GRC - Governança, Riscos e Conformidade

"Security is always seen as too much until the day it’s not enough." William H. Webster

  • Autor
  • Currículo

15 dicas essenciais para aprovação nos exames da ISACA – CISA, CISM, CRISC e CGEIT

Postado por claudiododt em 26/02/2015
Publicado em: Auditoria, Continuidade de Negócios, Educação, Gestão de Riscos, Segurança da Informação, Sistemas de Informação. Marcado: carreira, certificações, cgeit, cisa, cism, crisc, GCN, gestão de riscos, segurança da informação. Deixe um comentário

As certificações da ISACA certamente estão dentre as mais almejadas por especialistas e demandadas pelo mercado. Isso tem motivos simples:  O nível de experiência teórica/pratica, esforço e comprometimento requerido para ter sucesso nos exames é extremamente elevado.

Esse alto nível de exigências, que torna as siglas CISA, CRISC, CISM E CGEIT tão estimadas, também desmotiva parte dos profissionais. Afinal, pode ser um pouco frustrante gastar aproximadamente USD 600,00, se dedicar por semanas a fio e reprovar em um exame que só pode ser refeito meses depois (e com o mesmo investimento financeiro!).

Foi exatamente com o objetivo facilitar a vida de colegas e alunos que iam prestar o exame CISA, que em 2011 escrevi um artigo onde apresentava uma série de dicas e minha visão pessoal sobre como abordar essa pequena prova de 200 questões e 4 horas de duração. Ano passado atualizei para a versão 2.0, já incluindo a minha vivencia como instrutor de algumas turmas oficiais do curso preparatório.

Pela quantidade quase constante de leituras, estimo ter ajudado várias pessoas e, agora em 2015, quando já estava considerando um upgrade do post para a versão 3.0, veio a grata surpresa: isso não vai mais ser necessário!

Ontem descobri que os colegas da DARYUS consolidaram as minhas dicas em uma apresentação com um formato visual muito bacana com o ousado título de “15 dicas essenciais para aprovação nos exames da ISACA” e estou disponibilizando o material para leitura/download na minha conta do slideshare:

Um ponto importante: As dicas foram adequadas para todos os principais exames da ISACA, incluindo CISA, CISM, CRISK e CGEIT, afinal a diferença entre os exames é “apenas” o conteúdo.

Se você preferir a versão mais detalhada, leia o artigo original aqui: CISA: Dicas de última hora para o exame de certificação – V 2.0!

Para quem realmente for fazer a prova, fica aqui o meu sincero desejo de boa sorte! Esse ano estarei presente no RJ para fazer o CISM.

Share this:

  • LinkedIn
  • Twitter
  • Facebook
  • E-mail
  • Reddit
  • Imprimir

Curtir isso:

Curtir Carregando...

Essa fralda não está cheirando bem! E sim, isso é um problema de Segurança da Informação

Postado por claudiododt em 03/02/2015
Publicado em: Comportamento, conscientização, Espionagem, Segurança da Informação. Marcado: baby monitor, conscientização, consumerização, cracker, creeps, insegurança, segurança da informação, utopia. Deixe um comentário

Ok, até eu concordo: O assunto já está ficando batido. Sempre que escrevo sobre Segurança da Informação, invariavelmente acabo mencionando o quão usuários são avessos aos mais simples controles de segurança, mesmo que isso exponha os importantes ativos corporativos a riscos completamente desnecessários. Fato: #UsersHateSecurity!

Não considero uma cruzada pessoal, mas como profissional de SegInfo, gosto da ideia de, sempre que possível, colaborar com um mundo um pouco mais protegido, seja no ambiente profissional ou em nossas vidas pessoais, as constantes ameaças mostram que a escolha é simples: ou nos protegemos ou nos deixamos dominar por ameaças cada vez mais assustadoras e presentes. É por isso que gosto tanto de bons exemplos e os de hoje, com certeza, estão entre os melhores que já usei aqui.

Imagine a seguinte situação: Um jovem casal, que devido a vida moderna não tem tempo para cuidar do seu bebê de apenas 1 aninho, contratam os serviços de uma babá. Cientes de que o jovem infante é um dos principais ativos estratégicos do núcleo familiar, utilizam uma câmera IP para matar a saudade fazer monitoramento remoto e diminuir o risco de maus tratos por parte da referida ama-seca. Nada mais louvável.

Thats a really poopy diaper!

Thats a really poopy diaper!

O problema acontece quando Consuela a babá Ashley Stanley está trocando as fraldas do jovem senhor e, através da câmera: “Nossa, essa realmente é uma fralda cheia de cocô!”. Infelizmente não era uma brincadeira dos pais, como ela imaginou inicialmente, e sim um cracker que havia burlado as fracas proteções da rede wifi familiar e obtido acesso remoto a câmera, já que ela estava configurada com a senha padrão de fábrica.

Infelizmente esse não nem de longe um acontecimento único. Em 2013 outro sociopata virtual invadiu um monitor infantil, para em seguida despejar uma série de obscenidades a uma criança de apenas dois anos e seus pais, que obviamente ficaram chocados ante a ideia de que um dispositivo conectado a internet pudesse ser invadido.

No..No...No Security for Consuela

No..No…No Security for Consuela

Em alguns casos, a própria fabricante está consciente da situação e faz o que pode para proteger os seus usuários. A Foscam, responsável pelo dispositivo que filmou a famigerada troca de fralda, atualizou seus equipamentos para exigir que a senha seja atualizada logo na primeira instalação. Câmeras mais antigas vão precisar que o usuário faça um upgrade no firmware para implantar essa e outras configurações de segurança. As previsões mais otimistas dizem que o upgrade dos firmwares será feito logo em seguida do primeiro voo tripulado a superfície de Marte, ou tupiniquim a Lua, sabe-se lá.

A realidade infeliz é que continuamos cada vez mais expostos e ameaças é o que não falta. Se infelizmente não somos capazes de sequer proteger os mais valiosos ativos em nosso núcleo familiar, fico imaginando qual atitude temos em nosso ambiente profissional. A resposta já é amplamente conhecida.

Share this:

  • LinkedIn
  • Twitter
  • Facebook
  • E-mail
  • Reddit
  • Imprimir

Curtir isso:

Curtir Carregando...

As piores senhas (dos piores usuários) de 2014.

Postado por claudiododt em 22/01/2015
Publicado em: Comportamento, conscientização, Segurança da Informação. Marcado: conscientização, gestão de riscos, piores senhas 2014, segurança da informação, senhas. 1 comentário

Bem vindos a era da hiperconectividade (na verdade já iniciou faz um tempinho!) . Em tempos onde é considerado normal checar as redes sociais antes mesmo de sair da cama, a promessa da massificação dos wearables está logo ali, e com a internet das coisas em breve se tornando uma realidade, a onipresença da tecnologia/internet nas nossas vidas é fato óbvio. Claro, as ameaças estão cada vez mais presentes!

Novo Homem Vitruviano: Como a tecnologia vai afetar nosso comportamento?

Novo Homem Vitruviano: Como a tecnologia vai afetar nosso comportamento?

Entretanto, enquanto a hiperconectividade avança a vertiginosos passos de Usain Bolt, nossa preocupação relativa a Segurança da Informação parece se inspirar em meios menos céleres (piada velha! eu sei!). A lista anual de “piores senhas”, anualmente divulgada pela SplashData, teve sua versão de 2014 divulgada ontem (20/01) e não surpreende.

Usando como base a análise de mais de 3.3 milhões de senhas que vazaram ano passado de alguma forma, as piores senhas continuam encabeçada pelas celebres “123456” e “password”. Novas entradas são, no mínimo, engraçados como “batman” (imaginei o usuário pensando “I am Batman!” durante o logon) e “696969” (não pesquise no google!). Claro, estamos olhando para um cenário internacional (leia-se Estados Unidos e parte da Europa), mas não é difícil imaginarmos que no Brasil muita gente ainda usa as favoritas nacionais como “deuseamor” e “jesuscristo”.

iambatman

Não faço ideia de quem ainda usa senhas inseguras…

 

Em 2012 escrevi um artigo onde brincava com a ideia de uma Cultura de Segurança da Informação Utópica, em que controles de proteção seriam mínimos, já que os próprios usuários estariam conscientes de pelo menos parte dos riscos. Hoje o que ainda podemos ver é que mesmo as medidas de segurança mais simples ainda são vistas com desprezo.

A pergunta que fica é: Se não temos a disciplina necessária para seguir controles básicos, como usar senhas complexas, imagine o que passa quando falamos de criptografia, classificação da informação e gestão de vulnerabilidades técnicas. Pense nisso quando estiver transmitindo ou armazenando informações sensíveis?

Claro, a complexidade da sua senha deixa de ser relevante se você está disposto a divulga-la livremente….

…Na TV…

….Em um programa assistido por 2.83 milhões de pessoas!

Se você não está com vontade de ver o clipe todo, segue a melhor parte:

Repórter: Nós estamos falando hoje sobre cibersegurança e quão seguro senhas das pessoas são. Qual uma das senhas que você usa on-line atualmente?
Entrevistada: É o nome do meu cachorro e o ano em que concluí o colegial.
Repórter: Oh, que tipo de cão que você tem?
Mulher: Eu tenho um papillon chihuahua.
Repórter: E qual é o nome dele?
Mulher: Jameson.
Repórter: Jameson. E onde você foi à escola?
Mulher: Eu fui para a escola em Greensburg, Pensilvânia.
Repórter: Qual escola?
Mulher: Hempfield Senior Area High School.
Repórter: Oh. E quando você se terminou o colegial?
Mulher: Em 2009.

Resumindo: Desculpem informar, mas ainda estamos infinitamente distantes da utopia.

—

Senhas Complexas

Que tal algumas dicas básicas para usar senhas complexas e ficar mais protegido?

  • Tamanho mínimo de 8 dígitos, incluindo letras MAIÚSCULAS e minúsculas, números e caracteres especiais (e.g. !@#$%¨&*(“}{ )
  • Não usar informações pessoais como, por exemplo, nomes de familiares, datas de aniversário, placa de carro;
  • NUNCA anote sua senha. Se tem dificuldades para lembrar existem ótimos programas para gratuitos gerenciar senhas como, por exemplo, o KeePass (http://keepass.info/download.html)
  • NUNCA revele sua senha ou parte dela. Mesmo se for numa entrevista para um programa de TV ou durante uma foto para o jornal, essa prática não é muito legal!
Sim.. aqueles caracteres logo acima da bandeira do Brasil eram a senha do WI-FI da Equipe de segurança do DF na época da copa ... 7x 1 para a insegurança :)

Sim.. aqueles caracteres logo acima da bandeira do Brasil eram a senha do WI-FI da Equipe de segurança do DF na época da copa … 7x 1 para a insegurança 🙂

Share this:

  • LinkedIn
  • Twitter
  • Facebook
  • E-mail
  • Reddit
  • Imprimir

Curtir isso:

Curtir Carregando...

Os números de 2014

Postado por claudiododt em 30/12/2014
Publicado em: Uncategorized. Deixe um comentário

Obrigado a todos que visitaram e tiveram a devida paciência para ler meus textos.

Como deixei de ser consultor agora em dezembro, 2015 vem com muitas novidades e novos desafios profissionais, mas de jeito algum pretendo deixar o blog de lado. Conto com a presença de vocês!

—

Os duendes de estatísticas do WordPress.com prepararam um relatório para o ano de 2014 deste blog.

Aqui está um resumo:

A sala de concertos em Sydney, Opera House tem lugar para 2.700 pessoas. Este blog foi visto por cerca de 15.000 vezes em Se fosse um show na Opera House, levaria cerca de 6 shows lotados para que muitas pessoas pudessem vê-lo.

Clique aqui para ver o relatório completo

Share this:

  • LinkedIn
  • Twitter
  • Facebook
  • E-mail
  • Reddit
  • Imprimir

Curtir isso:

Curtir Carregando...

Pesquisa Nacional de Segurança da Informação: Divulgação dos resultados!

Postado por claudiododt em 04/11/2014
Publicado em: conscientização, Pesquisas, Segurança da Informação. Marcado: 27001, 27001:2013, ABNT NBR 15999, auditoria, BYOD, carreira, certificações, conscientização, continuidade, DARYUS, gerenciamento, gestão de riscos, Pesquisa, Pesquisa Nacional de Segurança da Informação, política de segurança, segurança da informação, Vazamento de informação. Deixe um comentário

Um dos trabalhos que mais me agradou esse ano, foi à possibilidade de coordenar a Pesquisa Nacional de Segurança da Informação realizada pela DARYUS Strategic Risk Consulting. Afinal, essa era uma oportunidade de colocar no papel um retrato fiel de fatos que vejo no meu dia a dia como consultor.

pesquisa_resultados

clique na imagem para baixar a pesquisa!

 

A pesquisa, realizada em parceria com a EXIN e IT MÍDIA, é fruto do esforço de um grupo profissional com ampla experiência prática no assunto, além de toda comunidade que se prontificou a contribuir. O objetivo era claro: Apresentar a forma como a maioria das empresas brasileiras encara a Segurança da Informação.

Será que esse tema tão relevante já está refletindo em controles de segurança e equipes preparadas? Será que já entendemos que Segurança da Informação transcende aspectos técnicos e requer uma gestão madura, com visão estratégica e abordagem sistemática? Esses e outros pontos igualmente relevantes estão agora respondidos na pesquisa!

Os resultados apontam um cenário já conhecido: Segurança ainda é vista como uma disciplina primariamente de tecnologia! Enquanto isso, Mais de 40% das falhas reportadas pelos pesquisados não estão associadas vulnerabilidades tecnológicas, mas sim em torno de pessoas e a maneira na qual os dados, informações e sistemas são utilizados nas organizações, que acabam gerando vazamentos, mal uso ou perda de informação.

Claro, já que apenas 36,36% dos pesquisados possuem um processo formal para tratamento de incidentes de segurança, é esperado que uma significativa parcela de eventos não seja sequer identificada.

Nos próximos dias a DARYUS, em parceria com a EXIN, realiza mais um workshop onde vamos discutir esses resultados. Até lá sintam-se livres para baixar e compartilhar a Pesquisa. Nossa mais sincera esperança é que, com a conscientização dos problemas hoje relatados, o amanhã nos traga medidas concretas, aumentando a maturidade e a proteção da informação e dos negócios.

Share this:

  • LinkedIn
  • Twitter
  • Facebook
  • E-mail
  • Reddit
  • Imprimir

Curtir isso:

Curtir Carregando...

[GRM 2014] Unbounded Security: Aonde foi parar meu perímetro corporativo e como protege-lo? – DOWNLOAD DOS SLIDES

Postado por claudiododt em 01/10/2014
Publicado em: BYOD/Wearables, Comportamento, Palestras e Eventos, Segurança da Informação. Marcado: BYOD, conscientização, consumerização, gestão de riscos, RealISO, segurança da informação. Deixe um comentário

Prezados Amigos,

No dia 11 de Setembro (sim a data é proposital!) tive a honra e participar mais uma vez do Global Risk Meeting. Em sua 9ª edição, evento foi a Recife com um foco central Crise: Descobrindo oportunidades.

Em minha palestra, desta vez representando a RealISO.com, abordei o tema Unbounded Security: Aonde foi parar meu perímetro corporativo e como protege-lo?. A ideia era discutir como novas tecnologias influenciam cada vez mais o comportamento das pessoas, especialmente quando esse paradigma é levado a um ambiente de trabalho que está migrando para o não convencional, com ampla liberdade em termos de mobilidade e onde dados corporativos estão organizados de forma cada vez mais dinâmica.

Será que estamos preparados para proteger organizações sem inviabilizar o negócio? Como lidar com Segurança da Informação quando seu perímetro de proteção desconhece fronteiras?

Para quem não conseguiu acompanhar o congresso, estou compartilhando os slides que usei, sintam-se livres para baixar e distribuir:

Como sempre, o GRM foi um grande sucesso, contando com a participação de profissionais de alto nível e uma organização impecável.

Para acompanhar futuros eventos e notícias sobre Gestão de Riscos e Segurança da Informação, não deixe de curtir minha página no Facebook.

Share this:

  • LinkedIn
  • Twitter
  • Facebook
  • E-mail
  • Reddit
  • Imprimir

Curtir isso:

Curtir Carregando...

Brasileiros no Secret: Segredos, calúnias, bullying e expectativas irreais de privacidade são parte de um App cada vez mais controverso

Postado por claudiododt em 12/08/2014
Publicado em: Comportamento, conscientização, Segurança da Informação. Marcado: conscientização, Secret, segurança da informação. Deixe um comentário

OS PARADOXOS DA WEB NUNCA DEIXAM DE ME SURPREENDER. Desde que o Wikileaks e Snowden trouxeram a tona o grau de falta de privacidade, espionagem e monitoramento, ficamos revoltados com a possibilidade de sermos constantemente acompanhados por um “Big Brother”, vigiando cada passo no mundo virtual. Surpreendentemente (ou não) essas mesmas pessoas tornaram popular, e cada vez mais polêmico, o aplicativo Secret que tem por objetivo o compartilhamento de forma “anônima” de seus segredos mais indiscretos com “amigos” da rede social.

Compartilhe com seus amigos, secretamente. Fale livremente - mas nem tanto!

Compartilhe com seus amigos, secretamente. Fale livremente – mas nem tanto!

A ideia central do App não é ruim: Falar livremente, compartilhar o que você está pensando com amigos e estranhos de maneira anônima pode ter seus atrativos, principalmente para a geração mais nova e que está cada vez mais interconectada. Um dos posts mais populares repete que “Fora do Brasil o Secret é usado para ajudar pessoas com problemas sérios, apenas no Brasil que virou bagunça”.

E é exatamente ai que os problemas começam a acontecer, enquanto alguns segredos compartilhados no Secret são indiscretos, mas voluntários, o aumento exponencial dos usuários do App levou a massificação de posts contendo desde bullying, calunia e difamação até mesmo divulgação – não autorizada – de material constrangedor como fotos intimas. Nos colégios, onde a maior parte dos usuários são menores,  é comum a publicação de textos ofensivos ou montagens envolvendo colegas de classe.

O caso é que a maioria dos usuários imagina que a identidade de quem publica seus segredos no Secret serão mantidos secretos. Resposta curta: Não! Um – dentre muitos casos – de publicações vexatórias incluía não só fotos indiscretas, mas o nome da pessoa envolvida, juntamente com acusações de participação em orgias, além de ser portador de HIV, ambas acusações refutadas pela vítima. Isso a uma ação judicial contra o App, pedindo que o post fosse removido (já foi) e que os responsáveis fossem identificados. Claro, a empresa informou que não divulga dados de seus usuários de forma extrajudicial, mas com o andamento do processo, é quase certo que seja revelado quem criou a publicação.

Desabafos, Sentimentos, Bullying, Racismo, bem vindo ao Secret

Desabafos, Sentimentos, Bullying, Racismo, bem vindo ao Secret

Infelizmente a realidade do usuário da web no Brasil, mostra o quanto ainda somos “inocentes” quando o assunto é relacionado à legislação, crimes e infrações digitais. A proposta do Secret é ser um App onde usuários anônimos podem postar qualquer tipo de mensagem, que é comentada, compartilhada e curtida por outros usuários também anônimos. A verdade é que apesar de zelar pelo anonimato de seus usuários, o Secret possui registros que identificam diretamente os usuários às mensagens e comentários de sua autoria, e que, sob mandado judicial, pode revelar a identidade de usuários à Justiça. E lá se foi o anonimato.

A grande questão não é o App em si, que tem até uma filosofia interessante. O grande desafio é o comportamento do usuário básico da web brasileira, muitas vezes menor de idade e que não tem noção de que toda ação tem uma consequência, e que privacidade é uma expectativa irreal mundo virtual.

Mesmo que o Secret seja removido da Loja do Google, certamente outros aplicativos parecidos vão surgir quase na mesma velocidade dos clones do Angry Birds. A única solução que tem uma remota chance de funcionar bem, é investir desde cedo na educação do usuário brasileiro. Iniciativas como palestras e programas de conscientização não devem se restringir ao ambiente corporativo, mas ser iniciada ainda nas escolas e universidades. Precisamos urgentemente de uma inclusão digital inteligente, que privilegie o bom comportamento e explique as consequências para quem violar regras de conduta.

Quanto ao Secret, fica a dica: Vai postar um segredo? Esteja preparado para assumir que você foi o autor e enfrentar eventuais processos se você tiver ofendido alguém ou cometido um crime. Claro, se você identificar um post com conteúdo vexatório, inapropriado ou que te afete negativamente, procure imediatamente um advogado especializado e siga com um processo para lidar de forma adequada com a situação.

Nada se espalha tão rápido quanto um bom segredo....

Nada se espalha tão rápido quanto um bom segredo….

Share this:

  • LinkedIn
  • Twitter
  • Facebook
  • E-mail
  • Reddit
  • Imprimir

Curtir isso:

Curtir Carregando...

OPOVO – Participação em matéria sobre Continuidade de Negócios

Postado por claudiododt em 04/08/2014
Publicado em: GCN. Marcado: conscientização, continuidade, GCN, gerenciamento, gestão de riscos, segurança da informação, serviços de TI. Deixe um comentário

Prezados colegas,

Mais uma vez tive a oportunidade de contribuir para uma matéria para o jornal O POVO. Publicada hoje (03/08/2014) no caderno de Economia, falo sobre como impacto da indisponibilidade de Sistemas e Serviços de TI para o ambiente corporativo.

Exemplos recentes, como a falha do novo sistema de emissão de nota fiscal da Prefeitura de Fortaleza ou o sistema emissão de vistos americanos mostram que incidentes severos podem ocorrer em organizações de todos os portes.

Crises são inevitáveis, a diferença está na forma como sua organização se prepara e lida com cenários adversos. Veja: isso pode ser a diferença entre uma instabilidade momentânea bem controlada e conduzida, ou um desastre extremamente negativo e impactante.

OPOVO_030814

Clique para ler a matéria completa!

A matéria completa você encontra no jornal (doh!) ou acessa aqui: http://dary.us/opovo04

Share this:

  • LinkedIn
  • Twitter
  • Facebook
  • E-mail
  • Reddit
  • Imprimir

Curtir isso:

Curtir Carregando...

Wearables: A tecnologia vestível está chegando. Qual o impacto para segurança de pessoas e empresas?

Postado por claudiododt em 01/07/2014
Publicado em: BYOD/Wearables, Comportamento, conscientização, Gestão Corporativa, Segurança da Informação, Uncategorized, Vazamento de Informação. Marcado: BYOD, conscientização, consumerização, dispositivos vestíveis, Inovação com Segurança, segurança da informação, Vazamento de informação, Wearables. 2 Comentários

VESTIR A CAMISA DA SEGURANÇA DA INFORMAÇÃO nunca foi uma realidade tão próxima. Mal as organizações começaram a ter uma ideia de como lidar com equipamentos pessoais, o BYOD (Bring Your Own Device), já aponta no horizonte o próximo desafio: Os Wearables, que traduzindo para o bom português significa – literalmente – “Tecnologia Vestível”.

A maioria dos techlovers já ouviu falar, pelo menos, nos óculos e relógios inteligentes, os últimos rumores já falam até do iWatch da maçã, que vai firmar de vez o mercado. Se considerarmos um ciclo de adoção parecido ao de smartphones e tablets, é fácil entender o as últimas expectativas de venda: Aproximadamente 171 milhões de dispositivos devem estar nas mãos dos consumidores por volta de 2016. Mas os wearables não se resumem aos Google Glass, Pebble e Galaxy Gear. As novas tecnologias vestíveis estarão presentes em uma ampla gama de produtos, incluindo desde Tatuagens, Lentes de Contato, Calças, Camisas, Tênis, Soutiens até Coleiras (para animais, claro!).

iwatch bra-fire
Sim, temos dispositivos vestíveis para todos os gostos!

Assim como o telefone celular e a internet móvel mudaram nosso comportamento, imagine o possível impacto dos novos vestíveis em áreas como fitness, medicina, ambiente corporativo ou mesmo militar. Enquanto esses dispositivos oferecem inúmeras possibilidades para o aumento de conforto, produtividade e até mesmo acompanhamento médico em tempo real, por outro lado surge um novo leque de ameaças a privacidade e segurança para pessoas e organizações.

wearable_tech

Essa preocupação já é uma realidade, como no caso do vice presidente americano Dick Cheney, que teve a funcionalidade wireless do desfibrilador instalado no seu coração desativada. Motivo? Medo de um possível ataque de ciberterroristas.Novamente, esse problema não afeta exclusivamente estadistas ou pessoas famosas.

Se já temos casos de criminosos planejando sequestro com uso de informação de redes sociais, é fácil imaginar que quando estivermos conectados a internet da cabeça aos pés a situação será mais complicada. Com a falta de conscientização/experiência de boa parte dos consumidores, os wearables podem se tornar mais uma ferramenta de superexposição online, abrindo portas para rastreamento ou até quem sabe controle de comportamento emocional (Sim, estou falando de você Facebook).

cheney-wifi

Ok! Coloquei o Avast Free no coração e as definições de vírus já foram atualizadas!

Se a cada vez que conectamos uma nova classe de dispositivos a internet, fatalmente descobrimos como eles podem ser atacados e explorados, com os wearables não será diferente. Enquanto consumidores se preocupam em não ser monitorados, empresas devem estar atentas a novas oportunidades de vazamento de informação ou constrangimento no ambiente de trabalho. Quando conversei com alguns colegas, a postura foi igual com todos: “Vamos proibir”. Mas não acredito que vá ser assim tão fácil.

Além de não sermos a área mais querida e comunicativa com os usuários, na Gestão de Segurança da Informação temos impressão de que ditamos unilateralmente as regras, e a ilusão que essas serão impreterivelmente seguidas. Quer um exemplo de como isso nem sempre funciona? Imagine o seguinte cenário: Será que conseguiríamos – mesmo com o apoio da alta direção – banir completamente o uso de celular pessoal dentro da empresa? Acredito que – exceto em ambientes ou segmentos bem específicos – isso não seja viável. Em mais alguns anos, essa talvez seja a mesma visão com os wearables.

Para termos uma ideia da visão das pessoas, podemos usar o North American Technographics® Consumer Technology Survey 2013, pesquisa realizada pela Forrester com um grupo de mais de 4600 adultos americanos. Um dos pontos era a pergunta: Como você estaria interessado vestir/usar um dispositivo inteligente, supondo que seja de uma marca que você confia, oferecendo um serviço que é do seu interesse? Veja os resultados na imagem abaixo.

Novo Homem Vitruviano: Como a tecnologia vai afetar nosso comportamento?

Novo Homem Vitruviano: Como a tecnologia vai afetar nosso comportamento? – imagem: Forrester

A verdade é que organizações devem estar atentas e se antecipar a mudanças significativas no comportamento de seus empregados e até da sociedade. Uma boa Gestão de Segurança não pode ignorar novas tendências tecnológicas, a chave do sucesso é estar preparado, com processos e tecnologias maduras o suficiente para garantir flexibilidade, inovação e um ambiente seguro.

 

Share this:

  • LinkedIn
  • Twitter
  • Facebook
  • E-mail
  • Reddit
  • Imprimir

Curtir isso:

Curtir Carregando...

RaTs e Creepware: Será que alguém está me observando?

Postado por claudiododt em 18/06/2014
Publicado em: Comportamento, Espionagem, Segurança da Informação, Vazamento de Informação. Marcado: blackshades, Cassidy Wolf, conscientização, creepware, extorsão sexual, keylogger, Lei Carolina Dieckmann, Miss Teen USA, RaTs, Remote Access Trojans, screenlogger, sexting, sextorcion, The Blackshades Global Takedown. 3 Comentários

CONTEÚDO INTIMO DIVULGADO NA INTERNET NÃO É NENHUMA NOVIDADE. A massificação de tecnologias com capacidade de registrar fotos ou vídeos, associada ao amplo acesso a internet, trouxe “um certo inconveniente” quem gosta de guardar seus momentos mais reservados para a posteridade: O vazamento ou distribuição – geralmente não consensual – de material constrangedor é algo que afeta indiscriminadamente anônimos e famosos.

cuidadocuidadocuidado

Esse problema não se resume aos casos de divulgação feita por dissabores amorosos frustrados com o fim do relacionamento. O ‘sextorcion’, a extorsão ou chantagem feita por alguém de posse de material sexual da vítima, está se tornando cada vez mais comum. Foi o que aconteceu em 2012 com a artista Carolina Dieckmann, o que acabou ajudando concretizar uma lei que tipifica os delitos informáticos. Mas acredite: PODE FICAR AINDA PIOR.

Ambas as situações descritas acima tem um ponto comum: A vítima permitiu ou mesmo criou – de bom grado – material adulto e normalmente tem um mínimo de consciência da possibilidade daquele conteúdo vazar. Em outras palavras: se expôs de bom grado ao risco.

Agora imaginemos uma situação oposta: Uma jovem de apenas 19 anos, famosa e sem a menor disposição para oversharing de sua intimidade na internet, tem horas e horas de registros extremamente íntimos nas mãos de um pervertido virtual. Foi o que aconteceu com Cassidy Wolf, Miss Teen USA, que teve seu notebook invadido por um cracker, que fez uso de um Creepware, o Blackshades, e por quase um ano gravou tudo que acontecia, direto da própria webcam da vítima.

Cassidy Wolf, Miss Teen USA, vítima de Creepware

Cassidy Wolf, Miss Teen USA, vítima de Creepware

“Foi traumatizante. Era meu quarto, meu o espaço íntimo e privado, onde me sentia mais segura.” Disse Cassidy durante uma entrevista a CNN. A jovem miss descobriu a invasão quando recebeu um e–mail anonimo com uma série de fotos suas nua, enquanto trocava de roupa. Junto também veio à ameaça: O invasor queria fotos com uma melhor qualidade e um show erótico de 5 minutos no Skype. Caso contrário distribuiria as fotos na internet, o que arruinaria quaisquer chances de manter sua carreira como miss.

O cracker que efetuou a invasão era Jared James Abraham – antigo colega de colégio de Cassidy que já é réu confesso – e faz parte de um grupo com aproximadamente 100 criminosos presos em maio pelo FBI, durante uma operação conjunta realizada em parceria com 19 países. Os suspeitos são acusados de desenvolver, vender ou usar códigos maliciosos como o Blackshades.

Caracterizados como RaTs (Remote Access Trojans) ou simplesmente apelidados de Creepwares, esse tipo de código malicioso – que custava apenas USD 40,00 – permite invadir e controlar remotamente computadores infectados, incluindo a cópia de arquivos, captura de vídeos na webcam, informações digitadas (keylogger) ou telas (screenlogger).

FBI: The Blackshades Global Takedown

FBI: The Blackshades Global Takedown

De acordo com o FBI, os suspeitos infectaram mais de meio milhão de computadores. O fato é que RaTs não são usados exclusivamente como Creepware: Criminosos digitais utilizam essa mesma técnica para obter informações financeiras, senhas ou simplesmente monitorar suas vítimas. Os alvos são pessoas comuns, políticos, empresas. Excluindo o óbvio impacto financeiro, para termos uma noção do nível de constrangimento que esse tipo de crime pode gerar, basta lembrarmos de casos recentes de suicídio após fotos intimas divulgadas em redes sociais.

Fica aqui duas perguntas básicas: Em um mundo onde com menos de R$ 100, qualquer um pode se tornar um cibercriminoso internacional, você tem certeza de que não está sendo monitorado neste exato momento? Nesse caso, o que podemos fazer para nos proteger?

creepware

Que tal um pequeno teste? Se você tem facebook, acesse o link acima e se divirta! (Sim, é seguro!)

Como em outros códigos maliciosos, A maioria das infecções dos RaTs/Creepwares acontece quando o usuário visita um site ou faz download de arquivos contendo código malicioso. As recomendações de proteção são as de sempre:

  • Use – e mantenha sempre atualizado – um software de proteção contra códigos maliciosos. Existem diversas opções, mesmo gratuitas, inclusive com opção de varredura online;
  • Evite abrir ou clicar em e–mails e anexos de fontes suspeitas ou com conteúdo estranho;
  • Tenha cuidado ao clicar em links em redes sociais ou compartilhados em serviços de mensagem instantânea;
  • Faça downloads apenas de fontes confiáveis e mesmo assim, faça uma varredura antes de abrir o arquivo;
  • Esteja atento a comportamento anormal em seu computador, por exemplo, se você não está usando a webcam luz da mesma não deveria estar acesa;
  • Por via das dúvidas, as vezes ser um pouquinho paranoico não faz mal: Já coloquei fita isolante na minha webcam 🙂
Não! Eu não sou paranoico! :)

Não! Eu não sou paranoico! 🙂

Infelizmente nem mesmo essas medidas podem garantir absolutamente que uma invasão não vai acontecer. Se você suspeita que pode estar sendo monitorado, busque imediatamente a ajuda de um especialista de segurança e, caso a ameaça se concretize, o apoio de um escritório especializado em direito digital é essencial.

Share this:

  • LinkedIn
  • Twitter
  • Facebook
  • E-mail
  • Reddit
  • Imprimir

Curtir isso:

Curtir Carregando...

Navegação de Posts

← Entradas Mais Antigas
  • Junte-se aos outros seguidores de 452

  • Pesquisar:

  • __

    __
  • Mais Acessados

    • Nenhum
  • Categorias

    Administrativas Arquitetura Corporativa Auditoria BYOD/Wearables Catálogo de Serviços Comportamento conscientização Continuidade de Negócios Educação Espionagem GCN Gestão Corporativa Gestão de Crises e Desastres Gestão de Riscos Governo GRC Inovação ITIL Normas e padrões Palestras e Eventos Pesquisas Política de Segurança da informação programa de conscientização Segurança da Informação Sistemas de Informação Treinamento Uncategorized Vazamento de Informação
  • Links

    • ITIL na Prática
    • My Information Security Job
    • The IT Skeptic
    • Under the Surface of IT Management
Blog no WordPress.com.
GRC – Governança, Riscos e Conformidade
Crie um website ou blog gratuito no WordPress.com.
Cancelar

 
Carregando comentários...
Comentário
    ×
    loading Cancelar
    Post não foi enviado - verifique os seus endereços de e-mail!
    Verificação de e-mail falhou, tente novamente
    Desculpe, seu blog não pode compartilhar posts por e-mail.
    Privacidade e cookies: Esse site utiliza cookies. Ao continuar a usar este site, você concorda com seu uso.
    Para saber mais, inclusive sobre como controlar os cookies, consulte aqui: Política de cookies
    %d blogueiros gostam disto: