1) A SI está evoluindo para uma visão mais voltada aos processos de negócios e menos para a infraestrutura. 2) Com a computação em nuvem, as empresas podem focar mais nos processos de negócio e menos na segurança da infraestrutura. 3) Os CSOs precisam mostrar que a SI é um investimento, não apenas um custo, e como ela melhora os processos e mercados da empresa.

1. SEgurAnçA dA InformAção E gEStão dE rISco
Ano 6 número 10 2011
Em busca de
um padrão
Bancos avaliam tendências
em autenticação
Cibercrime
Ataques estão
mais específicos
Security Leaders
Premiação valoriza os
profissionais de SI
Cloud versus Cloud
Embates da computação
em nuvem
Jorge Krug,
superintendente
executivo da
Unidade de
Segurança de
TI do Banrisul

3. w w w. riS k r e p o r t.C o m . B r
Editorial
março 2011
Direção e eDição geral
Graça Sermoud
gsermoud@conteudoeditorial.com.br
reportagem
Léia Machado
Segurança 4.0
lmachado@conteudoeditorial.com.br Ao conSultAr o EdItorIAl dA PrImEIrA EdIção dE Risk RepoRt,
em 2007, ratifiquei o quanto a Segurança da Informação evoluiu nesses quatro anos. Vista
David Plassa
dplassa@conteudoeditorial.com.br como um mal necessário, a SI era considerada um custo pelos executivos fora da área de
ColaBoraDor tI e entrave pelos usuários. Ao líder de Segurança da Informação, na maioria das vezes
Júlia Zillig subordinado ao cIo, restava estabelecer regras e monitorá-las. de lá para cá, o cenário
CorreSpoNDeNteS vem mudando drasticamente.
Alda Campos, Europa
Gilda Furiati, Brasília
Em primeiro lugar, os ataques tornaram-se mais sofisticados, exigindo atenção redo-
Vera Dantas, Rio de Janeiro brada do board da companhia e não só dos mais envolvidos com tecnologia. Segundo, o
DeSigN fenômeno das redes sociais transformou as empresas, atraindo uma legião de usuários,
Rafael Lopes Lisboa mas aumentando consideravelmente as vulnerabilidades. Qual a empresa que pode ne-
FotograFia gligenciar, hoje, a questão da Segurança? Qual a companhia que pode subestimar os
Izilda França
ataques ou considerá-los apenas uma questão de tecnologia?
Direção De marketiNg Segurança hoje é comportamento, é cultura, é compartilhamento, é globalização e, em mui-
Sérgio Sermoud
ssermoud@conteudoeditorial.com.br tos casos, diferencial competitivo. Isso elevou os cSos e os gerentes envolvidos diretamente
eXeCUtiVa De CoNta
com os riscos a um patamar estratégico dentro das corporações. risk report acompanha
Débora Garbosa essa trajetória e tem por missão mostrar a evolução da questão sob todos os ângulos. de um
dgarbosa@conteudoeditorial.com.br
lado as empresas e os desafios da nova visão holística da Segurança. de outro, a evolução
CoorDeNaDoreS De eVeNtoS dos profissionais responsáveis pela condução das políticas e a implementação das soluções.
Gabriela Makhoul
gmakhoul@conteudoeditorial.com.br fechando as pontas, está o mercado fornecedor, que também evoluiu no mesmo ritmo,
Marcos Carvalho oferecendo uma miríade de produtos e serviços aprimorados para a nova demanda.
mcarvalho@conteudoeditorial.com.br resta a clássica pergunta: SI já é vista como investimento? Essa é a verdadeira Seguran-
ça 4.0? Ao acompanhar as matérias desta edição, é fato que a segurança vai além de ferra-
mentas e serviços. As soluções e a infraestrutura necessárias para garantir que os ambien-
tes estejam cada vez mais seguros sempre representarão um custo para as empresas e não
A revista risk report é uma publica- há como mudar isso. Por outro lado, ao aliar aos produtos, políticas e comportamentos
ção da Conteúdo Editorial, uma em-
adequados ao novo cenário de vulnerabilidades, as empresas passam a enxergar Segurança
presa de produtos e serviços editoriais
na área de Tecnologia da Informação como fator estratégico. E essa é a grande transformação que estamos vendo agora.
e Comunicação. Saiba mais sobre a Educar, mais do que proibir. monitorar, mais do que cercear. compartilhar, mais do que
Risk Report no www.riskreport.com.br.
Mais sobre a Conteúdo Editorial em isolar. Enfim, saem de cena antigas expressões e entra um vocabulário mais condizente
w w w.conteudo e ditorial.com.b r com os novos tempos, em que as mídias sociais disseminam a informação para além das
Fale CoNoSCo: (11) 5049.0202
empresas e da própria internet. Se olharmos o termo Segurança da Informação, vemos
que o cerne está exatamente no que hoje se tornou o bem mais precioso das empresas,
a Informação. Em nome dela, a Segurança deve e merece ser alçada a uma posição de
destaque e vista como elo e não como ruptura.
o evento Security leaders, promovido pela primeira vez em novembro do ano passa-
do, retratou esse quadro. Entretanto, iremos acompanhar,
ao longo do ano, a evolução e as novas cores desse cenário.
Alameda dos Maracatins, 992, Cj 71A confiram nesta edição os principais temas debatidos no
04089-001 São Paulo SP evento e acompanhe conosco essa trajetória. o Security
Tel/Fax: 11-5049-0202
www.conteudoeditorial.com.br leaders 2011 irá coroar
esse trabalho e você faz
parte dele. Participe!
Graça Sermoud
gsermoud@conteudoeditorial.com.br
rISK report 3

4. Índice
SPOT FOCUS
6 Uma nova Segurança 20 A especialização do
Em entrevista à Risk Report, Gijo Mathew, VP de Marketing cibercrime
de Produtos de Segurança da CA Technologies, fala sobre novas mídias como as redes
a visão de SI mais voltada para processos de negócios sociais e os novos dispositivos
móveis tornam os ataques virtu-
ais cada vez mais sofisticados
OVERVIEW
22 O outro lado das redes sociais
8 Segurança da Informação em três dimensões Mesmo com o avanço das novas mídias presentes
Check Point apresenta solução baseada na Arquitetura no mundo corporativo, ainda há questões como
de Software Blade segurança e treinamento de funcionários para lidar
com a informação
9 Proteção contra brechas internas
CA adiciona novos recursos e funcionalidades à
24 PCI na pauta do e-commerce
ferramenta Access Control
A adoção do padrão PCI entra em regime de urgên-
cia diante do avanço dos negócios via Web. 2012
9 Trend Micro adquire Mobile Armor é o deadline brasileiro
Expandir o portfólio é o objetivo da aquisição da
especialista em criptografia de dados
25 Riscos sob controle
o conceito GRC vem ganhando notoriedade no
PORTFÓLIO mercado, mas o amadurecimento e cultura organi-
zacional são barreiras que precisam ser vencidas
10 ConhEçA AS noVIDADES Do MERCADo DE
SEGURAnçA DA InFoRMAção 27 Muito mais do que nomes e números
o gerenciamento de identidade virou condição
fundamental para o aprimoramento de proces-
TREND sos, definição de perfis e redução de custos
12 Cloud versus Cloud PREMIAÇÃO
A computação em nuvem vem quebrando paradigmas.
Porém, seu conceito precisa superar o principal obs- 28 Security Leaders
táculo, a Segurança da Informação homenageia CSOs
o Congresso Security
Leaders 2010 premiou
FINANCIAL os profissionais de Se-
gurança da Informação
16 A nova fronteira da autenticação e os projetos que mais
não há um padrão de segurança para as transações se destacaram ao longo
financeiras. De acordo com especialistas, existe um do ano
conjunto de tecnologias e normas para o setor
32 Tecnologia: Desvendando a segurança
Com o avanço tecnológico, o desafio é viabilizar a
rotina de milhões de “weblovers” para estabelecer
atos prudentes no ambiente pessoal e profissional
4 rISK report

6. Spot * Gijo Mathew é VP de Marketing de
Produtos de Segurança
Uma nova
segurança
Especi l sta da CA T
ai echnologies fa a
l o primeiro passo é ter uma boa definição do que é Segurança.
Há dois tipos: segurança em processos de negócio e segurança
sobre a vi são de Segurança mai vo tada
s l
em infraestrutura. Segurança em infraestrutura é um custo, cla-
para processos de negócios e menos para ro, já que é preciso proteger os sistemas, ter antivírus, todas as
a infraestrutura - Por Graça Sermoud coisas necessárias para promover a defesa do ambiente. A preo-
cupação é como fazer isso e reduzir custos. A outra parte da segu-
rança tem a ver com processos de negócio, em ter as informações
D
necessárias aos usuários de forma segura, fornecer a informa-
urante encontro de cSos promovido pela cA tech- ção certa, na hora certa. É essa parte da segurança que garante
nologies em nova Iorque, no final do ano passado, a criação de novos serviços e a possibilidade de tirar vantagem
o tema que dominou as conversas foi a nova visão de outros paradigmas, como as redes sociais. muitas empresas
da Segurança em um cenário cada vez mais voltado querem usar redes sociais para negócios. como fazer isso sem
para serviços. nesse contexto, a questão da Segurança começa a comprometer os dados?
ser vista de uma forma diferenciada.
Estamos diante de uma nova realidade para as empresas, isto é, Então, nessa nova visão de computação, as empresas preci-
uma outra forma de consumir e oferecer tI e consequentemente sam pensar em termos de processos de negócio e menos em
de Segurança. Essa maneira não representa apenas uma fronteira infraestrutura?
para os fornecedores de tecnologia da Informação, mas também o que está acontecendo com o surgimento do cloud computing
para os líderes de tI e Segurança, que passam a disponibilizar e é que a infraestrutura está perdendo importância. Se você gasta
olhar a tecnologia em um novo formato. menos com segurança de infraestrutura, você pode focar mais
mas de que Segurança estamos falando então? As empresas nos processos de negócio. com isso pode conectar seus aplica-
estão preparadas para essa nova maneira de olhar a Seguran- tivos sem se preocupar tanto com a parte física do processo. A
ça? Será que os líderes estão conscientes a mudança? A nova atenção passa a estar no SlA (Service licensing Agreement),
forma pode, enfim, ajudar os cSos a mostrar que Segurança o que importa é acesso seguro aos dados, quando eu acessei e de
é um investimento? quais parceiros são esses dados.
o VP de marketing de Produtos de Segurança da cA technologies,
gijo mathew, falou com exclusividade à risk report e comentou
essas e outras questões relativas à adoção de tecnologia como serviço
Acho que c oud
l
e ao desafio da gestão dos ambientes corporativos no novo cenário.
computing pode
Líderes de ti (Cios) e de segurança (Csos) falam sobre a ser uma grande
grande dificuldade em mostrar que segurança não é um custo,
mas sim investimento. Como convencer o setor financeiro das
oportunidade de mudar
empresas disso? Há como mudar essa visão? a visão de Segurança
6 rISK report

7. Nossa estratégia é pensar em como oferecer
serviços de segurança com foco no processo
de negócios
Com o tempo, será mais fácil para o CSO mostrar que a se- Vamos falar do mercado de segurança. Hoje vemos for-
gurança é importante para os negócios, para melhorar ou- necedores de produtos de segurança que sempre atuaram
tros produtos e mercados? nesse segmento e vemos uma nova geração de provedores
Acho que cloud computing pode ser uma grande oportunidade de já oferecendo segurança de uma forma diferenciada. Você
mudar a visão de Segurança. não tem a ver com o cSo somente. Ele acha que no futuro os produtos de segurança se tornarão
não é responsável só pela segurança e pela infraestrutura, ele é res- um serviço?
ponsável pela segurança dos aplicativos compartilhados e por fazer a Estamos no meio de uma mudança, mas a maioria ainda pensa a
interface dos processos de negócio com o restante da companhia. segurança em termos de infraestrutura. A estratégia é pensar em
como oferecer esses serviços de segurança com foco no processo
Mas os CSOs não costumam olhar mais para a infraestrutu- de negócios. E como a segurança muda esses processos. como
ra? Isso não é um problema? fazer isso de modo mais inteligente, mais rápido e mais barato?
Antes, o nosso trabalho era proteger a infraestrutura. Hoje é E como oferecer soluções de modo mais prático às empresas? o
proteger o ambiente computacional da empresa. os cSos co- que estamos fazendo é mostrar as características do nosso pro-
meçam a entender que o importante é olhar para os processos duto mais que propagandear o produto em si. como cada uma
de negócios e como a segurança dos dados está ligada a isso. dessas características ajuda o cliente a aumentar a segurança
como alterar/mexer nos dados pode afetar os negócios. um dos e reduzir seus custos. Será preciso integrar características de
focos desse processo é o gerenciamento de identidade. Alguns diversos produtos para atender as necessidades de empresas e
executivos já focam mais nos processos de negócios. Infraestru- governos e saber integrar esses produtos com sistemas de cloud
tura está virando parte do setor de operações das empresas e o computing. Isso traz outra implicação: é melhor comprar ou
pessoal operacional lida com firewall e coisas do tipo. lidamos alugar uma solução em cloud e os produtos devem garantir a
mais com a administração e como ajudar os negócios a melho- segurança num ambiente computacional desse tipo.
rarem e, aí sim, reduzir custos. mas você tem razão, 70% dos
cSos ainda pensam em infra-estrutura. Ainda do ponto de vista do fornecedor, é difícil integrar os
programas quando acontecem muitas aquisições e é mais
difícil ainda para os clientes entenderem isso. A CA Techno-
logies vem fazendo várias aquisições na área de Segurança.
É tarefa do CSO Como vocês estão resolvendo esse problema?
manter a segurança e nós começamos a projetar a integração entre os produtos antes
os negócios da maneira mesmo de adquirir a outra empresa. não é nosso interesse ad-
quirir tecnologias muito divergentes. nós só compramos algo
que a empresa quer sabendo que os produtos vão funcionar bem juntos. Procura-
mos desenvolver uma “inteligência de integração”. o mais im-
Você acha que é mais fácil para o CIO entender essa mudan- portante nesse processo é o compartilhamento de informações
ça de visão da Segurança do que o próprio CSO? com o parceiro de aquisição e com isso unir produtos que ge-
Eu acho que sim. E se eles entenderem isso, fica mais fácil a ado- rem valor para as empresas. com a computação em nuvem, a
ção de novas soluções para os negócios. E se eles não pensarem questão é a de entregar um serviço e não importa mais como ele
nisso, as mudanças acontecerão de qualquer jeito. Eu vou dar um funciona “atrás das cortinas”. nós gerenciamos todo esse pro-
exemplo: estive numa companhia para implementar um sistema cesso “oculto” e garantimos que o cliente tenha o serviço dese-
SAP e um dos diretores disse: eu não posso esperar outros oito jado. É assim que funcionam as redes de telefones celulares. As
meses e nem mesmo havíamos falado com o cIo. É tarefa do empresas fazem melhorias dia a dia e o cliente não percebe. os
cIo e do cSo pensar em como manter a segurança de dados e fa- clientes não devem fazer integração – não é know-how deles,
zer com que os negócios sejam da maneira que a empresa quer. não é o trabalho deles. É o nosso.
rISK report 7

8. Overview
Segurança da Informação
em três dimensões
A Check Point apresenta ao mercado o Check Point
R75, a última versão do conjunto de produtos para segurança de
rede baseado na Arquitetura de Software Blade. A solução conta
com os elementos da visão de Segurança 3D, combinando polí-
ticas, pessoas e fiscalização.
o conjunto de produtos apresenta quatro novos softwares bla-
des para Controle de Aplicativo, Informação de Identidade, Pre-
venção contra a Perda de Dados e Acesso Móvel. o controle de
aplicativos proporciona uma combinação de tecnologia robusta
de segurança, garantindo que os funcionários usem as ferra-
mentas de Web 2.0 sem prejudicar a segurança da empresa.
o novo blade inclui o UserCheck para envolver os funcioná-
rios no processo de adaptação e permite personalizar as po-
líticas de uso de aplicativos com base no nível de risco e nas
necessidades de usuários.
A Informação de Identidade é um software blade que permite
gerenciar as políticas de segurança por usuários e grupos. Com
ela, as empresas ganham controle sobre aplicativos e acesso por
meio da criação de políticas precisas.
“hoje, as empresas devem desenvolver um plano de seguran-
ça que atende às necessidades corporativas enquanto reforçam
a segurança de suas informações. A solução trabalha para isso”,
diz Dorit Dor, vice-presidente de Produtos da Check Point.
8 rISK report

9. Proteção contra
brechas internas
A CA anuncia a adição de novos recursos endereça as diretrizes PCI-DSS ao gerenciar auto-
e funcionalidades à solução CA Access Control, para maticamente estas senhas.
ajudar os clientes a atender às necessidades críticas outro recurso é a Gravação e Playback das Ses-
do Gerenciamento de Usuários Privilegiados por meio sões de Usuário Privilegiado. A partir do momento
do controle, monitoramento e auditoria centralizados, em que um usuário privilegiado entra com sua senha
tudo a partir de um único console de gestão. em qualquer dispositivo gerenciado pelo PUPM, suas
os novos recursos da ferramenta incluem Ges- ações podem ser gravadas com segurança e ficam
tão de Senha de Usuário Privilegiado para opera- disponíveis para o playback em vídeo.
ções automatizadas, Aplicação-para-Aplicação e E, por fim, o Login Automático PUPM e Integra-
Aplicação-para-Servidor. Este recurso ajuda a me- ção Avançada, que automatiza o login do usuário fi-
lhorar a segurança, reduzir o custo relacionado à nal para qualquer dispositivo gerenciado pelo PUPM,
gestão de senhas de contas no sistema e também ajudando a prevenir contra o roubo de senha.
Trend Micro adquire
Mobi Armor
le
A Trend Micro acaba de adquirir na nuvem pública”, afirmou Fabio Picoli, coun-
a Mobile Armor, empresa especializada em try manager da Trend Micro para o Brasil.
criptografia de dados e gerenciamento de o próximo passo será o desenvolvimento
dispositivos móveis. A iniciativa expande o em conjunto de soluções de Segurança para
portfólio de proteção da Trend Micro, esten- atender principalmente as grandes empresas e
dendo suas ofertas de criptografia para todos o Governo brasileiro.
os tipos de dispositivos. “o foco principal da Mobile Armor é o aten-
“Com a aquisição, queremos proteger as in- dimento ao mercado e Governo norte-america-
formações dos nossos clientes de uma maneira no. Com a aquisição, queremos adicionar o que
mais ampla. Com o uso da criptografia, pode- eles têm de melhor para atender nosso merca-
mos estender a proteção além do e-mail e as- do interno e levar esse portfólio ao setor públi-
segurar dados em ambientes virtualizados ou co”, completa Picoli.
rISK report 9

10. Portfólio
Firewalls de Autenticação Dados críticos RIC exige
próxima geração móvel protegidos biometria
A SonicWALL anuncia Desenvolvido com o Symantec Data A recente regulamen-
a série SuperMassive a finalidade de propor- Loss Prevention 11 é tação do Registro de
E10000 de firewalls de cionar autenticação uma solução baseada na Identidade Civil (RIC)
próxima geração. A solu- simples e fácil pelo uso identificação de conteúdo no Brasil abre novas
ção conta com arquitetura de uma senha dinâmica que descobre, monitora, oportunidades para
escalável chegando até a oTP baseada em tem- protege e gerencia dados modernizar os bancos
96 núcleos de processa- po, através de um token críticos onde quer que de dados eletrônicos.
mento, mais de 40 Gbps virtual localizado na Bar- eles estejam armazena- Para isso, a nEC Brasil
de taxa de transferência ra de Tarefas do Windo- dos. Permite reduzir o ris- disponibiliza ao mercado
no firewall e mais de 30 ws, o SafeMoBILE for co de violação de dados, o Sistema Automático de
para controle de aplicati- Windows, da BRToken, demonstrar a conformida- Identificação de Impres-
vos e serviço de preven- é multiusuário e com- de regulatória e garantir a sões Digitais (Automated
ção de invasão (IPS), patível com os sistemas privacidade dos clientes, Fingerprint Identification
com métricas de potência, operacionais Windows a proteção da marca e da System - AFIS).
espaço e resfriamento. XP, Vista, Server 2003 propriedade intelectual. A solução é baseada na
A série utiliza o mecanis- e Server 2008, além de A nova versão tem como tecnologia biométrica e
mo RFDPI (Reassembly- Windows 7. objetivo simplificar a tem por objetivo unificar
Free Deep Packet Inspec- As senhas continua- detecção e a proteção os bancos de dados dos
tion) para varrer cada byte mente geradas pelo das informações mais brasileiros em todo o
de cada pacote, fazendo aplicativo podem ser críticas para as empresas País, com um sistema
uma inspeção total do arrastadas e copiadas e, consequentemente, digital voltado para go-
conteúdo de todo o fluxo, para o campo de au- proteger sua propriedade verno e empresas.
mas com alto desempe- tenticação desejado. A intelectual. A identificação de im-
nho e baixa latência. solução também permite Essa nova versão inclui o pressões digitais auto-
o mecanismo também a migração do token do Vector Machine Learning, matizada está baseada
garante inspeção do usuário para aparelhos tecnologia com siste- no processamento dos
tráfego SSL codificado celulares ou smartpho- ma de monitoramento pontos característicos das
e das aplicações fora do nes e vice-versa. baseado nos equipamen- impressões. o sistema
proxy. oferece prote- A versão do SafeMoBI- tos, desenvolvida para proporciona alta precisão,
ção independente do LE for Windows pos- facilitar a detecção de independentemente do ta-
transporte ou protocolo. sibilita a utilização do ativos de propriedade manho da base de dados.
A ferramenta atende as aplicativo por mais de intelectual difíceis de As imagens são recebi-
necessidades de seguran- um usuário na mesma identificar. A ferramenta das e o sistema extrai
ça de empresas, órgãos estação. A solução também torna o processo automaticamente as
do governo, universidades conta com visual leve de correção mais eficien- minúcias, classifica os
e provedores de serviço, e amigável e soma-se te e eficaz com os novos tipos de padrões, realiza
além de proteger as redes às versões para JAVA, recursos do Data Insight, a busca na base de da-
corporativas, data centers iPhone, BlackBerry e além de incluir medidas dos e reporta o resultado
e grupos de servidores. Android. de segurança adicionais otimizando a intervenção
nos endpoints. humana nos processos
referentes à identificação.
10 rISK report

12. Trend
Cloud versus Cloud
Com benefícios tangíveis, a dade e redução de custos, são alguns exemplos de vantagens da
computação em nuvem vem quebrando computação em nuvem, destacados pelos usuários que já imple-
mentaram a solução. mesmo assim, o cloud computing ainda
barreiras. Mas ainda precisa superar precisa quebrar alguns paradigmas. de acordo com um estudo da
seu principa obstáculo, a Segurança
l Idc, sobre aplicações de computação em nuvem no Brasil, 75%
da Informação - Por Léia Machado das empresas locais ainda não adotaram o cloud.
“As principais razões para isso são: eu não sei o que é computação
É
em nuvem; não me sinto seguro e confortável em utilizar esse tipo
cErto dIzEr QuE todAS AS EmPrESAS, de tecnologia; vou estudar, avaliar e identificar internamente se há
independente do segmento de atuação, sejam elas necessidade e se essa tecnologia pode me auxiliar segundo minhas
grandes, médias ou pequenas, estão analisando a estratégias”, aponta célia Sarauza, gerente de Segurança da Infor-
adoção da computação em nuvem, mas é fato também mação da Idc Brasil.
que todas ainda têm dúvidas em relação ao quanto esse ambiente
é seguro. o que parece estar claro é que a computação em nuvem Caminhos da computação em nuvem
traz vantagens para todos os envolvidos, o que nos faz acreditar o maior desafio é evangelizar as companhias sobre sua estrutura,
que em 2011 a nova maneira de oferecer e consumir tecnologia implementação e riscos. Há muitos questionamentos, principal-
pode superar os principais desafios e conquistar um amadureci- mente no âmbito da Segurança da Informação que traz uma sensa-
mento significativo. ção de inconfiabilidade.
os benefícios são muitos. Performance, flexibilidade, escalabili- como funciona a computação em nuvem? onde estão os dados e as
dade, arquitetura inteligente, autonomia, disponibilidade, agili- aplicações? A que vulnerabilidades as informações estão sujeitas?
12 rISK report

13. Vantagens do cloud
em nuvem e virtualização. tudo que Performance
Qual é o nível de proteção? Essas e outras questões são colocadas
na mesa no momento da contratação de serviços e tecnologias poderá ser serviço e deixar de ser custo Flexibilidade
baseadas nesse conceito. de aquisição tem grandes chances de ter Escalabilidade
o desafio é lançado principalmente aos fornecedores que têm a uma boa aceitabilidade no mercado. Arquitetura inteligente
missão de informar e exemplificar situações de como funciona “uma das grandes vantagens do cloud Autonomia
toda essa infraestrutura para que se propague a divulgação e evan- e da virtualização é a racionalização de Segurança
gelização dessa tecnologia. na opinião de Alexandre moraes, team custos. A economia se destaca por meio Disponibilidade
leader Systems Engineering lAt da HP o ponto chave para a
, da computação mais utilitária, onde Agilidade
adoção do cloud é o orçamento. a companhia paga apenas por aquilo Redução de custos
“As empresas sabem que o lado financeiro pesa muito em qualquer que usa”, opina o gerente de canais da
decisão, é função do gestor de finanças cobrar retorno de investi- check Point Brasil, daniel romio. José
mento. todos que trabalham com Segurança sofrem com isso, pois Antunes, gerente de Engenharia de Sistemas da mcAfee, com-
tem todo o trabalho de explicar que trata-se de uma medida de partilha dessa mesma opinião e acrescenta os ganhos do aluguel de
prevenção para justamente evitar perda de dados e prejuízos para uma infraestrutura baseada em nuvem.
a companhia. Além disso, as PmEs, muitas vezes, não conseguem “Estamos falando em custos e a grande vantagem para as empresas
desfrutar de uma solução completa de Segurança porque tudo é que não têm como investir em infraestrutura, comprar bons servi-
muito caro”, dispara. dores, hardwares, equipamentos para disponibilizar segurança
“Se uma empresa tem um ambiente de cloud com uma infraestru- para seu usuário, elas terão muito benefícios utilizando modelos
tura robusta, atualizada, com sistema de proteção de rede de fire- SaaS e IaaS. E se ela crescer, a infraestrutura de nuvem cresce junto
wall, IPS, dlP além de todas as vantagens da nuvem, ela terá um
, acompanhando todo o desenvolvimento corporativo”, completa.
excelente ambiente para trabalhar com alto nível de automação e
competitividade. Ela terá uma infraestrutura tão completa que, Seleção de Serviços
muitas vezes por questão de orçamento, dificilmente conseguiria outro procedimento fundamental para o sucesso da implementa-
ter em house”, acrescenta moraes. ção de um ambiente em nuvem é a escolha do provedor. cada em-
presa tem suas próprias características de negócio e necessidades
Economia particulares de infraestrutura. nesse caso, o processo de escolha
Essa questão de custos é sempre um dos critérios preponderantes do provedor passa por uma série de análises contratuais de entrega
na adoção de qualquer tecnologia. com isso, a tI como serviço de serviço, performance, garantias, nível de redundância e a segu-
vem se tornando uma tendência como, por exemplo, os modelos rança desse ambiente.
SaaS (Software as a Service) ou IaaS (Infrastructure as a Service). Questões como: o fornecedor tem a melhor solução de link para
Essa evolução tem sido muito natural também para a computação o meu negócio? Ele pode me garantir armazenamento? Eu terei
um alto nível de segurança ao contratar esse
serviço? como esse provedor fará a adminis-
tração desse ambiente em nuvem? tudo está
Pontos importantes para escolha do sendo feito de forma adequada? São procedi-
provedor de cloud computing mentos analíticos que os especialistas destacam
Como são as instalações do provedor? no momento de contratação de um provedor de
o fornecedor tem a melhor solução de link para o meu negócio? computação em nuvem.
o fornecedor pode me garantir armazenamento? “nós temos uma latência muito grande no
Como se dá o acesso aos dados e quem tem acesso a eles? acesso as informações, o que depende muito
Qual é o plano para recuperação em casos de desastre? do provedor. muitas vezes, o cloud público não
está no Brasil e esse acesso é feito pela Internet.
As senhas do cliente estão armazenadas de forma segura? Como?
como será a desempenho desse acesso? Por isso
Senhas são transmitidas usando conexão criptografada?
a importância em escolher criteriosamente esse
Como funciona o monitoramento do ambiente cloud?
parceiro de tecnologia. o provedor que consiga
Como funciona o registro de logins autorizados e negados?
hospedar a solução dele mais próximo da reali-
Eu terei um alto nível de segurança ao contratar esse serviço?
dade da empresa passa a ser mais interessante
Como esse provedor fará a administração desse ambiente em nuvem?
o acesso das aplicações”, aponta claudio Ban-
rISK report 13

14. Trend
nwart, responsável pela área de Segurança da compugraf. processos de aquisição de ambientes em nuvem. Acessos aos con-
Essa análise crítica também é destacada por moraes. “A com- teúdos alocados, quem terá ou não permissão para obter as infor-
panhia que pretende adotar uma infraestrutura baseada em mações e, em casos de desastres, se essas informações poderão ser
cloud computing precisa conhecer bem seu parceiro para evitar recuperadas, são algumas dúvidas que surgem. na opinião de Bre-
problemas futuros. É muito importante analisar a relação custo- no lastra, líder técnico de rede da locaweb, o acesso aos dados e
benefício, pois nem sempre o fornecedor mais barato é o melhor. a questão da permissão, dependem muito da gestão da informação,
Se o custo for muito baixo, é prudente questionar se os procedi- independente se o ambiente for físico ou em nuvem.
mentos serão feitos adequadamente. A questão da redução de “na virtualização, meus dados estão no storage do meu fornece-
custo no ambiente na nuvem é algo real, mas precisamos pon- dor, que precisa ter acesso para fazer a manutenção. É nessa hora
derar as opções de fornecedores para não cair numa cilada”. que posso ter problemas com segurança. mas também posso ter
vulnerabilidades em um servidor físico. Por exemplo, se der um
Segurança problema no disco com a necessidade de troca, a empresa pode
o modelo cloud computing ainda deixa muitas dúvidas entre os fazer um descarte inadequado sem apagar os dados e qualquer pes-
gestores de tI, com isso, surgem antigos questionamentos nos soa pode ter acesso às informações daquele disco. ou seja, tudo
depende do gerenciamento desses dados”, explica lastra.
Em relação à recuperação de dados, o executivo é bem categórico.
“Se um servidor está sendo invadindo por um hacker, com acesso
àquela máquina, ele pode simplesmente rodar um software para
apagar tudo que está no disco. mas em um servidor virtual, mesmo
que isso ocorra, todos os dados poderão ser recuperados”.
o fato é que em qualquer aquisição de tecnologia, a companhia
precisa contar com um bom planejamento interno para que a Se-
gurança da Informação seja preservada. São várias as ofertas de
cloud pública, privada ou híbrida.
A verdade é que o provedor precisa entregar uma série de ga-
rantias à companhia que está contratando o serviço. Segurança,
disponibilidade de infraestrutura, performance, comunicação,
acesso aos dados e ambiente seguro são peças fundamentais na
contratação do serviço. Além disso, a empresa contratante espera
uma maturidade profissional para garantir a segurança dos dados.
Existem muitos serviços ofertados com vários níveis de segu-
rança, mas essa garantia depende do bom planejamento inter-
no, relação custo-benefício e escolha do provedor. os critérios
de adoção dependem da confiança da empresa contratante em
relação ao seu fornecedor. um relacionamento transparente é o
melhor caminho para a confiabilidade. São quesitos importantes
que precisam ser colocados na balança.
Desafios da computação em nuvem
De acordo com um estudo da IDC, 75% das empresas brasileiras ainda não adotaram o cloud
Principais razões citadas pelos gestores de TI:
eu não sei o que é computação em nuvem
não me sinto seguro e confortável em utilizar esse tipo de tecnologia
vou avaliar a possibilidade de conhecer esse ambiente cloud
vou analisar internamente se há necessidade e se essa tecnologia pode me auxiliar segundo minhas estratégias
14 rISK report

15. kwarup.com
TABU SOBRE E-COMMERCE
“Vai demorar para as pessoas
comprarem pela Internet.”
TABU SOBRE CLOUD COMPUTING
“Vai demorar para
eliminarem os servidores
físicos nas empresas.”
TABU FOI FEITO PARA SER QUEBRADO. CHEGOU O CLOUD SERVER PRO LOCAWEB.
Há pouco tempo, muitos achavam que as pessoas teriam medo de fazer compras pela web. Mas o
e-commerce no Brasil cresce cerca de 30% ao ano e já movimenta bilhões. E, ainda hoje, há quem
ache que manter os servidores na empresa gerando custos de manutenção e gerenciamento é a melhor
alternativa para o processamento de dados. Para mudar essa mentalidade, a Locaweb lançou o Cloud
Server Pro, a mais avançada e segura computação em nuvem do mercado. É a solução para empresas
que querem atuar com mais inteligência, cortando gastos e ganhando performance.
SEGURO RÁPIDO ECONÔMICO SIMPLES E ÁGIL
Seus dados são Utiliza a tecnologia Você não gasta com São diversos sistemas operacionais para você
armazenados Xen de virtualização, infraestrutura e só paga escolher e gerenciar suas informações.
isoladamente. e cada cliente possui pela capacidade que Em até 30 minutos* os servidores
sua própria VLAN. utilizar. já estão à sua disposição.
*Prazo para a instalação-padrão, após o reconhecimento do pagamento.
Em alguns casos é necessário confirmar a disponibilidade técnica e operacional.
,00
R$ 199 !
Ganhe sconto
de de rverPr
o
r/Cloud
Se
eb .com.b mocional:
Locaw o pro
Acesse ilize o códig 06A
ut 27 o
e DREP6 o o 1º mês n tis.
sc ont é grá
sse de inux*
Com e r Pro 1 GB L
Serve para
Cloud 99,00
válido e
d
e R$ 1 ções
onto d iras contrata 1/05/2011.
*Desc ime
0 pr e, até 3
as 100 Pro pelo sit
Serve r
Cloud
Locaweb.com.br/CloudServerPro

16. Financial
A nova fronteira
da autenticação
C
Especia istas
l IfrAS, cHEQuES, cArtõES, InVEStImEntoS.
A humanidade é dependente do setor financeiro, des-
debatem as
de um simples pagamento de uma fatura de cartão de
tendências em crédito às altas aplicações nas bolsas de valores. com
autenticação e o avanço da Web e da mobilidade, essa dependência
segurança para o ficou facilitada. Hoje, os equipamentos tecnológicos
permitem transações financeiras independente da presença física do usu-
setor financeiro.
ário. A contratação de um empréstimo ou cheque especial, por exemplo,
Não há apenas pode ser feita com alguns cliques no Internet Banking.
um padrão que contudo, essa revolução tecnológica ao mesmo tempo em que pro-
assegure as porciona comodidade, flexibilidade e agilidade aos usuários, também
transações, mas avança no campo das fraudes, com ameaças online cada vez mais sofisti-
cadas e com claros objetivos de roubar informações de cartões e contas
um conjunto de bancárias para obter lucro com elas. o desafio do setor é desenvolver
tecnologias e soluções de proteção e autenticação nas transações financeiras de acordo
normas - Por com o aumento da demanda.
Léia Machado
“Todos os sistemas de autenticação tem suas vantagens e vulne-
rabilidades. dificilcimente teremos um padrão de segurança para o setor
financeiro, pois todas as tecnologias de autenticação de transações são vá-
lidas como uma nova camada de segurança”, aponta francimara Viotti,
gerente Executiva do Banco do Brasil.
Para francimara, as transações bancárias são realizadas através de vá-
rias tecnologias e não seria diferente usar vários dispositivos para propor-
cionar a segurança aos clientes. “Há riqueza na tecnologia onde as pessoas
usam a criatividade para desenvolver formas de proteção. cada tecnologia
tem o nível de fragilidade e, às vezes, é preciso agregar outras soluções
para complementar a segurança na atutenticação financeira”, explica.
Medidas de Segurança
Ao longo dos anos, o mercado financeiro, sendo a principal vítima de
fraudes e roubos milionários, vem desenvolvendo novas ferramentas de
16 rISK report

17. proteção para as transações presenciais “O RIC é uma forma
e online. Por uma questão de segurança,
a partir da colaboração entre os sistemas
natura de manter a
l
de pagamento mundiais Europay, mas- autenti cação no mundo
tercard e Visa, criou-se o padrao EmV físico e vai se transferir
para as transações de cartões de débito, para o universo virtua . Ele
l
crédito e smart card.
identifica o indivíduo e
“ou seja, o início da migração da
tarja magnética – que é carente de se- tem tecnologia para fazer a
gurança sem proteção por criptografia, assinatura de uma transação
capacidade de memória limitada de fá- e etrôni , garantindo
l ca
cil reprodução e clonagem dos dados –
a autenticação do cidadão.
para os cartões com chip. Por sua vez,
possuem maior capacidade de armaze-
Claro que ele não será uma
namento de dados criptografados, com solução única, mas pode agregar
microprocessador interno sem a pos- maior segurança” diz ,
sibilidade de clonagem do cartão por Francimara Viotti, gerente
meios simples”, diz Jorge Krug, supe- Executiva do Banco do Brasil
rintendente Executivo da unidade de
Segurança de tI do Banrisul. da memória do computador no ato da será uma solução única, mas pode agregar
mais adiante, de novo as bandeiras se transação. de acordo com francimara, maior segurança”, acrescenta francimara.
reuniram para a criação do padrão Pay- a forma de combater essa ameaça seria a
ment card Industry (PcI), segurança de blindagem do browser. “com isso, o usu- Padrões e Regras
dados de cartões de pagamento. trata-se ário não permite que um malware consi- diante dessas tendências em autentica-
de um conjunto de normas que garante ga ler o que está na memória para fazer a ção e segurança para o setor financeiro,
a proteção das informações do titular adulteração dos dados da transação antes hoje, a área não tem uma bala de prata
dos cartões durante as transações finan- de entrar para um smart card, token ou que seja 100% segura, barrando qualquer
ceiras, online e presenciais. Em termos qualquer outro dispositivo para assinatu- tipo de fraude. não há uma única forma
gerais, as operadoras de cartão estabele- ra. Esse procedimento é um reforço para de proteção. o que está sendo feito é o
ceram normas de segurança, nas quais o a segurança do usuário”. uso de um conjunto de soluções de segu-
comércio precisa entrar em conformida- Além disso, o rIc (registro de Iden- rança de acordo com a complexidade de
de com o padrão. tidade civil) também poderá ser usado cada transação, seja usando o certificado
como um método convergente de autenti- digital, token, biometria ou cartões de
Por outro lado, o token também é um cação para as transações financeiras. o do- crédito e débito com chip.
fator a mais para autenticar as transações cumento será um registro único para todos
financeiras através do Internet Banking. os cidadãos brasileiros e contará com um “O fato é que o mundo ficou mais
A confirmação da transação é online, tanto chip de armazenamento de documentos complexo e, por consequência, a segurança
as de maiores riscos quanto as de valores como rg, cPf, título de eleitor, informa- também. Antigamente, uma das fraudes que
menores. “o dispositivo, que está passan- ções previdenciárias e trabalhistas, além mais davam dor de cabeça aos bancos era
do por uma revolução com novos recursos de dados biométricos e certificado digital. a falsificação de cheques, hoje estão sendo
de segurança e assinatura de transações “o rIc é uma forma natural de man- acrescentadas novas modalidades para burlar
associada a outras funções como garantia ter a autenticação no mundo físico e vai se a segurança das instituições. Para mudar esse
do browser, já faz parte da vida de muitos transferir para o universo virtual. Ele iden- cenário, acredito em algumas convergências
clientes bancários. o fato é que ele veio tifica o indivíduo e tem tecno- tecnológicas específicas para determinados
para ficar”, afirma Alexandre cagnoni, di- logia para fazer a assinatura negócios”, opina cesar Augusto faustino,
retor de tecnologia da Brtoken. de uma transação eletrônica, gerente de Auditoria na Banco Itaú e coor-
Há também a questão da assinatu- garantindo a autenticação do denador da Sub-comissão de Prevenção a
ra cega, onde acontece uma adulteração cidadão. claro que ele não fraudes Eletrônicas na febraban.
rISK report 17

18. Financial
“O importante é a proteção da
transação com o uso das ferramentas
existentes no mercado, da padronização
e regras de segurança que
as bandeiras e instituições financeiras
estão discutindo em conjunto” a
, lerta
Jorge Krug, superintendente executivo da
Unidade de Segurança de TI do Banrisul
Além disso, há ainda um outro fator bancário com um menor grau de instru- sociedade. “Eu coloco isso em dois pata-
relevante nesse processo. o avanço da ção, tem dificuldades para acompanhar mares: o primeiro é essa evangelização
mobilidade. A cada dia aumenta o nú- a evolução das transações até mesmo em da sociedade digital que avança no uso
mero de pessoas realizando transações uma agência bancária. É comum nos da tecnologia, precisamos sim falar em
bancárias através dos smartphones, o depararmos com funcionários do ban- segurança com todos, sem exceção”.
que expande o desafio do setor em de- co auxiliando alguns clientes durante a “mas um outro ponto importante
senvolver padões de segurança para os transação em um caixa eletrônico. é a legislação do país. não adianta ter
usuários. “Em pouco tempo teremos Essa dificuldade é ainda maior no todo um processo de conscientização se
mais 100 milhões de celulares fazendo ambiente online, com diversas senhas, não temos uma legislação eficiente que
transações bancárias, fica dificil que se tokens e assinaturas eletrônicas. A mi- garanta segurança em todo o processo.
estabeleça apenas um de padrão de se- gração dessas transações para a Internet os bancos investem muito dinheiro em
gurança”, acrescenta faustino. obriga as instituições financeiras a de- segurança e eles têm processo muito se-
senvolverem cartilhas e ações para ensi- guros. mas o próprio país precisa ofere-
Cabe aos bancos e instituições fi- nar seus clientes, inclusive as crianças, cer infraestrutura eficiente para ajudar
nanceiras a monitoração permanente a usar a internet de uma maneira mais nesse combate às fraudes”.
de cada transação, checando as infor- segura, além de conscientizá-los sobre
mações com os clientes e estabelecen- os riscos de fraudes no mundo digital. Na opinião de Francimara , é
do um atendimento personalizado. “o preciso ter uma conscientização de que
importante é a proteção da transação Essa preocupação com a segurança crime é crime independente se for co-
com o uso das ferramentas existentes não se restringe apenas aos bancos com metido na esfera online ou física. “nor-
no mercado, da padronização e regras a febraran, mas também de outros ór- malmente as pessoas entendem as amea-
de segurança que as bandeiras e insti- gãos como a fecomercio e a oAB, que ças quando são atacadas, quando passam
tuições financeiras estão discutindo em desenvolvem cartilhas e ações de cons- por desvio de dinheiro em conta corren-
conjunto”, alerta Krug. cientização do usuário. “Essa série de te ou em alguma situação de clonagem
recomendações que falamos o tempo de cartão. Essa evolução na educação
Educação do usuário todo tem que ser exaustivamente deba- será natural na sociedade”, finaliza.
outro pilar importante para a segurança tida”, complementa faustino.
nas transações financeiras é a conscien- Para Krug, esse modelo de cons-
tização do usuário, que precisa ser evan- cientização precisa ser difundio o mais Leia mais:
gelizado em relação às fraudes e amea- rápido possível, mas alerta que o esfor- http://www.fraudes.org/showpage1
ças do universo digital. Aquele cliente ço não depende apenas dos bancos e da http://portal.mj.gov.br/ric
18 rISK report

19. 2 011
• Exposição de Soluções, Produtos e Serviços
• Painéis de debates com transmissão ao vivo e interatividade
• Apresentação de Cases
• Prêmio Security Leaders : Premiação dos principais líderes do
setor de Segurança da Informação
CONGRESSO, EXPOSIÇÃO E PREMIAÇÃO
DE LÍDERES E PROFISSIONAIS DE
SEGURANÇA DA INFORMAÇÃO E RISCO
Tel. (11) 5049-0202 www. securityleaders .com.br
Realização: Apoio de Mídia: Transmissão:

20. Focus
A especialização do
cibercrime
Novos dispositivos e redes sociais tornam os ataques vi rtuais
mais específicos e sofisticados. Especia ista internaciona
l l
aponta outras técnicas de golpes - Por Léia Machado
O
S crImES VIrtuAIS forAm EVoluIndo crimes virtuais é clara, desde a criação do worm “I love You”,
conforme a própria internet. no passado, o ciber- em 2000, até as ameaças atuais como o geneXus. Segundo a enti-
crime não tinha uma motivação financeira e era dade Internet World Stats, o uso da Web cresceu de 361 milhões
comandado por jovens com objetivos distintos. de usuários, em 2000, para quase 2 bilhões em 2010. com isso, a
Atacavam para mostrar as vulnerabilidades de um sistema ou Internet tornou-se um importante alvo para os criminosos.
para ganhar status por sua capacidade de invasão. mas com o
avanço da Internet e o surgimento de novas tecnologias essa Variedades de ataques
ideia está obsoleta. de acordo com Sutton, os aplicativos da Web 2.0 são muito di-
os ataques no universo online estão cada nâmicos e mais fáceis de atacar. uma das
vez mais sofisticados e conta com as mais grandes tendências destacadas pelo pes-
diversas ferramentas tecnológicas, o pró- quisador é o phishing, um golpe online
prio perfil do cibercriminoso mudou. de falsificação de sites legítimos. os cri-
Hoje, são quadrilhas inteiras que atacam minosos usam spams, websites malicio-
via web e tem um objetivo claro: roubar sos e mensagens de e-mail para roubar
informações pessoais para obter lucro informações sigilosas. “normalmente são
com elas. “na Internet há muita vulnera- sites que usamos no nosso dia a dia e esses
bilidade, o que facilita a criação de novas criminosos tentam nos convencer a entrar
ferramentas de ataques”, afirma michael nessa página infectada”, comenta Sutton.
Sutton, pesquisador na área de Segurança Além disso, as práticas de ataques são as
e vice-presidente da zscaler. mais variadas. os e-mails, por exemplo, já
na última década, o cibercrime prospe- não são os maiores vilões na disseminação
rou e custou aos consumidores centenas de ameaças de segurança pela Web. As re-
de milhões de dólares. A sofisticação dos des sociais são os atuais alvos de ataques
20 rISK report

21. MaliciousNetworking.org
C&C Phish Spam Exploit
Country Score não é a lista em que um país gostaria de
Servers Servers Servers Servers figurar nos primeiros lugares. A Segu-
US 190.79 398 81 214 335 rança deve estar na mente das pessoas e
das empresas”.
RU 31.25 60 0 8 55
Cn 27.61 255 7 28 89 Medidas de segurança
BR 26.65 88 0 4 11 com a especialização do cibercrime,
DE 25.84 51 32 8 43 é natural que as empresas tomem me-
didas de Segurança em seu ambiente
UK 21.02 46 0 1 44 corporativo. E Sutton provoca algu-
KR 17.65 66 9 0 93 mas discussões: as companhias devem
CA 14.47 22 9 0 21 bloquear o acesso às redes socias? Em
relação aos ataques, qual é o foco dos
Ph 12.64 17 0 3 16
recursos de Segurança? como é feita a
nL 12.46 31 0 0 19 Segurança nos dispositivos móveis?
diante dessas questões, o executivo foi
bem categórico. “não acredito que blo-
virtuais tornando-se uma quear o acesso às mídias sociais seja um caminho seguro. muito
das principais fontes de menos de 1% dos ataques na Web vêm dessas mídias. com o blo-
As redes sociais disseminação do cibercri- queio desses websites, os usuários acabam achando outra manei-
são os atuais alvos me. ra de acessá-los, o que pode causar um maior descontrole na rede
de ataques virtuais, outra vítima dos crimes e aumento da vulnerabilidade”.
tornando-se uma digitais sãos os mecanis- o pesquisador acredita que a melhor medida nessas situações
das principais fontes mos de busca. Segundo é monitoração do tráfego no ambiente corporativo. As empre-
de disseminação do Sutton, a cada 100 resul- sas podem criar suas próprias regras e políticas internas, o que
cibercrime tados 1 já se refere a uma garante o controle e transparência no relacionamento. Em rela-
página maliciosa. Esses ção aos recursos de Segurança, o executivo afirma que o melhor
endereços contaminados estão entre os primeiros que aparecem caminho é investir na educação do usuário. “gastamos muito
nas pesquisas. A mobilidade também não escapou dos ataques dinheiro protegendo servidores, mas esquecemos dos nossos co-
por meio da Web, o cibercrime desenvolve vírus específicos para laboradores, é aí que devemos trabalhar”.
esses dispositivos. Em termos de mobilidade, a Segurança precisa ser semelhante à
Sutton também destacou outra vulnerabilidade chamada clickja- de um desktop. “os ataques funcionam muito bem em qualquer
cking. trata-se de uma técnica usada por um cracker para escon- plataforma, se as empresas não fizerem nada para proteger todos
der programas maliciosos embaixo de um botão legítimo de um os dispositivos, independente se for móvel ou não, provavelmen-
site legítimo. ou seja, é uma forma de enganar o usuário para que te já esteja infectada”, finaliza o pesquisador.
entre em uma página, embora tenha visualizado outra.
“os criminosos simplesmente tiram vantagens, eles conhecem as
formas legitimas de formatar uma página, enganam os usuários e
Mecanismos de busca
exploram a credibilidade dos sites. normalmente eles tiram van-
tagem de uma vulnerabilidade, escrevem um script e colocam
os cibercriminosos
conteúdo malicioso. A meta é atingir o maior número possível usam técnicas para atacar
de sites”, explica o executivo. as vulnerabilidades dos
Em um estudo realizado pelo website maliciousnetworkin.org, sites. A cada 100 resultados
mantido pelo International Secure Systems lab, Vienna univer- 1 já se refere a uma página
sity of technology, Eurecom france e uc Santa Barbara, entre maliciosa. Esses endereços
os dez países que possuem a maior quantidade de conteúdo mali- contaminados estão entre
cioso o Brasil aparece em quarto lugar, atrás apenas dos Estados os primeiros que aparecem
unidos, rússia e china, respectivamente.”definitivamente, essa nas pesquisas
rISK report 21

22. Focus
O outro lado das
redes sociais
As mídias sociais estão cada
vez mais presentes no mundo
corporativo. Como é possível de dois bilhões de pessoas que acessam a internet no
util las em favor dos negócios?
izá- país. Para as corporações, o horizonte é um pouco mais
amplo. Essa plataforma pode ajudar a incrementar seus
Ainda há algumas questões a negócios. A grande questão é como lidar com esse mo-
serem olhadas com atenção, como vimento e obter lucro com ela.
a segurança e o treinamento de Segundo marcelo duarte, gerente de infraestrutura
do Banco carrefour, a rede social pode trazer agilida-
funcionários para lidar com a de. “temos olhado isso como uma possibilidade de se
informação - Por Júl Zil ig
ia l comunicar mais rápido e isso significa também fazer
negócios com mais agilidade. Já existem empresas
ganhando dinheiro por meio das redes sociais, outras
A
estão perdendo. no entanto, precisamos ficar aten-
lÉm dE EStAr PrESEntE nA VIdA tos, pois a penetração das redes sociais nas empresas
das pessoas, até mesmo dentro do bolso, é algo inevitável e vai nos abrir a oportunidade de
por meio de smartphones, a realidade das fazer negócios diferentes.”
redes sociais também já faz parte do mun- Além do lado financeiro, a questão da segurança é ou-
do corporativo. Para as pessoas, a palavra que resume tro aspecto que está sendo olhado com cuidado pelas
sua vantagem, em grande parte do tempo, é relaciona- empresas. “não acredito na liberação das redes sociais
mento. nesse caso, estamos falando de um universo de para todas as pessoas da empresa, mas sim para aque-
70 milhões de usuários, que representam 40% do total las que façam sentido, ou seja, que têm a oportunidade
22 rISK report

23. “As pessoas têm uma fa lsa
sensação de impunidade.
Elas acham que podem acessar o
Orkut, criar comunidades, fa lar
ma das empresas,
l
mas não sabem que estão sujeitas
às ações das leis civis, penais
e criminais. Hoje a internet é
monitorada”, Yanis Cardoso
Stoyannis, gerente de Segurança
da Informação da Embratel
sabem que estão sujeitas às ações das leis civis, penais
e criminais. Hoje a internet é monitorada. Existem
mais de 30 mil processos em andamento no país por
uso indevido desse tipo de ferramenta”, explica Yanis
cardoso Stoyannis, gerente de Segurança Informa-
ção da Embratel.
de trazer resultados para a companhia, o que é uma no entanto, o caminho pode ser muito promissor
tendência natural”, diz duarte. para a empresa. “Por meio das redes sociais, que atrai
Isso deve se tornar cada vez mais realidade pelo fato de seguidores, as companhias devem criar modelos de
que mais de 70% dos problemas de ataque de seguran- atratividade para que o público em geral se interesse
ça provêm de dentro da empresa, segundo frederico em seguir as tendências e/ou benefícios que elas tra-
Pacheco, gerente de Educação e Investigação da ESEt zem. Se o consumidor entender que há valor agrega-
para a América latina. “Se eu vou colocar várias bar- do por trás das informações da empresa na rede, ele
reiras internas e proteger minha empresa de maneira passará a segui-la. Isso é uma grande
simples, isso se torna complicado, pois eu preciso for- oportunidade”, enfatiza duarte, do
necer acesso às pessoas. muitas vezes, uma pessoa que Banco carrefour.
tem acesso acaba sendo usada por outra que quer pre- mas é necessário direcionar seus
judicar a empresa de alguma forma. A coisa fica pior esforços em relação a uma questão:
quando envolvem o pessoal mais técnico.” a conscientização e treinamento de
Alexandre moraes, team leader dos engenheiros de seus colaboradores. “uma frase in-
Sistemas da HP tippingPoint, ressalta que, por mais devida pode gerar uma interpretação
que a empresa implante a solução tecnológica mais errada”, diz morais. Essas ações de-
sofisticada, o elo mais fraco da corrente é o usuário. vem acontecer antes de ter o seu acesso
duarte completa. “Ainda não existem tecnologias que liberado. E duarte, complementa.“É
controlem o ser humano na utilização da informação importante que as pessoas compreen-
inadequada. Esse não é um problema da rede social, dam que a Segurança da Informação é
mas sim do convívio em sociedade.” um problema delas mesmas e não so-
o número de pessoas com acesso a essas redes sociais mente da empresa. É importante tra-
não para de aumentar e isso maximiza os riscos dos balhar com os usuários internos dentro
efeitos colaterais das mídias sociais no mundo cor- das nossas companhias, para que as in-
porativo. “As pessoas têm uma falsa sensação de im- formações confidenciais nas quais temos
punidade. Elas acham que podem acessar o orkut, acesso sejam utilizadas de forma adequa-
criar comunidades, falar mal das empresas, mas não da. É fundamental ter ética”.
rISK report 23

24. Focus
PCI na pauta do
e-commerce
Com a explosão dos negócios via Internet, adoção do PCI entra em regime de
urgência. Especia istas apontam 2012 como o deadl
l ine brasileiro - Por Davi P assa
d l
N
A últImA dÉcAdA, o Banrisul. o objetivo é estudar o modelo
mercado mundial absorveu o mais adequado à realidade do país. E qual
e-commerce em grande esca- o prazo para o comércio aderir às normas?
la. de acordo com pesquisa da “o PcI passar a ter validade desde o dia
consultoria J.P morgan, a expectativa de fa-
. 1ºde janeiro de 2011. As bandeiras orien-
turamento do comércio eletrônico mundial tam 1º de julho deste ano em algum nível
para 2011 é de uS$ 680 bilhões, um aumen- de comércio, mas vejo 2012 como o ano do
to de 18,9% em comparação com o último deadline para a adoção”, diz Jorge Krug,
ano. fatores como comodidade, variedade superintendente executivo da unidade de
de produtos e preços mais acessíveis salien- Segurança de tI.
tam as perspectivas neste nicho. Entretanto, o consenso é de que o PcI é uma re-
especialistas apontam outro elemento como alidade irreversível. Algumas empresas já
crucial ao desenvolvimento do e-commer- estão em conformidade com a regulamen-
ce: a segurança do consumidor. tação como cielo, redecard, casas Bahia,
o aumento do uso de cartões de crédi- entre outras. “São empresas de grande
to acompanha a expansão dos negócios via porte, projetos complexos. A mensagem
internet. Preservar os dados dos clientes que passam é o da viabilidade do PcI. o
passa a ser a grande preocupação para quem mercado precisa se adaptar”, diz Alexan- Brasil, 90% das empresas foram alvos do
realiza esse tipo de transação. no último dre Sieira, cto do cipher. cibercrime, como mostrou recente relató-
natal o comércio eletrônico arrecadou r$ rio da global fraud report e da the Eco-
2,2 bilhões no Brasil. “Isso representa um Segurança online nomist Intelligence unit, da revista the
aumento de 40% em relação a 2009. o país Em termos gerais, o padrão abrange à confi- Economist. o país é o terceiro no ranking
cresce e os cartões emitidos também, mas dencialidade das informações, assegura me- de fraudes eletrônicas, atrás da china, com
surgem as fragilidades”, diz Victor murad, didas de monitoramento e estabelece testes 98% de incidências e colômbia com 94%.
conselheiro e vice-presidente de comércio das redes periodicamente. Quanto maior o o número de empresas brasileiras adequa-
Eletrônico da câmara e-net. armazenamento e processamento de dados das ao PcI é baixo.
como reação a esse cenário, as princi- por parte de uma empresa, maior a necessi- Para Henrique takaki, coordenador do
pais bandeiras de cartão de crédito desen- dade de estar em conformidade com as nor- grupo de Segurança e Prevenção a frau-
volveram a regulamentação Payment card mas. o que coloca o comércio eletrônico em des da Associação Brasileira das Empresas
Industry (PcI) - data Security Standard destaque no processo de adaptação. de acor- de cartões de crédito (ABEcS), a falta de
(dSS). um conjunto de normas que ga- do com Sieira, o PcI nasceu para o e-com- adesão pode ser atribuída à maneira como
rantem o nível de segurança exigido para merce. “A maior parte das transações com a regulamentação tem sido implementada.
proteção dos dados do titular do cartão du- cartão presente migra para os cartões com “o PcI é excelente, mas o modelo binário
rante as transações. chip, o que reduz o impacto da clonagem. o não é o correto. Apenas empresas que ado-
risco de uma operação financeira pela inter- tem 100% das diretrizes conseguem o cer-
O deadline brasileiro net é real e precisa ser gerenciado.” tificado. Será que as regras não poderiam
o Brasil é membro do comitê executivo o esforço é grande, mas os números ser implementadas progressivamente, a
do PcI desde 2009, sob representação do denunciam o tamanho do problema. no partir das prioridades?”
24 rISK report

25. Riscos
sob controle
O conceito de GRC vem ganhando notoriedade entre os gestores mas ainda precisa
,
vencer as barreiras do amadurecimento e da cultura organizaciona - P L i Ma
l or é a chado
G
oVErnAnçA corPorAtIVA. gEStão dE “o conceito está claro na literatura, mas na forma de aplicação
risco. conformidade. A combinação dessas três para o mercado ainda faltam alguns desafios a serem superados.
vertentes tem o objetivo de proporcionar às empre- Isso está diretamente ligado à cultura da companhia, desde o pre-
sas controle dos negócios, sinergia entre os depar- sidente até a recepcionista”, afirma fabian martins, consultor de
tamentos, inteligência de mercado e gerenciamento centraliza- compliance e segurança da informação em tI da fIAP .
do. o conceito, chamado pela sigla grc, vem sendo aprimorado Segundo martins, o maior desafio para a implementação do grc
nas grandes organizações e o resultado é bastante satisfatório. é a cultura. É justamente promover esse ambiente de colaboração
“Hoje, a oi é uma empresa de processo e continuidade. A imple- na companhia para gerar uma motivação comum. “mas essa ini-
mentação do grc foi conduzida junto a um programa de seguran- ciativa precisa partir da diretoria até os níveis mais baixos. Isso
ça no qual fotografamos cada parte da companhia e mostramos o é fundamental para o processo amadurecer”, completa coelho.
que realmente era necessário naquele momento. foi uma quebra “Sem o apoio dos principais executivos da companhia fica com-
de paradigma”, aponta Angelo coelho, cSo da operadora. plicado a adoção do grc. Quando se tem o envolvimento desses
Para o grc não existe tamanho ou segmento de empresa, ele profissionais conseguimos justificar os investimentos e apresen-
serve para todos. A gestão de risco abrange a parte de Segurança tar uma governança diferenciada e transparente”.
da Informação, da companhia e dos negócios. o compliance é diante do positivo cenário
conformidade com leis, regulamentos, imposições de padrões brasileiro com um merca-
municipais, estaduais, federais ou internacionais. Por outro lado do em constante progresso,
a governança é um elemento indispensável no gerenciamento de com empresas internacio-
pessoas a fim de buscar o resultado positivo dentro da empresa. nais apostando no País e
“A junção dessas três questões proporciona uma lógica mais uma economia bastante mo-
fácil de integrar departamentos e garantir efetividade nos re- vimentada, o caminho para
sultados. o grc é um conceito que vem sendo muito bem en- investimentos em grc está
tendido pelos gestores corporativos, principalmente quando se propício. “Estamos em um
deparam com os benefícios somados dessas três vertentes. mas é bom momento para evoluir
um caminho que muitos ainda precisam percorrer”, opina João na cultura organizacional
roberto Peres, especialista em grc e professor da fgV. das companhias. o grande
diferencial é conhecer bem
Maturidade o negócio para que o apoio
o grc precisa fazer parte da estratégia corporativa com o intuito dos altos executivos seja mais
de unificar áreas que, mesmo com objetivos próximos, atuavam natural e transparente. É pre-
distantes uma das outras. o processo não envolve apenas o de- ciso ter perseverança nesse
partamento de tecnologia, mas todo o ambiente organizacional. processo”, finaliza coelho.
rISK report 25

26. Focus
Muito mais do que
nomes e números
Fazer a gestão de identidade virou condição fundamenta para as empresas
l
aprimorarem seus processos, redefinir perfis e reduzir custos - Por Júl Zil ig
ia l
O
unIVErSo dA tEcno- questão está em como manter uma base de tar esse tipo de ferramenta? o primeiro
logia nas empresas adota a identidades atualizadas, já que as empresas passo é definir os papéis. “Quanto mais
máxima de que o céu é o li- são organizações vivas, em constantes mu- bem definidos estiverem esses perfis, mais
mite. cada vez mais, novas danças. “A empresa desenvolve um projeto chances do sucesso da ferramenta de ges-
soluções e processos garantem um bom de- de gestão de identidade, estabelece os parâ- tão de identidade. Além disso, é importan-
sempenho dos negócios das companhias. Se- metros, implementa, e a partir daí começa te ter aprovadores amparados por políticas
gundo Almir Xavier, da gerência de riscos o problema. Eu posso ter provisionado e e regras bem definidas para a questão do
corporativos da cSn, “a tecnologia atua nos definido papeis ao longo do tempo, mas acesso.” E o envolvimento de áreas da
bastidores para poder apoiar toda e qualquer minha base acaba sendo contaminada, ge- companhia como financeiro, controles in-
decisão tomada pela área de negócios.” rando perfis conflitantes. não é possível ter ternos e tI é fundamental para isso. o ca-
Atualmente, no âmbito das grandes todos os papeis funcionais distribuídos por minho não é árduo. Basta investimento e
corporações, muito tem se falado sobre ges- usuários diferentes.” A principal causa está coragem para abraçar essa nova realidade.
tão de identidade como uma das principais na mutabilidade dos perfis.
contribuições dessa evolução. Qual é a im- “o pessoal da área da Segurança da In- Otimizar é preciso
portância disso para o sucesso de um negó- formação tem condições de avaliar a qualida- outra dificuldade é a cultura da mudança
cio? A resposta é “significativa”. Por meio de dos processos, ou seja, podem rever esses dentro da própria empresa. “Há uma re-
dela, é possível reduzir custos, aumentar a perfis e também se os usuários que partici- sistência nesse sentido”, explica fernando
agilidade no fornecimento de acessos, da- param do provisionamento estão aprovan- leite, cIo regional da Esab para a Améri-
dos mais claros e, principalmente, minimi- do as solicitações no momento adequado.” ca do Sul. Para divulgar o novo direciona-
zar os riscos com a questão da segurança. E as empresas somente começam a buscar mento, a Esab trabalhou principalmente
Segundo marcio ricardo Episcopo, geren- esse tipo de solução quando necessitam de a parte de comunicação com seus funcio-
te de Vendas de Soluções da SAP a grande
, uma aplicação mais crítica, de acordo com nários. “fizemos reuniões presenciais,
Edison fontes, especialista em Segurança divulgamos o assunto no jornal interno e
da Informação e professor da fIAP . também via e-mail. mesmo assim, ainda
aconteceu casos de usuários reclamando
Envolvimento e clareza sobre a perda de acesso”, diz leite.
A gestão de identidade permite à empre- o ganho de agilidade na autorização de
sa tomar as decisões adequadas e não ter acesso foi obtido pela Esab e também pela
problemas com dados levantados em audi- cSn. Almir Xavier, da gerência de ris-
torias. “Por isso é importante documentar cos corporativos da cSn, diz que um dos
e justificar todas as autorizações. Em caso ganhos obtidos com essa ferramenta foi o
de ocorrer alguma inspeção, a ferramenta prazo médio de cinco dias para conceder
permite que eu obtenha os dados da pessoa acesso. “Sem esse gerenciamento, esse pe-
que concedeu o acesso, sob quais tipos de ríodo era muito maior.” Para a Esab, trou-
circunstâncias, por quanto tempo, entre xe uma redução de 1/5 do tempo para fazer
outras informações. a análise e liberação de acesso. “A seguran-
Por onde é possível começar a implan- ça é o controle”, finaliza.
26 rISK report

27. Entre nessa
Programação!
próximos temas:
Cloud Computing
Redes Sociais: Controlar o Incontrolável
Prontuário Eletrônico
Varejo Digital: Como competir em um mundo globalizado, multicanal e colaborativo
Segurança Pública: Como o Brasil está se preparando para a Copa das
Confederações; Copa do Mundo e Olimpíadas
Outsourcing 2.0 e BPO: Custo X desempenho
Firewall de próxima geração: Funcionalidade, Disponibilidade e Conectividade
Gestão de Risco, Segurança da Informação e Monitoração
NF-e, SPED Contábil e SPED Fiscal: Operacionalização, Impactos e Benefícios
Gestão em Contact Center
Fraudes Eletrônicas – Como Prevenir
Mobilidade Segura: Novas Soluções de Negócios
Comércio Eletrônico: Evolução e Prevenção às Fraudes
Crimes Digitais: O Impacto no Comércio Eletrônico 2 011
Informações: +55 (11) 5049-0202
contato@conteudoeditorial.com.br