SlideShare uma empresa Scribd logo

Rising cyber threats

MDS Portugal
MDS Portugal

O documento discute (1) os métodos de ataque cibernético e seu impacto nos negócios, (2) como ataques sofisticados podem comprometer grandes quantidades de dados e causar perdas financeiras significativas, e (3) a necessidade de empresas implementarem medidas preventivas e um programa de segurança cibernética abrangente para lidar com a crescente ameaça de crimes cibernéticos.

Negócios
1 de 7
Rising to the cyber threat Enfrentando a ameaça cibernética DOSSIER 01 Cyber attack methods and business impact Métodos de ciberataque e impacto nos negócios 02 A recipe for cyber defence Uma receita para a ciberdefesa 03 Cyber: this risk is real and needs to be managed Cibersegurança: o risco é real e é preciso geri­‑lo 04 “To Boldly Go”……… Avançar com coragem……… 05 Awareness key to cyber risk transfer demand Consciencialização do risco cibernético: essencial para a procura de soluções de transferência MDS Magazine
©Nicolau Rising to the cyber threat Enfrentando a ameaça cibernética 88  fullcover
C yber risk is big news at the moment as individuals, businesses and governments allovertheworldwakeuptothefactthatthe global economy is now run on a technology that is vulnerable and potentially catastrophically so. Thenumberofdetectedcyber­‑attacksskyrocketedin 2014,up48percentfrom2013.Theexpectednumberof attacksisexpectedtosurgeto42.8millionorroughly117 339attackseachdayaccordingtoconsultingfirmPWC. In recent research undertaken by global insurance group AIG, 86% of those asked (including risk managers, brokers and C­‑suite executives) said they were ‘very’ or ‘somewhat’ concerned about cyber risk. But while this is a very real and scary risk it can be managed and to an extent transferred to the insurance market. In the following collection of articles experts in the field explain to Fullcover readers the scale of the risk, how it has recently evolved and where it is likely to head next. Critically the authors also explain how this risk can be identified, measured, managed and ultimately transferred to a fast­‑developing cyber risk insurance market. For companies, this risk needs to be managed on an enterprise wide basis. This cannot be managed in isolation by the IT department, legal or risk and insurance.Thisneedsastructured,plannedandgroup effort to ensure that the benefits of the technological age outweigh the risks. O risco cibernético está na ordem do dia numa altura em que as pessoas, as empre- sas e os governos de todo o mundo desper- tam o facto de que hoje a economia global funciona com base numa tecnologia que é vulnerável e de uma forma potencialmente catastrófica. Onúmerodeciberataquesdetetadossubiuemflecha em2014,mais48%doqueem2013.Segundoaempresa de consultoria PWC, o número de ataques em 2015 deverá ascender a 42,8 milhões ou aproximadamente 117 339 por dia. Numa investigação recente levada a cabo pela AIG, 86% dos inquiridos (incluindo gestores de risco, corre- tores e executivos de topo) afirmaram estar “muito” ou “de alguma forma» preocupados com os riscos cibernéticos. Mas, embora este seja um risco real e assustador, pode ser gerido e, em certa medida, transferido para o mercado de seguros. Na compilação de artigos seguinte, especialistas da área explicam aos leitores da Fullcover a dimensão do risco,aformacomoprogrediurecentementeecomose prevê que evolua nos próximos tempos. Osautoresexplicamtambémaformacomoesterisco pode ser identificado, avaliado, gerido e, em última instância, transferido para um mercado de seguros de risco cibernético em franco desenvolvimento. Nas empresas, este risco tem de ser gerido numa perspetiva abrangente: trata­‑se de um risco que não pode ser tratado isoladamente pelo departamento de TI, pelo departamento jurídico, ou pelo departamento de risco e seguros. Tem de ser um esforço estruturado, planeado e conjunto que assegure que os benefícios da era tecnológica se sobrepõem aos riscos. MDS Magazine   89
Ernest Legrand, Chief Executive Officer at New York­‑based technology company WEBCBG and a Specialized Resource Member of Brokerslink, advises business leaders to address cyber risk and take active steps to identify, assess and manage the risk on an enterprise wide basis. Ernest Legrand, CEO da empresa de base tecnológica sediada em Nova Iorque WEBCBG, e Specialized Resource Member da Brokerslink, aconselha os responsáveis das empresas a encarar o risco cibernético e a agir ativamente, tomando medidas para identificar, avaliar e gerir o risco de forma transversal nas empresas. Cyber attack methods and business impact Métodos de ciberataque e impacto nos negócios 01 W hen Jimi Hendrix sang Elmore James' Bleeding Heart, little did he know that he would be a victim of copyright theft after his death in 1970. The song portrayed desolation and heartbreak and today the HeartbleedBugthatleft300,000webservers vulnerable in 2014 ironically conveys the same message. The bug along with scores of cyber­‑attack methods threatens to bleedouthundredsofmillionsofdollarsfrombusinesses andgovernmententerprisesacrossnationalitiescausing muchanxietyanddespair.TheenduringShellshockbug makes 70% of all machines vulnerable and has been going undetected for the last 20 years. With 120,000 incoming cyber attacks every day growing at 60% annually it is no surprise that cyber security is quickly gaining prominence within IT budgets and enterprise risk management programs. ©Nicolau fullcover 90 cyber
In 2013, 3,000 US companies were unaware of cyber intrusions until notified by the FBI, while for organizations with security incidents the average annual monetary loss was approximately $400,000 in 2014. Cyber exploits are not limited to large businesses, critical infrastructure, government or large supply chains, anyone and everyone are at risk. How then can businesses address this pressing issue of a robust cyber security program? Though there are several good frameworks available most start with first step as classification and identification of cyber­‑attack methodsthatarekeytoanalyzingmotivesanddamage mitigation. Whether incidents are state sponsored, propaganda or criminal by nature or by hactivists, the annualcosttotheglobaleconomyfromcybercrimesis between$300and$500billionasestimatedbyMcAfee. The gravity of this issue prompted US President’s 2013 Executive Order on improving cyber security and the formation of the National Institute of Standards and Technology (NIST) Cyber security Framework. Unfortunatelycybercrimelandscapeisnotjustabout organized theft, it is also about increasing complexity and sophisticated techniques. A mapping of the major cyber­‑attacks identifies creative combinations of well­ ‑known cyber methods such as: (1) Malware: Virus, worms, Trojan horse, spyware, adware, scareware; (2) SQL Injection: Malicious SQL commands; (3) Spear phishing: Targeted email scam; (4) DDoS: Attack on Network, system or online service availability; (5) XSS Attacks: Malicious scripts on web sites; (6) Watering Hole: Opportunistic attack through a malicious code on a webpage; (7) APT or “Advanced Persistent Threat”: A persistent relentless and undetected attack targeting sensitivedataorintellectualproperty,makingrecovery and detection a costly proposition. The severity of sophisticated attacks can be understoodfromthefactthatAdobehadits150million customer data compromised in 2013 as an effect of Malware and APT injected into its systems. Target Inc. also paid the price with personal information of 70 million people and card data of 40 million compromised in a combined APT, malware and spear phishing attack. JP Morgan suffered from a three month undetected cyber­‑attack giving hackers the highest level of administrative privileges on more than 90 of the bank’s servers in 2014. Consequently data pertaining to 76 million households and 7 million small businesses was breached. Astonishingly nine other financial institutions were also attacked by the same group said to be originating from Russia. New technologies have fuelled new attack tactics. Point of Sale systems, Digital payment systems, Internet Of Things, Clouds and Mobility have added newdimensionswithrisingwormsandvirusesmaking way through vulnerable systems. No matter what methods are used whether external or internal, on desktop or mobile systems, businesses today are challenged with maintaining corporate credibility and securing sensitive data with major cost implications after a cyber attack. Lost business and erosion of customer trust can Q uandoJimiHendrixcantouBleedingHeart de Elmore James, estava longe de imagi- nar que viria a ser vítima de usurpação de direitosdeautorapósasuamorteem1970. A canção falava de desolação e desgosto, e o HeartbleedBug,queem2014colocou300000servido- resdaInternetemsituaçãodevulnerabilidade,veicula, ironicamente, a mesma mensagem. Juntamente com inúmeros outros métodos de ciberataque, este bug ameaça desviar centenas de milhões de dólares de empresas e instituições governamentais de diferen- tes nacionalidades, provocando grande preocupação e ansiedade. O resistente Shellshock Bug afeta de cerca de 70 % das máquinas em termos de vulnerabilidade e tem permanecido indetetável nos últimos 20 anos. Com120000novosciberataquespordia,eumcresci- mentoanualde60%,nãoédesurpreenderqueaciber- segurança comece a adquirir uma crescente impor- tância nos orçamentos das áreas das Tecnologias de Informação(TI)enosprogramasdegestãodoriscodas empresas. Em 2013, 3000 empresas norte­‑americanas não tinham conhecimento de que estavam a ser alvo de intrusões cibernéticas até serem notificadas nesse sentido pelo FBI e, em 2014, as organizações que sofre- ramquebrasdesegurançaregistaramumamédiaanual de perdas pecuniárias de cerca de 400 000 dólares. Os riscos cibernéticos não se limitam apenas a gran- des empresas, infraestruturas críticas, governos ou grandes cadeias de abastecimento; ninguém está a salvo. Como poderão as empresas enfrentar a neces- sidade urgente de um programa sólido de segurança cibernética? Apesar de existirem vários frameworks de qualidade, a maior parte começa pela classifica- ção e identificação de métodos de ciberataque que são decisivos para a análise da motivação e para a mitiga- ção dos danos. Quer se trate de incidentes patrocina- dosporEstados,propaganda,atoscriminososemsi,ou levadosacaboporhactivists(hackersativistas),ocusto anual da cibercriminalidade para a economia global é de 300 a 500 mil milhões de dólares, na estimativa da McAfee. A gravidade do problema esteve na origem da “Executie Order” do Presidente dos EUA de 2013, e dacriaçãodoCyberSecurityFramework,peloNational Institute of Standards and Technology (NIST). Infelizmente, o panorama da cibercriminalidade não se limita apenas ao roubo organizado, tendo igual- mente a ver com uma crescente complexidade e técni- cas sofisticadas. Um mapeamento dos principais cibe- rataques identifica combinações criativas de métodos cibernéticos conhecidos, designadamente os seguin- tes:(1)Malware:vírus,worms,cavalodeTróia,spyware, adware, scareware; (2) Injeção de SQL: comandos SQL; (3) Spear phishing: e­‑mails fraudulentos; (4) DDoS: ataques que bloqueiam a disponibilidade de serviços na rede, no sistema ou on­‑line; (5) Ataques XSS: scripts maliciosos escondidos em websites; (6) Watering Hole: ataque oportunístico através da introdução de um código malicioso numa página na Internet; (7) APT ou “Advanced Persistent Threat”: ataque persistente, implacável e indetetável visando dados confidenciais ou propriedade intelectual, sendo a operação de dete- ção e recuperação dispendiosa. MDS Magazine cyber  91
A gravidade destes ataques sofisticados pode ser demonstrada pelo facto de, em 2013, a Adobe ter visto comprometidososdadosde150milhõesdosseusclien- tescomoresultadodemalwareeAPTinjetadosnosseus sistemas.ATargetInc.tambémtevedepagarumpreço elevado pelo facto de dados pessoais de 70 milhões de pessoas e de os dados de 40 milhões de cartões terem ficadocomprometidosnasequênciadeumataqueque combinou APT, malware e spear phishing. Em 2014 a JP Morgan foi alvo, durante três meses, de um cibe- rataque não detetado que conferiu aos hackers o mais elevado nível de acesso a mais de 90 dos servidores do banco. Consequentemente, foi violada a confidencia- lidade dos dados de 76 milhões de famílias e de sete milhões de pequenos negócios. Surpreendentemente, nove outras instituições financeiras foram também alvodeataquepelomesmogrupo,alegadamenteorigi- nário da Rússia. Novas tecnologias têm permitido novas táticas de ataque. Sistemas de ponto de venda (POS), sistemas de pagamento digital, a Internet das Coisas, a compu- tação em nuvem e a utilização de suportes móveis têm acrescentado novas dimensões, com um número crescente de worms e vírus penetrando em sistemas vulneráveis. Independentementedosmétodosutilizados–exter- nos ou internos, em desktop ou sistemas móveis – as empresas são hoje confrontadas com a necessidade de manteracredibilidadecorporativaedeprotegerdados confidenciais, com enormes consequências no que diz respeito aos custos após um ciberataque. A perda de negócio e a diminuição da confiança dos clientes podem ter consequências duradouras para a imagem da marca e para a reputação da empresa, construídas aolongodosanos,enquantoasentidadesgovernamen- taistêmdeenfrentarasconsequênciasnocivasdacibe- respionagem que constitui uma ameaça para os servi- ços públicos ou mesmo para a segurança nacional. Oransomwareéanovatendênciadeataquecibernético que ameaça tanto os utilizadores individuais como as empresas com pedidos de resgate para a recuperação dos seus próprios dados. Paraseprotegeremdacibercriminalidade,asempre- sas de hoje precisam de compreender de que forma poderão implementar medidas preventivas através de um sistema organizativo de cibersegurança. have enduring consequences on brand image and company reputation that are built over years, while governmental enterprises have to face damaging consequencesofcyberespionagethreateningnational utilities or even national security. Ransomware is the new trend of cyber­‑attacks that threaten individual users and enterprises altogether with ransom for the recovery of their own data. Businesses today need to understand how key preventive measures can be implemented through an organizational cyber security framework to address cybercrime.Astepwiseapproachtoformingastrategy would include: 1. Commission an IT system vulnerability assessment to identify and evaluate inside and outside sources including contractors, third party vendors, and employees. 2. Define day­‑to­‑day security procedures 3. Secure IT systems: a. Activate firewall b. Test vendor systems before giving access to the internal network c. Use latest versions of anti­‑virus, anti­‑ spyware software d. Test mobile devices for vulnerabilities e. Monitor internet connection 4. Use “white hat”1 hackers to test the implementation 5. Set up intellectual property agreements 6. Execute regular system updates and turn on automatic updates for all Operating Systems 7. Update and evaluate commonly used software: Java, Adobe Reader, Microsoft Office, Flash, Internet Explorer: all have carried vulnerabilities at one stage or the other 8. Change passwords frequently and stay cautious while using public computers 9. Never click on email links or download attachments without verifying authenticity 10. Ensure the senior management regularly communicate to the employee on safe cyberspace behavior and security awareness training According to recent surveys, best practices such as IT system vulnerability assessment, account/ password­‑management policy, cyber risks inclusion in enterprise risk­‑management program, intrusion detection system have been reported as successful deterrents by governmental organizations. fullcover 92 cyber
Uma abordagem faseada para delinear uma estratégia de cibersegurança incluirá: 1. efetuar uma análise da vulnerabilidade do sistema de TI para identificar e avaliar as fontes internas e externas, incluindo adjudicatários, fornecedores subcontratados, e empregados; 2. definir procedimentos de segurança no dia a dia; 3. proteger os sistemas de TI: a. ativar firewalls, b. testar os sistemas dos fornecedores antes de lhes dar acesso à rede interna, c. utilizar as versões mais atualizadas de software antivírus e antispyware, d. testar a vulnerabilidade dos dispositivos móveis, e. monitorizar a ligação à Internet; 4. utilizar hackers ‘de chapéu branco’1 para testar a implementação; 5. celebrar acordos de proteção da propriedade intelectual; 6. executar atualizações periódicas do sistema e ativar atualizações automáticas para todos os sistemas operativos; 7. atualizar e avaliar o software mais utilizado: Java, Adobe Reader, Microsoft Office, Flash, Internet Explorer: todos estes programas revelaram vulnerabilidades, em determinada altura; 8. alterar frequentemente as palavras­‑passe e manter uma atitude prudente ao utilizar computadores públicos; 9. nunca clicar em hiperligações de e­‑mail nem efetuar o download de anexos sem verificar a sua autenticidade; 10. assegurar a existência de informação frequentemente aos colaboradores, por parte da administração e direção da empresa, sobre comportamento seguro no ciberespaço e sobre programas de sensibilização para a segurança. Estudos recentes revelam que boas práticas, tais como aavaliaçãodavulnerabilidadedossistemasdeTI,uma política de gestão de contas / palavras­‑passe, a inclu- são de riscos cibernéticos nos programas de gestão do risco, ou a adoção de sistemas de deteção de intrusões, têm sido consideradas como medidas preventivas de sucesso nas organizações governamentais. 1 Nota do tradutor: “white hat” também designados por “ethical hackers” (hackers éticos), atuam com vista à proteção da empresa. Ernest Legrand chief executive officer at webcbg The company focus areas include advanced software development leveraging big data analytics and data visualization techniques in the insurance industry, as well as mobile application and digital marketing. WEBCBG has recently released Glossarisk, the first insurance glossary on mobile devices, in association with IRMI (International Risk Management Institute). To bring the greatest value to clients and provide competitive advantage, WEBCBG utilizes the latest technologies in a cloud computing environment to develop powerful and sophisticated capabilities that were only affordable to large enterprises until recently. Prior to joining WEBCBG, Ernest was a senior executive at IBM. He was Vice President of Global Marketing & Strategy for IBM in the Insurance and Banking industries for 6 years and then was appointed Vice President Global Marketing & Strategy for ibm.com, the IBM corporate portal over 96 countries. He was also the Chair of the IBM Web Community worldwide. He has executed numerous Internet campaigns and created Web content organizations around the world. Part of his responsibilities included the IBM Web user experience, the traffic generation and the level of client services. Before joining the global business operations, Ernest was Director of IBM Corporate Internet strategy responsible for designing and implementing Web strategies to transform IBM into the world’s premier e­‑business. He owns a patent on push technology used by IBM sales organizations. Earlierinhiscareer,ErnestwasChiefMarketing OfficerandMemberoftheBoardatCGI,oneofthe largestSoftwareandServicesCompanyinEurope. As áreas de atividade core da empresa incluem o desenvolvimento de software avançado, para aproveitamento de análises de big data e de técnicas de visualização de dados, no setor dos seguros; bem como aplicações móveis e marketing digital. A WEBCBG lançou recentemente, em associação com o IRMI – Instituto Internacional de Gestão de Risco, o Glossarisk, o primeiro glossário de seguros para dispositivos móveis. Para reforçar o valor oferecido aos clientes e conseguir uma vantagem competitiva, a WEBCBG utiliza as mais recentes tecnologias num ambiente de computação ‘na nuvem’, de modo a desenvolver capacidades reforçadas e sofisticadas que, até recentemente, estavam apenas acessíveis às grandes empresas. AntesdesejuntaràequipadaWEBCBG,Legrand eraexecutivoséniornaIBM.Aolongodeseisanos, foivice­‑presidentedaáreademarketingglobale estratégianaIBM,paraossetoresdosseguroseda banca.Foidepoisnomeadovice­‑presidentedaárea demarketingglobaleestratégianaibm.com, noportalcorporativodaIBMpara96países.Foi tambémpresidentemundialdacomunidade daIBMnaWeb.Executouváriascampanhasna InternetecriouredesdeconteúdoWebemtodoo mundo.Nasresponsabilidadesqueentãoassumiu incluía­‑seaexperiênciadoutilizadordositeda IBM,ageraçãodetráfego,eoníveldequalidade dosserviçosprestadosaosclientes.Antesde integraraáreacomercial,Legrandfoidiretorda estratégiacorporativadaIBMparaaInternet, cargoemqueseresponsabilizoupelaconceçãoe implementaçãodeestratégiasWebparatornara IBMnaprincipalempresadee­‑businessdomundo. Legranddetémumapatentesobreatecnologia push,utilizadapelaforçadevendasdaIMB. No início da sua carreira, Legrand foi diretor de marketing e membro do Conselho de Administração da CGI, uma das maiores empresas de software e serviços na Europa. MDS Magazine cyber  93

Recomendados

[CLASS 2014] Palestra Técnica - William Beer
[CLASS 2014] Palestra Técnica - William Beer[CLASS 2014] Palestra Técnica - William Beer
[CLASS 2014] Palestra Técnica - William BeerTI Safe
 
FULLCOVER | Cyber risk dossier | To boldly go
FULLCOVER | Cyber risk dossier | To boldly goFULLCOVER | Cyber risk dossier | To boldly go
FULLCOVER | Cyber risk dossier | To boldly goMDS Portugal
 
Symantec - Inovação Hacker: de espionagem industrial por drones a estímulos m...
Symantec - Inovação Hacker: de espionagem industrial por drones a estímulos m...Symantec - Inovação Hacker: de espionagem industrial por drones a estímulos m...
Symantec - Inovação Hacker: de espionagem industrial por drones a estímulos m...Symantec Brasil
 
II Conferência do Cyber Manifesto
II Conferência do Cyber ManifestoII Conferência do Cyber Manifesto
II Conferência do Cyber ManifestoMódulo Security Solutions
 
Segurança da Informação na era do IoT: conectividade, e ameaças, por todos os...
Segurança da Informação na era do IoT: conectividade, e ameaças, por todos os...Segurança da Informação na era do IoT: conectividade, e ameaças, por todos os...
Segurança da Informação na era do IoT: conectividade, e ameaças, por todos os...Symantec Brasil
 
Introdução ds8 v1
Introdução ds8 v1Introdução ds8 v1
Introdução ds8 v1smichiel
 
ISTR20 - Internet Security Report
ISTR20 - Internet Security ReportISTR20 - Internet Security Report
ISTR20 - Internet Security ReportSymantec Brasil
 
Paper Técnico: Ransomware em infraestruturas críticas. O que nos espera depo...
Paper Técnico: Ransomware em infraestruturas críticas. O que nos espera depo...Paper Técnico: Ransomware em infraestruturas críticas. O que nos espera depo...
Paper Técnico: Ransomware em infraestruturas críticas. O que nos espera depo...TI Safe
 

Recomendados

[CLASS 2014] Palestra Técnica - William Beer
[CLASS 2014] Palestra Técnica - William Beer[CLASS 2014] Palestra Técnica - William Beer
[CLASS 2014] Palestra Técnica - William BeerTI Safe
 
FULLCOVER | Cyber risk dossier | To boldly go
FULLCOVER | Cyber risk dossier | To boldly goFULLCOVER | Cyber risk dossier | To boldly go
FULLCOVER | Cyber risk dossier | To boldly goMDS Portugal
 
Symantec - Inovação Hacker: de espionagem industrial por drones a estímulos m...
Symantec - Inovação Hacker: de espionagem industrial por drones a estímulos m...Symantec - Inovação Hacker: de espionagem industrial por drones a estímulos m...
Symantec - Inovação Hacker: de espionagem industrial por drones a estímulos m...Symantec Brasil
 
II Conferência do Cyber Manifesto
II Conferência do Cyber ManifestoII Conferência do Cyber Manifesto
II Conferência do Cyber ManifestoMódulo Security Solutions
 
Segurança da Informação na era do IoT: conectividade, e ameaças, por todos os...
Segurança da Informação na era do IoT: conectividade, e ameaças, por todos os...Segurança da Informação na era do IoT: conectividade, e ameaças, por todos os...
Segurança da Informação na era do IoT: conectividade, e ameaças, por todos os...Symantec Brasil
 
Introdução ds8 v1
Introdução ds8 v1Introdução ds8 v1
Introdução ds8 v1smichiel
 
ISTR20 - Internet Security Report
ISTR20 - Internet Security ReportISTR20 - Internet Security Report
ISTR20 - Internet Security ReportSymantec Brasil
 
Paper Técnico: Ransomware em infraestruturas críticas. O que nos espera depo...
Paper Técnico: Ransomware em infraestruturas críticas. O que nos espera depo...Paper Técnico: Ransomware em infraestruturas críticas. O que nos espera depo...
Paper Técnico: Ransomware em infraestruturas críticas. O que nos espera depo...TI Safe
 
Fullcover 8 | A recipe for cyber defence
Fullcover 8 | A recipe for cyber defenceFullcover 8 | A recipe for cyber defence
Fullcover 8 | A recipe for cyber defenceMDS Portugal
 
FULLCOVER 9 - Enterprise Risk Management
FULLCOVER 9 - Enterprise Risk Management FULLCOVER 9 - Enterprise Risk Management
FULLCOVER 9 - Enterprise Risk Management MDS Portugal
 
Psocon2 15 9
Psocon2 15 9Psocon2 15 9
Psocon2 15 9Jaime Cubas López
 
Toxicologia laboral
Toxicologia laboralToxicologia laboral
Toxicologia laboralmarkvilleus
 
Pawan_Kumar_111
Pawan_Kumar_111Pawan_Kumar_111
Pawan_Kumar_111Pawan Yadav
 
Hak hak pekerja
Hak hak pekerjaHak hak pekerja
Hak hak pekerjaFebry Fitriani
 
VFProgram
VFProgramVFProgram
VFProgramScott VanDeman
 
Niños maltratados
Niños maltratadosNiños maltratados
Niños maltratadosguestdbc2
 
Ves llorar la biblia
Ves llorar la bibliaVes llorar la biblia
Ves llorar la bibliaSierra Francisco Justo
 
Gvis8 indicadores demograficos
Gvis8 indicadores demograficosGvis8 indicadores demograficos
Gvis8 indicadores demograficosMarlene Ricardo
 
Commodity Research Report 16 January 2017 Ways2Capital
Commodity Research Report 16 January 2017 Ways2CapitalCommodity Research Report 16 January 2017 Ways2Capital
Commodity Research Report 16 January 2017 Ways2CapitalWays2Capital | Investment Advisor
 
ff
ffff
ffScott VanDeman
 
Hg 56 en una clase htp
Hg 56 en una clase htpHg 56 en una clase htp
Hg 56 en una clase htpJaime Cubas López
 
CAHAYA
CAHAYACAHAYA
CAHAYADany Lastchild
 
FULLCOVER | Awareness key to cyber risk transfer demand
FULLCOVER | Awareness key to cyber risk transfer demandFULLCOVER | Awareness key to cyber risk transfer demand
FULLCOVER | Awareness key to cyber risk transfer demandMDS Portugal
 
Apresentação - Symantec
Apresentação - SymantecApresentação - Symantec
Apresentação - SymantecAntonio Balochini
 
Seminário Web Symantec
Seminário Web SymantecSeminário Web Symantec
Seminário Web Symantectechsoupbrasil
 
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...TI Safe
 
Cenário Brasileiro de Cybersegurança
Cenário Brasileiro de CybersegurançaCenário Brasileiro de Cybersegurança
Cenário Brasileiro de CybersegurançaArthur Cesar Oreana
 
UMA NOVA CATEGORIA: O CIBER SEGURO
UMA NOVA CATEGORIA: O CIBER SEGUROUMA NOVA CATEGORIA: O CIBER SEGURO
UMA NOVA CATEGORIA: O CIBER SEGUROÓscar Cardoso Vieira
 
Futuros ciberataques vão visar sobretudo as PME
Futuros ciberataques vão visar sobretudo as PMEFuturos ciberataques vão visar sobretudo as PME
Futuros ciberataques vão visar sobretudo as PMEMDS Portugal
 
Jornalismo em Segurança da Informação: Um nicho que virou uma nova editoria
Jornalismo em Segurança da Informação: Um nicho que virou uma nova editoriaJornalismo em Segurança da Informação: Um nicho que virou uma nova editoria
Jornalismo em Segurança da Informação: Um nicho que virou uma nova editoriaRamon de Souza
 

Mais conteúdo relacionado

Destaque

Fullcover 8 | A recipe for cyber defence
Fullcover 8 | A recipe for cyber defenceFullcover 8 | A recipe for cyber defence
Fullcover 8 | A recipe for cyber defenceMDS Portugal
 
FULLCOVER 9 - Enterprise Risk Management
FULLCOVER 9 - Enterprise Risk Management FULLCOVER 9 - Enterprise Risk Management
FULLCOVER 9 - Enterprise Risk Management MDS Portugal
 
Toxicologia laboral
Toxicologia laboralToxicologia laboral
Toxicologia laboralmarkvilleus
 
Niños maltratados
Niños maltratadosNiños maltratados
Niños maltratadosguestdbc2
 
Gvis8 indicadores demograficos
Gvis8 indicadores demograficosGvis8 indicadores demograficos
Gvis8 indicadores demograficosMarlene Ricardo
 

Destaque (14)

Fullcover 8 | A recipe for cyber defence
Fullcover 8 | A recipe for cyber defenceFullcover 8 | A recipe for cyber defence
Fullcover 8 | A recipe for cyber defence
 
FULLCOVER 9 - Enterprise Risk Management
FULLCOVER 9 - Enterprise Risk Management FULLCOVER 9 - Enterprise Risk Management
FULLCOVER 9 - Enterprise Risk Management
 
Psocon2 15 9
Psocon2 15 9Psocon2 15 9
Psocon2 15 9
 
Toxicologia laboral
Toxicologia laboralToxicologia laboral
Toxicologia laboral
 
Pawan_Kumar_111
Pawan_Kumar_111Pawan_Kumar_111
Pawan_Kumar_111
 
Hak hak pekerja
Hak hak pekerjaHak hak pekerja
Hak hak pekerja
 
VFProgram
VFProgramVFProgram
VFProgram
 
Niños maltratados
Niños maltratadosNiños maltratados
Niños maltratados
 
Ves llorar la biblia
Ves llorar la bibliaVes llorar la biblia
Ves llorar la biblia
 
Gvis8 indicadores demograficos
Gvis8 indicadores demograficosGvis8 indicadores demograficos
Gvis8 indicadores demograficos
 
Commodity Research Report 16 January 2017 Ways2Capital
Commodity Research Report 16 January 2017 Ways2CapitalCommodity Research Report 16 January 2017 Ways2Capital
Commodity Research Report 16 January 2017 Ways2Capital
 
ff
ffff
ff
 
Hg 56 en una clase htp
Hg 56 en una clase htpHg 56 en una clase htp
Hg 56 en una clase htp
 
CAHAYA
CAHAYACAHAYA
CAHAYA
 

Semelhante a Rising cyber threats

FULLCOVER | Awareness key to cyber risk transfer demand
FULLCOVER | Awareness key to cyber risk transfer demandFULLCOVER | Awareness key to cyber risk transfer demand
FULLCOVER | Awareness key to cyber risk transfer demandMDS Portugal
 
Seminário Web Symantec
Seminário Web SymantecSeminário Web Symantec
Seminário Web Symantectechsoupbrasil
 
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...TI Safe
 
Cenário Brasileiro de Cybersegurança
Cenário Brasileiro de CybersegurançaCenário Brasileiro de Cybersegurança
Cenário Brasileiro de CybersegurançaArthur Cesar Oreana
 
Futuros ciberataques vão visar sobretudo as PME
Futuros ciberataques vão visar sobretudo as PMEFuturos ciberataques vão visar sobretudo as PME
Futuros ciberataques vão visar sobretudo as PMEMDS Portugal
 
Jornalismo em Segurança da Informação: Um nicho que virou uma nova editoria
Jornalismo em Segurança da Informação: Um nicho que virou uma nova editoriaJornalismo em Segurança da Informação: Um nicho que virou uma nova editoria
Jornalismo em Segurança da Informação: Um nicho que virou uma nova editoriaRamon de Souza
 
SITI- Cibercrime - Fraudes com o Cartão de Crédito
SITI- Cibercrime - Fraudes com o Cartão de CréditoSITI- Cibercrime - Fraudes com o Cartão de Crédito
SITI- Cibercrime - Fraudes com o Cartão de CréditoVinicius Dantas Dos Santos
 
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...TI Safe
 
Dos crimes contra a inviolabilidade do sistema informático
Dos crimes contra a inviolabilidade do sistema informáticoDos crimes contra a inviolabilidade do sistema informático
Dos crimes contra a inviolabilidade do sistema informáticoJosé Mariano Araujo Filho
 
Tendências de Segurança Cibernética para 2016
Tendências de Segurança Cibernética para 2016Tendências de Segurança Cibernética para 2016
Tendências de Segurança Cibernética para 2016Edson Aguilera-Fernandes
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
A ameaça real do Phishing em nossas vidas.
A ameaça real do Phishing em nossas vidas.A ameaça real do Phishing em nossas vidas.
A ameaça real do Phishing em nossas vidas.Pedro Ivo Lima
 
Relatório IBM X-Force ameaças e tendências de riscos
Relatório IBM X-Force ameaças e tendências de riscos Relatório IBM X-Force ameaças e tendências de riscos
Relatório IBM X-Force ameaças e tendências de riscos Alexandre Freire
 
Grandes Mitos sobre Segurança Digital [Jornalismo em Movimento - 2018]
Grandes Mitos sobre Segurança Digital [Jornalismo em Movimento - 2018]Grandes Mitos sobre Segurança Digital [Jornalismo em Movimento - 2018]
Grandes Mitos sobre Segurança Digital [Jornalismo em Movimento - 2018]Ramon de Souza
 
Fatec 2020 Cybersecurity uma visão pratica e objetiva
Fatec 2020 Cybersecurity uma visão pratica e objetivaFatec 2020 Cybersecurity uma visão pratica e objetiva
Fatec 2020 Cybersecurity uma visão pratica e objetivaCLEBER VISCONTI
 

Semelhante a Rising cyber threats (20)

FULLCOVER | Awareness key to cyber risk transfer demand
FULLCOVER | Awareness key to cyber risk transfer demandFULLCOVER | Awareness key to cyber risk transfer demand
FULLCOVER | Awareness key to cyber risk transfer demand
 
Apresentação - Symantec
Apresentação - SymantecApresentação - Symantec
Apresentação - Symantec
 
Seminário Web Symantec
Seminário Web SymantecSeminário Web Symantec
Seminário Web Symantec
 
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
 
Cenário Brasileiro de Cybersegurança
Cenário Brasileiro de CybersegurançaCenário Brasileiro de Cybersegurança
Cenário Brasileiro de Cybersegurança
 
UMA NOVA CATEGORIA: O CIBER SEGURO
UMA NOVA CATEGORIA: O CIBER SEGUROUMA NOVA CATEGORIA: O CIBER SEGURO
UMA NOVA CATEGORIA: O CIBER SEGURO
 
Futuros ciberataques vão visar sobretudo as PME
Futuros ciberataques vão visar sobretudo as PMEFuturos ciberataques vão visar sobretudo as PME
Futuros ciberataques vão visar sobretudo as PME
 
Jornalismo em Segurança da Informação: Um nicho que virou uma nova editoria
Jornalismo em Segurança da Informação: Um nicho que virou uma nova editoriaJornalismo em Segurança da Informação: Um nicho que virou uma nova editoria
Jornalismo em Segurança da Informação: Um nicho que virou uma nova editoria
 
Mind The Sec - O Cibercrime também é Mobile
Mind The Sec - O Cibercrime também é MobileMind The Sec - O Cibercrime também é Mobile
Mind The Sec - O Cibercrime também é Mobile
 
SITI- Cibercrime - Fraudes com o Cartão de Crédito
SITI- Cibercrime - Fraudes com o Cartão de CréditoSITI- Cibercrime - Fraudes com o Cartão de Crédito
SITI- Cibercrime - Fraudes com o Cartão de Crédito
 
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
 
Dos crimes contra a inviolabilidade do sistema informático
Dos crimes contra a inviolabilidade do sistema informáticoDos crimes contra a inviolabilidade do sistema informático
Dos crimes contra a inviolabilidade do sistema informático
 
Capitulo9788575221365
Capitulo9788575221365Capitulo9788575221365
Capitulo9788575221365
 
Tendências de Segurança Cibernética para 2016
Tendências de Segurança Cibernética para 2016Tendências de Segurança Cibernética para 2016
Tendências de Segurança Cibernética para 2016
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
A ameaça real do Phishing em nossas vidas.
A ameaça real do Phishing em nossas vidas.A ameaça real do Phishing em nossas vidas.
A ameaça real do Phishing em nossas vidas.
 
Relatório IBM X-Force ameaças e tendências de riscos
Relatório IBM X-Force ameaças e tendências de riscos Relatório IBM X-Force ameaças e tendências de riscos
Relatório IBM X-Force ameaças e tendências de riscos
 
Grandes Mitos sobre Segurança Digital [Jornalismo em Movimento - 2018]
Grandes Mitos sobre Segurança Digital [Jornalismo em Movimento - 2018]Grandes Mitos sobre Segurança Digital [Jornalismo em Movimento - 2018]
Grandes Mitos sobre Segurança Digital [Jornalismo em Movimento - 2018]
 
Fatec 2020 Cybersecurity uma visão pratica e objetiva
Fatec 2020 Cybersecurity uma visão pratica e objetivaFatec 2020 Cybersecurity uma visão pratica e objetiva
Fatec 2020 Cybersecurity uma visão pratica e objetiva
 

Último

representações cartograficas - 1 ano.pptx
representações cartograficas - 1 ano.pptxrepresentações cartograficas - 1 ano.pptx
representações cartograficas - 1 ano.pptxCarladeOliveira25
 
Conferência SC 24 | Estratégias de precificação: loja própria e marketplace
Conferência SC 24 | Estratégias de precificação: loja própria e marketplaceConferência SC 24 | Estratégias de precificação: loja própria e marketplace
Conferência SC 24 | Estratégias de precificação: loja própria e marketplaceE-Commerce Brasil
 
Ranking Brasil abril 2024 sites de notícias.pdf
Ranking Brasil abril 2024 sites de notícias.pdfRanking Brasil abril 2024 sites de notícias.pdf
Ranking Brasil abril 2024 sites de notícias.pdfRevista Sociedade Militar
 
Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...
Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...
Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...E-Commerce Brasil
 
Products Catalogue-01-Electronics thin wall heat shrink tubing wire and cable...
Products Catalogue-01-Electronics thin wall heat shrink tubing wire and cable...Products Catalogue-01-Electronics thin wall heat shrink tubing wire and cable...
Products Catalogue-01-Electronics thin wall heat shrink tubing wire and cable...Welldonelily Skype
 
EP GRUPO - Mídia Kit 2024 - conexão de marcas e personagens
EP GRUPO - Mídia Kit 2024 - conexão de marcas e personagensEP GRUPO - Mídia Kit 2024 - conexão de marcas e personagens
EP GRUPO - Mídia Kit 2024 - conexão de marcas e personagensLuizPauloFerreira11
 
Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...
Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...
Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...E-Commerce Brasil
 
Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?
Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?
Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?E-Commerce Brasil
 

Último (8)

representações cartograficas - 1 ano.pptx
representações cartograficas - 1 ano.pptxrepresentações cartograficas - 1 ano.pptx
representações cartograficas - 1 ano.pptx
 
Conferência SC 24 | Estratégias de precificação: loja própria e marketplace
Conferência SC 24 | Estratégias de precificação: loja própria e marketplaceConferência SC 24 | Estratégias de precificação: loja própria e marketplace
Conferência SC 24 | Estratégias de precificação: loja própria e marketplace
 
Ranking Brasil abril 2024 sites de notícias.pdf
Ranking Brasil abril 2024 sites de notícias.pdfRanking Brasil abril 2024 sites de notícias.pdf
Ranking Brasil abril 2024 sites de notícias.pdf
 
Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...
Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...
Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...
 
Products Catalogue-01-Electronics thin wall heat shrink tubing wire and cable...
Products Catalogue-01-Electronics thin wall heat shrink tubing wire and cable...Products Catalogue-01-Electronics thin wall heat shrink tubing wire and cable...
Products Catalogue-01-Electronics thin wall heat shrink tubing wire and cable...
 
EP GRUPO - Mídia Kit 2024 - conexão de marcas e personagens
EP GRUPO - Mídia Kit 2024 - conexão de marcas e personagensEP GRUPO - Mídia Kit 2024 - conexão de marcas e personagens
EP GRUPO - Mídia Kit 2024 - conexão de marcas e personagens
 
Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...
Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...
Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...
 
Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?
Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?
Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?
 

Rising cyber threats

  • 1. Rising to the cyber threat Enfrentando a ameaça cibernética DOSSIER 01 Cyber attack methods and business impact Métodos de ciberataque e impacto nos negócios 02 A recipe for cyber defence Uma receita para a ciberdefesa 03 Cyber: this risk is real and needs to be managed Cibersegurança: o risco é real e é preciso geri­‑lo 04 “To Boldly Go”……… Avançar com coragem……… 05 Awareness key to cyber risk transfer demand Consciencialização do risco cibernético: essencial para a procura de soluções de transferência MDS Magazine
  • 2. ©Nicolau Rising to the cyber threat Enfrentando a ameaça cibernética 88  fullcover
  • 3. C yber risk is big news at the moment as individuals, businesses and governments allovertheworldwakeuptothefactthatthe global economy is now run on a technology that is vulnerable and potentially catastrophically so. Thenumberofdetectedcyber­‑attacksskyrocketedin 2014,up48percentfrom2013.Theexpectednumberof attacksisexpectedtosurgeto42.8millionorroughly117 339attackseachdayaccordingtoconsultingfirmPWC. In recent research undertaken by global insurance group AIG, 86% of those asked (including risk managers, brokers and C­‑suite executives) said they were ‘very’ or ‘somewhat’ concerned about cyber risk. But while this is a very real and scary risk it can be managed and to an extent transferred to the insurance market. In the following collection of articles experts in the field explain to Fullcover readers the scale of the risk, how it has recently evolved and where it is likely to head next. Critically the authors also explain how this risk can be identified, measured, managed and ultimately transferred to a fast­‑developing cyber risk insurance market. For companies, this risk needs to be managed on an enterprise wide basis. This cannot be managed in isolation by the IT department, legal or risk and insurance.Thisneedsastructured,plannedandgroup effort to ensure that the benefits of the technological age outweigh the risks. O risco cibernético está na ordem do dia numa altura em que as pessoas, as empre- sas e os governos de todo o mundo desper- tam o facto de que hoje a economia global funciona com base numa tecnologia que é vulnerável e de uma forma potencialmente catastrófica. Onúmerodeciberataquesdetetadossubiuemflecha em2014,mais48%doqueem2013.Segundoaempresa de consultoria PWC, o número de ataques em 2015 deverá ascender a 42,8 milhões ou aproximadamente 117 339 por dia. Numa investigação recente levada a cabo pela AIG, 86% dos inquiridos (incluindo gestores de risco, corre- tores e executivos de topo) afirmaram estar “muito” ou “de alguma forma» preocupados com os riscos cibernéticos. Mas, embora este seja um risco real e assustador, pode ser gerido e, em certa medida, transferido para o mercado de seguros. Na compilação de artigos seguinte, especialistas da área explicam aos leitores da Fullcover a dimensão do risco,aformacomoprogrediurecentementeecomose prevê que evolua nos próximos tempos. Osautoresexplicamtambémaformacomoesterisco pode ser identificado, avaliado, gerido e, em última instância, transferido para um mercado de seguros de risco cibernético em franco desenvolvimento. Nas empresas, este risco tem de ser gerido numa perspetiva abrangente: trata­‑se de um risco que não pode ser tratado isoladamente pelo departamento de TI, pelo departamento jurídico, ou pelo departamento de risco e seguros. Tem de ser um esforço estruturado, planeado e conjunto que assegure que os benefícios da era tecnológica se sobrepõem aos riscos. MDS Magazine   89
  • 4. Ernest Legrand, Chief Executive Officer at New York­‑based technology company WEBCBG and a Specialized Resource Member of Brokerslink, advises business leaders to address cyber risk and take active steps to identify, assess and manage the risk on an enterprise wide basis. Ernest Legrand, CEO da empresa de base tecnológica sediada em Nova Iorque WEBCBG, e Specialized Resource Member da Brokerslink, aconselha os responsáveis das empresas a encarar o risco cibernético e a agir ativamente, tomando medidas para identificar, avaliar e gerir o risco de forma transversal nas empresas. Cyber attack methods and business impact Métodos de ciberataque e impacto nos negócios 01 W hen Jimi Hendrix sang Elmore James' Bleeding Heart, little did he know that he would be a victim of copyright theft after his death in 1970. The song portrayed desolation and heartbreak and today the HeartbleedBugthatleft300,000webservers vulnerable in 2014 ironically conveys the same message. The bug along with scores of cyber­‑attack methods threatens to bleedouthundredsofmillionsofdollarsfrombusinesses andgovernmententerprisesacrossnationalitiescausing muchanxietyanddespair.TheenduringShellshockbug makes 70% of all machines vulnerable and has been going undetected for the last 20 years. With 120,000 incoming cyber attacks every day growing at 60% annually it is no surprise that cyber security is quickly gaining prominence within IT budgets and enterprise risk management programs. ©Nicolau fullcover 90 cyber
  • 5. In 2013, 3,000 US companies were unaware of cyber intrusions until notified by the FBI, while for organizations with security incidents the average annual monetary loss was approximately $400,000 in 2014. Cyber exploits are not limited to large businesses, critical infrastructure, government or large supply chains, anyone and everyone are at risk. How then can businesses address this pressing issue of a robust cyber security program? Though there are several good frameworks available most start with first step as classification and identification of cyber­‑attack methodsthatarekeytoanalyzingmotivesanddamage mitigation. Whether incidents are state sponsored, propaganda or criminal by nature or by hactivists, the annualcosttotheglobaleconomyfromcybercrimesis between$300and$500billionasestimatedbyMcAfee. The gravity of this issue prompted US President’s 2013 Executive Order on improving cyber security and the formation of the National Institute of Standards and Technology (NIST) Cyber security Framework. Unfortunatelycybercrimelandscapeisnotjustabout organized theft, it is also about increasing complexity and sophisticated techniques. A mapping of the major cyber­‑attacks identifies creative combinations of well­ ‑known cyber methods such as: (1) Malware: Virus, worms, Trojan horse, spyware, adware, scareware; (2) SQL Injection: Malicious SQL commands; (3) Spear phishing: Targeted email scam; (4) DDoS: Attack on Network, system or online service availability; (5) XSS Attacks: Malicious scripts on web sites; (6) Watering Hole: Opportunistic attack through a malicious code on a webpage; (7) APT or “Advanced Persistent Threat”: A persistent relentless and undetected attack targeting sensitivedataorintellectualproperty,makingrecovery and detection a costly proposition. The severity of sophisticated attacks can be understoodfromthefactthatAdobehadits150million customer data compromised in 2013 as an effect of Malware and APT injected into its systems. Target Inc. also paid the price with personal information of 70 million people and card data of 40 million compromised in a combined APT, malware and spear phishing attack. JP Morgan suffered from a three month undetected cyber­‑attack giving hackers the highest level of administrative privileges on more than 90 of the bank’s servers in 2014. Consequently data pertaining to 76 million households and 7 million small businesses was breached. Astonishingly nine other financial institutions were also attacked by the same group said to be originating from Russia. New technologies have fuelled new attack tactics. Point of Sale systems, Digital payment systems, Internet Of Things, Clouds and Mobility have added newdimensionswithrisingwormsandvirusesmaking way through vulnerable systems. No matter what methods are used whether external or internal, on desktop or mobile systems, businesses today are challenged with maintaining corporate credibility and securing sensitive data with major cost implications after a cyber attack. Lost business and erosion of customer trust can Q uandoJimiHendrixcantouBleedingHeart de Elmore James, estava longe de imagi- nar que viria a ser vítima de usurpação de direitosdeautorapósasuamorteem1970. A canção falava de desolação e desgosto, e o HeartbleedBug,queem2014colocou300000servido- resdaInternetemsituaçãodevulnerabilidade,veicula, ironicamente, a mesma mensagem. Juntamente com inúmeros outros métodos de ciberataque, este bug ameaça desviar centenas de milhões de dólares de empresas e instituições governamentais de diferen- tes nacionalidades, provocando grande preocupação e ansiedade. O resistente Shellshock Bug afeta de cerca de 70 % das máquinas em termos de vulnerabilidade e tem permanecido indetetável nos últimos 20 anos. Com120000novosciberataquespordia,eumcresci- mentoanualde60%,nãoédesurpreenderqueaciber- segurança comece a adquirir uma crescente impor- tância nos orçamentos das áreas das Tecnologias de Informação(TI)enosprogramasdegestãodoriscodas empresas. Em 2013, 3000 empresas norte­‑americanas não tinham conhecimento de que estavam a ser alvo de intrusões cibernéticas até serem notificadas nesse sentido pelo FBI e, em 2014, as organizações que sofre- ramquebrasdesegurançaregistaramumamédiaanual de perdas pecuniárias de cerca de 400 000 dólares. Os riscos cibernéticos não se limitam apenas a gran- des empresas, infraestruturas críticas, governos ou grandes cadeias de abastecimento; ninguém está a salvo. Como poderão as empresas enfrentar a neces- sidade urgente de um programa sólido de segurança cibernética? Apesar de existirem vários frameworks de qualidade, a maior parte começa pela classifica- ção e identificação de métodos de ciberataque que são decisivos para a análise da motivação e para a mitiga- ção dos danos. Quer se trate de incidentes patrocina- dosporEstados,propaganda,atoscriminososemsi,ou levadosacaboporhactivists(hackersativistas),ocusto anual da cibercriminalidade para a economia global é de 300 a 500 mil milhões de dólares, na estimativa da McAfee. A gravidade do problema esteve na origem da “Executie Order” do Presidente dos EUA de 2013, e dacriaçãodoCyberSecurityFramework,peloNational Institute of Standards and Technology (NIST). Infelizmente, o panorama da cibercriminalidade não se limita apenas ao roubo organizado, tendo igual- mente a ver com uma crescente complexidade e técni- cas sofisticadas. Um mapeamento dos principais cibe- rataques identifica combinações criativas de métodos cibernéticos conhecidos, designadamente os seguin- tes:(1)Malware:vírus,worms,cavalodeTróia,spyware, adware, scareware; (2) Injeção de SQL: comandos SQL; (3) Spear phishing: e­‑mails fraudulentos; (4) DDoS: ataques que bloqueiam a disponibilidade de serviços na rede, no sistema ou on­‑line; (5) Ataques XSS: scripts maliciosos escondidos em websites; (6) Watering Hole: ataque oportunístico através da introdução de um código malicioso numa página na Internet; (7) APT ou “Advanced Persistent Threat”: ataque persistente, implacável e indetetável visando dados confidenciais ou propriedade intelectual, sendo a operação de dete- ção e recuperação dispendiosa. MDS Magazine cyber  91
  • 6. A gravidade destes ataques sofisticados pode ser demonstrada pelo facto de, em 2013, a Adobe ter visto comprometidososdadosde150milhõesdosseusclien- tescomoresultadodemalwareeAPTinjetadosnosseus sistemas.ATargetInc.tambémtevedepagarumpreço elevado pelo facto de dados pessoais de 70 milhões de pessoas e de os dados de 40 milhões de cartões terem ficadocomprometidosnasequênciadeumataqueque combinou APT, malware e spear phishing. Em 2014 a JP Morgan foi alvo, durante três meses, de um cibe- rataque não detetado que conferiu aos hackers o mais elevado nível de acesso a mais de 90 dos servidores do banco. Consequentemente, foi violada a confidencia- lidade dos dados de 76 milhões de famílias e de sete milhões de pequenos negócios. Surpreendentemente, nove outras instituições financeiras foram também alvodeataquepelomesmogrupo,alegadamenteorigi- nário da Rússia. Novas tecnologias têm permitido novas táticas de ataque. Sistemas de ponto de venda (POS), sistemas de pagamento digital, a Internet das Coisas, a compu- tação em nuvem e a utilização de suportes móveis têm acrescentado novas dimensões, com um número crescente de worms e vírus penetrando em sistemas vulneráveis. Independentementedosmétodosutilizados–exter- nos ou internos, em desktop ou sistemas móveis – as empresas são hoje confrontadas com a necessidade de manteracredibilidadecorporativaedeprotegerdados confidenciais, com enormes consequências no que diz respeito aos custos após um ciberataque. A perda de negócio e a diminuição da confiança dos clientes podem ter consequências duradouras para a imagem da marca e para a reputação da empresa, construídas aolongodosanos,enquantoasentidadesgovernamen- taistêmdeenfrentarasconsequênciasnocivasdacibe- respionagem que constitui uma ameaça para os servi- ços públicos ou mesmo para a segurança nacional. Oransomwareéanovatendênciadeataquecibernético que ameaça tanto os utilizadores individuais como as empresas com pedidos de resgate para a recuperação dos seus próprios dados. Paraseprotegeremdacibercriminalidade,asempre- sas de hoje precisam de compreender de que forma poderão implementar medidas preventivas através de um sistema organizativo de cibersegurança. have enduring consequences on brand image and company reputation that are built over years, while governmental enterprises have to face damaging consequencesofcyberespionagethreateningnational utilities or even national security. Ransomware is the new trend of cyber­‑attacks that threaten individual users and enterprises altogether with ransom for the recovery of their own data. Businesses today need to understand how key preventive measures can be implemented through an organizational cyber security framework to address cybercrime.Astepwiseapproachtoformingastrategy would include: 1. Commission an IT system vulnerability assessment to identify and evaluate inside and outside sources including contractors, third party vendors, and employees. 2. Define day­‑to­‑day security procedures 3. Secure IT systems: a. Activate firewall b. Test vendor systems before giving access to the internal network c. Use latest versions of anti­‑virus, anti­‑ spyware software d. Test mobile devices for vulnerabilities e. Monitor internet connection 4. Use “white hat”1 hackers to test the implementation 5. Set up intellectual property agreements 6. Execute regular system updates and turn on automatic updates for all Operating Systems 7. Update and evaluate commonly used software: Java, Adobe Reader, Microsoft Office, Flash, Internet Explorer: all have carried vulnerabilities at one stage or the other 8. Change passwords frequently and stay cautious while using public computers 9. Never click on email links or download attachments without verifying authenticity 10. Ensure the senior management regularly communicate to the employee on safe cyberspace behavior and security awareness training According to recent surveys, best practices such as IT system vulnerability assessment, account/ password­‑management policy, cyber risks inclusion in enterprise risk­‑management program, intrusion detection system have been reported as successful deterrents by governmental organizations. fullcover 92 cyber
  • 7. Uma abordagem faseada para delinear uma estratégia de cibersegurança incluirá: 1. efetuar uma análise da vulnerabilidade do sistema de TI para identificar e avaliar as fontes internas e externas, incluindo adjudicatários, fornecedores subcontratados, e empregados; 2. definir procedimentos de segurança no dia a dia; 3. proteger os sistemas de TI: a. ativar firewalls, b. testar os sistemas dos fornecedores antes de lhes dar acesso à rede interna, c. utilizar as versões mais atualizadas de software antivírus e antispyware, d. testar a vulnerabilidade dos dispositivos móveis, e. monitorizar a ligação à Internet; 4. utilizar hackers ‘de chapéu branco’1 para testar a implementação; 5. celebrar acordos de proteção da propriedade intelectual; 6. executar atualizações periódicas do sistema e ativar atualizações automáticas para todos os sistemas operativos; 7. atualizar e avaliar o software mais utilizado: Java, Adobe Reader, Microsoft Office, Flash, Internet Explorer: todos estes programas revelaram vulnerabilidades, em determinada altura; 8. alterar frequentemente as palavras­‑passe e manter uma atitude prudente ao utilizar computadores públicos; 9. nunca clicar em hiperligações de e­‑mail nem efetuar o download de anexos sem verificar a sua autenticidade; 10. assegurar a existência de informação frequentemente aos colaboradores, por parte da administração e direção da empresa, sobre comportamento seguro no ciberespaço e sobre programas de sensibilização para a segurança. Estudos recentes revelam que boas práticas, tais como aavaliaçãodavulnerabilidadedossistemasdeTI,uma política de gestão de contas / palavras­‑passe, a inclu- são de riscos cibernéticos nos programas de gestão do risco, ou a adoção de sistemas de deteção de intrusões, têm sido consideradas como medidas preventivas de sucesso nas organizações governamentais. 1 Nota do tradutor: “white hat” também designados por “ethical hackers” (hackers éticos), atuam com vista à proteção da empresa. Ernest Legrand chief executive officer at webcbg The company focus areas include advanced software development leveraging big data analytics and data visualization techniques in the insurance industry, as well as mobile application and digital marketing. WEBCBG has recently released Glossarisk, the first insurance glossary on mobile devices, in association with IRMI (International Risk Management Institute). To bring the greatest value to clients and provide competitive advantage, WEBCBG utilizes the latest technologies in a cloud computing environment to develop powerful and sophisticated capabilities that were only affordable to large enterprises until recently. Prior to joining WEBCBG, Ernest was a senior executive at IBM. He was Vice President of Global Marketing & Strategy for IBM in the Insurance and Banking industries for 6 years and then was appointed Vice President Global Marketing & Strategy for ibm.com, the IBM corporate portal over 96 countries. He was also the Chair of the IBM Web Community worldwide. He has executed numerous Internet campaigns and created Web content organizations around the world. Part of his responsibilities included the IBM Web user experience, the traffic generation and the level of client services. Before joining the global business operations, Ernest was Director of IBM Corporate Internet strategy responsible for designing and implementing Web strategies to transform IBM into the world’s premier e­‑business. He owns a patent on push technology used by IBM sales organizations. Earlierinhiscareer,ErnestwasChiefMarketing OfficerandMemberoftheBoardatCGI,oneofthe largestSoftwareandServicesCompanyinEurope. As áreas de atividade core da empresa incluem o desenvolvimento de software avançado, para aproveitamento de análises de big data e de técnicas de visualização de dados, no setor dos seguros; bem como aplicações móveis e marketing digital. A WEBCBG lançou recentemente, em associação com o IRMI – Instituto Internacional de Gestão de Risco, o Glossarisk, o primeiro glossário de seguros para dispositivos móveis. Para reforçar o valor oferecido aos clientes e conseguir uma vantagem competitiva, a WEBCBG utiliza as mais recentes tecnologias num ambiente de computação ‘na nuvem’, de modo a desenvolver capacidades reforçadas e sofisticadas que, até recentemente, estavam apenas acessíveis às grandes empresas. AntesdesejuntaràequipadaWEBCBG,Legrand eraexecutivoséniornaIBM.Aolongodeseisanos, foivice­‑presidentedaáreademarketingglobale estratégianaIBM,paraossetoresdosseguroseda banca.Foidepoisnomeadovice­‑presidentedaárea demarketingglobaleestratégianaibm.com, noportalcorporativodaIBMpara96países.Foi tambémpresidentemundialdacomunidade daIBMnaWeb.Executouváriascampanhasna InternetecriouredesdeconteúdoWebemtodoo mundo.Nasresponsabilidadesqueentãoassumiu incluía­‑seaexperiênciadoutilizadordositeda IBM,ageraçãodetráfego,eoníveldequalidade dosserviçosprestadosaosclientes.Antesde integraraáreacomercial,Legrandfoidiretorda estratégiacorporativadaIBMparaaInternet, cargoemqueseresponsabilizoupelaconceçãoe implementaçãodeestratégiasWebparatornara IBMnaprincipalempresadee­‑businessdomundo. Legranddetémumapatentesobreatecnologia push,utilizadapelaforçadevendasdaIMB. No início da sua carreira, Legrand foi diretor de marketing e membro do Conselho de Administração da CGI, uma das maiores empresas de software e serviços na Europa. MDS Magazine cyber  93