SEgurAnçA dA InformAção E gEStão dE rISco                                             Ano 6          número 10   2011     ...
w w w. riS k r e p o r t.C o m . B r                                                                                      ...
Índice SPOT                                                            FOCUS     6 Uma nova Segurança                     ...
Spot                                                                                 * Gijo Mathew é VP de Marketing de   ...
Nossa estratégia é pensar em como oferecerserviços de segurança com foco no processode negóciosCom o tempo, será mais fáci...
Overview        Segurança da Informação        em três dimensões                      A Check Point apresenta ao mercado o...
Proteção contrabrechas internas            A CA anuncia a adição de novos recursos     endereça as diretrizes PCI-DSS ao g...
Portfólio      Firewalls de                  Autenticação                 Dados críticos                RIC exige      pró...
TrendCloud versus Cloud Com benefícios tangíveis, a                                         dade e redução de custos, são ...
Vantagens do cloud                                                                        em nuvem e virtualização. tudo q...
Trend  nwart, responsável pela área de Segurança da compugraf.            processos de aquisição de ambientes em nuvem. Ac...
kwarup.comTABU SOBRE E-COMMERCE      “Vai demorar para as pessoas      comprarem pela Internet.”TABU SOBRE CLOUD COMPUTING...
Financial           A nova fronteira           da autenticação                               C           Especia istas    ...
proteção para as transações presenciais                                                                  “O RIC é uma form...
Financial                                                                     “O importante é a proteção da               ...
2 011•	 Exposição de Soluções, Produtos e Serviços•	 Painéis de debates com transmissão ao vivo e interatividade•	 Apresen...
Focus A especialização do cibercrime Novos dispositivos e redes sociais tornam os ataques vi rtuais mais específicos e sof...
MaliciousNetworking.org                                C&C             Phish           Spam          Exploit  Country     ...
FocusO outro lado dasredes sociais         As mídias sociais estão cada         vez mais presentes no mundo         corpor...
“As pessoas têm uma fa  lsa                                                           sensação de impunidade.             ...
Focus  PCI na pauta do  e-commerce  Com a explosão dos negócios via Internet, adoção do PCI entra em regime de  urgência. ...
Riscossob controleO conceito de GRC vem ganhando notoriedade entre os gestores mas ainda precisa                          ...
Focus Muito mais do que nomes e números Fazer a gestão de identidade virou condição fundamenta para as empresas           ...
Entre nessaProgramação!próximos temas:Cloud ComputingRedes Sociais: Controlar o IncontrolávelProntuário EletrônicoVarejo D...
Decision Report
Decision Report
Decision Report
Decision Report
Decision Report
Decision Report
Decision Report
Decision Report
Decision Report
Decision Report
Decision Report
Decision Report
Próximos SlideShares
Carregando em…5
×

Decision Report

963 visualizações

Publicada em

Publicada em: Tecnologia, Turismo
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
963
No SlideShare
0
A partir de incorporações
0
Número de incorporações
4
Ações
Compartilhamentos
0
Downloads
7
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Decision Report

  1. 1. SEgurAnçA dA InformAção E gEStão dE rISco Ano 6 número 10 2011 Em busca de um padrão Bancos avaliam tendências em autenticação Cibercrime Ataques estão mais específicos Security Leaders Premiação valoriza os profissionais de SI Cloud versus Cloud Embates da computação em nuvem Jorge Krug, superintendente executivo da Unidade de Segurança de TI do Banrisul
  2. 2. w w w. riS k r e p o r t.C o m . B r Editorial março 2011 Direção e eDição geral Graça Sermoudgsermoud@conteudoeditorial.com.br reportagem Léia Machado Segurança 4.0lmachado@conteudoeditorial.com.br Ao conSultAr o EdItorIAl dA PrImEIrA EdIção dE Risk RepoRt, em 2007, ratifiquei o quanto a Segurança da Informação evoluiu nesses quatro anos. Vista David Plassa dplassa@conteudoeditorial.com.br como um mal necessário, a SI era considerada um custo pelos executivos fora da área de ColaBoraDor tI e entrave pelos usuários. Ao líder de Segurança da Informação, na maioria das vezes Júlia Zillig subordinado ao cIo, restava estabelecer regras e monitorá-las. de lá para cá, o cenário CorreSpoNDeNteS vem mudando drasticamente. Alda Campos, Europa Gilda Furiati, Brasília Em primeiro lugar, os ataques tornaram-se mais sofisticados, exigindo atenção redo- Vera Dantas, Rio de Janeiro brada do board da companhia e não só dos mais envolvidos com tecnologia. Segundo, o DeSigN fenômeno das redes sociais transformou as empresas, atraindo uma legião de usuários, Rafael Lopes Lisboa mas aumentando consideravelmente as vulnerabilidades. Qual a empresa que pode ne- FotograFia gligenciar, hoje, a questão da Segurança? Qual a companhia que pode subestimar os Izilda França ataques ou considerá-los apenas uma questão de tecnologia? Direção De marketiNg Segurança hoje é comportamento, é cultura, é compartilhamento, é globalização e, em mui- Sérgio Sermoudssermoud@conteudoeditorial.com.br tos casos, diferencial competitivo. Isso elevou os cSos e os gerentes envolvidos diretamente eXeCUtiVa De CoNta com os riscos a um patamar estratégico dentro das corporações. risk report acompanha Débora Garbosa essa trajetória e tem por missão mostrar a evolução da questão sob todos os ângulos. de um dgarbosa@conteudoeditorial.com.br lado as empresas e os desafios da nova visão holística da Segurança. de outro, a evolução CoorDeNaDoreS De eVeNtoS dos profissionais responsáveis pela condução das políticas e a implementação das soluções. Gabriela Makhoulgmakhoul@conteudoeditorial.com.br fechando as pontas, está o mercado fornecedor, que também evoluiu no mesmo ritmo, Marcos Carvalho oferecendo uma miríade de produtos e serviços aprimorados para a nova demanda.mcarvalho@conteudoeditorial.com.br resta a clássica pergunta: SI já é vista como investimento? Essa é a verdadeira Seguran- ça 4.0? Ao acompanhar as matérias desta edição, é fato que a segurança vai além de ferra- mentas e serviços. As soluções e a infraestrutura necessárias para garantir que os ambien- tes estejam cada vez mais seguros sempre representarão um custo para as empresas e nãoA revista risk report é uma publica- há como mudar isso. Por outro lado, ao aliar aos produtos, políticas e comportamentosção da Conteúdo Editorial, uma em- adequados ao novo cenário de vulnerabilidades, as empresas passam a enxergar Segurançapresa de produtos e serviços editoriaisna área de Tecnologia da Informação como fator estratégico. E essa é a grande transformação que estamos vendo agora.e Comunicação. Saiba mais sobre a Educar, mais do que proibir. monitorar, mais do que cercear. compartilhar, mais do queRisk Report no www.riskreport.com.br.Mais sobre a Conteúdo Editorial em isolar. Enfim, saem de cena antigas expressões e entra um vocabulário mais condizentew w w.conteudo e ditorial.com.b r com os novos tempos, em que as mídias sociais disseminam a informação para além dasFale CoNoSCo: (11) 5049.0202 empresas e da própria internet. Se olharmos o termo Segurança da Informação, vemos que o cerne está exatamente no que hoje se tornou o bem mais precioso das empresas, a Informação. Em nome dela, a Segurança deve e merece ser alçada a uma posição de destaque e vista como elo e não como ruptura. o evento Security leaders, promovido pela primeira vez em novembro do ano passa- do, retratou esse quadro. Entretanto, iremos acompanhar, ao longo do ano, a evolução e as novas cores desse cenário.Alameda dos Maracatins, 992, Cj 71A confiram nesta edição os principais temas debatidos no 04089-001 São Paulo SP evento e acompanhe conosco essa trajetória. o Security Tel/Fax: 11-5049-0202 www.conteudoeditorial.com.br leaders 2011 irá coroar esse trabalho e você faz parte dele. Participe! Graça Sermoud gsermoud@conteudoeditorial.com.br rISK report 3
  3. 3. Índice SPOT FOCUS 6 Uma nova Segurança 20 A especialização do Em entrevista à Risk Report, Gijo Mathew, VP de Marketing cibercrime de Produtos de Segurança da CA Technologies, fala sobre novas mídias como as redes a visão de SI mais voltada para processos de negócios sociais e os novos dispositivos móveis tornam os ataques virtu- ais cada vez mais sofisticados OVERVIEW 22 O outro lado das redes sociais 8 Segurança da Informação em três dimensões Mesmo com o avanço das novas mídias presentes Check Point apresenta solução baseada na Arquitetura no mundo corporativo, ainda há questões como de Software Blade segurança e treinamento de funcionários para lidar com a informação 9 Proteção contra brechas internas CA adiciona novos recursos e funcionalidades à 24 PCI na pauta do e-commerce ferramenta Access Control A adoção do padrão PCI entra em regime de urgên- cia diante do avanço dos negócios via Web. 2012 9 Trend Micro adquire Mobile Armor é o deadline brasileiro Expandir o portfólio é o objetivo da aquisição da especialista em criptografia de dados 25 Riscos sob controle o conceito GRC vem ganhando notoriedade no PORTFÓLIO mercado, mas o amadurecimento e cultura organi- zacional são barreiras que precisam ser vencidas 10 ConhEçA AS noVIDADES Do MERCADo DE SEGURAnçA DA InFoRMAção 27 Muito mais do que nomes e números o gerenciamento de identidade virou condição fundamental para o aprimoramento de proces- TREND sos, definição de perfis e redução de custos 12 Cloud versus Cloud PREMIAÇÃO A computação em nuvem vem quebrando paradigmas. Porém, seu conceito precisa superar o principal obs- 28 Security Leaders táculo, a Segurança da Informação homenageia CSOs o Congresso Security Leaders 2010 premiou FINANCIAL os profissionais de Se- gurança da Informação 16 A nova fronteira da autenticação e os projetos que mais não há um padrão de segurança para as transações se destacaram ao longo financeiras. De acordo com especialistas, existe um do ano conjunto de tecnologias e normas para o setor 32 Tecnologia: Desvendando a segurança Com o avanço tecnológico, o desafio é viabilizar a rotina de milhões de “weblovers” para estabelecer atos prudentes no ambiente pessoal e profissional 4 rISK report
  4. 4. Spot * Gijo Mathew é VP de Marketing de Produtos de Segurança Uma nova segurança Especi l sta da CA T ai echnologies fa a l o primeiro passo é ter uma boa definição do que é Segurança. Há dois tipos: segurança em processos de negócio e segurança sobre a vi são de Segurança mai vo tada s l em infraestrutura. Segurança em infraestrutura é um custo, cla- para processos de negócios e menos para ro, já que é preciso proteger os sistemas, ter antivírus, todas as a infraestrutura - Por Graça Sermoud coisas necessárias para promover a defesa do ambiente. A preo- cupação é como fazer isso e reduzir custos. A outra parte da segu- rança tem a ver com processos de negócio, em ter as informações D necessárias aos usuários de forma segura, fornecer a informa- urante encontro de cSos promovido pela cA tech- ção certa, na hora certa. É essa parte da segurança que garante nologies em nova Iorque, no final do ano passado, a criação de novos serviços e a possibilidade de tirar vantagem o tema que dominou as conversas foi a nova visão de outros paradigmas, como as redes sociais. muitas empresas da Segurança em um cenário cada vez mais voltado querem usar redes sociais para negócios. como fazer isso sem para serviços. nesse contexto, a questão da Segurança começa a comprometer os dados? ser vista de uma forma diferenciada. Estamos diante de uma nova realidade para as empresas, isto é, Então, nessa nova visão de computação, as empresas preci- uma outra forma de consumir e oferecer tI e consequentemente sam pensar em termos de processos de negócio e menos em de Segurança. Essa maneira não representa apenas uma fronteira infraestrutura? para os fornecedores de tecnologia da Informação, mas também o que está acontecendo com o surgimento do cloud computing para os líderes de tI e Segurança, que passam a disponibilizar e é que a infraestrutura está perdendo importância. Se você gasta olhar a tecnologia em um novo formato. menos com segurança de infraestrutura, você pode focar mais mas de que Segurança estamos falando então? As empresas nos processos de negócio. com isso pode conectar seus aplica- estão preparadas para essa nova maneira de olhar a Seguran- tivos sem se preocupar tanto com a parte física do processo. A ça? Será que os líderes estão conscientes a mudança? A nova atenção passa a estar no SlA (Service licensing Agreement), forma pode, enfim, ajudar os cSos a mostrar que Segurança o que importa é acesso seguro aos dados, quando eu acessei e de é um investimento? quais parceiros são esses dados. o VP de marketing de Produtos de Segurança da cA technologies, gijo mathew, falou com exclusividade à risk report e comentou essas e outras questões relativas à adoção de tecnologia como serviço Acho que c oud l e ao desafio da gestão dos ambientes corporativos no novo cenário. computing pode Líderes de ti (Cios) e de segurança (Csos) falam sobre a ser uma grande grande dificuldade em mostrar que segurança não é um custo, mas sim investimento. Como convencer o setor financeiro das oportunidade de mudar empresas disso? Há como mudar essa visão? a visão de Segurança 6 rISK report
  5. 5. Nossa estratégia é pensar em como oferecerserviços de segurança com foco no processode negóciosCom o tempo, será mais fácil para o CSO mostrar que a se- Vamos falar do mercado de segurança. Hoje vemos for-gurança é importante para os negócios, para melhorar ou- necedores de produtos de segurança que sempre atuaramtros produtos e mercados? nesse segmento e vemos uma nova geração de provedoresAcho que cloud computing pode ser uma grande oportunidade de já oferecendo segurança de uma forma diferenciada. Vocêmudar a visão de Segurança. não tem a ver com o cSo somente. Ele acha que no futuro os produtos de segurança se tornarãonão é responsável só pela segurança e pela infraestrutura, ele é res- um serviço?ponsável pela segurança dos aplicativos compartilhados e por fazer a Estamos no meio de uma mudança, mas a maioria ainda pensa ainterface dos processos de negócio com o restante da companhia. segurança em termos de infraestrutura. A estratégia é pensar em como oferecer esses serviços de segurança com foco no processoMas os CSOs não costumam olhar mais para a infraestrutu- de negócios. E como a segurança muda esses processos. comora? Isso não é um problema? fazer isso de modo mais inteligente, mais rápido e mais barato?Antes, o nosso trabalho era proteger a infraestrutura. Hoje é E como oferecer soluções de modo mais prático às empresas? oproteger o ambiente computacional da empresa. os cSos co- que estamos fazendo é mostrar as características do nosso pro-meçam a entender que o importante é olhar para os processos duto mais que propagandear o produto em si. como cada umade negócios e como a segurança dos dados está ligada a isso. dessas características ajuda o cliente a aumentar a segurançacomo alterar/mexer nos dados pode afetar os negócios. um dos e reduzir seus custos. Será preciso integrar características defocos desse processo é o gerenciamento de identidade. Alguns diversos produtos para atender as necessidades de empresas eexecutivos já focam mais nos processos de negócios. Infraestru- governos e saber integrar esses produtos com sistemas de cloudtura está virando parte do setor de operações das empresas e o computing. Isso traz outra implicação: é melhor comprar oupessoal operacional lida com firewall e coisas do tipo. lidamos alugar uma solução em cloud e os produtos devem garantir amais com a administração e como ajudar os negócios a melho- segurança num ambiente computacional desse tipo.rarem e, aí sim, reduzir custos. mas você tem razão, 70% doscSos ainda pensam em infra-estrutura. Ainda do ponto de vista do fornecedor, é difícil integrar os programas quando acontecem muitas aquisições e é mais difícil ainda para os clientes entenderem isso. A CA Techno- logies vem fazendo várias aquisições na área de Segurança.É tarefa do CSO Como vocês estão resolvendo esse problema?manter a segurança e nós começamos a projetar a integração entre os produtos antesos negócios da maneira mesmo de adquirir a outra empresa. não é nosso interesse ad- quirir tecnologias muito divergentes. nós só compramos algoque a empresa quer sabendo que os produtos vão funcionar bem juntos. Procura- mos desenvolver uma “inteligência de integração”. o mais im-Você acha que é mais fácil para o CIO entender essa mudan- portante nesse processo é o compartilhamento de informaçõesça de visão da Segurança do que o próprio CSO? com o parceiro de aquisição e com isso unir produtos que ge-Eu acho que sim. E se eles entenderem isso, fica mais fácil a ado- rem valor para as empresas. com a computação em nuvem, ação de novas soluções para os negócios. E se eles não pensarem questão é a de entregar um serviço e não importa mais como elenisso, as mudanças acontecerão de qualquer jeito. Eu vou dar um funciona “atrás das cortinas”. nós gerenciamos todo esse pro-exemplo: estive numa companhia para implementar um sistema cesso “oculto” e garantimos que o cliente tenha o serviço dese-SAP e um dos diretores disse: eu não posso esperar outros oito jado. É assim que funcionam as redes de telefones celulares. Asmeses e nem mesmo havíamos falado com o cIo. É tarefa do empresas fazem melhorias dia a dia e o cliente não percebe. oscIo e do cSo pensar em como manter a segurança de dados e fa- clientes não devem fazer integração – não é know-how deles,zer com que os negócios sejam da maneira que a empresa quer. não é o trabalho deles. É o nosso. rISK report 7
  6. 6. Overview Segurança da Informação em três dimensões A Check Point apresenta ao mercado o Check Point R75, a última versão do conjunto de produtos para segurança de rede baseado na Arquitetura de Software Blade. A solução conta com os elementos da visão de Segurança 3D, combinando polí- ticas, pessoas e fiscalização. o conjunto de produtos apresenta quatro novos softwares bla- des para Controle de Aplicativo, Informação de Identidade, Pre- venção contra a Perda de Dados e Acesso Móvel. o controle de aplicativos proporciona uma combinação de tecnologia robusta de segurança, garantindo que os funcionários usem as ferra- mentas de Web 2.0 sem prejudicar a segurança da empresa. o novo blade inclui o UserCheck para envolver os funcioná- rios no processo de adaptação e permite personalizar as po- líticas de uso de aplicativos com base no nível de risco e nas necessidades de usuários. A Informação de Identidade é um software blade que permite gerenciar as políticas de segurança por usuários e grupos. Com ela, as empresas ganham controle sobre aplicativos e acesso por meio da criação de políticas precisas. “hoje, as empresas devem desenvolver um plano de seguran- ça que atende às necessidades corporativas enquanto reforçam a segurança de suas informações. A solução trabalha para isso”, diz Dorit Dor, vice-presidente de Produtos da Check Point. 8 rISK report
  7. 7. Proteção contrabrechas internas A CA anuncia a adição de novos recursos endereça as diretrizes PCI-DSS ao gerenciar auto-e funcionalidades à solução CA Access Control, para maticamente estas senhas.ajudar os clientes a atender às necessidades críticas outro recurso é a Gravação e Playback das Ses-do Gerenciamento de Usuários Privilegiados por meio sões de Usuário Privilegiado. A partir do momentodo controle, monitoramento e auditoria centralizados, em que um usuário privilegiado entra com sua senhatudo a partir de um único console de gestão. em qualquer dispositivo gerenciado pelo PUPM, suas os novos recursos da ferramenta incluem Ges- ações podem ser gravadas com segurança e ficamtão de Senha de Usuário Privilegiado para opera- disponíveis para o playback em vídeo.ções automatizadas, Aplicação-para-Aplicação e E, por fim, o Login Automático PUPM e Integra-Aplicação-para-Servidor. Este recurso ajuda a me- ção Avançada, que automatiza o login do usuário fi-lhorar a segurança, reduzir o custo relacionado à nal para qualquer dispositivo gerenciado pelo PUPM,gestão de senhas de contas no sistema e também ajudando a prevenir contra o roubo de senha.Trend Micro adquireMobi Armor le A Trend Micro acaba de adquirir na nuvem pública”, afirmou Fabio Picoli, coun-a Mobile Armor, empresa especializada em try manager da Trend Micro para o Brasil.criptografia de dados e gerenciamento de o próximo passo será o desenvolvimentodispositivos móveis. A iniciativa expande o em conjunto de soluções de Segurança paraportfólio de proteção da Trend Micro, esten- atender principalmente as grandes empresas edendo suas ofertas de criptografia para todos o Governo brasileiro.os tipos de dispositivos. “o foco principal da Mobile Armor é o aten- “Com a aquisição, queremos proteger as in- dimento ao mercado e Governo norte-america-formações dos nossos clientes de uma maneira no. Com a aquisição, queremos adicionar o quemais ampla. Com o uso da criptografia, pode- eles têm de melhor para atender nosso merca-mos estender a proteção além do e-mail e as- do interno e levar esse portfólio ao setor públi-segurar dados em ambientes virtualizados ou co”, completa Picoli. rISK report 9
  8. 8. Portfólio Firewalls de Autenticação Dados críticos RIC exige próxima geração móvel protegidos biometria A SonicWALL anuncia Desenvolvido com o Symantec Data A recente regulamen- a série SuperMassive a finalidade de propor- Loss Prevention 11 é tação do Registro de E10000 de firewalls de cionar autenticação uma solução baseada na Identidade Civil (RIC) próxima geração. A solu- simples e fácil pelo uso identificação de conteúdo no Brasil abre novas ção conta com arquitetura de uma senha dinâmica que descobre, monitora, oportunidades para escalável chegando até a oTP baseada em tem- protege e gerencia dados modernizar os bancos 96 núcleos de processa- po, através de um token críticos onde quer que de dados eletrônicos. mento, mais de 40 Gbps virtual localizado na Bar- eles estejam armazena- Para isso, a nEC Brasil de taxa de transferência ra de Tarefas do Windo- dos. Permite reduzir o ris- disponibiliza ao mercado no firewall e mais de 30 ws, o SafeMoBILE for co de violação de dados, o Sistema Automático de para controle de aplicati- Windows, da BRToken, demonstrar a conformida- Identificação de Impres- vos e serviço de preven- é multiusuário e com- de regulatória e garantir a sões Digitais (Automated ção de invasão (IPS), patível com os sistemas privacidade dos clientes, Fingerprint Identification com métricas de potência, operacionais Windows a proteção da marca e da System - AFIS). espaço e resfriamento. XP, Vista, Server 2003 propriedade intelectual. A solução é baseada na A série utiliza o mecanis- e Server 2008, além de A nova versão tem como tecnologia biométrica e mo RFDPI (Reassembly- Windows 7. objetivo simplificar a tem por objetivo unificar Free Deep Packet Inspec- As senhas continua- detecção e a proteção os bancos de dados dos tion) para varrer cada byte mente geradas pelo das informações mais brasileiros em todo o de cada pacote, fazendo aplicativo podem ser críticas para as empresas País, com um sistema uma inspeção total do arrastadas e copiadas e, consequentemente, digital voltado para go- conteúdo de todo o fluxo, para o campo de au- proteger sua propriedade verno e empresas. mas com alto desempe- tenticação desejado. A intelectual. A identificação de im- nho e baixa latência. solução também permite Essa nova versão inclui o pressões digitais auto- o mecanismo também a migração do token do Vector Machine Learning, matizada está baseada garante inspeção do usuário para aparelhos tecnologia com siste- no processamento dos tráfego SSL codificado celulares ou smartpho- ma de monitoramento pontos característicos das e das aplicações fora do nes e vice-versa. baseado nos equipamen- impressões. o sistema proxy. oferece prote- A versão do SafeMoBI- tos, desenvolvida para proporciona alta precisão, ção independente do LE for Windows pos- facilitar a detecção de independentemente do ta- transporte ou protocolo. sibilita a utilização do ativos de propriedade manho da base de dados. A ferramenta atende as aplicativo por mais de intelectual difíceis de As imagens são recebi- necessidades de seguran- um usuário na mesma identificar. A ferramenta das e o sistema extrai ça de empresas, órgãos estação. A solução também torna o processo automaticamente as do governo, universidades conta com visual leve de correção mais eficien- minúcias, classifica os e provedores de serviço, e amigável e soma-se te e eficaz com os novos tipos de padrões, realiza além de proteger as redes às versões para JAVA, recursos do Data Insight, a busca na base de da- corporativas, data centers iPhone, BlackBerry e além de incluir medidas dos e reporta o resultado e grupos de servidores. Android. de segurança adicionais otimizando a intervenção nos endpoints. humana nos processos referentes à identificação. 10 rISK report
  9. 9. TrendCloud versus Cloud Com benefícios tangíveis, a dade e redução de custos, são alguns exemplos de vantagens da computação em nuvem vem quebrando computação em nuvem, destacados pelos usuários que já imple- mentaram a solução. mesmo assim, o cloud computing ainda barreiras. Mas ainda precisa superar precisa quebrar alguns paradigmas. de acordo com um estudo da seu principa obstáculo, a Segurança l Idc, sobre aplicações de computação em nuvem no Brasil, 75% da Informação - Por Léia Machado das empresas locais ainda não adotaram o cloud. “As principais razões para isso são: eu não sei o que é computação É em nuvem; não me sinto seguro e confortável em utilizar esse tipo cErto dIzEr QuE todAS AS EmPrESAS, de tecnologia; vou estudar, avaliar e identificar internamente se há independente do segmento de atuação, sejam elas necessidade e se essa tecnologia pode me auxiliar segundo minhas grandes, médias ou pequenas, estão analisando a estratégias”, aponta célia Sarauza, gerente de Segurança da Infor- adoção da computação em nuvem, mas é fato também mação da Idc Brasil. que todas ainda têm dúvidas em relação ao quanto esse ambiente é seguro. o que parece estar claro é que a computação em nuvem Caminhos da computação em nuvem traz vantagens para todos os envolvidos, o que nos faz acreditar o maior desafio é evangelizar as companhias sobre sua estrutura, que em 2011 a nova maneira de oferecer e consumir tecnologia implementação e riscos. Há muitos questionamentos, principal- pode superar os principais desafios e conquistar um amadureci- mente no âmbito da Segurança da Informação que traz uma sensa- mento significativo. ção de inconfiabilidade. os benefícios são muitos. Performance, flexibilidade, escalabili- como funciona a computação em nuvem? onde estão os dados e as dade, arquitetura inteligente, autonomia, disponibilidade, agili- aplicações? A que vulnerabilidades as informações estão sujeitas? 12 rISK report
  10. 10. Vantagens do cloud em nuvem e virtualização. tudo que PerformanceQual é o nível de proteção? Essas e outras questões são colocadasna mesa no momento da contratação de serviços e tecnologias poderá ser serviço e deixar de ser custo Flexibilidadebaseadas nesse conceito. de aquisição tem grandes chances de ter Escalabilidadeo desafio é lançado principalmente aos fornecedores que têm a uma boa aceitabilidade no mercado. Arquitetura inteligentemissão de informar e exemplificar situações de como funciona “uma das grandes vantagens do cloud Autonomiatoda essa infraestrutura para que se propague a divulgação e evan- e da virtualização é a racionalização de Segurançagelização dessa tecnologia. na opinião de Alexandre moraes, team custos. A economia se destaca por meio Disponibilidadeleader Systems Engineering lAt da HP o ponto chave para a , da computação mais utilitária, onde Agilidadeadoção do cloud é o orçamento. a companhia paga apenas por aquilo Redução de custos“As empresas sabem que o lado financeiro pesa muito em qualquer que usa”, opina o gerente de canais dadecisão, é função do gestor de finanças cobrar retorno de investi- check Point Brasil, daniel romio. Josémento. todos que trabalham com Segurança sofrem com isso, pois Antunes, gerente de Engenharia de Sistemas da mcAfee, com-tem todo o trabalho de explicar que trata-se de uma medida de partilha dessa mesma opinião e acrescenta os ganhos do aluguel deprevenção para justamente evitar perda de dados e prejuízos para uma infraestrutura baseada em nuvem.a companhia. Além disso, as PmEs, muitas vezes, não conseguem “Estamos falando em custos e a grande vantagem para as empresasdesfrutar de uma solução completa de Segurança porque tudo é que não têm como investir em infraestrutura, comprar bons servi-muito caro”, dispara. dores, hardwares, equipamentos para disponibilizar segurança“Se uma empresa tem um ambiente de cloud com uma infraestru- para seu usuário, elas terão muito benefícios utilizando modelostura robusta, atualizada, com sistema de proteção de rede de fire- SaaS e IaaS. E se ela crescer, a infraestrutura de nuvem cresce juntowall, IPS, dlP além de todas as vantagens da nuvem, ela terá um , acompanhando todo o desenvolvimento corporativo”, completa.excelente ambiente para trabalhar com alto nível de automação ecompetitividade. Ela terá uma infraestrutura tão completa que, Seleção de Serviçosmuitas vezes por questão de orçamento, dificilmente conseguiria outro procedimento fundamental para o sucesso da implementa-ter em house”, acrescenta moraes. ção de um ambiente em nuvem é a escolha do provedor. cada em- presa tem suas próprias características de negócio e necessidadesEconomia particulares de infraestrutura. nesse caso, o processo de escolhaEssa questão de custos é sempre um dos critérios preponderantes do provedor passa por uma série de análises contratuais de entregana adoção de qualquer tecnologia. com isso, a tI como serviço de serviço, performance, garantias, nível de redundância e a segu-vem se tornando uma tendência como, por exemplo, os modelos rança desse ambiente.SaaS (Software as a Service) ou IaaS (Infrastructure as a Service). Questões como: o fornecedor tem a melhor solução de link paraEssa evolução tem sido muito natural também para a computação o meu negócio? Ele pode me garantir armazenamento? Eu terei um alto nível de segurança ao contratar esse serviço? como esse provedor fará a adminis- tração desse ambiente em nuvem? tudo está Pontos importantes para escolha do sendo feito de forma adequada? São procedi- provedor de cloud computing mentos analíticos que os especialistas destacam Como são as instalações do provedor? no momento de contratação de um provedor de o fornecedor tem a melhor solução de link para o meu negócio? computação em nuvem. o fornecedor pode me garantir armazenamento? “nós temos uma latência muito grande no Como se dá o acesso aos dados e quem tem acesso a eles? acesso as informações, o que depende muito Qual é o plano para recuperação em casos de desastre? do provedor. muitas vezes, o cloud público não está no Brasil e esse acesso é feito pela Internet. As senhas do cliente estão armazenadas de forma segura? Como? como será a desempenho desse acesso? Por isso Senhas são transmitidas usando conexão criptografada? a importância em escolher criteriosamente esse Como funciona o monitoramento do ambiente cloud? parceiro de tecnologia. o provedor que consiga Como funciona o registro de logins autorizados e negados? hospedar a solução dele mais próximo da reali- Eu terei um alto nível de segurança ao contratar esse serviço? dade da empresa passa a ser mais interessante Como esse provedor fará a administração desse ambiente em nuvem? o acesso das aplicações”, aponta claudio Ban- rISK report 13
  11. 11. Trend nwart, responsável pela área de Segurança da compugraf. processos de aquisição de ambientes em nuvem. Acessos aos con- Essa análise crítica também é destacada por moraes. “A com- teúdos alocados, quem terá ou não permissão para obter as infor- panhia que pretende adotar uma infraestrutura baseada em mações e, em casos de desastres, se essas informações poderão ser cloud computing precisa conhecer bem seu parceiro para evitar recuperadas, são algumas dúvidas que surgem. na opinião de Bre- problemas futuros. É muito importante analisar a relação custo- no lastra, líder técnico de rede da locaweb, o acesso aos dados e benefício, pois nem sempre o fornecedor mais barato é o melhor. a questão da permissão, dependem muito da gestão da informação, Se o custo for muito baixo, é prudente questionar se os procedi- independente se o ambiente for físico ou em nuvem. mentos serão feitos adequadamente. A questão da redução de “na virtualização, meus dados estão no storage do meu fornece- custo no ambiente na nuvem é algo real, mas precisamos pon- dor, que precisa ter acesso para fazer a manutenção. É nessa hora derar as opções de fornecedores para não cair numa cilada”. que posso ter problemas com segurança. mas também posso ter vulnerabilidades em um servidor físico. Por exemplo, se der um Segurança problema no disco com a necessidade de troca, a empresa pode o modelo cloud computing ainda deixa muitas dúvidas entre os fazer um descarte inadequado sem apagar os dados e qualquer pes- gestores de tI, com isso, surgem antigos questionamentos nos soa pode ter acesso às informações daquele disco. ou seja, tudo depende do gerenciamento desses dados”, explica lastra. Em relação à recuperação de dados, o executivo é bem categórico. “Se um servidor está sendo invadindo por um hacker, com acesso àquela máquina, ele pode simplesmente rodar um software para apagar tudo que está no disco. mas em um servidor virtual, mesmo que isso ocorra, todos os dados poderão ser recuperados”. o fato é que em qualquer aquisição de tecnologia, a companhia precisa contar com um bom planejamento interno para que a Se- gurança da Informação seja preservada. São várias as ofertas de cloud pública, privada ou híbrida. A verdade é que o provedor precisa entregar uma série de ga- rantias à companhia que está contratando o serviço. Segurança, disponibilidade de infraestrutura, performance, comunicação, acesso aos dados e ambiente seguro são peças fundamentais na contratação do serviço. Além disso, a empresa contratante espera uma maturidade profissional para garantir a segurança dos dados. Existem muitos serviços ofertados com vários níveis de segu- rança, mas essa garantia depende do bom planejamento inter- no, relação custo-benefício e escolha do provedor. os critérios de adoção dependem da confiança da empresa contratante em relação ao seu fornecedor. um relacionamento transparente é o melhor caminho para a confiabilidade. São quesitos importantes que precisam ser colocados na balança. Desafios da computação em nuvem De acordo com um estudo da IDC, 75% das empresas brasileiras ainda não adotaram o cloud Principais razões citadas pelos gestores de TI: eu não sei o que é computação em nuvem não me sinto seguro e confortável em utilizar esse tipo de tecnologia vou avaliar a possibilidade de conhecer esse ambiente cloud vou analisar internamente se há necessidade e se essa tecnologia pode me auxiliar segundo minhas estratégias 14 rISK report
  12. 12. kwarup.comTABU SOBRE E-COMMERCE “Vai demorar para as pessoas comprarem pela Internet.”TABU SOBRE CLOUD COMPUTING “Vai demorar para eliminarem os servidores físicos nas empresas.”TABU FOI FEITO PARA SER QUEBRADO. CHEGOU O CLOUD SERVER PRO LOCAWEB. Há pouco tempo, muitos achavam que as pessoas teriam medo de fazer compras pela web. Mas o e-commerce no Brasil cresce cerca de 30% ao ano e já movimenta bilhões. E, ainda hoje, há quem ache que manter os servidores na empresa gerando custos de manutenção e gerenciamento é a melhor alternativa para o processamento de dados. Para mudar essa mentalidade, a Locaweb lançou o Cloud Server Pro, a mais avançada e segura computação em nuvem do mercado. É a solução para empresas que querem atuar com mais inteligência, cortando gastos e ganhando performance. SEGURO RÁPIDO ECONÔMICO SIMPLES E ÁGIL Seus dados são Utiliza a tecnologia Você não gasta com São diversos sistemas operacionais para você armazenados Xen de virtualização, infraestrutura e só paga escolher e gerenciar suas informações. isoladamente. e cada cliente possui pela capacidade que Em até 30 minutos* os servidores sua própria VLAN. utilizar. já estão à sua disposição. *Prazo para a instalação-padrão, após o reconhecimento do pagamento. Em alguns casos é necessário confirmar a disponibilidade técnica e operacional. ,00 R$ 199 ! Ganhe sconto de de rverPr o r/Cloud Se eb .com.b mocional: Locaw o pro Acesse ilize o códig 06A ut 27 o e DREP6 o o 1º mês n tis. sc ont é grá sse de inux* Com e r Pro 1 GB L Serve para Cloud 99,00 válido e d e R$ 1 ções onto d iras contrata 1/05/2011. *Desc ime 0 pr e, até 3 as 100 Pro pelo sit Serve r Cloud Locaweb.com.br/CloudServerPro
  13. 13. Financial A nova fronteira da autenticação C Especia istas l IfrAS, cHEQuES, cArtõES, InVEStImEntoS. A humanidade é dependente do setor financeiro, des- debatem as de um simples pagamento de uma fatura de cartão de tendências em crédito às altas aplicações nas bolsas de valores. com autenticação e o avanço da Web e da mobilidade, essa dependência segurança para o ficou facilitada. Hoje, os equipamentos tecnológicos permitem transações financeiras independente da presença física do usu- setor financeiro. ário. A contratação de um empréstimo ou cheque especial, por exemplo, Não há apenas pode ser feita com alguns cliques no Internet Banking. um padrão que contudo, essa revolução tecnológica ao mesmo tempo em que pro- assegure as porciona comodidade, flexibilidade e agilidade aos usuários, também transações, mas avança no campo das fraudes, com ameaças online cada vez mais sofisti- cadas e com claros objetivos de roubar informações de cartões e contas um conjunto de bancárias para obter lucro com elas. o desafio do setor é desenvolver tecnologias e soluções de proteção e autenticação nas transações financeiras de acordo normas - Por com o aumento da demanda. Léia Machado “Todos os sistemas de autenticação tem suas vantagens e vulne- rabilidades. dificilcimente teremos um padrão de segurança para o setor financeiro, pois todas as tecnologias de autenticação de transações são vá- lidas como uma nova camada de segurança”, aponta francimara Viotti, gerente Executiva do Banco do Brasil. Para francimara, as transações bancárias são realizadas através de vá- rias tecnologias e não seria diferente usar vários dispositivos para propor- cionar a segurança aos clientes. “Há riqueza na tecnologia onde as pessoas usam a criatividade para desenvolver formas de proteção. cada tecnologia tem o nível de fragilidade e, às vezes, é preciso agregar outras soluções para complementar a segurança na atutenticação financeira”, explica. Medidas de Segurança Ao longo dos anos, o mercado financeiro, sendo a principal vítima de fraudes e roubos milionários, vem desenvolvendo novas ferramentas de 16 rISK report
  14. 14. proteção para as transações presenciais “O RIC é uma formae online. Por uma questão de segurança,a partir da colaboração entre os sistemas natura de manter a lde pagamento mundiais Europay, mas- autenti cação no mundotercard e Visa, criou-se o padrao EmV físico e vai se transferirpara as transações de cartões de débito, para o universo virtua . Ele lcrédito e smart card. identifica o indivíduo e “ou seja, o início da migração datarja magnética – que é carente de se- tem tecnologia para fazer agurança sem proteção por criptografia, assinatura de uma transaçãocapacidade de memória limitada de fá- e etrôni , garantindo l cacil reprodução e clonagem dos dados – a autenticação do cidadão.para os cartões com chip. Por sua vez,possuem maior capacidade de armaze- Claro que ele não será umanamento de dados criptografados, com solução única, mas pode agregarmicroprocessador interno sem a pos- maior segurança” diz ,sibilidade de clonagem do cartão por Francimara Viotti, gerentemeios simples”, diz Jorge Krug, supe- Executiva do Banco do Brasilrintendente Executivo da unidade deSegurança de tI do Banrisul. da memória do computador no ato da será uma solução única, mas pode agregar mais adiante, de novo as bandeiras se transação. de acordo com francimara, maior segurança”, acrescenta francimara.reuniram para a criação do padrão Pay- a forma de combater essa ameaça seria ament card Industry (PcI), segurança de blindagem do browser. “com isso, o usu- Padrões e Regrasdados de cartões de pagamento. trata-se ário não permite que um malware consi- diante dessas tendências em autentica-de um conjunto de normas que garante ga ler o que está na memória para fazer a ção e segurança para o setor financeiro,a proteção das informações do titular adulteração dos dados da transação antes hoje, a área não tem uma bala de pratados cartões durante as transações finan- de entrar para um smart card, token ou que seja 100% segura, barrando qualquerceiras, online e presenciais. Em termos qualquer outro dispositivo para assinatu- tipo de fraude. não há uma única formagerais, as operadoras de cartão estabele- ra. Esse procedimento é um reforço para de proteção. o que está sendo feito é oceram normas de segurança, nas quais o a segurança do usuário”. uso de um conjunto de soluções de segu-comércio precisa entrar em conformida- Além disso, o rIc (registro de Iden- rança de acordo com a complexidade dede com o padrão. tidade civil) também poderá ser usado cada transação, seja usando o certificado como um método convergente de autenti- digital, token, biometria ou cartões dePor outro lado, o token também é um cação para as transações financeiras. o do- crédito e débito com chip.fator a mais para autenticar as transações cumento será um registro único para todosfinanceiras através do Internet Banking. os cidadãos brasileiros e contará com um “O fato é que o mundo ficou maisA confirmação da transação é online, tanto chip de armazenamento de documentos complexo e, por consequência, a segurançaas de maiores riscos quanto as de valores como rg, cPf, título de eleitor, informa- também. Antigamente, uma das fraudes quemenores. “o dispositivo, que está passan- ções previdenciárias e trabalhistas, além mais davam dor de cabeça aos bancos erado por uma revolução com novos recursos de dados biométricos e certificado digital. a falsificação de cheques, hoje estão sendode segurança e assinatura de transações “o rIc é uma forma natural de man- acrescentadas novas modalidades para burlarassociada a outras funções como garantia ter a autenticação no mundo físico e vai se a segurança das instituições. Para mudar essedo browser, já faz parte da vida de muitos transferir para o universo virtual. Ele iden- cenário, acredito em algumas convergênciasclientes bancários. o fato é que ele veio tifica o indivíduo e tem tecno- tecnológicas específicas para determinadospara ficar”, afirma Alexandre cagnoni, di- logia para fazer a assinatura negócios”, opina cesar Augusto faustino,retor de tecnologia da Brtoken. de uma transação eletrônica, gerente de Auditoria na Banco Itaú e coor- Há também a questão da assinatu- garantindo a autenticação do denador da Sub-comissão de Prevenção ara cega, onde acontece uma adulteração cidadão. claro que ele não fraudes Eletrônicas na febraban. rISK report 17
  15. 15. Financial “O importante é a proteção da transação com o uso das ferramentas existentes no mercado, da padronização e regras de segurança que as bandeiras e instituições financeiras estão discutindo em conjunto” a , lerta Jorge Krug, superintendente executivo da Unidade de Segurança de TI do Banrisul Além disso, há ainda um outro fator bancário com um menor grau de instru- sociedade. “Eu coloco isso em dois pata- relevante nesse processo. o avanço da ção, tem dificuldades para acompanhar mares: o primeiro é essa evangelização mobilidade. A cada dia aumenta o nú- a evolução das transações até mesmo em da sociedade digital que avança no uso mero de pessoas realizando transações uma agência bancária. É comum nos da tecnologia, precisamos sim falar em bancárias através dos smartphones, o depararmos com funcionários do ban- segurança com todos, sem exceção”. que expande o desafio do setor em de- co auxiliando alguns clientes durante a “mas um outro ponto importante senvolver padões de segurança para os transação em um caixa eletrônico. é a legislação do país. não adianta ter usuários. “Em pouco tempo teremos Essa dificuldade é ainda maior no todo um processo de conscientização se mais 100 milhões de celulares fazendo ambiente online, com diversas senhas, não temos uma legislação eficiente que transações bancárias, fica dificil que se tokens e assinaturas eletrônicas. A mi- garanta segurança em todo o processo. estabeleça apenas um de padrão de se- gração dessas transações para a Internet os bancos investem muito dinheiro em gurança”, acrescenta faustino. obriga as instituições financeiras a de- segurança e eles têm processo muito se- senvolverem cartilhas e ações para ensi- guros. mas o próprio país precisa ofere- Cabe aos bancos e instituições fi- nar seus clientes, inclusive as crianças, cer infraestrutura eficiente para ajudar nanceiras a monitoração permanente a usar a internet de uma maneira mais nesse combate às fraudes”. de cada transação, checando as infor- segura, além de conscientizá-los sobre mações com os clientes e estabelecen- os riscos de fraudes no mundo digital. Na opinião de Francimara , é do um atendimento personalizado. “o preciso ter uma conscientização de que importante é a proteção da transação Essa preocupação com a segurança crime é crime independente se for co- com o uso das ferramentas existentes não se restringe apenas aos bancos com metido na esfera online ou física. “nor- no mercado, da padronização e regras a febraran, mas também de outros ór- malmente as pessoas entendem as amea- de segurança que as bandeiras e insti- gãos como a fecomercio e a oAB, que ças quando são atacadas, quando passam tuições financeiras estão discutindo em desenvolvem cartilhas e ações de cons- por desvio de dinheiro em conta corren- conjunto”, alerta Krug. cientização do usuário. “Essa série de te ou em alguma situação de clonagem recomendações que falamos o tempo de cartão. Essa evolução na educação Educação do usuário todo tem que ser exaustivamente deba- será natural na sociedade”, finaliza. outro pilar importante para a segurança tida”, complementa faustino. nas transações financeiras é a conscien- Para Krug, esse modelo de cons- tização do usuário, que precisa ser evan- cientização precisa ser difundio o mais Leia mais: gelizado em relação às fraudes e amea- rápido possível, mas alerta que o esfor- http://www.fraudes.org/showpage1 ças do universo digital. Aquele cliente ço não depende apenas dos bancos e da http://portal.mj.gov.br/ric 18 rISK report
  16. 16. 2 011• Exposição de Soluções, Produtos e Serviços• Painéis de debates com transmissão ao vivo e interatividade• Apresentação de Cases• Prêmio Security Leaders : Premiação dos principais líderes do setor de Segurança da Informação CONGRESSO, EXPOSIÇÃO E PREMIAÇÃO DE LÍDERES E PROFISSIONAIS DE SEGURANÇA DA INFORMAÇÃO E RISCO Tel. (11) 5049-0202 www. securityleaders .com.br Realização: Apoio de Mídia: Transmissão:
  17. 17. Focus A especialização do cibercrime Novos dispositivos e redes sociais tornam os ataques vi rtuais mais específicos e sofisticados. Especia ista internaciona l l aponta outras técnicas de golpes - Por Léia Machado O S crImES VIrtuAIS forAm EVoluIndo crimes virtuais é clara, desde a criação do worm “I love You”, conforme a própria internet. no passado, o ciber- em 2000, até as ameaças atuais como o geneXus. Segundo a enti- crime não tinha uma motivação financeira e era dade Internet World Stats, o uso da Web cresceu de 361 milhões comandado por jovens com objetivos distintos. de usuários, em 2000, para quase 2 bilhões em 2010. com isso, a Atacavam para mostrar as vulnerabilidades de um sistema ou Internet tornou-se um importante alvo para os criminosos. para ganhar status por sua capacidade de invasão. mas com o avanço da Internet e o surgimento de novas tecnologias essa Variedades de ataques ideia está obsoleta. de acordo com Sutton, os aplicativos da Web 2.0 são muito di- os ataques no universo online estão cada nâmicos e mais fáceis de atacar. uma das vez mais sofisticados e conta com as mais grandes tendências destacadas pelo pes- diversas ferramentas tecnológicas, o pró- quisador é o phishing, um golpe online prio perfil do cibercriminoso mudou. de falsificação de sites legítimos. os cri- Hoje, são quadrilhas inteiras que atacam minosos usam spams, websites malicio- via web e tem um objetivo claro: roubar sos e mensagens de e-mail para roubar informações pessoais para obter lucro informações sigilosas. “normalmente são com elas. “na Internet há muita vulnera- sites que usamos no nosso dia a dia e esses bilidade, o que facilita a criação de novas criminosos tentam nos convencer a entrar ferramentas de ataques”, afirma michael nessa página infectada”, comenta Sutton. Sutton, pesquisador na área de Segurança Além disso, as práticas de ataques são as e vice-presidente da zscaler. mais variadas. os e-mails, por exemplo, já na última década, o cibercrime prospe- não são os maiores vilões na disseminação rou e custou aos consumidores centenas de ameaças de segurança pela Web. As re- de milhões de dólares. A sofisticação dos des sociais são os atuais alvos de ataques 20 rISK report
  18. 18. MaliciousNetworking.org C&C Phish Spam Exploit Country Score não é a lista em que um país gostaria de Servers Servers Servers Servers figurar nos primeiros lugares. A Segu- US 190.79 398 81 214 335 rança deve estar na mente das pessoas e das empresas”. RU 31.25 60 0 8 55 Cn 27.61 255 7 28 89 Medidas de segurança BR 26.65 88 0 4 11 com a especialização do cibercrime, DE 25.84 51 32 8 43 é natural que as empresas tomem me- didas de Segurança em seu ambiente UK 21.02 46 0 1 44 corporativo. E Sutton provoca algu- KR 17.65 66 9 0 93 mas discussões: as companhias devem CA 14.47 22 9 0 21 bloquear o acesso às redes socias? Em relação aos ataques, qual é o foco dos Ph 12.64 17 0 3 16 recursos de Segurança? como é feita a nL 12.46 31 0 0 19 Segurança nos dispositivos móveis? diante dessas questões, o executivo foi bem categórico. “não acredito que blo- virtuais tornando-se uma quear o acesso às mídias sociais seja um caminho seguro. muito das principais fontes de menos de 1% dos ataques na Web vêm dessas mídias. com o blo- As redes sociais disseminação do cibercri- queio desses websites, os usuários acabam achando outra manei- são os atuais alvos me. ra de acessá-los, o que pode causar um maior descontrole na rede de ataques virtuais, outra vítima dos crimes e aumento da vulnerabilidade”. tornando-se uma digitais sãos os mecanis- o pesquisador acredita que a melhor medida nessas situações das principais fontes mos de busca. Segundo é monitoração do tráfego no ambiente corporativo. As empre- de disseminação do Sutton, a cada 100 resul- sas podem criar suas próprias regras e políticas internas, o que cibercrime tados 1 já se refere a uma garante o controle e transparência no relacionamento. Em rela- página maliciosa. Esses ção aos recursos de Segurança, o executivo afirma que o melhorendereços contaminados estão entre os primeiros que aparecem caminho é investir na educação do usuário. “gastamos muitonas pesquisas. A mobilidade também não escapou dos ataques dinheiro protegendo servidores, mas esquecemos dos nossos co-por meio da Web, o cibercrime desenvolve vírus específicos para laboradores, é aí que devemos trabalhar”.esses dispositivos. Em termos de mobilidade, a Segurança precisa ser semelhante àSutton também destacou outra vulnerabilidade chamada clickja- de um desktop. “os ataques funcionam muito bem em qualquercking. trata-se de uma técnica usada por um cracker para escon- plataforma, se as empresas não fizerem nada para proteger todosder programas maliciosos embaixo de um botão legítimo de um os dispositivos, independente se for móvel ou não, provavelmen-site legítimo. ou seja, é uma forma de enganar o usuário para que te já esteja infectada”, finaliza o pesquisador.entre em uma página, embora tenha visualizado outra.“os criminosos simplesmente tiram vantagens, eles conhecem asformas legitimas de formatar uma página, enganam os usuários e Mecanismos de buscaexploram a credibilidade dos sites. normalmente eles tiram van-tagem de uma vulnerabilidade, escrevem um script e colocam os cibercriminososconteúdo malicioso. A meta é atingir o maior número possível usam técnicas para atacarde sites”, explica o executivo. as vulnerabilidades dosEm um estudo realizado pelo website maliciousnetworkin.org, sites. A cada 100 resultadosmantido pelo International Secure Systems lab, Vienna univer- 1 já se refere a uma páginasity of technology, Eurecom france e uc Santa Barbara, entre maliciosa. Esses endereçosos dez países que possuem a maior quantidade de conteúdo mali- contaminados estão entrecioso o Brasil aparece em quarto lugar, atrás apenas dos Estados os primeiros que aparecemunidos, rússia e china, respectivamente.”definitivamente, essa nas pesquisas rISK report 21
  19. 19. FocusO outro lado dasredes sociais As mídias sociais estão cada vez mais presentes no mundo corporativo. Como é possível de dois bilhões de pessoas que acessam a internet no util las em favor dos negócios? izá- país. Para as corporações, o horizonte é um pouco mais amplo. Essa plataforma pode ajudar a incrementar seus Ainda há algumas questões a negócios. A grande questão é como lidar com esse mo- serem olhadas com atenção, como vimento e obter lucro com ela. a segurança e o treinamento de Segundo marcelo duarte, gerente de infraestrutura do Banco carrefour, a rede social pode trazer agilida- funcionários para lidar com a de. “temos olhado isso como uma possibilidade de se informação - Por Júl Zil ig ia l comunicar mais rápido e isso significa também fazer negócios com mais agilidade. Já existem empresas ganhando dinheiro por meio das redes sociais, outras A estão perdendo. no entanto, precisamos ficar aten- lÉm dE EStAr PrESEntE nA VIdA tos, pois a penetração das redes sociais nas empresas das pessoas, até mesmo dentro do bolso, é algo inevitável e vai nos abrir a oportunidade de por meio de smartphones, a realidade das fazer negócios diferentes.” redes sociais também já faz parte do mun- Além do lado financeiro, a questão da segurança é ou- do corporativo. Para as pessoas, a palavra que resume tro aspecto que está sendo olhado com cuidado pelas sua vantagem, em grande parte do tempo, é relaciona- empresas. “não acredito na liberação das redes sociais mento. nesse caso, estamos falando de um universo de para todas as pessoas da empresa, mas sim para aque- 70 milhões de usuários, que representam 40% do total las que façam sentido, ou seja, que têm a oportunidade 22 rISK report
  20. 20. “As pessoas têm uma fa lsa sensação de impunidade. Elas acham que podem acessar o Orkut, criar comunidades, fa lar ma das empresas, l mas não sabem que estão sujeitas às ações das leis civis, penais e criminais. Hoje a internet é monitorada”, Yanis Cardoso Stoyannis, gerente de Segurança da Informação da Embratel sabem que estão sujeitas às ações das leis civis, penais e criminais. Hoje a internet é monitorada. Existem mais de 30 mil processos em andamento no país por uso indevido desse tipo de ferramenta”, explica Yanis cardoso Stoyannis, gerente de Segurança Informa- ção da Embratel.de trazer resultados para a companhia, o que é uma no entanto, o caminho pode ser muito promissortendência natural”, diz duarte. para a empresa. “Por meio das redes sociais, que atraiIsso deve se tornar cada vez mais realidade pelo fato de seguidores, as companhias devem criar modelos deque mais de 70% dos problemas de ataque de seguran- atratividade para que o público em geral se interesseça provêm de dentro da empresa, segundo frederico em seguir as tendências e/ou benefícios que elas tra-Pacheco, gerente de Educação e Investigação da ESEt zem. Se o consumidor entender que há valor agrega-para a América latina. “Se eu vou colocar várias bar- do por trás das informações da empresa na rede, elereiras internas e proteger minha empresa de maneira passará a segui-la. Isso é uma grandesimples, isso se torna complicado, pois eu preciso for- oportunidade”, enfatiza duarte, donecer acesso às pessoas. muitas vezes, uma pessoa que Banco carrefour.tem acesso acaba sendo usada por outra que quer pre- mas é necessário direcionar seusjudicar a empresa de alguma forma. A coisa fica pior esforços em relação a uma questão:quando envolvem o pessoal mais técnico.” a conscientização e treinamento deAlexandre moraes, team leader dos engenheiros de seus colaboradores. “uma frase in-Sistemas da HP tippingPoint, ressalta que, por mais devida pode gerar uma interpretaçãoque a empresa implante a solução tecnológica mais errada”, diz morais. Essas ações de-sofisticada, o elo mais fraco da corrente é o usuário. vem acontecer antes de ter o seu acessoduarte completa. “Ainda não existem tecnologias que liberado. E duarte, complementa.“Écontrolem o ser humano na utilização da informação importante que as pessoas compreen-inadequada. Esse não é um problema da rede social, dam que a Segurança da Informação émas sim do convívio em sociedade.” um problema delas mesmas e não so-o número de pessoas com acesso a essas redes sociais mente da empresa. É importante tra-não para de aumentar e isso maximiza os riscos dos balhar com os usuários internos dentroefeitos colaterais das mídias sociais no mundo cor- das nossas companhias, para que as in-porativo. “As pessoas têm uma falsa sensação de im- formações confidenciais nas quais temospunidade. Elas acham que podem acessar o orkut, acesso sejam utilizadas de forma adequa-criar comunidades, falar mal das empresas, mas não da. É fundamental ter ética”. rISK report 23
  21. 21. Focus PCI na pauta do e-commerce Com a explosão dos negócios via Internet, adoção do PCI entra em regime de urgência. Especia istas apontam 2012 como o deadl l ine brasileiro - Por Davi P assa d l N A últImA dÉcAdA, o Banrisul. o objetivo é estudar o modelo mercado mundial absorveu o mais adequado à realidade do país. E qual e-commerce em grande esca- o prazo para o comércio aderir às normas? la. de acordo com pesquisa da “o PcI passar a ter validade desde o dia consultoria J.P morgan, a expectativa de fa- . 1ºde janeiro de 2011. As bandeiras orien- turamento do comércio eletrônico mundial tam 1º de julho deste ano em algum nível para 2011 é de uS$ 680 bilhões, um aumen- de comércio, mas vejo 2012 como o ano do to de 18,9% em comparação com o último deadline para a adoção”, diz Jorge Krug, ano. fatores como comodidade, variedade superintendente executivo da unidade de de produtos e preços mais acessíveis salien- Segurança de tI. tam as perspectivas neste nicho. Entretanto, o consenso é de que o PcI é uma re- especialistas apontam outro elemento como alidade irreversível. Algumas empresas já crucial ao desenvolvimento do e-commer- estão em conformidade com a regulamen- ce: a segurança do consumidor. tação como cielo, redecard, casas Bahia, o aumento do uso de cartões de crédi- entre outras. “São empresas de grande to acompanha a expansão dos negócios via porte, projetos complexos. A mensagem internet. Preservar os dados dos clientes que passam é o da viabilidade do PcI. o passa a ser a grande preocupação para quem mercado precisa se adaptar”, diz Alexan- Brasil, 90% das empresas foram alvos do realiza esse tipo de transação. no último dre Sieira, cto do cipher. cibercrime, como mostrou recente relató- natal o comércio eletrônico arrecadou r$ rio da global fraud report e da the Eco- 2,2 bilhões no Brasil. “Isso representa um Segurança online nomist Intelligence unit, da revista the aumento de 40% em relação a 2009. o país Em termos gerais, o padrão abrange à confi- Economist. o país é o terceiro no ranking cresce e os cartões emitidos também, mas dencialidade das informações, assegura me- de fraudes eletrônicas, atrás da china, com surgem as fragilidades”, diz Victor murad, didas de monitoramento e estabelece testes 98% de incidências e colômbia com 94%. conselheiro e vice-presidente de comércio das redes periodicamente. Quanto maior o o número de empresas brasileiras adequa- Eletrônico da câmara e-net. armazenamento e processamento de dados das ao PcI é baixo. como reação a esse cenário, as princi- por parte de uma empresa, maior a necessi- Para Henrique takaki, coordenador do pais bandeiras de cartão de crédito desen- dade de estar em conformidade com as nor- grupo de Segurança e Prevenção a frau- volveram a regulamentação Payment card mas. o que coloca o comércio eletrônico em des da Associação Brasileira das Empresas Industry (PcI) - data Security Standard destaque no processo de adaptação. de acor- de cartões de crédito (ABEcS), a falta de (dSS). um conjunto de normas que ga- do com Sieira, o PcI nasceu para o e-com- adesão pode ser atribuída à maneira como rantem o nível de segurança exigido para merce. “A maior parte das transações com a regulamentação tem sido implementada. proteção dos dados do titular do cartão du- cartão presente migra para os cartões com “o PcI é excelente, mas o modelo binário rante as transações. chip, o que reduz o impacto da clonagem. o não é o correto. Apenas empresas que ado- risco de uma operação financeira pela inter- tem 100% das diretrizes conseguem o cer- O deadline brasileiro net é real e precisa ser gerenciado.” tificado. Será que as regras não poderiam o Brasil é membro do comitê executivo o esforço é grande, mas os números ser implementadas progressivamente, a do PcI desde 2009, sob representação do denunciam o tamanho do problema. no partir das prioridades?” 24 rISK report
  22. 22. Riscossob controleO conceito de GRC vem ganhando notoriedade entre os gestores mas ainda precisa ,vencer as barreiras do amadurecimento e da cultura organizaciona - P L i Ma l or é a chadoG oVErnAnçA corPorAtIVA. gEStão dE “o conceito está claro na literatura, mas na forma de aplicação risco. conformidade. A combinação dessas três para o mercado ainda faltam alguns desafios a serem superados. vertentes tem o objetivo de proporcionar às empre- Isso está diretamente ligado à cultura da companhia, desde o pre- sas controle dos negócios, sinergia entre os depar- sidente até a recepcionista”, afirma fabian martins, consultor detamentos, inteligência de mercado e gerenciamento centraliza- compliance e segurança da informação em tI da fIAP .do. o conceito, chamado pela sigla grc, vem sendo aprimorado Segundo martins, o maior desafio para a implementação do grcnas grandes organizações e o resultado é bastante satisfatório. é a cultura. É justamente promover esse ambiente de colaboração“Hoje, a oi é uma empresa de processo e continuidade. A imple- na companhia para gerar uma motivação comum. “mas essa ini-mentação do grc foi conduzida junto a um programa de seguran- ciativa precisa partir da diretoria até os níveis mais baixos. Issoça no qual fotografamos cada parte da companhia e mostramos o é fundamental para o processo amadurecer”, completa coelho.que realmente era necessário naquele momento. foi uma quebra “Sem o apoio dos principais executivos da companhia fica com-de paradigma”, aponta Angelo coelho, cSo da operadora. plicado a adoção do grc. Quando se tem o envolvimento dessesPara o grc não existe tamanho ou segmento de empresa, ele profissionais conseguimos justificar os investimentos e apresen-serve para todos. A gestão de risco abrange a parte de Segurança tar uma governança diferenciada e transparente”.da Informação, da companhia e dos negócios. o compliance é diante do positivo cenárioconformidade com leis, regulamentos, imposições de padrões brasileiro com um merca-municipais, estaduais, federais ou internacionais. Por outro lado do em constante progresso,a governança é um elemento indispensável no gerenciamento de com empresas internacio-pessoas a fim de buscar o resultado positivo dentro da empresa. nais apostando no País e“A junção dessas três questões proporciona uma lógica mais uma economia bastante mo-fácil de integrar departamentos e garantir efetividade nos re- vimentada, o caminho parasultados. o grc é um conceito que vem sendo muito bem en- investimentos em grc estátendido pelos gestores corporativos, principalmente quando se propício. “Estamos em umdeparam com os benefícios somados dessas três vertentes. mas é bom momento para evoluirum caminho que muitos ainda precisam percorrer”, opina João na cultura organizacionalroberto Peres, especialista em grc e professor da fgV. das companhias. o grande diferencial é conhecer bemMaturidade o negócio para que o apoioo grc precisa fazer parte da estratégia corporativa com o intuito dos altos executivos seja maisde unificar áreas que, mesmo com objetivos próximos, atuavam natural e transparente. É pre-distantes uma das outras. o processo não envolve apenas o de- ciso ter perseverança nessepartamento de tecnologia, mas todo o ambiente organizacional. processo”, finaliza coelho. rISK report 25
  23. 23. Focus Muito mais do que nomes e números Fazer a gestão de identidade virou condição fundamenta para as empresas l aprimorarem seus processos, redefinir perfis e reduzir custos - Por Júl Zil ig ia l O unIVErSo dA tEcno- questão está em como manter uma base de tar esse tipo de ferramenta? o primeiro logia nas empresas adota a identidades atualizadas, já que as empresas passo é definir os papéis. “Quanto mais máxima de que o céu é o li- são organizações vivas, em constantes mu- bem definidos estiverem esses perfis, mais mite. cada vez mais, novas danças. “A empresa desenvolve um projeto chances do sucesso da ferramenta de ges- soluções e processos garantem um bom de- de gestão de identidade, estabelece os parâ- tão de identidade. Além disso, é importan- sempenho dos negócios das companhias. Se- metros, implementa, e a partir daí começa te ter aprovadores amparados por políticas gundo Almir Xavier, da gerência de riscos o problema. Eu posso ter provisionado e e regras bem definidas para a questão do corporativos da cSn, “a tecnologia atua nos definido papeis ao longo do tempo, mas acesso.” E o envolvimento de áreas da bastidores para poder apoiar toda e qualquer minha base acaba sendo contaminada, ge- companhia como financeiro, controles in- decisão tomada pela área de negócios.” rando perfis conflitantes. não é possível ter ternos e tI é fundamental para isso. o ca- Atualmente, no âmbito das grandes todos os papeis funcionais distribuídos por minho não é árduo. Basta investimento e corporações, muito tem se falado sobre ges- usuários diferentes.” A principal causa está coragem para abraçar essa nova realidade. tão de identidade como uma das principais na mutabilidade dos perfis. contribuições dessa evolução. Qual é a im- “o pessoal da área da Segurança da In- Otimizar é preciso portância disso para o sucesso de um negó- formação tem condições de avaliar a qualida- outra dificuldade é a cultura da mudança cio? A resposta é “significativa”. Por meio de dos processos, ou seja, podem rever esses dentro da própria empresa. “Há uma re- dela, é possível reduzir custos, aumentar a perfis e também se os usuários que partici- sistência nesse sentido”, explica fernando agilidade no fornecimento de acessos, da- param do provisionamento estão aprovan- leite, cIo regional da Esab para a Améri- dos mais claros e, principalmente, minimi- do as solicitações no momento adequado.” ca do Sul. Para divulgar o novo direciona- zar os riscos com a questão da segurança. E as empresas somente começam a buscar mento, a Esab trabalhou principalmente Segundo marcio ricardo Episcopo, geren- esse tipo de solução quando necessitam de a parte de comunicação com seus funcio- te de Vendas de Soluções da SAP a grande , uma aplicação mais crítica, de acordo com nários. “fizemos reuniões presenciais, Edison fontes, especialista em Segurança divulgamos o assunto no jornal interno e da Informação e professor da fIAP . também via e-mail. mesmo assim, ainda aconteceu casos de usuários reclamando Envolvimento e clareza sobre a perda de acesso”, diz leite. A gestão de identidade permite à empre- o ganho de agilidade na autorização de sa tomar as decisões adequadas e não ter acesso foi obtido pela Esab e também pela problemas com dados levantados em audi- cSn. Almir Xavier, da gerência de ris- torias. “Por isso é importante documentar cos corporativos da cSn, diz que um dos e justificar todas as autorizações. Em caso ganhos obtidos com essa ferramenta foi o de ocorrer alguma inspeção, a ferramenta prazo médio de cinco dias para conceder permite que eu obtenha os dados da pessoa acesso. “Sem esse gerenciamento, esse pe- que concedeu o acesso, sob quais tipos de ríodo era muito maior.” Para a Esab, trou- circunstâncias, por quanto tempo, entre xe uma redução de 1/5 do tempo para fazer outras informações. a análise e liberação de acesso. “A seguran- Por onde é possível começar a implan- ça é o controle”, finaliza. 26 rISK report
  24. 24. Entre nessaProgramação!próximos temas:Cloud ComputingRedes Sociais: Controlar o IncontrolávelProntuário EletrônicoVarejo Digital: Como competir em um mundo globalizado, multicanal e colaborativoSegurança Pública: Como o Brasil está se preparando para a Copa dasConfederações; Copa do Mundo e OlimpíadasOutsourcing 2.0 e BPO: Custo X desempenhoFirewall de próxima geração: Funcionalidade, Disponibilidade e ConectividadeGestão de Risco, Segurança da Informação e MonitoraçãoNF-e, SPED Contábil e SPED Fiscal: Operacionalização, Impactos e BenefíciosGestão em Contact CenterFraudes Eletrônicas – Como PrevenirMobilidade Segura: Novas Soluções de NegóciosComércio Eletrônico: Evolução e Prevenção às FraudesCrimes Digitais: O Impacto no Comércio Eletrônico 2 011Informações: +55 (11) 5049-0202contato@conteudoeditorial.com.br

×