouro é: “se não precisa, não armazene dados do titular do cartão”. Ainda é comum encontrar empresas que criptografam todas informações sensíveis e as armazenam em suas bases de dados sem nenhum tratamento adicional. 

 

Mas mesmo em um cenário onde a maioria das empresas protege adequadamente suas informações, alguns dados não podem ser recolhidos de forma alguma, como por exemplo o código de verificação (CVV, CVV2, etc.). Geralmente, isso ocorre por falta de conhecimento das regras do PCI e boas práticas da indústria de Cartão de Crédito. 

 

A LGPD certamente ajudará na conscientização por parte das empresas de que as informações não devem ser armazenadas somente para formar uma base massiva de dados e sim por um motivo válido de negócio. Além disso, as multas previstas em caso de descumprimento da legislação tendem a fazer com que as empresas se adequem.

 

Melhores práticas

 

Caso acumular tais informações seja necessário por alguma razão de negócio, as organizações devem se atentar em realizar a tokenização, ou seja, a substituição de parte do número por uma sequência aleatória do número do cartão. Fundamental ainda armazenar esses dados de modo criptografado.
 

Toda a infraestrutura por onde as informações de cartão de crédito trafega ou são armazenadas faz parte do escopo do PCI e estará sujeita às suas regras. Não há restrições quanto ao uso de nuvem, desde que sejam observados os mesmos princípios de segurança. Existe até um documento do PCI SSC referente a utilização de Cloud Computing (PCI SSC Cloud Computing Guidelines).

 

Embora existam diversos procedimentos aconselháveis para proteção desses dados, o PCI DSS não determina a utilização de um método específico. A entidade deixa para que cada empresa implemente o método mais factível com o seu modelo de negócio e infraestrutura, mas entre os mais indicados estão: one-way hashes baseados em criptografia forte; truncamento; index tokens e pads, sendo estes armazenados de forma segura; e uso de criptografia forte com processos e procedimentos definidos para gerenciamento de chaves.

 

Quando se fala em criptografia, é muito importante ter um programa de gestão dessas chaves, como um Hardware Security Modules (HSM). A utilização deste tende a ser o modo mais simples de realizar essa tarefa. Além disso, todos os processos devem ser muito bem documentados para que todas as etapas do ciclo de vida da chave possam ser realizadas por qualquer colaborador, mesmo quem não tenha tanto conhecimento do ambiente ou da utilização do HSM.

 

A AuditSafe consegue ajudar seus clientes por meio de serviços especializados, tornando as transações mais seguras e os dados dos titulares dos cartões mais protegidos. Entre alguns dos trabalhos prestados, estão: Gap Analysis, desenho de fluxo de dados do cartão de crédito, suporte à implementação das políticas necessárias, entre outras.
 

Ainda tem dúvidas? Entre em contato conosco.

 

 

 

 

Dúvidas sobre o PCI-DSS?
A importância de senha forte e configuração adequada como parâmetro de Segurança - Requerimento 2


De: Fernando Ferreira, CEO da AuditSafe

Data: 09/11/2018

Em junho de 2016, Mark Zuckerberg, um dos fundadores do Facebook, teve suas contas do Twitter e Pinterest hackeadas. O curioso é que mesmo ele sendo um executivo bem-instruído, usava uma senha fraca.

 

Verdade seja dita, Zuckerberg não é exceção. Pelo contrário, ele pertence a um enorme grupo de usuários que, mesmo conhecendo o mundo da tecnologia e sendo ciente dos riscos, negligenciou o uso de senhas fortes ou configurações não padronizadas. Essa má prática é tão comum e crítica que até mesmo o PCI possui um requerimento específico sobre o tema.

 

A configuração adequada de certas informações, como endereços de IP e portas padrões, continuam sendo os pontos mais deixados de lado pelas companhias, junto com os protocolos de monitoramento (SNMP). Ajustes de redes wireless também estão longe do ideal. Por isso o documento reforça a importância de se atentar a esses detalhes.

 

O uso de senhas fracas e configurações padrões ainda é considerado uma das principais causas de vulnerabilidades nas organizações atualmente, independente do porte e segmento da organização. Uma vez descoberto, o acesso a dispositivos fica exposto a hackers e usuários mal-intencionados. Um agravante nesse cenário é que certos recursos raramente possuem updates de Firmware disponibilizados pelos fabricantes e, quando essas atualizações são lançadas, poucos usuários se preocupam em atualizá-lo.


Causas e consequências

 

Esse tipo de comportamento geralmente é atribuído a uma combinação de fatores. O primeiro deles é que muitas empresas crescem de forma desorganizada, tendo um time de TI júnior com pouco conhecimento do dia a dia de um ambiente estruturado. Quando esse espaço tecnológico cresce, nem sempre há investimento em número e qualificação dos colaboradores, deixando a Segurança em segundo ou terceiro plano. E quando tudo se torna estável, as mudanças ficam mais complexas e as equipes não possuem mão de obra suficiente para implementar as melhorias necessárias.

 

Muitas empresas também possuem uma estrutura de gerenciamento de senhas descentralizada, ficando à cargo das áreas de negócio fazer o controle dos acessos aos sistemas internos. Poucos lugares têm uma Política de Gestão de Acessos definida com processos formais para solicitação de acesso, níveis independentes de aprovação, revisão de perfis, etc. E quando esse trabalho é deixado para depois, o resultado não poderia ser diferente: caixa eletrônico canadense hackeado por senha padrão, um mesmo código padrão usado há 25 anos no produto de uma companhia, ataques DDoS que se espalham por incontáveis dispositivos vulneráveis graças ao uso de logins e senhas vindos de fábrica, entre outros.


O que fazer?

 

Para quem precisa entrar em conformidade com o PCI, a AuditSafe instrui de várias maneiras as empresas a desenvolverem senhas mais fortes e configurar adequadamente seus produtos, seja através da criação de baselines de segurança, hardening de equipamentos, realização de políticas de gestão de acesso, desenvolvimento de matrizes de segregação de função ou projetos de revisão de perfis. Sempre que possível, também é indicada a utilização de um Cofre de Senhas, usado especialmente para a gestão de acessos privilegiados nos ativos. 

 

Para usuários, a recomendação é utilizar um programa gerenciador de senhas que auxilia na criação de códigos mais complexos, fazendo com que a pessoa possa ter senhas longas e difíceis de serem descobertas, sem ter que confiar em sua própria memória. 

 

Outra sugestão é adotar uma passphrase, ou seja, uma frase como chave ao invés de uma única palavra, como por exemplo: “Minha senha de Redes Sociais!”. Além disso, uma mesma senha não deve ser utilizada em mais de um site/sistema/serviço para evitar que o comprometimento de um afete os demais, como feito por Mark Zuckerberg.

 

Ainda tem dúvidas? Entre em contato conosco.

 

 

 

 

Dúvidas sobre o PCI-DSS?
Saiba como construir e manter
a segurança de redes e sistemas - Requerimento 1


De: Fernando Ferreira, CEO da AuditSafe

Data: 22/10/2018

Vez ou outra nos deparamos com algum pop-up em nossa tela e uma mensagem nos diz que está na hora de atualizar determinado software. O tal do “deixar para depois” é uma prática comum entre usuários, afinal, fazer um update requer parar as nossas atividades, lidar com possíveis bugs, entre outros imprevistos. Mas não são apenas os programas que passam por atualizações; as regulamentações também são modernizadas constantemente a fim de garantir mais eficiência na proteção de dados, como é o caso do PCI.

 

Desde o seu surgimento, em 2006, o PCI já passou por diversas atualizações. Esses updates ocorrem sempre que novas tecnologias são lançadas no mercado e as instituições passam a adotá-las em massa. A mais recente é a de maio de 2018 (v3.2.1).

 

O primeiro requisito do PCI diz respeito a construir e manter a segurança de rede e sistemas por meio da instalação e configuração adequada do Firewall. É esse recurso que faz toda a segregação de redes, tanto interna (restringindo o acesso ao escopo de PCI) como externa (prevenindo o acesso externo à instituição), por isso a sua importância. E para garantir que funcione esse controle, há necessidade de se realizar Testes de Invasão, internos e externos, anualmente.

 

Da versão 2.0 para a 3.0, as principais mudanças referentes ao Firewall foram que as configurações devem ser documentadas, o diagrama de rede deve mostrar o fluxo de dados de cartão, o uso de protocolos inseguros é estritamente proibido e métodos anti-spoofing devem ser utilizados para detectar e bloquear IPs forjados na rede. A versão 3.0 entrou em vigor em 2013 e, de lá para cá, não houveram grandes mudanças. 

 

Dentre as orientações do requisito 1, o procedimento mais desafiador para as organizações é mapear corretamente todo o fluxo por onde os dados de cartão de crédito passam em sua infraestrutura. Quando esse mapeamento é realizado corretamente, incluindo servidores e portas utilizadas, repassar as informações para o Firewall é a parte mais simples. 

 

Por incrível que pareça, o ajuste incorreto do recurso é o maior erro cometido quanto se fala em Firewall. Para “facilitar o gerenciamento”, são feitas configurações muito abrangentes, permitindo tráfego maior de informações do que o necessário, abrindo brechas para ataques e vazamento de informações. Sem falar no uso de configuração padrão e de credenciais frágeis (como usuário e senha padrões ou fracas), que também aparecem como algumas das falhas mais comuns praticadas pelos usuários.

 

Embora existam diversos tipos de Firewall, o PCI não indica nenhum tipo específico a ser utilizado. Mesmo as soluções que têm recursos similares ao Firewall são permitidas, desde que o produto seja capaz de realizar o filtro certo de pacotes e segregar a rede corretamente.

 

Em suma, sempre que os dados saem da empresa de alguma forma que não seja fisicamente (pen-drives, HD externo, notebook, etc.) é porque há uma falha de segurança, seja na política de acessos ou de configuração. É nesse ponto que a AuditSafe pode ajudar, realizando trabalhos de análise e revisão de regras de Firewall, definindo melhor as políticas de acesso e mapeamento devido do fluxo de informações de cartão de crédito.

 

Ainda tem dúvidas? Entre em contato conosco.

 

 

 

 

ITI anuncia novas regras para Autoridades Certificadoras (ACs) e reforça selo WebTrust


De: Fernando Ferreira, CEO da AuditSafe

Data: 16/10/2018

Na qualidade de Autoridade Certificadora Raiz da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, o Instituto Nacional de Tecnologia da Informação – ITI emitiu certificados digitais nas novas cadeias v8 e v9.

 

Sob a cadeia v8 serão emitidos certificados digitais SSL – Secure Sockets Layer -  enquanto que a v9 servirá para os certificados digitais Code Signing. Com isso, as Autoridades Certificadoras (ACs) que emitem os certificados SSL e Código Seguro terão de emitir novos certificados nessa nova estrutura.

 

Segundo a norma, as Autoridades Certificadoras (ACs) devem realizar procedimentos de auditoria anteriores à emissão de qualquer certificado com emissão de relatórios denominados point-in-time.

 

Esta medida tem como objetivo permitir que os navegadores (Google, Internet Explorer e demais browsers) reconheçam como válidos os certificados SSL e de Assinatura de Código emitidos abaixo da Infraestrutura de Chaves Públicas (ICP-Brasil).

 

As ACs que emitem certificados SSL e Code Signing terão que realizar as auditorias Webtrust com os critérios do Baseline with Network Security (SSL) e Publicly Trusted Code Signing Certificates (Code Signing). 

 

A AuditSafe está credenciada no ITI, desde 2009, para realização de auditorias operacionais e credenciamentos em Autoridade Certificadora. Além de estar credenciada no ITI, também está autorizada a realizar auditorias do Programa WebTrust, conquistada após rigorosa análise realizada pelo American Institute of Certified Public Accountants (AICPA) e Canadian Institute of Chartered Accountants (CICA). 

 

Sobre o WebTrust
 

As auditorias WebTrust para Autoridades Certificadoras têm como objetivo verificar se a AC está seguindo sua Declaração de Práticas de Certificação (DPC), o principal documento no âmbito da certificação digital. O escopo das auditorias tem a finalidade de auditar os processos relacionados ao ciclo de vida dos certificados digitais. 

 

Essas auditorias incluem, por exemplo, a geração das chaves dos certificados, a verificação das credenciais dos titulares dos certificados, a guarda das informações dos titulares, acessos a ambientes controlados, entre outros.  O programa engloba, portanto, todos os aspectos da Segurança da Informação: Segurança física, lógica e processual. 

 

Precisa de ajuda? Vamos conversar? Entre em contato.

 

 

 

 

Vazamento de dados:
De quem é a responsabilidade e
como podemos evitar isso?


De: Fernando Ferreira, CEO da AuditSafe

Data: 25/09/2018

T-Mobile, Boa Vista SCPC, British Airways, C&A...

 

Nos últimos meses, diversos casos de vazamento de dados se tornaram notícias. A causa para o possível aumento de números de casos pode estar numa desconexão entre o avanço das ameaças e a escassez de recursos em Segurança. 

 

Existe cada vez mais um senso comum que aponta o CEO como o principal responsável por garantir a segurança das informações corporativas. Faz sentido, afinal, é ele quem deveria estar sensibilizado com os riscos, perdas e prejuízos à imagem da organização e prover os recursos necessários para que os responsáveis pela SI possam fazer o trabalho da melhor maneira possível. 

 

Dessa forma, mesmo que um incidente ocorra (já que ninguém está totalmente imune a essa nova realidade) as consequências podem ser melhores gerenciadas e os impactos menores quando se tem os recursos necessários.

 

Presidentes e CEOs precisam pensar na Segurança da Informação de forma estratégica, totalmente alinhada com os objetivos dos negócios. Esse alinhamento pode começar com uma Análise de Maturidade dos processos e tecnologias utilizadas pelas empresas.

 

É claro que um bom processo, adequadamente implementado e aprimorado continuamente, que seja corretamente configurado nas ferramentas e soluções corporativas, e que tenha pessoas qualificadas para conduzi-los, reduzem drasticamente a probabilidade e o impacto de incidentes de segurança. 

 

No entanto, muitos executivos estão preocupados em bater metas e deixar cada vez mais as empresas com a melhor saúde financeira possível. Consequentemente, cortam custos, reduzem equipes e pouco investem em qualificação e recursos para seus profissionais.

 

O ideal seria que a Alta Direção criasse um Comitê de Auditoria, de modo que a Segurança da Informação seja tratada de forma correta, para que o Conselho seja sensibilizado e orientado a tomar as medidas necessárias. Tais orientações poderiam ser traçadas com a ajuda de consultorias especializadas. 

 

A AuditSafe trabalha em um modelo em que os recursos são instruídos de forma contínua ou sob demanda. Isso quer dizer que, no mesmo contrato, os clientes podem utilizar todos os seus profissionais de acordo com suas necessidades, seja para realizar um PenTest, tratar incidentes, gerir vulnerabilidades, entre outros serviços prestados.

 

As empresas podem ganhar dinheiro fazendo uma Segurança da Informação adequada. O segredo é incorporá-la aos negócios para que seja sua impulsionadora. 
 

 

 

 

 

AuditSafe amplia seu portfólio e
conquista denominação PCI-QSA


De: Fernando Ferreira, CEO da AuditSafe

Data: 05/09/2018

A partir de agora, a AuditSafe e sua equipe especializada estão qualificados para prestarem auditorias de certificação em PCI-DSS.
 

Em 2006, as principais bandeiras de cartão do mundo se uniram com o objetivo de tornar as operações mais seguras, resultando na criação do Payment Card Industry Standards Council. Desse conselho, foi estipulado um conjunto de requisitos mínimos de segurança para empresas que processam, transmitem e armazenam informações de cartões de crédito, o Payment Card Industry Data Security Standard (PCI DSS).
 

Para muitas empresas de auditoria e consultoria, conseguir a qualificação de Qualified Security Assessor é um processo complicado. O PCI Council exige um altíssimo padrão de qualidade em seus relatórios. Além de conhecimento técnico muito específico dos profissionais em Segurança da Informação, também é preciso o conhecimento nas regras de negócios, tornando a conquista da certificação ainda mais difícil e complexa.
 

Pensando na segurança e conformidade de seus clientes com os requisitos do PCI-DSS, a AuditSafe aprimorou seu processo de revisão da qualidade (Quality Assurance), aprovado pelo PCI Council, sendo seu sócio e fundador participante desse fluxo e também certificado como Qualified Security Assessor (QSA).
 

No Brasil
 

O brasileiro é um consumidor que, infelizmente, está habituado à sensação de insegurança ao fazer uma transação financeira. Não é para menos. Um recente estudo intitulado Raio-X da Fraude revelou que o e-commerce nacional, por exemplo, sofreu uma tentativa de golpe a cada cinco segundos e a maior parte deles ocorreu a partir de compras feitas com cartões de crédito clonados. O ponto é que a indústria de cartões de crédito movimenta milhões de reais diariamente e se tornou um dos alvos preferidos dos cibercriminosos.
 

As condições de segurança do PCI-DSS se aplicam aos componentes que participam diretamente do processamento de dados de cartão de crédito, ou seja, servidores de rede, aplicativos, bancos de dados, entre outros. Informações como nome, número do cartão e código de segurança devem ser protegidos para a segurança dos portadores de cartões.
 

Bancos, processadoras, provedores de serviços de pagamentos, agências de viagens, companhias aéreas, lojas de e-commerce e demais instituições financeiras e de meios de pagamentos que desejam implementar o padrão PCI-DSS devem consultar e ser acompanhadas por uma organização que tenha a denominação QSA – Qualified Security Assessor, como é o caso da AuditSafe.
 

Será ela a responsável por auxiliar e auditar a instituição em busca da certificação. Para que a companhia seja auditada, ela deve atingir todos os requisitos e processos estabelecidos pelo padrão para estar em conformidade e consequentemente mais segurança nas transações.

 

Precisa de ajuda? Vamos conversar? Entre em contato.

 

 

 

 

 

Foi invadido?
Saiba como criar um plano efetivo de resposta a incidentes?


De: Fernando Ferreira, CEO da AuditSafe

Data: 28/08/2018

Existe uma máxima no mundo da Tecnologia que diz o seguinte: “Toda empresa sofrerá um ataque virtual, é só uma questão de tempo”. 

 

A afirmação considera inúmeros fatores, entre eles: não existem tecnologias 100% seguras, pessoas falham, os ataques estão cada vez mais sofisticados e os investimentos para a área de Segurança não correspondem às necessidades dos atuais gestores de SI. Mas já que sofrer um ataque é inevitável, você pode ao menos ter um bom plano de resposta para minimizar o impacto e as consequências do incidente. 

 

Ao detectar um problema, o responsável deve trabalhar rapidamente na identificação da origem, avaliar o impacto e traçar um plano para a contenção. Uma das formas para mensurar as consequências pode ser por meio de uma BIA (Business Impact Analysis – análise de impacto nos negócios) ou através de um cálculo de perdas operacionais e financeiras. Situações que envolvem danos à imagem são mais difíceis de medir quantitativamente.

 

O plano de resposta deve ser elaborado pela área de Segurança da Informação (CSIRT), que assumirá a responsabilidade. No entanto, o programa exigirá sempre interação e interdependência das áreas de suporte (por exemplo, a infraestrutura de TI) e de negócios, principalmente no que tange a severidade e criticidade do incidente para a organização. Incidentes menores podem ser comunicados periodicamente ao board, enquanto os mais graves têm de ser reportados imediatamente.

 

Um plano eficiente de gestão de resposta a incidentes é composto por alguns processos: rastreabilidade das ações realizadas, identificação da origem do problema, a preservação das evidências (que poderão ser utilizadas para questões legais, posteriormente), fortalecimento da comunicação entre todas as áreas envolvidas e no reporte ao board, informando-o sobre o impacto do incidente.

 

Treinamentos periódicos ajudam na harmonia entre as partes envolvidas para que os processos de resposta a incidentes e gerenciamento de crises sejam melhorados continuamente. Eles são fundamentais para o desenvolvimento das lições aprendidas, revisão dos procedimentos existentes, estruturação das bases de conhecimentos e readequação dos cenários de testes contemplando novas ameaças. 

 

Infelizmente, muitas empresas ainda possuem uma visão reativa frente aos riscos que podem enfrentar. Mas o atual cenário exige que as organizações sejam mais proativas e preventivas, principalmente quando se trata de assuntos relacionados à Segurança da Informação e aos dados dos seus clientes.

 

Realizar um Diagnóstico de Riscos de SI para que as instituições tenham uma percepção mais real dos riscos os quais estão sujeitos facilita na hora de estruturar um plano de resposta mais efetivo. Somente dessa forma as pessoas envolvidas saberão lidar com as possíveis crises quando elas vierem a acontecer.

 

Entre em contato com a AuditSafe para uma conversa!

 

 

 

 

 

Por que estar em conformidade com leis e regulamentações é tão importante para a sua empresa?


De: Fernando Ferreira, CEO da AuditSafe

Data: 16/08/2018

A Segurança da Informação nunca esteve tão em evidência como nos dias de hoje.

 

Desde o fatídico 12 de maio de 2017, quando o mundo foi pego de “surpresa” pelo Wannacry (ransomware que fez mais de 300 mil vítimas em cerca de 150 países), o tema ganhou sobrevida dentro das organizações. Tanto que de lá para cá foi possível perceber uma grande movimentação no mercado e novas resoluções, regulamentações e propostas de leis foram criadas a fim de proporcionar um ambiente mais seguro para os negócios digitais.
 

GDPR, LGDP, Resolução 4.658, ISO27001, NIST, CobiT...
 

Todas elas têm um papel fundamental para as companhias hoje, independente do porte ou segmento em que atua. Elas são produtos originados a partir de anos de experiência e estudos. Consequentemente, todos as empresas podem se beneficiar e gerenciar seus riscos tecnológicos, cibernéticos e corporativos se as utilizarem corretamente. Até já falei aqui, em meu artigo anterior, que a Gestão de Riscos Cibernéticos pode alavancar os negócios quando bem aplicada.
 

No entanto, muitas empresas fazem gastos elevados (e muitas vezes, desnecessários) em tecnologias que prometem deixá-las em conformidade com tais regras, quando na verdade deveriam inicialmente realizar um diagnóstico para ter um retrato de sua situação atual. 
 

Por meio desse trabalho, as organizações saberão seu grau de aderência às regras desejadas, seu nível de maturidade e os riscos dos controles das normas frente aos negócios. Através desse relatório (que nada mais é que um Plano Diretor) ficará mais fácil para as companhias decidirem o quanto desejam investir, mensurando os riscos que desejam evitar.
 

Algumas pequenas e médias empresas tendem achar que, por serem menores, não serem tão desejadas por atacantes ou terem faturamento elevado não precisam se preocupar com essas regras. Ledo engano! Por mais que elas utilizem recursos tecnológicos, seja um firewall, ferramentas de prevenção ao vazamento de dados ou de criptografia de dados, não dá para desconsiderar o fator humano. Ou seja, de nada adiantam tecnologias se o funcionário da empresa ou o parceiro burlar os controles de segurança (seja de maneira intencional ou acidental). 
 

Atualmente há um grande esforço a ser desenvolvido quando o assunto é Conscientização em Segurança, Cyber Awareness ou Educação Digital. É preciso investir em um Programa Contínuo de Conscientização, considerando e-learning, simulações de phishing, jogos entre as áreas e materiais informativos, e não apenas realizar palestras. Qualquer regra, resolução, norma e boa prática abordará esse tema.
 

As leis e regulamentações brasileiras vigentes hoje são comparadas às internacionais e, a Lei Geral de Proteção de Dados aprovada, o Brasil estará entre um seleto time de países que têm leis específicas para proteger os dados dos cidadãos. Isso quer dizer que estamos entrando em um caminho sem volta.

 

Outras leis e regulamentações virão. Estar em conformidade com elas é um diferencial competitivo.

 

Entre em contato com a AuditSafe para uma conversa!

 

 

 

 

 

Prezado CEO,

Você Sabia que a Segurança da Informação
é Estratégica para o seu Negócio?


De: Fernando Ferreira, CEO da AuditSafe

Data: 07/08/2018

A “transformação digital” se tornou um dos termos mais mencionados pelos executivos de negócios nos últimos anos.

 

A busca por mais agilidade nas decisões, inovações tecnológicas, novas oportunidades de negócios e na maneira de interagir com os clientes são apenas algumas das razões que levaram os CEOs do mundo todo a investir tanto nessa nova Era Digital.

 

Infelizmente, os investimentos em Segurança não tiveram a mesma prioridade e os resultados podem ser vistos hoje com cada vez mais frequência: vazamento de dados, segredos comerciais revelados, dano à reputação da marca, perda de credibilidade, operações paralisadas, prejuízo financeiro, entre outros. Parte dessas consequências se deve, principalmente, ao distanciamento entre o Conselho de Administração e os profissionais de Segurança e Tecnologia da Informação.

 

A ausência dos responsáveis pela Segurança da Informação (SI) nas decisões do board é algo que precisa ser revisto dentro das organizações em caráter de urgência. Na maioria das instituições, o tema de SI está restrito aos Comitês de Auditoria, que solicitam esporadicamente a presença de um "C?O" para defender um projeto ou explicar algum incidente quando ocorrido. Mas, o fato é que as empresas precisam de um membro fixo no board com conhecimento em Segurança e Tecnologia da Informação.

 

O CEO precisa ter clara visão de que, para levar o negócio ao sucesso, deve encarar os assuntos de Tech e Cyber como oportunidades e impulsionadores dos negócios fazendo a Gestão dos Riscos Cibernéticos, ou seja, temas inerentes, integrados, que se complementam, onde não é possível fazer um sem investir no outro.

 

Muitas empresas ainda enxergam a área de Segurança da Informação como um centro de custo, e não como uma aceleradora dos negócios. É preciso mudar o mindset e ver a Cyber Security como  vantagem competitiva frente a concorrência.

 

A SI pode ser perfeitamente utilizada de maneira estratégica, como propulsora de inovações se dimensionada corretamente, afinal de contas, em um mundo cada vez mais digitalizado e ameaçado pelos riscos virtuais, a segurança tem tudo para ser o elemento-chave que definirá a escolha do cliente por determinado produto ou serviço no futuro. Você não vai querer perder essa chance, vai?

 

Não sabe por onde começar? Fale comigo, que posso te ajudar!

 

 

 

 

 

PenTest:
O que é, pra que serve e com qual frequência deve ser feito?

De: Fernando Ferreira, CEO da AuditSafe

Data: 19/07/2018

Quando foi a última vez que você fez um PenTest na sua organização? Ele foi realizado por uma equipe especializada?

 

O fato é que por mais que você tenha uma equipe de Tecnologia ou Segurança na sua empresa, é essencial contar com uma empresa especializada para realizar os testes de intrusão, principalmente por profissionais devidamente qualificados.

 

Em uma realidade onde empresas usam cada vez mais sistemas e aplicações, o PenTest se mostra fundamental para a estratégia de Segurança das organizações. Para se ter uma ideia, pesquisas revelam que empresas têm mais de 800 apps em uso (cerca de 20% a mais que o previsto) e, apesar de muitos deles terem bons recursos de proteção, alguns aplicativos contém vulnerabilidades e brechas capazes de comprometer os negócios das empresas.

 

É diante desse contexto que os testes de intrusão se mostram necessários. Eles auxiliam na elaboração de estratégias de proteção que garantem a confidencialidade, integridade e disponibilidade das informações e ambientes de processamento de dados, evitando vazamento e roubo de dados. 

 

A qualificação do profissional de PenTester

 

Aí você se pergunta: mas se eu tenho uma equipe boa de TI e SI, por que eu não posso pedir que eles façam um PenTest? Muitos das varreduras de redes comuns, confundidos com testes de intrusão, geram uma infinidade de falsos-positivos. Um profissional qualificado se certificará qual vulnerabilidade é realmente capaz de trazer algum risco real à empresa.

 

Esse profissional possui habilidades bastante específicas, que vão muito além do perfil técnico de quem, esporadicamente, faz as vezes de PenTester. Ele tem que ser autodidata e estar antenado com os principais fóruns de hacker para troca de informações, além de contar certificações internacionais, como Certified Ethical Hacker (CEH), Offensive Security Certified Proffesional (OSCP) e Certified Information Systems Security Professional‎ (CISSP).

 

Quando se fala em PenTest, o Gray Box é um dos mais comuns, pois os testes são iniciados às cegas e sem nenhuma informação do ambiente a fim de mapear e analisar as vulnerabilidades existentes. Em seguida, as credenciais são utilizadas para simular usuários internos legítimos (ex.: colaboradores) e verificar quais fraudes e brechas podem ser exploradas por um possível invasor.

 

Algumas instituições realizam testes constantemente antes de disponibilizarem serviços aos usuários. No entanto, é recomendável que a maior parte das organizações realize um ou dois testes por ano, na modalidade Gray Box, complementado por Scan/Varreduras trimestrais de vulnerabilidades.

 

A AuditSafe disponibiliza um time qualificado de profissionais que realizam PenTests em instituições de segmentos variados. Entre os serviços prestados estão o monitoramento dos ativos de infraestrutura, preparação de relatórios personalizados, interação humana para validação das vulnerabilidades e todo o apoio técnico dos nossos consultores na Gestão do Ciclo de Vida das Vulnerabilidades, do início ao fim da sua tratativa.

 

Para saber mais sobre o nosso serviço, clique aqui ou pergunte como nós podemos ajudá-lo no espaço abaixo.

 

 

 

 

 

Resolução No 4.658: o que você tem a ver com isso?

De: Fernando Ferreira, CEO da AuditSafe

Data: 10/07/2018

Espera-se que alguns dos novos quesitos de Segurança virem referência para a maioria das empresas, no entanto, instituições devem continuar investindo em trabalhos de Avaliação de Riscos de Cibersegurança em seus ambientes.

 

A nova Resolução No 4.658, publicada recentemente pelo Banco Central, foi vista com bons olhos pelos profissionais de Segurança como um todo. Ao estabelecer a necessidade das instituições financeiras em ter uma política de segurança cibernética, incluindo um plano de ação e de resposta a incidentes, bem como a definição dos requisitos para contratação de serviços em processamento e armazenamento de dados e de computação em nuvem.

 

Espera-se que alguns desses itens virem referência para outros setores além do setor financeiro.
 
As organizações que possuírem os processos de Segurança da Informação bem-estruturados terão mais facilidade para implementar o detalhamento dos controles exigidos pela referida resolução. 

 

Um aspecto importante da resolução 4.658, é que a instituição deverá nomear um diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de respostas a incidentes, além de reportar periodicamente sobre o andamento e tratamento das ações junto ao Banco Central.

 

Seguem algumas datas importantes previstas pela resolução que a instituição deve ficar atenta:
 
•    03/10/2018 - Data limite para apresentação do Plano de Adequação

•    06/05/2019 - Data limite para Elaboração e Aprovação da Política de Segurança Cibernética

•    31/12/2019 e 31/03/2020 - Data base e de limite para apresentação do 1º relatório anual

•    31/12/2021 - Data limite para adequação às diretrizes da resolução
 
Em virtude desse cenário, a AuditSafe tem sido contatada frequentemente como prestadora de serviços para avaliar o ambiente tecnológico dessas instituições de modo a avaliar sua aderência dos controles estabelecidos por essa resolução.

 

Tais serviços, incluem, por exemplo, analisar o nível de maturidade de processos, pessoas e das tecnologias existentes; identificar as fragilidades nos controles e exposição dos riscos atuais; e elaborar os planos de ação para correção e mitigação dos riscos de acordo com as necessidades de negócios.

 

Saiba mais.