quarta-feira, 27 de janeiro de 2016

Defesa de dados

Um panorama da cibersegurança sob a perspectiva de líderes corporativos e da remodelagem das práticas de proteção da informação. Leia abaixo a livre tradução do relatório da Nuix com informações coletadas em 2015. 


Descobertas importantes 


A segurança da informação deixou de ser um tópico obscuro em conversas entre profissionais de tecnologia e passou a ser uma um preocupação central entre os principais executivos (os chamados C-suite) de diferentes companhias do mundo. A influência da segurança da informação está crescendo em todos os aspectos do negócio. As verbas refletem o grande peso da cibersegurança nos negócios; equipes focadas na questão e treinamentos sobre o tema mostram a importância adquirida; a batalha contra brechas potenciais é agora um esforço coletivo e colaborativo; e a nuvem continua gerando discussões e conversas. A Nuix, parceira da TechBiz Forense Digital, recrutou a Ari Kaplan Advisors para entrevistar 28 profissionais de segurança corporativa para capturar as tendências-chaves do setor e resumimos aqui as suas descobertas.

 » Maior conhecimento do orçamento 
Mais profissionais de segurança estão familiarizados com a grandeza da verba de segurança que suas organizações dedicam para gerenciar e proteger seu perímetro versus a verba destinada à resposta e remediação dos incidentes. Em 2015, 61% sabiam como era feita a divisão dos recursos gastos em segurança comparados aos 54% de 2014.

 » O impacto regulatório nos gastos 
 O deslocamento do cenário regulatório está levando as organizações modificarem o destino de suas verbas. Metade dos participantes da pesquisa disse que as leis e regulamentações impactaram os gastos com segurança, sendo que em 2014 este número representou menos de um quarto.

 » A maioria dos entrevistados possui programas contra ameaças 
 Este é um grande foco: ameaças internas. Mais de dois terços (71%) dos respondentes possuíam um programa ou uma política para lidar com as ameaças internas; 21% atribuíram o aumento dos gastos do seu time de segurança à proteção adicional contra ameaças internas e 14% reportaram alocar 40% ou mais de sua verba para lidar com ameaças internas.

» Rastrear atividade dos invasores é um desafio para alguns 
 Apesar de quase todos os pesquisados (93%) relatarem ser capazes de identificar seus dados de valor crítico, apenas 69% disseram saber o que as pessoas fizeram com esses dados após acessá-los.

» Estar preparado para a resposta a incidentes é o foco 
Quase todos os entrevistados (96%) disseram possuir uma política de resposta imediata aos incidentes de segurança e 68% reivindicaram testar sua capacidade de resposta para garantir a conformidade com as políticas atuais e as colocam em prática várias vezes por ano - 21% disseram testar duas vezes ao ano e 32% realizam testes trimestralmente. Mais de um terço (36%) engajou-se em testes de bancada e 46% obtiveram respostas reais para os simulados sobre ameaças.

» Crescimento do BYOD (Bring Your Own Device) 
A grande maioria (82%) dos entrevistados disse que suas organizações possuem política de “bring-your-own-device” (BYOD) – um crescimento substancial em relação aos 69% dos respondentes em 2014. O número de organizações que permite acesso remoto é alto, mas tem caído: 86% em 2015 contra 96% em 2014.

» Comportamento humano ainda é um obstáculo para a segurança 
Um número crescente de entrevistados disse que o comportamento humano é a maior ameaça à segurança de sua empresa - 93% em 2015, contra 88% em 2014. Consequentemente, 39% escolhem o medo, em vez de melhores práticas, como a mais efetiva mensagem estratégica de segurança para evitar riscos, um crescimento em relação aos 31% que escolheram essa opção em 2014.

» Existe alguma consistência no uso da nuvem 
O número de organizações que estão migrando dados para a nuvem em 2015 caiu um pouco em relação a 2014, de 73% para 71%. Mas o número das que estão migrando sistemas para a nuvem caiu de 58% para 43%. Esta queda pode ser devido ao fato de muitas organizações já moverem seus dados e aplicações aos serviços da nuvem. Mais uma vez, a grande maioria dos entrevistados concorda que o uso da nuvem cria uma preocupação sem igual com a cibersegurança (86% em 2015 vs. 84% em 2014).

» Executivos estão redefinindo o conceito de vazamento de dados 
Um quarto dos líderes pesquisados não estão preocupados se suas organizações foram invadidas, enquanto 32% se descrevem como “muito preocupados” se foram vítimas de invasões. Para endereçar questões de segurança, 96% dos executivos dizem que colaboraram e compartilharam informações e conhecimento com outros executivos de segurança da informação, um crescimento de 4% em relação a 2014. Um quarto dos entrevistados disse que interage diariamente com colegas sobre eDiscovery, leis, gerenciamento de registros e governança da informação; todos eles dizem interagir pelo menos mensalmente.

Cybersecurity: apenas parte de um trabalho diário? 


 Cybersecurity deixou de ser um inimigo assustador e arbitrário dos negócios modernos. Agora que a maioria das organizações aceitou o axioma de que algum nível de vulnerabilidade é universal, muitas estão se graduando a uma era de compreensão, preparação e reatividade.

Como elas estão lidando com isso é o que distingue as que estão prontas para o inevitável e aquelas que estão destinadas a aparecer nas primeiras páginas dos jornais. Organizações podem adotar uma ampla variedade de passos – que abranjam políticas, educação, liderança e tecnologia – para combater uma ameaça que fascina comunidades profissionais e comerciais.

Em 2014, o primeiro relatório Defending destacou tendências interessantes associadas ao gerenciamento e à proteção a um crescente e efêmero perímetro; uma mudança nas políticas de segurança e em procedimentos; e a expansão do papel dos profissionais de segurança. Em 2015 houve um maior reconhecimento dos danos das ameaças internas; a falta de familiaridade com todo o cenário de dados de uma organização; e uma crescente apreciação pela segurança entre os executivos das empresas.

 Background da pesquisa 

Para rastrear isso e o desenvolvimento das influências de outras estratégias de segurança corporativa, a Nuix convocou os conselheiros da Ari Kaplan pelo segundo ano consecutivo para entrevistar 28 profissionais da segurança com graus variados de responsabilidade. As conversas foram feitas por telefone, sob a condição de manterem-se anônimos, e ocorreram entre agosto e outubro de 2015. 

Entre os entrevistados, 21% atuam como chefe de segurança da organização, enquanto 61% são diretores ou vice-presidentes com responsabilidades primárias sobre informação ou cybersecurity. Os 18% restantes gerenciam possíveis descuidos destas áreas.

Três quartos dos entrevistados são de organizações com mais de US$ 1 bilhão em receitas anuais e a receita de 57% excede US$ 5 bilhões. A maioria (71%) pertence a organizações com mais de 5 mil colaboradores. São originários de indústrias diversas, incluindo:

 • Serviços financeiros (32%)
• Ciências humanas (18%)
• Energia (11%)
• Bancos (7%)
• Seguros (7%)
• Indústria (7%)
• Tecnologia da Informação (7%)
• Consultoria (4%)
• Hotelaria (4%)
• Entretenimento (4%).

 Os entrevistados foram distribuídos de forma equilibrada entre setores altamente regulamentados e setores mais tradicionais, o que proporcionou um equilibrado conjunto de perspectivas sobre o estado de segurança de dados. A Ari Kaplan Advisors também entrevistou Keith Lowry, vice-presidente senior para inteligência contra as ameaças aos negócios da Nuix e o Dr. Jim Kent, o líder global de segurança da Nuix e CEO da América do Norte.


31% não sabem o que as pessoas que possuem acesso a dados críticos fazem de fato com essas informações




Mais clareza nas verbas 


 Em 2014, 46% dos entrevistados não sabiam a proporção da verba de segurança que suas companhias dedicavam a gerenciar e proteger o perímetro em comparação com os seus gastos em resposta a incidentes e remediação. Em 2015 este número caiu para 39% refletindo uma crescente familiaridade com as despesas de capital.

 Enquanto em 2014 havia uma falta de consenso, 43% dos que eram capazes de estimar as despesas, informaram gastar 50% ou mais em proteção de perímetro; 32% alocaram 60% ou mais. Cerca de um quinto dos entrevistados destinou 80% ou mais para a proteção do perímetro.

 Em 2014, 72% informaram que os gastos nesta área mudaram em relação ao ano anterior e 65% esperavam aumentar essa verba no futuro. Em 2015, 89% alegaram terem percebido uma mudança e 64% esperam crescimento ainda maior.

As regras e leis continuam a conduzir os gastos 


 Em 2014, 23% dos entrevistados destacaram que as regulamentações impactam em seus gastos; este número saltou para 50% em 2015.

 “O cenário regulatório está constantemente em mudança e é um grande fator de motivação de investimento”, afirmou um executivo do serviço financeiro.

 Há também um componente do medo, de acordo com um outro executivo da mesma área: “Para instituições financeiras, existem obrigações regulatórias, você tem o dever de cuidar pois, além do risco de reputação, ninguém quer estar em frente a um CISO (Chief Information Security Officer) quando tudo der muito errado.”

Outros direcionadores dos gastos em segurança de TI dependem da natureza dos dados que possuem segundo 18% dos entrevistados, e às experiências já vivenciadas para 11% deles. Outros 11% notaram que oficiais da lei, os dados e o histórico de transações todos possuem virtualmente impacto equivalente.

Mudança e aumento em gastos de segurança relacionados ao crescimento de ameaças internas 


Além do crescimento das regulamentações, 21% dos entrevistados atribuíram o crescimento dos seus gastos às proteções adicionais contra perigos internos.

 “O gerenciamento da resposta a incidentes e ameaças internas recebeu grandes investimentos no último ano”, disse um profissional de uma corporação global de tecnologia.

 “A empresa não está reduzindo a quantidade de gastos em ameaças externas, mas aumentando os seus gastos no gerenciamento das ameaças internas”, acrescentou um líder de segurança de uma organização da área de ciências humanas.

 Em 2015, 14% dos participantes entrevistados relataram ter alocado 40% ou mais de sua verba em ameaças internas.

 “Esta foi uma mudança da alocação de recursos olhando internamente, em vez de olhar o perímetro”, disse um líder de segurança de uma companhia de seguros. “A companhia está olhando para tecnologias de prevenção de perda de dados para lutar contra ameaças internas.” 

Keith Lowry, vice-presidente sênior da Nuix para inteligência contra as ameaças aos negócios, atribui essa renovação de foco em três fatores que tornam as ameaças internas mais prevalentes e que valem a proteção:

• Maior consciência de ameaças internas como um resultado das ações de Chelsea Manning e Edward Snowden
• A difusão do uso de tecnologias que tornam mais fácil o roubo de informações. Ex: você pode copiar arquivos vitais em um drive USB em segundos
• O roubo de registros internos tornou-se culturalmente mais aceitável.

 Em sua última ponderação, Lowry cita uma pesquisa conduzida pela Loudhouse, empresa de pesquisas em tecnologia, que identificou que 35% dos tomadores de decisão e funcionários poderiam vender dados corporativos sensíveis (ou dados de consumidores armazenados nos servidores protegidos das empresas) pelo “preço certo”. Para 25% dos funcionários pesquisados, este preço girava em torno de US$ 8 mil e para 18%, era mais baixo, US$1. 550.

 “Se você não tomar nenhuma medida para impedir uma crise, alguém certamente irá forçá-lo a fazer”, aconselha Lowry.


50% dizem que as regulamentações impactam seus gastos, o dobro em relação a 2014 



Crescimento dos Programas contra ameaças internas 


 Dada essa mudança, não é surpresa que 71% dos entrevistados relataram ter um programa ou política contra ameaças internas. Desses, 90% designaram um profissional sênior para supervisioná-lo e 70% ofereceram treinamento nesta área.

 “A companhia emprega times de inteligência que estudam aspectos diferentes das comunicações, atividade de usuários, mídia social, atividade suspeita e outros detalhes”, disse um diretor de banco. 

“Nós só recebemos a autoridade para reinventar o programa da companhia contra as ameaças internas; o que era um programa no papel agora está fundamentado e disseminando apropriadamente pela companhia”, completou um executivo da área de seguros.

Definições sobre ameaças internas variam 

Quando perguntados sobre a definição do termo “ameaça interna” há um tema claro em torno das respostas e engloba os termos “malicioso”, “interno”, “autorizado” e “inapropriado”.

Um CISO de uma instituição financeira observou: “Todas as ameaças são ameaças internas; uma vez que um hacker entra no ambiente da companhia torna-se uma ameaça interna”.

 “Nem todas as ameaças internas são perniciosas”, relatou o CISO de outra instituição financeira.

Essas nuances caracterizam muitas das outras explicações, que variam para incluir as seguintes descrições, simples e complexas:

• Um ator malicioso que é um empregado interno.
• Pessoas com acesso a dados tentando retirá-los para fora da empresa
• Um funcionário interno que, conscientemente ou sem saber, concede acesso não autorizado a alguém.
• Uma entidade externa que tenta entrar obtendo vantagens através de engenharia social ou de um relacionamento que o permita acessar dados da empresa.
• Qualquer atividade de usuário que saia fora da política da organização
• Uma pessoa que está afiliada à empresa e por negligência ou malícia coloca a organização em risco. • O uso de sistemas internos por indivíduos autorizados ou não de forma aparentemente nefasta.
• Alguém com conhecimento do sistema que usa o seu conhecimento para criar ou explorar fraquezas.

 Um executivo da área de seguros explicou que os indivíduos interpretam o termo “ameaça interna” de acordo com o papel que desempenham na empresa.

 “Se você fala com indivíduos da área de segurança física, ameaça interna poderia ser um funcionário desapontado carregando uma arma”, ele diz. “Para os da área de finanças, poderia ser um empregado com credenciais de alto nível movendo secretamente dinheiro ou acessando propriedade intelectual que coloque em risco a competitividade da empresa”.

O rastreio dos “insiders” continua indefinido 


“O esmagador foco da discussão sobre cibersegurança está em proteger o dinheiro e o valor da informação”, diz Dr. Jim Kent, o líder global de segurança da Nuix e CEO da América do Norte. “Esses são os alvos primários para as atividades de cibercrime e ciberespionagem; dados privados e informação financeira são facilmente monetizados no mercado negro e geralmente são pouco protegidas”. Dada essa sensibilidade, quase todos os entrevistados (93%) relataram ser capazes de identificar seus dados de valor crítico e 100% disseram ser capazes de detectar quem pegou os dados.
“Todas as organizações possuem papeis alocados a usuários de um dado particular assim eles podem monitorar quem pode acessá-los a qualquer momento”, disse o vice-presidente de uma empresa de serviços financeiros. Esses números caem para 69%, no entanto, quando perguntados sobre se as organizações sabem o que as pessoas fazem com os dados de valor crítico depois de acessá-los.

“Esta é a parte difícil”, admitiu um líder de TI do setor de energia.

“A companhia apenas sabe quando os dados estão saindo de sua rede; é o olhar de dentro para o perímetro quando a informação parte, em vez de serem mantidas dentro do ambiente da companhia”, explicou um gerente de segurança da informação do setor de finanças.

Quase 30% não possuem um programa ou política contra ameaças internas  



Políticas de segurança de dados abundam, mas testá-las e medi-las é um desafio 


 Não é surpresa que tantas organizações possuem políticas contra ameaças internas porque 100% delas continuam a manter a política de segurança de dados, que são atualizadas anualmente por 64%. Quase todas (96%) possuem uma política de resposta imediata aos incidentes de segurança então a arte de documentar práticas de proteção continua se espalhando.

 Quando perguntados sobre a aferição da efetividade das suas políticas, cerca de um quinto dos entrevistados disseram conduzir auditorias anuais. Um grupo de tamanho similar disse que rastreia o comportamento do usuário e o número de incidentes.


“A companhia estuda o número de tentativas de penetração em seu sistema que foram identificadas e a falta de sucesso”, acrescentou outro diretor de segurança da indústria de entretenimento.

 Sobre os testes de seus programas de resposta a incidentes que garantem a conformidade com as políticas e práticas vigentes, 18% dos entrevistados disseram que os medem anualmente. No geral, no entanto, a maioria das organizações está testando em bases mais frequentes; 68% relataram o engajamento neste processo múltiplas vezes ao ano; 21% testam duas vezes por ano e 32% o fizeram pelo menos a cada três meses.

 Mais de um terço (36%) engajaram-se em testes de bancada e 46% oferecem respostas reais a simulados de ameaças. Algumas aplicam uma combinação de ambas as técnicas e 11% disseram não saber a metodologia utilizada.

 A grande maioria (85%) disse que o time de resposta a incidentes inclui conselheiros da lei, líderes de relações públicas e gerenciadores de crises, além de outros profissionais da área de finanças e contabilidade, TI, conformidade, assuntos regulatórios, gerenciamento de riscos, forças da lei, privado, cyber insurance e segurança física.

 Além disso, 82% possuem uma política de BYOD (bring-your-own-device), crescimento considerável em relação a 2014, quando apenas 69% dos entrevistados possuíam; 86% permite o acesso remoto, contra 96% in 2014.


As pessoas são o problema... então, treinamentos continuam sendo tão importantes 


 Políticas e procedimentos são irrelevantes se os indivíduos não estão familiarizados com eles, ou se não estão prontos para aderir a qualquer restrição. Por essa razão, não é surpreendente que 93% alegam que o comportamento humano era a maior ameaça à segurança de sua organização.

 “A companhia aumentou sua verba para treinamento e educação; a chave é melhorar os processos e a consciência dos colaboradores”, disse um entrevistado.

 “As pessoas esqueceram de que, não importa o quanto de tecnologia você possui, é o uso dela que preocupa”, adicionou outro entrevistado.

 Como resultado, quando perguntados qual seria a mensagem estratégica, 39% escolheram o “medo”, em vez de melhores práticas, para evitar riscos. O medo cresceu em popularidade como estratégia, acima dos 31% que selecionaram essa opção em 2014.

 “Você sempre tem que ter um pouco de medo para que as melhores práticas possam ser melhor acolhidas”, observou um gerente de segurança da informação de uma empresa de tecnologia. 

“Melhores práticas funcionam melhor em níveis mais altos da organização, mas o medo é mais efetivo na equipe de mais baixo nível”, pontuou um profissional de segurança de uma empresa de ciências humanas.

 O uso do medo para educar não é universal, de acordo com um profissional do setor de energia. O consenso é que treinamentos obrigatórios, o enaltecimento de ações positivas e exemplos relevantes de perspectivas pessoais e profissionais são as técnicas mais adotadas para lidar com os erros de empregados inadvertidos.

 “Uma vez que você tem as pessoas treinadas, mantê-las treinadas é fácil”, acrescentou um CSO do setor de energia.

 A nuvem ainda preocupa 


 O número de organizações migrando dados para a nuvem em 2015 (71%) é consistente com os dados de 2014 (73%). Mas, o número de empresas migrando sistemas para a nuvem caiu de 58% para 43%. Este declínio pode refletir o número de organizações que já tenha migrado os dados e aplicações para a nuvem. Mais uma vez, a grande maioria dos entrevistados concorda que o uso da nuvem cria preocupações peculiares em relação à cibersegurança (86% em 2015 vs. 84% em 2014). Essas preocupações incluem:

• Perda de visibilidade no gerenciamento dos seus dados
• Estar à mercê das habilidades de cibersegurança de seu provedor de nuvem
• Redução de controle sobre o acesso aos seus dados.
• Confusão sobre o que está acontecendo quando entidades governamentais pedem acesso para inspeção dos seus dados.
• Falta de conformidade regulatória.
• Variações nos provedores de nuvem.
• Operar em um ambiente compartilhado.

 “Dependendo de quem você está compartilhando, sua habilidade de realizar forense interna pode se limitar”, observou um participante.

 “O provedor da nuvem possui uma segurança mais sofisticada do que a nossa companhia”, contrapôs outro.

 “86% concordam que a nuvem cria preocupações singulares em relação à cibersegurança” 


Reimaginando o vazamento de dados e as respostas potenciais 


 Um quarto das lideranças pesquisadas disse que não está preocupado se suas organizações apresentaram brechas de segurança.

 “Os CISOs mais espertos estão preocupados em como aumentar a sua proteção; é como se preocupar sobre quando vai chover porque se uma brecha acontecer, aconteceu”, disse o CISO de uma indústria da hotelaria. “Eu penso em como fazer melhor e reagir mais rápido em casos de brechas de segurança”. Outro entrevistado afirmou que sempre há um elemento de preocupação dada a natureza indetectável dos ataques mais sofisticados: “é como ter cupins em sua casa”.

 Ainda, 32% dos entrevistados descrevem-se como muito preocupados sobre se estão sendo vítimas de brechas de segurança.

 “Isso me faz ficar acordado à noite”, afirmou um profissional de TI de uma empresa de energia.

 Os demais participantes não eram nem excessivamente preocupados, mas se diziam incomodados com a perspectiva de uma violação.

 “Nós nunca seremos capazes de conter uma violação de dados”, disse um dos entrevistados. “Mesmo que alguém ultrapasse a porta, ele não ficará tanto tempo para causar prejuízo”, adicionou outro, expressando confiança nas práticas de segmentação e segurança de dados de sua empresa.

 Um diretor global de uma empresa de serviços financeiros sintetizou o consenso: “Qualquer empresa que disser que não sofreu alguma violação do seu perímetro de segurança está se fazendo de boba”. 

Apesar dessa percepção em comum, “as pessoas estão relutantes em discutir se estão sofrendo ciberataques ou com os vazamentos de dados – na maioria das vezes por medo de mostrar fraqueza ou perder potencial vantagem competitiva”, analisou Kent. “Mesmo que as empresas possam superar essa relutância sobre falar a respeito de questões de segurança, falta-lhes um mecanismo técnico padrão para compartilhar, digerir e aplicar inteligência de ameaças. ” Talvez refletindo uma mudança sugerida por Kent, 96% dos entrevistados disseram que compartilham e colaboram com outros profissionais de segurança da informação. Este é um aumento de 4% em relação ao resultado de 2014.

 Dentro das organizações, 25% dos entrevistados disseram interagir com os colegas diariamente sobre eDiscovery, questões legais, gerenciamento de ocorrências e governança da informação. E 100% o fazem pelo menos uma vez ao mês.

 “Qualquer um que não esteja colaborando está se programando para falhar”, disse um chefe de segurança da informação. “O trabalho do CISO é colaborar; isso requer muitos chapéus.”

Perspectivas para 2016 


 O foco nas ameaças internas crescerá 

Uma vez que um terço dos entrevistados operam sem um programa ou política contra ameaças internas, há espaço para essa questão crescer nas empresas. Se as organizações não endereçarem proativamente as ameaças internas, elas podem ser forçadas a mudar essa atitude ao serem vítimas de uma violação ou um processo de responsabilização e compromisso por maior segurança.

 “Se você não fizer da proteção contra ameaças internas uma prioridade, os Tribunais poderão fazê-lo por você”, diz Lowry que observa que os litigantes estão cada vez mais tentando provar negligência ou falha para encontrar um padrão aceitável de cuidado da parte do custodiante dos dados. 

“Reguladores como a Federal Trade Commission nos Estados Unidos também possuem a autoridade de reforçar as leis de cibersegurança, o que complica ainda mais o ambiente”. Para começar, Lowry recomenda engajar os executivos da organização para abraçar esse desafio. “Ter as lideranças sêniores advogando em prol da proteção contra as ameaças internas como prioridade é fundamental”, ele diz.

“É preciso conceder autoridade a um indivíduo que é responsável por ameaças internas e que possa ultrapassar limites dentro da organização para encontrá-las”. As designações e os programas que serão criados precisam ser ágeis para lidar com a natureza agressiva das ameaças quando elas ocorrem. “Os invasores não se importam com leis ou regulamentações privadas; elas farão o que bem quiserem”, explica Lowry

Tolerância para erros de inadvertência em relação à segurança diminuirá 

 Organizações perderão a tolerância para funcionários que não compreendam, tenham interpretações errôneas ou cálculos equivocados em relação às políticas de segurança e procedimentos. Eles começarão a penalizar membros descuidados da equipe que “convidem” uma brecha mesmo após receberem treinamento na questão. Um número de participantes da pesquisa destacou que as consequências podem resultar em fim de contrato.

 “Existe um reconhecimento agora que quando se trata de cibersegurança, todos são responsáveis, não apenas aqueles que trabalham com isso”, diz um líder de serviços financeiros. Com a proliferação desta perspectiva entre a comunidade de negócios, os indivíduos sentirão uma responsabilidade compartilhada de agir de forma mais pensada nos melhores interesses da organização.

 “A maioria dos colaboradores não causarão problemas por malícia, eles são simplesmente ignorantes”, diz um executivo da área de ciências humanas.


 Cibersegurança continuará a ser uma preocupação que influenciará as companhias, em vez de uma questão específica de TI 


 A questão da segurança da informação ganhou a mais alta prioridade dentro da maioria das organizações, virtualmente equivalente a lucratividade, governança corporativa e equipe. É uma preocupação crítica que tem gerado implicações para além do que qualquer um possa ter previsto uma década ou anos atrás. “Se você não tomar cuidados com a cibersegurança, você terá a sua pontuação Standard & Poor’s rebaixada, o que pode gerar um grande impacto econômico”, comenta Lowry.

 Como consequência, o perfil do time de segurança e de suas lideranças irá aumentar. Além disso, a influência do CISO crescerá entre a suíte C, de forma similar que o peso do conselho geral cresceu ao longo dos anos.


Tecnologia evoluirá como parceira na batalha da cibersegurança 


 A maioria das pessoas acredita que a tecnologia melhora processos e que a educação dos usuários tem um papel similar em prevenir evasão de dados. Entrevistados da pesquisa de 2015 pontuaram a tecnologia e o desenvolvimento de processos em cerca de 30% cada e educação em 35%.

 “Enquanto eu tenho controles efetivos e a engenharia social está mostrando os processos corretos, as coisas podem ainda acontecer apesar de ter as melhores tecnologias”, disse um gerente de segurança de uma indústria.

 “Você pode ter a melhor tecnologia e os melhores processos, mas se seus funcionários não sabem o que fazer, eles podem abrir a porta errada e ir em direção ao problema”, completou um diretor da área de serviços financeiros.

 Kent destacou que novas formas de tecnologia poderiam ajudar as empresas a construírem protocolos mais seguros e encorajar maior consciência dos colaboradores. “Precisamos sair do modelo de tecnologia “letras verdes na tela preta” e entregar respostas de forma mais acessível e digestiva”, ele disse.

 “Precisamos deixar a tecnologia fazer o trabalho duro para a gente e permitir que pessoas inteligentes utilizem seu poder de cérebro e seu poder analítico de forma mais efetiva”.

______________________________________________________________________

Sobre a Nuix 


Nuix protege, informa e empodera a sociedade na era do conhecimento. Organizações líderes em todo o mundo recorreram à Nuix quando precisaram de respostas rápidas e precisas para investigação, cybersecurity, resposta a incidentes, ameaças internas, litígios, regulamentações, privacidade, gerenciamento de risco e outros desafios essenciais. Nuix facilita o trabalho com volumes big data e formatos de arquivo complexos. Nossa solução combina tecnologia avançda com o conhecimento amplo de nosso time global de especialistas. Trazemos dados para a vida com clareza e inteligência para solucionar problemas críticas ao negócio, reduzir o crime e assegurar e gerenciar a informação.

Sobre Ari Kaplan 

Ari Kaplan, analista do setor jurídico, é autor de “Reinventing Professional Services: Building Your Business in the Digital Marketplace” e de “ The Opportunity Maker: Strategies for Inspiring Your Legal Career Through Creative Networking and Business Development in 2016”. Ele é o perquisador principal de uma variedade de relatórios de benchmarking e tem sido palestrante de eventos na Austrália, Canadá. Reino Unido e Estados Unidos. Kaplan é também o fundado da plataforma de desenvolvimentp de negócios Lawcountability®, finalista do ILTA’s 2015 - Innovative Solution Provider of the Year.


Sobre a TechBiz Forense Digital 

A TechBiz Forense Digital é a maior integradora da America Latina de soluções de investigação em meios digitais, provendo tecnologias para combate a crimes, resposta a incidentes de segurança, CiberDefesa, antifraudes, auditoria e compliance. Nosso trabalho é oferecer as melhores práticas e ferramentas, desenvolvidas por um seleto time de parceiros internacionais.

terça-feira, 26 de janeiro de 2016

Os segredos de um ataque cibernético... sob a perspectiva de um hacker

Matéria livremente traduzida do site Defense iQ 

O consultor de segurança Thomas Ballin, especializado na avaliação de segurança de aplicações web e infraestrutura de rede, é um dos palestrantes convidados para a conferência londrina que acontece entre 15 e 17 de março sobre fraudes em telecom e sobre o programa de iniciativas que asseguram que o tráfego gerado pelos utilizadores dos serviços de telecom é capturado, faturado e cobrado corretamente, a Telecoms Fraud and Revenue Assurance Conference. No evento, Ballin, que trabalha na indústria de testes de penetração e possui ampla experiência em todas as áreas de segurança da informação, irá demonstrar ao vivo um ataque cibernético para tentar compreender o ponto de vista do hacker ao adentrar o ambiente corporativo. O site Defense iQ conversou com Thomas Ballin, que já trabalhou para muitas organizações, incluindo instituições financeiras e conglomerados internacionais, para antecipar um pouco o que será abordado no evento londrino e entender melhor a segurança sob o ponto de vista do hacker. A TechBiz Forense Digital fez a livre tradução desta conversa, cujo documento original pode ser acessado aqui.

Você pode nos explicar de forma bem simples como um hacker se infiltra na rede de uma companhia e ganha acesso aos dados dos consumidores? Onde estão os principais pontos de tensão na rede? 

Um hacker passa por quatro estágios quando tenta roubar informações de uma empresa. O estágio um é o reconhecimento, quando ele descobre a superfície de ataque (todos os diferentes pontos por onde pode adentrar no sistema e onde ele pode coletar os dados). Um atacante está em busca de qualquer ponto que apresente vulnerabilidade. Por exemplo, uma falha na segurança física de um escritório, informações sobre funcionários que podem ser manipulados e oferecer informações ao atacante ou qualquer website, serviços on-line ou recursos que possam estar abertos para exploração. O estágio dois é a exploração propriamente dita, quando um atacante fará uma avaliação da superfície de ataque e trabalhará no melhor alvo, que pode ser tanto o que está mais vulnerável para o ataque ou o que irá provê-lo com o maior nível de acesso. Por exemplo, uma companhia pode estar aberta a um ataque em todos os três níveis; o seu escritório pode estar aberto para qualquer um que queira entrar e sair com alguns documentos. Um membro da equipe pode estar com dificuldades financeiras e pode estar mais suscetível a subornos, e seu website pode estar sujeito a uma vulnerabilidade de SQL Injection (como o ataque à operadora britânica Talk Talk, em outubro de 2015), que poderia comprometer toda a rede. Entrar no escritório poderia ser a tarefa menos difícil da perspectiva de um atacante, já que não requer nenhum conhecimento específico. Mas, a quantidade de informação e o tempo de comprometimento são limitados. Subornar um membro da equipe pode ser caro, mas no caso de uma grande organização financeira, pode ser visto como um investimento. Mais uma vez, isso não requer nenhum conhecimento específico, mas depende da cooperação de um terceiro, o que traz maior risco para a campanha de ataque. Uma vulnerabilidade de SQL injection demanda habilidades para explorar de forma efetiva o que se deseja. Mas, uma vez que o sistema está comprometido, o acesso obtido é inigualável. Além do mais, oferece maior possibilidade de anonimato e a possibilidade de persistir caso não se consiga o que deseja de primeira. Uma vez que o atacante escolheu a vulnerabilidade a explorar, o terceiro estágio é o roubo da informação. O objetivo é extrair a informação mais valiosa possível e deixar o menor rastro possível. Por exemplo, se um membro da equipe tiver dados comprometidos, então, ao invés de pedir que ele faça um clone completo de todos os compartilhamentos da rede, que é como gerar alertas em uma empresa de vigilância, uma melhor solução pode ser simplesmente fazer uma cópia da documentação financeira que é o objetivo chave para um atacante. O estágio final é a limpeza. Em muitos casos, um atacante não deseja que a organização saiba que foi explorada. No caso de espionagem corporativa, por exemplo, quanto mais tempo uma empresa está desavisada de que seu competidor tem acesso à sua base de clientes, mais valiosa é a informação para o atacante.

Quais medidas as companhias devem adotar para ter o mínimo de impacto em um ataque cibernético? O que elas deveriam fazer de forma ideal? 

No mínimo, as empresas deveriam desejar reduzir a superfície de ataque. Sempre existirão vulnerabilidades em uma organização e não há uma maneira de garantir a segurança em toda a linha. Mas, limitar a exposição a ataques significa que as organizações são capazes de lidar muito melhor com as consequências de um ataque bem-sucedido que comprometa parte de sua infraestrutura. A segregação da rede é crítica, então é importante que aplicações externas e serviços, tais como websites, não estejam hospedados no mesmo ambiente com informações sensíveis, bem como garantir que os controles de acesso estão funcionando de forma que, apenas o que é necessário, seja acessado pelos responsáveis. Por exemplo, não é normal um membro da equipe técnica requerer acesso à área de recursos humanos, da mesma forma que um website não precisa estar hospedado dentro da mesma rede como um banco de de dados cliente. Idealmente, no entanto, uma vez que cada seção está segregada, elas devem ser revistas frequentemente para garantir de que estão seguindo as melhores práticas. Softwares deveriam estar atualizado e com os patches de segurança, serviços que não são necessários devem ser desabilitados, logs devem ser revisados para garantir que não aja comprometimento da rede, se o ataque foi detectado na primeira oportunidade e o dano foi limitado, toda a infraestrutura deve ser auditada para garantir que está configurada apropriadamente e não representa um risco para o negócio.

O ataque à TalkTalk (ataque que deu acesso a dados de 4 milhões de clientes da operadora britânica TalkTalk) mudou a maneira como as companhias abordam a segurança? De que forma essas medidas são suficientes? 

Na indústria de tecnologia da informação, o ataque à TalkTalk não criou grandes reviravoltas. Não é uma ocorrência incomum grandes organizações serem atacadas. Sites como o pastebin estão carregados de dados dos clientes, incluindo cartões de crédito, CPF e detalhes pessoais. Mas, se comparados com o número de outros vazamentos notórios dos últimos anos, tais como o dump de contas do “Ashley Maddison”, a mídia focou na gravidade da questão e colocou o ataque no centro das notícias. A pressão do público para proteger suas informações pessoais dos atacantes nunca foi tão grande, e as companhias estão reconhecendo que não é apenas um caso de estar bem com o Gabinete do Comissário de Informação (ICO - Information Commissioner's Office), com o qual precisam lidar, mas com uma massa de danos de reputação e um controle maior da organização. As práticas da segurança da informação estão gradualmente movendo-se do lugar de conformidade aos padrões tais como Cyber Essentials e PCI-DSS, entre outros, para a proteção de fato das informações pessoais e da propriedade intelectual. Não é razoável esperar que cada organização dobre sua verba de segurança e resolva cada problema ocorrido nos últimos meses, mas o reconhecimento do quão importante a segurança da informação tornou-se precisa ser mantido para que as empresas gradualmente melhorem seus padrões de segurança.



"Calcular riscos é um termo geralmente usado para descrever o trabalho sobre o que deve receber o foco de segurança e o que não deve (...) Pode-se  aplicar a seguinte equação: RISCO = CUSTO x PROBABILIDADE. Onde o custo é o que o negócio irá perder em caso de um ataque bem-sucedido e a probabilidade é a chance de um ataque ser bem-sucedido." 


Como os hackers podem se adaptar às futuras mudanças na defesa da rede? Existe alguma maneira de antever qual seria a próxima ameaça ou área de preocupação? 

É seguro dizer que a segurança da informação sempre será uma participante crítica nas ameaças enfrentadas por qualquer negócio. Quanto maior a segurança, mais avançados tornam-se os métodos de driblar essa segurança. Predominantemente, a segurança é tratada como um processo reativo: assim que um ataque ocorre, uma mitigação é encontrada para se defender. No entanto, medidas proativas estão sendo desenvolvidas para salvaguardar as empresas contra a próxima geração de ciberataques. Uma área que se mantém estacionada é a de pessoas. A habilidade de um atacante se infiltrar na infraestrutura através de suborno, coerção, trapaça e qualquer outra forma de manipulação sempre esteve presente e os métodos permanecem basicamente os mesmos. Em termos de avanços tecnológicos é muito difícil prever a próxima geração de ameaças cibernéticas. Grupos em países como China e Rússia interessados em roubar propriedade intelectual são bem conhecidos, e podem, talvez, ser considerados a vanguarda da guerra cibernética. A maneira como eles operam sugere muito sobre como as próximas ameaças corporativas serão. A batalha já não se resumirá à interrupção dos negócios de uma empresa ou no roubo de informações de cartão de crédito do cliente, em vez disso a batalha será para proteger a própria organização de ser copiada por um terceiro que investiu em espionagem em vez de Pesquisa e Desenvolvimento.

Convencer gerentes sêniores a investir em iniciativas de Revenue Assurance é um desafio no setor de fraude em telecom e dos profissionais de RA (Regulatory Affairs). Em sua opinicão como o gerenciamento pode ser persuadido a investir e a colocar todo o peso nisso? 

É fácil da perspectiva de alguém que a responsabilidade primária é a segurança garantir a suposição de que isso é a coisa mais importante a se investir em um negócio, e que um equilíbrio deve ser mantido. É ilógico, por exemplo, gastar £250 mil em uma solução de segurança para proteger os ativos que valem um total de £100 mil. Calcular riscos é um termo geralmente usado para descrever o trabalho sobre o que deve receber o foco de segurança e o que não deve, e uma maneira de convencer gerentes sêniores é aplicar a seguinte equação: RISCO = CUSTO x PROBABILIDADE. Onde o custo é o que o negócio irá perder em caso de um ataque bem-sucedido e a probabilidade é a chance de um ataque ser bem-sucedido. Se o risco for maior do que o preço para mitiga-lo, então a solução é financeiramente benéfica.

Se você tivesse um conselho para companhias de telecomunicações para implementar ou trabalhar nos próximos anos, qual seria? 

Consciência. Segurança não pode ser um produto comprado e colocado em frente de um serviço como uma barreira a protegê-lo, Ao contrário, precisa ser uma parte intrínseca de cada produto ou serviço. A sensibilização para a segurança significa que as despesas gerais serão reduzidas, e a segurança será melhorada. Além do mais, o treinamento em segurança para todos os funcionários deve ser dado para tornar a segurança uma parte verdadeiramente intrínseca à companhia.

 O que você espera da conferência Telecoms Fraud & Revenue Assurance? 

Eu espero ter a oportunidade não apenas de apresentar uma maneira de como os atacantes enxergam o negócio, mas de abrir um canal de comunicação entre as pessoas dentro de um negócio, e pessoas que veem isso de um ângulo diferente. Eu posso oferecer uma perspectiva de terceiros para um negócio e oferecer um olhar especialista sobre onde as ameaças estão. Mas o que eu acho que é mais importante é o fórum para discutir quais são as verdadeiras questões em segurança da informação que estamos de fato envolvidos.