Blog da ESR

Já te falamos há algum tempo sobre os principais riscos da segurança da informação para empresas, lembra? Com os constantes desenvolvimentos da tecnologia e usos sofisticados de ferramentas por parte dos criminosos digitais, esse é um assunto que continua em alta!  Abaixo você fica por dentro sobre quais são as principais tendências de cibersegurança para 2022, para preservar seus dados e de seus clientes.  O Cenário no qual a cibersegurança está inserido em 2022 Com a pandemia da Covid-19, a adoção do trabalho remoto ou híbrido e o avanço em larga escala de múltiplas tecnologias, cresceram também as vulnerabilidades digitais individuais ou organizacionais.  Em um cenário inédito, muitos funcionários e usuários se viram sem conhecimento digital adequado e, por isso, ficaram mais expostos aos golpes e crimes variados. A exemplo disso, uma pesquisa realizada pela PSafe, uma das principais empresas de segurança digital da América Latina, identificou que o número de credenciais vazadas durante os primeiros seis meses de 2020 foi de mais de 4,6 bilhões. O que representa um aumento de 387% em comparação com o todo o ano de 2019. Além disso, o estudo divulgou que em janeiro, fevereiro e setembro de 2021 cerca 600 milhões de dados foram vazados em três grandes ataques cibernéticos no Brasil.  Outras 44,5 milhões de tentativas de estelionato virtual ocorreram e houve 41 milhões de bloqueios de arquivos programados para invadir redes das empresas e roubar ou sequestrar dados. Ou seja, se você ainda não está por dentro do que o mercado espera para a cibersegurança em 2022, essa é a leitura essencial do dia!  Tendências em Cibersegurança para 2022 1) Ransomware ainda é motivo de alerta!  Esse risco para a segurança da informação organizacional permanece como uma das tendências em 2022.  De acordo com um estudo do ‘2021 Ransomware Study’, do IDC, cerca de 37% de empresas ao redor do mundo disseram ter sofrido esse tipo de ataque no último ano.   É por meio dessa instabilidade que diversos documentos acessíveis e armazenados em nuvem podem ser infectados, causando grandes prejuízos para as instituições. O mercado entende que esse tipo de ataque não só permanecerá entre a rotina das corporações, como terá crescimento – uma vez que quase tudo foi adaptado para existir no formato digital durante o período 2020-2021.  A principal dica para se evitar que essa seja uma realidade no seu negócio é instruir e educar os funcionários sobre o uso consciente de conteúdo digital. Dessa forma, há a possibilidade de se evitar que eles caiam no conhecido “phishing”.  2) Demanda por profissionais de cibersegurança  Assim como as soluções digitais se tornam mais frequentes e as sofisticações de crimes virtuais também cresceram, era de se esperar que a demanda por profissionais especializados em deter tais ameaças fosse uma das tendências de cibersegurança para 2022.  Essa é uma profissão que requer atualizações constantes e possibilita atuações diversificadas. Uma das formas de se capacitar sobre o assunto e se destacar na área é por meio de webinars gratuitos, como o realizado entre a Escola Superior de Redes (ESR), o Centro de Atendimento a Incidentes de Segurança (CAIS) da RNP e o Instituto SANS. Neste conteúdo são elencadas as maiores necessidades das equipes profissionais nesse contexto, além de ser abordado como os novos cursos do SANS, agora disponíveis no Brasil por meio da ESR, podem ser uma peça importante na construção das carreiras e dos times de segurança.  Além disso, na ESR existem diversos treinamentos focados exatamente nessa área que podem transformar a sua carreira. Confira alguns abaixo:  Cibersegurança EaD (parceria oficial Ascend): Este treinamento tem como objetivo melhorar seu conhecimento sobre análise e interpretação de dados, detecção de ameaças, gerenciamento de vulnerabilidades, resposta a incidentes e arquitetura de segurança. Formação em Segurança Cibernética: Curso para formação de profissionais em segurança de redes e sistemas. >>> Outros 25 treinamentos compõem a trilha de conhecimento de Cibersegurança da ESR. Escolha o seu favorito e comece a sua próxima especialização agora! <<< Análise Forense: Seja um investigador capaz de coletar evidências digitais e conduzir uma análise em sistemas comprometidos. FOR608 – Resposta a incidentes de classe empresarial e busca por ameaças (18 CPEs): O curso de Resposta à incidentes de classe empresarial e busca por ameaças é concentrado no desenvolvimento de habilidades e técnicas necessárias para responder a invasões em grande escala de diversas redes empresariais. >>> Outros 37 treinamentos compõem a trilha de conhecimento da parceria entre ESR e o gigante do mercado SANS. Escolha o seu favorito e comece a sua próxima especialização agora! <<< 3) Efeitos da LGPD no Brasil Espera-se que com o primeiro ciclo de fiscalização da LGPD, que teve início em janeiro, os dispositivos da lei auxiliem à potencialização de uma cibersegurança mais eficiente.  Por isso, além de ser uma tendência do segmento para os próximos meses, essa é também uma obrigação das corporações – a de se adequar às solicitações da norma.  O objetivo desse processo é que usuários e instituições respaldem sua relação na transparência e segurança de dados.  Para isso, a Lei Geral de Proteção de Dados, que entrou em vigor em agosto de 2021, se vale de diversos dispositivos normativos que, além de promoverem o uso de dados de forma consciente e com objetivos esclarecidos, servem também para a segurança da informação de usuários consumidores e prestadores de serviços.  O principal objetivo desse ordenamento é dispor sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, para proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Ao decorrer dos próximos meses, portanto, é essencial que as empresas estejam de acordo com a regulamentação e, assim, evitem sanções.  Na ESR, o curso “LGPD na Prática” oferece, de forma dinâmica e objetiva, ferramentas e o conhecimento necessário para essa adequação. É hora de liderar essas adaptações da LGPD na sua organização. 4) Utilização de pautas do dia a dia para phishing  Como uma das tendências de cibersegurança para 2022 está a utilização de contextos do mundo factível, como Covid-19 ou outros tipos de emergências, para criação de conteúdos muito similares aos legítimos, que contenham links perigosos.  A partir disso, o usuário será capturado pelo phishing para os mais variados usos – roubo de dados, informações confidenciais, senhas e etc.  Para conter essa intimidação há sempre a possibilidade de capacitação do time profissional, para que ele reconheça quando estiver diante dessa ferramenta maliciosa.  5) Outras ameaças à vista: cryptojacking Embora menos agressivo que o ransomware, esse é um tipo de ataque que também chega aos computadores organizacionais ou pessoais por meio de phishing.  O objetivo dessa forma recente de malware é se ocultar em dispositivos (móveis ou físicos) para roubar recursos do aparelho infectado, a fim de minerar moedas online valiosas, como Bitcoin, sem gastar com equipamento para isso. Diferentemente de outras ameaças, essa é uma das que permanece oculta por mais tempo, de forma quase imperceptível, tornando imensurável o custo da invasão.  Entretanto existem alguns sinais de infecção: computador mais lento, que usa a ventoinha mais do que o normal e uma conta de energia mais alta. Essa é uma das tendências da cibersegurança em 2022 uma vez que que criptomoedas também encontram-se valorizadas no mercado.  De acordo com a SonicWall, houve um aumento de 21% no cryptojacking no terceiro trimestre de 2021, além de uma elevação de 461% em toda a Europa. 6) Inteligência Artificial utilizada para sofisticação de crimes  O deepfake, técnica de síntese de imagens ou sons humanos baseada em leituras de inteligência artificial, já é bastante conhecido no mundo dos memes, comédias e de sátira política.  Provavelmente você já viu algum vídeo com o rosto e vozes de personalidades conhecidas dizendo algo que claramente não teriam dito na vida offline.  A tendência de cibersegurança de 2022 relacionada a esse assunto aborda a preocupação com a utilização dessa ferramenta para a prática de crimes que visem burlar acessos biométricos, por exemplo. Alguns riscos esperados com essa ferramenta:  Uso de deepfake para burlar acessos de biometria Uso das vozes dos CEOs das empresas para solicitar ordem de transferências financeira ou de dados aos funcionários (que não percebem se tratar de uma voz falsa) Uso de imagens falsas para criação de roteiros embaraçosos com o objetivo de chantagear quem estiver no conteúdo audiovisual.  Segundo dados da startup Deeptrace, essas peças, as deepfake, cresceram 330% de outubro de 2019 a junho de 2020.  Portanto, é um assunto para se estar atento!  7) Reuniões online deverão seguir uma conduta de segurança  O trabalho remoto ou híbrido tende a se tornar o modelo adotado por boa parte das corporações.  Nesse contexto, o uso de ferramentas variadas para reuniões online continuará no escopo de muitos funcionários e gestores.  É aqui que uma nova ameaça precisa ser contida – invasões desses canais de comunicação por criminosos que pretendem ouvir os dados confidenciais dos encontros ou terem acesso a documentos e apresentações da empresa.  Para não cair nessa armadilha algumas boas práticas podem ser seguidas, como: a limpa na lista de convites, proteção das videochamadas com senha ou permitir a entrada dos membros manualmente, por exemplo.  8) Atenção para o 5G e IoT Com a popularidade da Internet das Coisas (IoT) e as promessas de possibilidade de integração do 5G, os cibercriminosos têm também um novo ambiente para atacarem a sua infraestrutura. Esses dispositivos em sua maioria não possuem proteção adequada ou que seja capaz de barrar ferramentas maliciosas.  Entretanto, espera-se que a partir do desenvolvimento dessa tecnologia, desenvolva-se também a atualização de ferramentas que protejam e detectem riscos para as redes interligadas.  9) O trabalho híbrido veio para ficar  Nesse contexto em que as corporações não serão capazes de monitorar o acessos de seus funcionários, ferramentas para expandir essa avaliação e cuidado serão mais necessárias do que em qualquer outra época.  Assim, como tendências de cibersegurança em 2022 estão:  Estudo desses acessos simultâneos realizados fora das empresas e planejamento de gestão de risco. Capacitação da equipe profissional para que os funcionários não sejam reféns de crimes cibernéticos.  10) A crescente do seguro cibernético  Essa é uma tendência que indica também uma oportunidade de mercado. Com a maturidade dos gestores, empresas e profissionais acerca do assunto cibersegurança a procura por seguros desse segmento torna-se comum.  Dessa forma, as empresas que oferecem o serviço devem, cada vez mais, impor condições de cobertura mais rígidas.  __________________________________________________________ Para todas essas tendências de cibersegurança em 2022, seja para potencializar o uso em rede ou se precaver os ataques criminosos, uma ação se faz essencial no seu negócio: capacitação profissional.  Na ESR você e seus funcionários podem caminhar por uma trilha de conhecimentos sobre o tema, realizada em parceria com uma das empresas mais conceituadas do ramo no mundo – o SANS.  Descubra um universo de treinamentos sobre cibersegurança, aqui!  Referências:  Linkadas https://cio.com.br/noticias/7-tendencias-quentes-de-seguranca-cibernetica-e-duas-esfriando/ https://www.binarionet.com.br/blog-tendencias-e-desafios-da-ciberseguranca-para-2022/ https://canaltech.com.br/seguranca/veja-quais-sao-as-10-tendencias-de-ciberseguranca-para-2022-206614/

Pensar no sucesso de um negócio nos dias de hoje está diretamente atrelado ao desempenho digital dessa organização. Somente no Brasil, em 2020, de acordo com o Índice de Transformação Digital da Dell Technologies 2020 (DT Index 2020), mais de 85% das empresas decidiram investir em alguma iniciativa relacionada à transformação digital. Nesse contexto, vários termos ganharam espaço no dia a dia das corporações, de forma exponencial, como é o caso da segurança da informação e os seus riscos.  Para entender melhor sobre esse assunto, você irá encontrar no conteúdo abaixo: Para além do contexto histórico dos últimos tempos e da pandemia que forçou uma aceleração da vida em nuvem, sabe-se que o empenho institucional para um bom posicionamento virtual, que priorizasse a relação com cliente, a usabilidade e, principalmente, a segurança dos seus interlocutores (empresa e usuário), já era uma tendência no meio corporativo. Inclusive, diversas iniciativas têm, há algum tempo, estudado esse novo universo, a fim de criar alternativas que proporcionem uma vida em rede mais estável, equilibrada e segura. É o caso da Identidade Digital Descentralizada, tema de um dos últimos Webinars produzidos pela Escola Superior de Redes. De forma paralela, o Direito enquanto resultado das relações sociais e de suas constantes evoluções, além de também exercer papel ordenador da mesma (FIGUEIREDO, 2016), buscou se adaptar às novas demandas do mundo globalizado, por meio de ordenamentos jurídicos. Por exemplo, no Brasil, a legislação que trata sobre a vida humana em rede, ou seja, a do usuário – pessoa física ou jurídica -, é bem recente e ainda pouco explorada. A Lei Geral de Proteção de Dados, LGPD (Lei n. 13.709, de 14 de agosto de 2018), foi aprovada em 2018 e entraria em vigor a partir de 14 de agosto de 2020. Entretanto, houve pedido de adiamento da vigência da lei para maio de 2021 e o tortuoso período de vacatio legis permaneceu até a previsão de vigor dos dispositivos para agosto de 2021.  Portanto, de forma natural ou forçada por contextos variados, a preocupação com a implementação sólida de uma empresa no mundo digital, além da avaliação criteriosa sobre os processos de TI das instituições, são os assuntos do momento no segmento da tecnologia.  É essencial, dessa maneira, estar atualizado sobre o tema cibersegurança, além de entender como aplicá-lo corretamente ao seu negócio.  Acompanhe abaixo o guia sobre Segurança da Informação, proposto por quem entende do assunto há quase duas décadas. O que é segurança da informação para que serve? Para falar dos riscos da segurança da informação ou da segurança cibernética, é preciso compreender o seu conceito. De maneira geral, a segurança da informação é o conjunto de ferramentas e estratégias digitais que garantem a segurança dos dados de uma empresa no mundo virtual.  Portanto, são as maneiras ou ferramentas encontradas para minimizar os riscos de ameaças digitais, além de garantir a plena vida dos dados de uma organização sem que estes sofram influências externas, como vírus, invasões e outras diferentes formas de ataques de cibercriminosos Para isso, ou seja, para uma boa segurança da informação e um resguardo de dados eficiente, tais articulações se valem de alguns pilares essenciais que você confere logo abaixo.  Quais são os pilares da segurança da informação? Quando se fala em segurança da informação e como evitar os riscos de desestabilização da cibersegurança, é preciso pensar que ela está associada à confidencialidade como pilar desenvolvedor. De forma prática, é a garantia de que agentes sem autorização não terão acesso aos dados institucionais. Significa dizer que os dados devem estar disponíveis de acordo com a necessidade. Sempre que ela existir, deve ser possível acessá-los. Funciona como um tipo certificação de que uma informação uma vez armazenada não poderá sofrer quaisquer tipos de alteração; O último, mas não menos importante pilar que envolve a cibersegurança é a capacidade de assegurar que informação é verdadeira. Assegurar que determinada informação pertence a A ou B, e determinar uma autoria específica, provando que o objeto avaliado não tenha passado por alguma alteração indevida.  Quais os riscos de segurança da informação para as empresas? Não pensar de forma estratégica e cautelosa em segurança cibernética pode deixar sua empresa vulnerável a diversos riscos. Abaixo, elencamos 10 riscos comuns para a segurança da informação de empresas.  1) Roubo de dados Visto que os dados são os principais insumos do meio digital, seja quando partem do usuário ou, da própria empresa, são também um dos principais alvos de ataques cibernéticos.  Quando uma empresa estabelece operações conectadas aos seus serviços de TI e, aliado a isso, implementa tecnologia aos processos internos, o grau de informações que fica retido virtualmente é muito expressivo.  Por isso, não é raro encontrar inconsistências nessas redes, como tentativas não autorizadas de acesso a recursos internos, contas comprometidas, tentativa de clonagens de dados, o seu desvio, entre outras atividades.  Estar com o processo de segurança da informação defasado pode ocasionar esse e os demais riscos que você verá abaixo.  2) Espionagem industrial  A espionagem industrial é uma prática duvidosa de mercado, utilizada para observação do concorrente e, dessa forma, obtenção de vantagens comerciais.  Resumidamente, é uma atividade que visa a investigação de alguma informação da empresa, seja um plano de negócios específico, uma estratégia personalizada de produto, uma fórmula, enfim, informações que sirvam de ativo para o concorrente.  Esse é um dos riscos de cibersegurança que pode envolver pessoas insatisfeitas com o local de trabalho – passando informações da empresa para terceiros; ameaça interna na figura de um funcionário recém-contratado, que já tinha o intuito investigativo; ou até mesmo pode ocorrer por meio de táticas de engenharia social capazes de enganar um funcionário e fazê-lo divulgar dados internos sigilosos.  3) Hackers de senhas Por meio da verificação em um hash criptográfico e do método tentativa e erro, esse ataque cibernético é um dos mais executados e um dos mais simples.  A quebra da senha pode provocar sérios prejuízos para as organizações, visto que, uma vez dentro do sistema das mesmas, os cibercriminosos podem roubar os dados armazenados e mexer nas configurações dos servidores, por exemplo.  4) Funcionários não especializados / erros humanos Esse é o risco de cibersegurança que deve ser observado bem de perto, pois é o que gera, na maior parte das vezes, danos quase irreversíveis para as empresas.  Com certa frequência as corporações não se preocupam em instruir os funcionários acerca da segurança da informação; não implementam uma política bem definida sobre o tema e não demonstram, na prática, para o corpo de trabalhadores os perigos que ações cotidianas, como cliques em links duvidosos, notebooks, smartphones ou tablets extraviados, podem impactar na rotina individual e coletiva da empresa.  A organização que se abstém de ensinar sobre os passos básicos de uma vida digital segura está refém de eventuais riscos da segurança da informação.  5) Softwares vulneráveis Contar com uma infraestrutura digital atualizada é um dos pontos essenciais para se evitar os riscos de segurança da informação.  Uma vez que softwares estejam defasados, os mesmos irão possibilitar erros de código e brechas no sistema, prejudicando a produtividade do usuário e potencializando os ataques cibernéticos.  Implementar um roteiro ágil de boas práticas de atualização dos sistemas da empresa é o primeiro passo para evitar esse tipo de risco.  6) Ataques de ransomware Esse é um dos riscos de segurança da informação que requer mais atenção, devido ao potencial de devastação que pode causar nas empresas.  Por meio de um malware, que é qualquer software intencionalmente feito para causar danos a um computador, servidor, cliente, ou a uma rede de computadores, os cibercriminosos podem capturar informações e infectar diversos documentos acessíveis. Depois disso, a prática mais comum é a que o responsável pelo ataque chantageia a empresa atacada, pedindo dinheiro em troca de uma chave de (re)acesso aos seus documentos.  7) Phishing Como o nome indica, neste risco de segurança da informação o agente mal intencionado irá se passar por uma pessoa ou entidade com autoridade, com o objetivo de disparar e-mails. Essas peças eletrônicas se valerão da metodologia “phishing” para captar a atenção do usuário e, dessa maneira, conseguir distribuir anexos, além de links maliciosos, capazes de executar diversas funções indevidas nos servidores. Bem como a extração de informações de conta das vítimas e também de credenciais de login. 8) Ataques direcionado Demonstrando a evolução dos ataques cibernéticos e a necessidade de se pensar com mais cautela sobre o ambiente digital e a cibersegurança, o ataque direcionado é a prática de se estudar previamente uma empresa ou organização, conseguir seus dados, e utilizar essa informação de forma planejada, em direção a um alvo específico, com objetivos específicos. 9) Adware Muito ligado ao risco de segurança da informação que envolve o mau conhecimento dos perigos das redes pelos funcionários da empresa, está o Adware. Isso, pois esse tipo de risco requer que se haja o clique humano em um anúncio “infectado” por um malware.  A partir daí, os anúncios irão levar os usuários para outros sites maliciosos, abrir outras abas ou alterar a original de navegação. Esse é um dos riscos de segurança da informação mais populares e vistos quase em toda internet.  Como garantir segurança da informação para a sua empresa?  Existem várias maneiras de se implementar uma boa gestão de segurança da informação nas empresas e, assim, evitar os riscos acima citados.  Como exemplo, temos a rotina específica de atualizações de softwares, além de backup e de se contar com softwares de segurança. Entretanto, o ativo que melhor apresenta resultados para se baixar os riscos da segurança da informação, é a capacitação do time profissional sobre o assunto. Contar com colaboradores que estejam plenamente inseridos no universo digital e compreendam como a segurança cibernética é importante para o sucesso da empresa, passando a implementar hábitos de navegação mais conscientes e desempenhando ações virtuais com mais autonomia, pode ser um importante passo para desenvolver uma boa cultura digital na sua organização.  A Escola Superior de Redes desenvolveu uma trilha com vários treinamentos práticos para a área de segurança, que você pode ter acesso em um só clique.  Também é parceira com exclusividade no Brasil do SANS, principal instituto de cibersegurança do mundo, e entende que esse é um dos alicerces mais importantes para a construção de um ambiente virtual seguro para a sua empresa.  Com esse material, o interessado terá acesso a uma metodologia exclusiva, pensada na perspectiva de capacitar o aluno para agir preventivamente e tratar os incidentes quando não for possível evitá-los. ____________________________________________________________________ Pensar nos riscos de segurança da informação, cibersegurança ou segurança cibernética, é estar um passo à frente sobre uma realidade que não volta atrás: aquela totalmente conectada.  Continue se aperfeiçoando no assunto junto com a gente: confira a série de webinars realizada pela ESR recentemente, com 7 episódios, intitulada Construindo um Software Seguro.