segurança

IA e as controvérsias da privacidade de dados

Por / Deixe um comentário / Opinião, Últimas / novembro 27, 2023 / , , , , , ,

Por Durval Jacintho

Publicado em 1948, o clássico da ficção científica intitulado “1984”, do jornalista inglês George Orwell, ganhou notoriedade pelo conceito do “Big Brother is watching you”, entidade que representa o estado de um regime totalitário, que governa a vida e a liberdade das pessoas, através de teletelas em todas as casas, com monitoração 24 horas por dia da vida privada de um país fictício Oceania.

Quando chegou o ano de 1984, a realidade mundial foi bem diferente daquela visão pessimista traçada por Orwell no final dos anos 40, quando se iniciava a guerra fria. Os movimentos de abertura política, que culminaram com a queda do muro de Berlim em 1989, o fim de ditaduras como da Argentina e do Chile e a redemocratização do Brasil iniciada com a campanha das Diretas-Já em 1984, legaram novos ares de manifestação e expressão nas sociedades democráticas, cuja privacidade ainda era restrita ao ambiente doméstico.

Na década de 1990, a liberdade de expressão se tornou exponencial com o boom tecnológico resultante do advento da internet e da telefonia móvel, que legou ao século XXI um mundo novo, com novas formas de comunicação e interação pelo surgimento de comunidades nas redes sociais. Neste cenário, a exposição das pessoas passou a ser voluntária, em troca de pertencimento a um grupo de afinidades, promoção pessoal e acesso gratuito aos aplicativos e plataformas de relacionamento. Assim, o fim da privacidade não veio pelo fantasma do Big Brother, mas pela hiper exposição causada por mudanças de costumes na sociedade e no comportamento das pessoas, que passaram a ser monitoradas em seus hábitos de consumo, preferências por entretenimento e áreas de interesse.

Esse novo mercado elevou as Big Techs a liderar o ranking das maiores empresas em valor de mercado do planeta e agregando mais de 4,7 bilhões de internautas com perfis em redes sociais em 2023, além da geração de mais de 5 trilhões de transações anuais no comércio eletrônico. Esses números vultosos lograram grande poder aos detentores de informação de usuários e clientes e, em alguns casos, resultaram em abusos pelo uso inadvertido de dados sigilosos por parte de empresas de redes sociais, comércio eletrônico e mercado publicitário. Como forma de regulamentação e controle de desvios, foram criadas leis de proteção de dados em vários países do mundo, como a GPDR – General Data Protection Regulation da União Europeia e a LGPD no Brasil, publicadas em 2018.

Apesar dessas leis, nos dias atuais a privacidade segue sendo invadida por meio de crimes cibernéticos com grande impacto para as pessoas, como o vazamento de dados privados devido à exposição de informações sensíveis, protegidas e confidenciais dos usuários, que são roubadas de bases de dados de sistemas e aplicativos para vários fins: divulgação de propaganda de produtos e serviços nos meios digitais, utilização em sistemas estatísticos do big data e crimes financeiros, nos quais são usados identidade e dados sigilosos das vítimas. Com mais de 313 milhões de usuários de internet, o mercado online dos Estados Unidos está entre os mais importantes do mundo e o país é o mais sujeito às violações de privacidade, preocupando mais da metade dos internautas estadunidenses. No primeiro semestre de 2022, foram reportados 817 incidentes de violação de dados, afetando 53 milhões de pessoas.

Leia também:

Inteligência Artificial: entre o bem e o mal

O caso mais notório de mau uso de informações privadas foi o escândalo da empresa britânica Cambridge Analytica, que coletou, sem autorização, dados pessoais de 87 milhões de usuários do Facebook e os usou para a divulgação direcionada de propaganda política na campanha eleitoral dos Estados Unidos de 2016 – com o objetivo de favorecer a eleição do ex-presidente Donald Trump. A Cambridge Analytica foi penalizada pela justiça inglesa. O Facebook recebeu multa recorde de 5 bilhões de dólares da Comissão Federal de Comércio dos Estados Unidos, que terminou em dezembro de 2022 com a Meta pagando 725 milhões de dólares em acordo judicial, a título de indenização pelos danos causados.

Todavia, com o avanço do mundo eletrônico e da Inteligência Artificial (IA), outras formas de invasão de privacidade surgiram, novamente pela exposição de pessoas e empresas no uso da IA Generativa e recursos tecnológicos que permitem clonar – com alta precisão em áudio e vídeo – pessoas gerando na deepfake falas e imagens que nunca existiram.

Na interação com as ferramentas da IA, as perguntas feitas pelos usuários aos chatbots como o ChatGPT da OpenAI, bem como a entrega de códigos de programação para revisão ou aperfeiçoamento pelos algoritmos da IA, transferem conteúdo e informações ao domínio das plataformas. Isso levou à proibição do uso do ChatGPT por parte de algumas empresas como Samsung, JPMorgan, Bank of America, Goldman Sachs e Citigroup e a Apple, também por razões de competição. Governos atuaram no banimento desse aplicativo, como ocorreu na Itália.

Entretanto, como tudo no mundo da tecnologia tem seus contrapontos, estão surgindo novas formas de comercialização de dados das pessoas com a IA. A startup israelense Hour One está comprando rostos de pessoas reais, para criar personagens gerados pela IA, que são utilizados em vídeos educacionais e de publicidade. A empresa informa que já conta com uma lista de 100 imagens compradas – e outras em fila de espera, e busca diversidade de raça, etnia, idade e gênero. Como resposta aos questionamentos de privacidade e ética, a Hour One garante que rotulará os vídeos criados com marcas d’água informando que se trata de imagens geradas pela IA.

Leia também:

Internet das Coisas: saiba como usar a hiperconectividade sem colocar em risco os seus dados

Outra utilização controversa da IA é a recriação de celebridades mortas. Recentemente, o comercial da Volkswagen, em comemoração dos 70 anos da Kombi no Brasil, causou polêmica nacional por utilizar imagens de Elis Regina, falecida há 41 anos, interpretando a música “Como nossos pais” do compositor Belchior junto com sua filha, a também cantora Maria Rita. O filme utilizou uma dublê e imagens criadas pela IA, com um algoritmo treinado exclusivamente para reconhecimento facial de Elis. A obra foi aplaudida por muitos pelo belo resultado audiovisual e a memória afetiva despertada, porém foi criticada por especialistas e publicitários, questionando a invasão da privacidade de alguém que já não tem mais o arbítrio de sua própria imagem, mesmo que consentida e com geração de direitos autorais para a família. Um dos questionamentos foi: Se estivesse viva, Elis Regina concordaria em participar desse comercial para uma montadora de veículos?

Todos os pontos acima nos fazem refletir sobre mudanças culturais advindas da tecnologia e conduta ética em seu uso, pois colocam em risco a privacidade das pessoas na era da tecnologia digital, gerando demandas de responsabilidade no desenvolvimento e utilização das ferramentas de IA e na necessidade de incluir na regulamentação da IA – e até nos testamentos – cláusulas de privacidade post-mortem, além de normatização sobre os direitos autorais de imagens e vídeos criados pela IA com pessoas mortas.

A educação sobre a preservação da privacidade também deve ser considerada nesse contexto. A gestão de privacidade é uma questão psicológica que envolve confiança e riscos na tomada de decisões de uso dos recursos tecnológicos, conforme opina o psicólogo inglês Alan Smith, no blog Psyvacy. Ele argumenta que “o grau de propriedade que sentimos sobre nossos dados é um forte indicador de quão dispostos estamos a vendê-los. Portanto, se você está tentando fazer com que as pessoas melhorem sua postura de privacidade, concentre-se em criar esse senso de propriedade, porque garanto que as empresas estão tentando eliminá-lo. A confiança na empresa e na plataforma faz parte do processo de entrega de informações por parte dos usuários”.

Assim, nessa nova era, as organizações e seus Conselhos de Administração necessitam de um posicionamento claro sobre esse tema relevante, que exige redefinir regras de compliance e criação de uma cultura de privacidade cibernética, para preservação de sua imagem e reputação, bem como orientação de conduta aos colaboradores e demais stakeholders.

Nota: Este artigo não foi escrito pela IA.

Durval Jacintho é Engenheiro Eletrônico e Mestre em Automação Industrial pela Universidade Estadual de Campinas (UNICAMP) e consultor internacional em tecnologia pela DJCon, com 37 anos de experiência C-Level no mercado de tecnologia e telecomunicações. Conselho de Administração certificado pelo Instituto Brasileiro de Governança Corporativa (IBGC) e membro da Comissão de Ética do IBGC e da Comissão de Inovação do Capítulo São Paulo Interior. Integra o Comitê de Gestão do Hub da Gestão e o Chief.group. Contato no LinkedIn: https://www.linkedin.com/in/durval-jacintho

Fonte: Mondoni Press

Newly, o seu portal de tecnologia.

Políticas de segurança, criptografia e diversidade de dados garantem o sucesso da automação de testes

Por / Deixe um comentário / Opinião / agosto 11, 2023 / , , , , , , ,

*Por Everton Arantes

No mundo do desenvolvimento de software, a geração de dados para massa de testes desempenha um papel crucial na verificação da eficácia e qualidade dos sistemas. No entanto, essa atividade não está isenta de riscos, especialmente quando se trata da segurança e privacidade dos dados envolvidos. Neste contexto, é essencial reconhecer os desafios e adotar medidas para proteger a integridade e a confidencialidade dos dados de teste. Ao dar a devida atenção à segurança, fortalecemos a confiança em nossos sistemas e garantimos a proteção dos dados pessoais.

Como CEO da Prime Control, sei que para profissionais especializados, familiarizados com as principais ferramentas do mercado, sejam pagas ou de código aberto, a segurança deve ser sempre o primeiro foco. Tenho experiência em automação de testes de diversos tipos de sistemas, como ERPs, integrações, e-commerces e aplicativos e, atualmente, utilizamos a metodologia de automação Continuous Test Automation (CTA), baseada na filosofia lean. O CTA permite que nossos clientes aprimorem continuamente seus ciclos automatizados de testes, crescendo de forma escalável, ágil e flexível e a geração de massa de dados é algo que auxilia na implantação de testes contínuos, permitindo a execução de cenários mais complexos, garantindo as variações dos cenários automatizados.

Ao considerar a segurança na geração de dados para massa de testes e investir na automação dos testes, assegura-se não apenas a proteção dos dados pessoais, mas também a eficiência e a confiabilidade dos sistemas desenvolvidos. Os riscos inerentes à geração de dados para massa de testes são reconhecidos, e a importância de adotar medidas para proteger a privacidade e a integridade dos dados é compreendida.

Este processo pode expor informações sensíveis e pessoais se não tomadas as precauções adequadas. Para minimizar esse risco, é essencial anonimizar ou mascarar os dados, substituindo informações identificáveis por dados fictícios ou não identificáveis. Isso protege a privacidade dos usuários reais, garantindo que suas informações pessoais não sejam expostas indevidamente.

É importante destacar que a falta de representatividade dos dados de teste é um risco que compromete a eficácia dos testes. É necessário gerar dados realistas e diversificados, considerando fatores como geografia, demografia, comportamento e características específicas do sistema, a fim de identificar problemas que possam surgir em situações reais.

Outro risco a ser considerado é a falta de conformidade com as regulamentações de proteção de dados, como a LGPD. Devemos garantir que estejamos em conformidade, obtendo o consentimento adequado dos usuários quando necessário e adotando medidas de segurança apropriadas para proteger os dados de teste.

Além dos riscos mencionados, é essencial prevenir o uso inadequado dos dados de teste. Devemos estabelecer políticas claras sobre o uso exclusivo para fins de teste, evitando compartilhamentos ou acessos indevidos. Implementar controles de acesso adequados, criptografar os dados, monitorar a segurança dos sistemas e estar atualizado sobre as melhores práticas de segurança de dados são medidas fundamentais.

Priorizar a segurança na geração de dados para massa de testes é uma obrigação legal e uma prática recomendada. Ao fazê-lo, protegemos nossos usuários, fortalecemos a confiança em nossos sistemas e reduzimos os riscos associados.

*Everton Arantes é fundador e CEO da Prime Control e participa ativamente de projetos de automação, quality assurance, implantação de modelos ágeis e DevSecOps. Na Prime Control, atende grandes contas como Grupo Boticário, Vivo, C&A, Alpargatas, Azul Linhas Aéreas, Lojas Renner, entre outras.

Fonte: Mondoni Press

Setor Financeiro é o segundo mais atingido por ataque de ransomwares

Por / Deixe um comentário / Últimas / abril 19, 2023 / , , , , , , , , ,

Relatório da Apura aponta que setor é um dos preferidos pelos grupos cibercriminosos, que buscam roubar dados e pedir quantias pelo resgate das informações sigilosas

Um dos principais alvos de ataques de ransomwares é o setor Financeiro, segundo relatório da Apura sobre o cenário de cibersegurança e ameaças no Brasil, baseado em dados indexados na plataforma da empresa referente a ataques de ransomwares. O segmento foi o segundo mais alvejado, com 9,7% dos casos, ficando apenas atrás do setor de Engenharia e Arquitetura, que teve 11,1%.

Ataques de ransomwares são realizados com o intuito de encriptar e, posteriormente, roubar dados sigilosos de empresas, como documentos confidenciais e informações financeiras. Para recuperarem o acesso, as vítimas são extorquidas em valores que variam de poucas centenas de dólares até dezenas de milhões de dólares, e caso não paguem, correm o risco de ver seus arquivos sendo vendidos ou até mesmo expostos gratuitamente em sites.

“Esse tipo de ataque continua sendo uma das grandes ameaças do mundo cibernético, que certamente causa inúmeros transtornos no mundo real, e os grupos cibercriminosos têm se especializado em ataques com ransomwares”, diz Mauricio Paranhos, Chief Operating Officer da Apura.

Ataques a instituições financeiras costumam ser muito lucrativos pois os dados encriptados e roubados podem causar um grande impacto no funcionamento das instituições, impedindo que clientes tenham acesso às suas contas e informações financeiras. Isto pode estimular as empresas vítimas a pagarem os valores exigidos pelos criminosos a fim de reestabelecer com rapidez a normalidade do atendimento.

Um caso que aconteceu no Brasil foi a investida contra um banco regional, bastante conhecido por sua atuação no mercado de crédito imobiliário. O banco foi vítima de um ataque cibernético que impactou de forma significativa o atendimento aos clientes da instituição. Mesmo não havendo a confirmação oficial de autoria, alguns meios jornalísticos especializados apontaram para um ataque do ransomware LockBit 3.0.

“Muitos ataques acabam não sendo amplamente noticiados para que se preserve a identidade das empresas e não se estimule novas investidas por parte dos criminosos”, explica o especialista.

Outro caso notório de ataque de ransomware foi o executado pelo grupo Conti, um dos maiores grupos de ransomwares do mundo. Em uma demonstração de força e arrogância, o grupo atacou diversos serviços governamentais do Peru e da Costa Rica, o que também afetou inúmeras instituições financeiras desses países. A fabricante de eletrônicos Acer endossa a lista de vítimas. Em 2021, hackers exigiram o maior valor de resgate já feito em um caso de ransomware – US$ 50 MI –, após roubarem imagens de arquivos da empresa supostamente sigilosos, com prints de saldos de contas bancárias.

Diante desta crescente ameaça, a melhor maneira de evitar que uma empresa ou órgão público do setor financeiro seja alvo de um ataque de ransomware é investir em monitoramento e prevenção, dado que qualquer brecha pode ser utilizada para a efetivação do ataque.

Para isso, é importante contar com o auxílio de empresas especializadas em cibersegurança, que além de monitorar o cenário de ameaças de forma contínua em busca de indícios de possíveis problemas, também oferecem relatórios personalizados e orientações para que a segurança seja aumentada como um todo.

A Apura, por exemplo, conta com o BTTng, plataforma da qual foram extraídos os dados apresentados nesta matéria. Em 2022, a ferramenta passou a contar com um painel exclusivo para ransomwares, por meio do qual é possível acompanhar os ataques mais recentes realizados pelos principais grupos de ransomwares, como LockBit 3.0, Hive, Vice Society, entre outros.

Além disso, medidas básicas, como troca de senhas com frequência, uso de firewalls, campanhas de conscientização do uso correto de informações confidenciais, são sempre bem-vindas para minimizar as chances de sucesso de um possível ataque, já que muitas vezes os cibercriminosos se utilizam de pequenas oportunidades para abrir portas que se tornam gigantescas.

Fonte: Engenharia da Comunicação

CISO Forum Brazil anuncia edição de 2023 em formato híbrido

Por / Deixe um comentário / Últimas / fevereiro 22, 2023 / , , , , , , ,

Em primeira edição em formato presencial, evento vai reunir os maiores líderes de cibersegurança para discutir a constante transformação no gerenciamento executivo de segurança da informação

Anunciado para os dias 17 e 18 de agosto, o Fórum Executivo exclusivo focado em Liderança e estratégia de Segurança da Informação, CISO Forum Brazil, reúne em sua segunda edição diversos palestrantes e especialistas do segmento de cibersegurança. O evento que teve sua primeira edição de forma online, neste ano contará com um modelo híbrido, apresentando o tema: “Adaptar, Transformar e Liderar Através da Perspectiva”. A conferência espera receber 250 participantes presencialmente e até 200 inscritos on-line, com cerca de 70% do público-alvo direcionado a diretores e CISOs.

Com foco em discutir o campo em constante mudança do gerenciamento executivo de segurança da informação, os conteúdos que serão abordados se concentram em liderança, gerenciamento estratégico, inovação e soluções de ponta para os desafios dos principais programas de segurança da informação. Para isso, o evento ainda promete proporcionar aos participantes um networking assertivo, leads qualificados, aprendizado, branding e posicionamento.

Leia também:

+ Investimentos em cibersegurança atingirão U$ 172 bilhões em 2022, diz estudo

Como um dos embaixadores confirmados, o CISO Forum terá Longinus Timochenco, especialista em cibersegurança da informação, vencedor do prêmio CISO Global 2022 e membro do Comitê de Segurança da Informação ISO CB21 ABNT no Brasil. Longinus é conhecido por sua experiência e contribuições para a comunidade de segurança cibernética, e será responsável por representar o fórum e pela apresentação de palestras.

Procurando alcançar participantes de todo o país, o evento, oferecido pela BizEvents, adotará para esta edição um formato híbrido, podendo ser acompanhado presencialmente ou online, que oferecerão diferentes experiências, mas com um mesmo objetivo: ouvir líderes de pensamento que compartilharão desafios e lições aprendidas. Através de uma plataforma de ponta ou presencialmente, os participantes poderão interagir com palestrantes, apoiadores e visitar lounges de networking, zonas específicas e estandes de patrocinadores.

Leia também:

+ 35% dos profissionais de energia acreditam que sua empresa precisaria ser impactada antes de investir em defesas cibernéticas

Em sua primeira edição, que ocorreu em 2022, o CISO Forum Brazil contou com a participação de representantes de grandes empresas, dentre elas: Accenture, Riachuelo, Braskem, TIM, KaBUM! e AWS. Ao todo, foram mais de 40 palestrantes, mais de 200 participantes e cerca de 25 horas de conteúdo.

O encontro presencial acontece no mês de agosto, em São Paulo. Já o online, acontece simultaneamente na plataforma Conference BizEvents. Para mais informações e inscrições, acesse o site: https://cisoforum.com.br.

Fonte: Mondoni Press

Dia da Internet Segura: especialista dá dicas de como usuários e empresas podem se proteger no ambiente virtual

Por / Deixe um comentário / Últimas / fevereiro 3, 2023 / , , , , ,

Acessar sites confiáveis, utilizar uma senha segura e manter softwares da empresa atualizados estão entre as dicas para evitar ataques de cibercriminosos

Com o objetivo de conscientizar as pessoas e instituições sobre os riscos de segurança no ambiente virtual, no dia 8 de fevereiro é comemorado o Dia da Internet Segura. A data serve como um alerta para que pessoas e empresas se protejam contra a ação de cibercriminosos. Pensando em auxiliar empresas e pessoas quanto aos cuidados e como evitar ataques cibernéticos, Cristian Souza, consultor de Cyber Security na DARYUS Consultoria, unidade estratégica de negócios do Grupo DARYUS, lista algumas dicas para navegar na rede de forma segura.

De acordo com o relatório do FortiGuard Labs, da Fortinet, o Brasil foi o país da América Latina mais atingido por ataques cibernéticos durante o terceiro trimestre de 2022. O país sofreu 18,8 bilhões de tentativas de invasões de julho a setembro do ano passado.

Entre os golpes e fraudes mais comuns na Internet estão os ataques de phishing, em que o criminoso influencia a vítima a inserir seus dados em uma página falsa. Há também as solicitações urgentes via WhatsApp, em que o golpista se passa por algum parente próximo da vítima e solicita uma quantia em dinheiro.  Outros golpes muito utilizados são os de boletos falsos, que contêm os dados verdadeiros da vítima e o de anúncios falsos, em que cibercriminosos propagam ofertas com preços baixos e o usuário é redirecionado para uma página falsa.

Leia também: Saiba como é aplicada a proteção de dados na logística reversa

Confira abaixo as dicas de Cristian Souza para as empresas se protegerem na web:

  • Utilize firewalls para bloquear sites e serviços não autorizados: é importante usar firewalls e ferramentas de filtragem de conteúdo para bloquear o acesso a serviços não autorizados, incluindo websites e programas para download de conteúdos indevidos;
  • Tenha senhas fortes e ative a verificação em duas etapas: implementar várias camadas de segurança pode se tornar ineficaz caso as senhas dos usuários sejam fáceis e previsíveis. Portanto, é importante estabelecer uma política robusta para a definição de senhas. As senhas padrão ou temporárias devem ser alteradas imediatamente após o primeiro acesso. Elas devem ser confidenciais, intransferíveis e trocadas periodicamente. Também é importante habilitar a verificação em duas etapas como uma forma adicional de proteção;
  • Faça testes de intrusão em seus sistemas periodicamente: executar testes de invasão (pentests) permite que a empresa identifique ameaças de forma antecipada. Para isso, são realizados exaustivos testes que simulam as ações de um hacker malicioso. Dessa forma, é possível reconhecer as fragilidades existentes e aplicar as medidas de correção antes que um ataque real aconteça;
  • Realize treinamentos regulares sobre segurança da informação aos seus funcionários: os colaboradores são frequentemente a primeira linha de defesa contra ameaças cibernéticas e é importante que eles estejam cientes das práticas de segurança adequadas. Treinamentos regulares (como campanhas de phishing internas) permitem que os funcionários compreendam as ameaças atuais e saibam como agir em situações de risco.

Leia também: Pesquisa revela que 80% das empresas no Brasil ainda não se adequaram à Lei Geral de Proteção de Dados

Agora, confira as dicas do especialista da DARYUS Consultoria para os internautas:

  • Sempre verifique o endereço dos sites que você acessa: antes de realizar qualquer cadastro ou pagamento online, é importante verificar se o endereço acessado realmente pertence a uma organização confiável. É necessário também verificar se o site faz uso de um protocolo seguro (HTTPS) para a troca de informações. Isso pode ser confirmado pela presença do famoso “cadeado verde” no navegador, que indica que o site trafega os dados de forma criptografada;
  • Desconfie de pedidos urgentes em aplicativos de mensagens: é importante ter cuidado com as informações que são publicadas em redes sociais, como por exemplo o número de celular. É comum o golpista se passar por algum parente ou conhecido, pedindo para que a vítima realize transferências ou pagamentos, por meio de PIX, TED ou DOC. Também não compartilhe com ninguém que faça contato, em nome do banco, as suas senhas de acesso; 
  • Não utilize informações pessoais nas senhas: é recomendado não utilizar nomes de animais de estimação, datas de nascimento, números de telefone, entre outras informações pessoais para gerar uma senha. Elas devem ser fortes, com mais de 8 caracteres, sendo eles letras maiúsculas, minúsculas, algarismos e símbolos especiais. O ideal é ter uma senha para cada serviço, para isso é possível utilizar um software para gerenciamento conhecido como cofre de senhas; 
  • Atenção ao utilizar redes Wi-Fi públicas: evite se conectar em pontos de acesso sem fio que são desconhecidos. Caso precise acessar sites que utilizam informações sigilosas, como bancos online, redes sociais, avalie se é possível acessá-los pela rede do celular ao invés da conexão pública. Se precisar usar a Internet em uma rede Wi-Fi pública, uma Virtual Private Network (VPN) pode ser uma aliada na segurança e privacidade dos seus dados, pois impede que os cibercriminosos analisem o seu tráfego.

“Caso você seja vítima de cibercriminosos é importante que você mude imediatamente as senhas das suas contas. Se o golpe envolver dinheiro, é necessário entrar em contato com a sua instituição financeira. Além disso, a vítima precisa registrar um boletim de ocorrência”, finaliza Souza.

Fonte: Sing

Newly, o seu portal de tecnologia.

Pesquisa revela que 80% das empresas no Brasil ainda não se adequaram à Lei Geral de Proteção de Dados

Por / Deixe um comentário / Últimas / dezembro 7, 2022 / , , , , , , , , , , , ,
Levantamento feito pelo Grupo DARYUS também mostra que 35% das empresas estão parcialmente adequadas

Pesquisa de Privacidade e Proteção de Dados realizada pelo Grupo DARYUS, referência em consultoria e educação em gestão de riscos, cibersegurança, proteção de dados e segurança da informação, apresenta que 80% das empresas no Brasil ainda não estão completamente adequadas à Lei Geral de Proteção de Dados Pessoais. Já 35% dos entrevistados disseram que suas empresas estão parcialmente adequadas, enquanto outros 24% apontaram que estão na fase inicial de adequação.

A Lei Geral de Proteção de Dados Pessoais, que está em vigor desde setembro de 2021, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais. Com o objetivo de apresentar as tendências sobre proteção e privacidade de dados, o levantamento permite observar o cenário em que as empresas brasileiras estão neste processo, sendo parâmetro tanto para as organizações que já concluíram a adequação, quanto para as que estão em andamento ou ainda não iniciaram essa mudança.

Segundo a pesquisa, apenas 20% das empresas informaram estar completamente adequadas à lei. Além disso, 53% disseram que contaram com o auxílio de uma consultoria especializada durante o processo de adequação. Já 27% preferiram não contratar especialistas externos e 12% ainda não iniciaram esse processo.

“A empresa que se adequa à LGPD, além de cumprir uma regra, também contribui com o ecossistema corporativo. É um trabalho importante para as organizações e deve ser contínuo, já que a informação é um bem valioso para as empresas diante de possíveis ameaças no ambiente digital”, afirma Jeferson D’Addario, CEO do Grupo DARYUS, consultoria especializada no tema.

Apesar do cenário preocupante, mais da metade dos entrevistados (58%) disseram que, neste momento, as organizações em que trabalham tratam o tema de Proteção de Dados Pessoais com alta relevância. Outros 33% tratam o assunto com média ou baixa relevância e apenas 4% não o consideram relevante.

“Esse tema precisa ser tratado dentro das organizações com mais frequência, pois influencia na saúde dos negócios. As empresas que ainda não perceberam a relevância da proteção de dados podem ter sanções administrativas, conforme aponta a LGPD ou se tornar alvos de cibercriminosos”, ressalta D’Addario.

A pesquisa também identificou que a preocupação com os dados pessoais vem crescendo entre os usuários da internet. A maioria já deixou de fazer alguma atividade por preocupações com dados pessoais (87%), como deixar de instalar aplicativos para celulares, navegar em alguma página da internet por preocupação com o phishing ou deixar de realizar alguma compra online por receio de fraudes e golpes.

Responsabilidade pela Privacidade e Proteção de Dados

Em 44,95% das empresas, a área responsável pela Privacidade e Proteção de Dados responde diretamente à presidência ou alta direção da empresa, 10,61% respondem à TI, 7,07% à área jurídica e 6,06% à Segurança da Informação.

Além disso, o levantamento aponta que somente 9,33% das empresas participantes investem acima de 5% nesta área. A falta de investimento em Privacidade e Proteção de Dados pode gerar multa, impactar de forma negativa a imagem da empresa e contribuir com o aumento de vazamento ou sequestro de dados, uma vez que 19,69% das organizações não investem nesta área.

Preocupação das empresas nos incidentes envolvendo dados

A maior preocupação nos incidentes que envolvem dados pessoais é com as questões legais para 56,59% das empresas, enquanto 55,49% estão preocupadas com a imagem da companhia. Entre outras preocupações citadas estão as questões financeiras (49,45%), operacionais (30,77%) e contratuais (32,97%).

O levantamento também indica que 63% das empresas informaram não ter sofrido incidentes de segurança contendo dados pessoais, enquanto 8% reportaram a ocorrência desse tipo de incidente. Já 4% indicaram incidentes envolvendo dados pessoais sensíveis, que representam risco ou dano relevante aos titulares, e precisam ser comunicados a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e aos titulares dos dados afetados.

Armazenamento de Dados Pessoais na Nuvem

Cada vez mais empresas estão utilizando a nuvem para o armazenamento de dados, por conta da facilidade e praticidade desse recurso. Porém, a responsabilidade por esse armazenamento é da empresa e deve conter os mecanismos necessários para evitar o vazamento dessas informações. Cerca de 64% das empresas armazenam os seus dados pessoais na nuvem, 19% disseram que não armazenam os dados nesse ambiente e 16,48% não souberam informar.

“A pesquisa realizada tem como objetivo mostrar para as empresas como elas podem melhorar este cenário, mantendo as normas e procedimentos atualizados. Essa conscientização permite identificar os pontos que precisam ser melhorados, para tratar de forma estratégica as possíveis ameaças ou vulnerabilidades que essas organizações podem enfrentar”, finaliza Jeferson D’Addario.

O levantamento foi realizado pelo Grupo DARYUS em setembro de 2022 e foi respondido por 200 profissionais das empresas de 16 áreas de atuação, além do governo, situadas em 27 estados brasileiros sendo que 34%, empresas de grande porte com mais de mil colaboradores. Confira a pesquisa na íntegra no link.

Security Lead da AWS: “A segurança é uma questão de qualidade e deve estar enraizada na cultura organizacional”

Por / Deixe um comentário / Últimas / novembro 9, 2022 / , , , , , , ,

Em reunião do CISO Forum Brazil 2022, Marcello Zillo diz que até as empresas mais tradicionais já compreenderam que não se trata de uma questão de adotar a nuvem ou não, mas sim, de quando

As empresas procuram por agilidade, pois estão buscando por um processo de transformação digital, e a nuvem é um pilar fundamental para trazer agilidade, independência e criação de novos produtos e serviços. Além disso, muitas dessas empresas também querem reduzir custo, aumentar a segurança, a resiliência e a escala. Isso foi o que explicou Marcello Zillo, Latam Security Lead da AWS, em reunião de líderes do CISO Forum Brazil 2022.

“Quando falamos em empresas que têm uma certa resistência, o que percebemos no mundo todo, é que as mais tradicionais já entenderam que não é uma questão de adotar a nuvem ou não, e sim, quando adotar”, disse o especialista da AWS, reforçando a necessidade da adoção de metodologias e ferramentas mais ágeis nos dias de hoje. Para ele, a segurança é uma questão de qualidade e deve estar enraizada na cultura organizacional. “Deve ser uma prioridade Top-Down e o time deve criar mecanismos para que a segurança seja fácil, transparente e presente no dia a dia de todos os colaboradores”.

Leia também:

“Quem acha que tecnologia resolve problemas de cibersegurança, não entendeu o problema e nem a tecnologia”, diz expert da Accenture em CISO Forum Brazil

De acordo com Zillo, a Amazon e a AWS trabalham em um modelo chamado Two Pizza Teams – times pequenos formados por até 12 pessoas, que são donos dos produtos e serviços ou também donos de funcionalidades de produtos. Cada um deles tem autonomia de decisão, com o objetivo de trazer agilidade e independência no processo de criação de novas tecnologias e inovação. “Os Two Pizza Teams – times responsáveis pelo serviço e pelas funcionalidades de todos os serviços que a gente oferece – possuem KPI de segurança e foram criados com o objetivo de permitir agilidade e segurança ao mesmo tempo, de forma descentralizada”, explicou.

Zillo ainda explicou que os times têm dependência para criar mecanismos de segurança que podem ser compartilhados entre os Two Pizza Teams, e isso faz com que a experiência dos builders – pessoas que constroem soluções – seja melhor. No entanto, o especialista da AWS ressaltou que ainda existem padrões de segurança que precisam ser adotados nas empresas.

Desde 2006, quando a AWS foi criada, já estava claro que o modelo tradicional de segurança não funcionaria. Por isso, foi desenvolvido um programa chamado AWS Guardians, com o objetivo de não só descentralizar a segurança, mas também dar conhecimento de segurança para pessoas dentro de cada um dos Two Pizza Teams e de cada um dos times de serviço. A implantação desse novo modelo resultou em mais de 2 mil engenheiros de softwares capacitados e habilitados como AWS Guardians.

“Essas pessoas formam um time virtual de segurança, mas eles não reportam para o CISO e nem diretamente para a estrutura de segurança. No entanto, eles são os SME (Subject Matter Expert), dentro daquele time, dentro daquele TPT, responsáveis por segurança e parte deste programa Guardians – que tem como finalidade ensinar esses engenheiros a pensar em segurança, não só no ponto de vista de aplicação, mas também do ponto de vista de mapear as ameaças”, complementou Marcello, cintando ainda que houve uma redução drástica no começo, no volume de findings e da redução do tempo de correções de segurança em cada um dos produtos e serviços que têm os TPT.

Leia também:

Investimentos em cibersegurança atingirão U$ 172 bilhões em 2022, diz estudo

O especialista da AWS disse que um dos segredos é capacitar os Guardians, com conhecimento de Cloud Security. Assim é possível disseminar conhecimento, ganhar escala e conseguir mais pessoas empenhadas na comunidade. Para isso, existem pilares de modernização da segurança. O primeiro deles é a otimização, que vai depender do entendimento de quais serviços você está utilizando e qual a sua responsabilidade de segurança naquele serviço. O segundo é a automatização, que, de acordo com o especialista, não existe modernização da segurança com foco em nuvem sem automatização. Por último, mas não menos importante, o desenvolvimento dos builders, bem como métricas para acompanhamento da evolução do modelo.

No mais, Marcello Zillo ressalta que atra através de mecanismos de automação, uso de APIs e recursos Cloud é possível criar uma imagem segura na nuvem e disponibilizar uma imagem do sistema operacional segura para os desenvolvedores.

Fonte: Mondoni Press

Newly, o seu portal de tecnologia.

LGPD: entenda como a logística pode garantir a segurança de dados dos consumidores

Por / Deixe um comentário / Últimas / novembro 4, 2022 / , , , , ,

Grupo Intelipost reforça que ações protetivas vão além do investimento em tecnologias

Em vigor efetivo desde o segundo semestre de 2020, a Lei Geral de Proteção de Dados Pessoais (LGPD) determina diretrizes rigorosas para a coleta, tratamento e armazenamento de dados pessoais. Desta forma, qualquer instituição que detém informações de clientes ou funcionários, é obrigada a protegê-los.

Neste cenário, empresas de logística que lidam diariamente com os dados que possibilitam a identificação de um indivíduo, precisam redobrar os cuidados e se atentar, primeiramente, aos locais nos quais os dados do consumidor final ficam expostos, como por exemplo, etiquetas.

Leia também: Aumento de ataques cibernéticos e LGPD impulsionam procura por seguros

“Atualmente, as empresas podem usar a nota fiscal simplificada como etiqueta, porém, muitas corporações disponibilizam, neste documento, dados desnecessários para o processo de entrega, como, por exemplo, o CPF do consumidor. Nesse sentido, o varejista pode reduzir ao máximo as informações, ocultando dígitos de números de documento e informando apenas a categoria dos produtos contidos no embrulho”, explica Stefan Rehm, CSO do Grupo Intelipost. 

Neste aspecto, o investimento em tecnologias de gestão, que entendem que os dados são sensíveis e reduzem ou mascaram essas informações, são de grande valia para as empresas de logística.

Em relação às tecnologias, há outras medidas que as corporações do  segmento devem adotar para garantir a segurança da informação para clientes e consumidores finais. “É necessário que haja treinamentos específicos para as pessoas que operam os dados, além de estabelecimento de medidas preventivas como, por exemplo, a avaliação de consultorias, testes de segurança de sistema e claro, dispor de certificações existentes no mercado”, comenta Rehm. 

Leia também:

Dois anos de LGPD expõem empresas a se tornar alvos fáceis das gangues cibernéticas

Para o executivo, além de um DPO (Data Protection Officer) – profissional encarregado pela comunicação entre a instituição, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) – as empresas de logística precisam dispor de no mínimo um colaborador operacional para acompanhar de perto a gestão de dados gerados. 

A empresa inclusive foi uma das primeiras do setor em que atua a obter a certificação ISO27001, que é a referência Internacional para a gestão da Segurança da informação. Vale ressaltar que as empresas que não atuam de acordo com a LGPD, estão expostas ao risco de serem penalizadas por meio de aplicações de multas, instauração de inquéritos administrativos e obrigatoriedade de bloqueio ou exclusão de dados.

Fonte: NR7

Newly, o seu portal de tecnologia.

Supply chain attack: empresas privadas com contratos governamentais se tornam principal alvo

Por / Deixe um comentário / Últimas / setembro 30, 2022 / , , , , , ,
Em conferência global Cyber Security Summit Brazil, especialista da Microsoft aponta riscos de comprometimento de instituições governamentais por meio de ataques aos seus fornecedores

Atualmente, cerca de 35% dos ataques cibernéticos vêm sendo feitos em empresas privadas que possuem contrato com entidades do governo. Uma vez que o setor público está mais bem protegido, hackers criminosos passaram a voltar suas atenções para empresas fornecedoras do governo para fazer supply chain attack – um tipo de ataque cibernético que, por meio da cadeia de fornecimento, compromete também as instituições contratantes de serviços. Isso é o que declarou Yuri Diógenes, gerente de programas da equipe de segurança da Microsoft, durante a conferência global Cyber Security Summit Brazil 2022, que reuniu experts em cibersegurança em São Paulo.

“No passado, tínhamos os ataques que eram fabricados por grupos de criminosos vinculados a um determinado país. Esses grupos focavam em órgãos governamentais, com objetivo de comprometer o governo para fins geopolíticos”. Segundo Yuri, hoje o foco mudou, pois esses cibercriminosos enxergaram essa brecha nas empresas fornecedoras de órgãos do governo. 

Leia também:

+ “Estamos vivendo uma pandemia cibernética”, alerta analista da TGT Consult

Segundo ele, o supply chain attack vem crescendo muito. Ainda relembra o Nobelium, que foi um dos maiores da história, o grupo por trás do ataque cibernético contra a SolarWinds. O Nobelium comprometeu o ambiente da Solarwinds por volta de setembro de 2019 e deu acesso a milhares de empresas e órgãos governamentais que utilizam seus produtos.

Nesse caso, os principais pontos de atenção foram as ações suspeitas de alto risco que foram permitidas e utilizadas identidades de carga de trabalho e abuso de permissão de administradores foram concedidas a provedores de serviços gerenciados ou em nuvem.

“As lições que aprendemos com o Nobelium é que várias ações de alto risco foram realizadas em workloads e não foram detectadas. E é aí que machine learning entra, pois começa a entender os padrões de ataque e sinalizar”, explica.

De acordo com o estudo global X-Force Threat Intelligence Index 2022, da IBM, as empresas de manufatura foram os principais alvos de ataques cibernéticos no Brasil, no último ano, cerca de 20% dos ataques totais de ransomware. O relatório indica esse comportamento como uma tendência global, uma vez que o papel dessas empresas é crítico para o fornecimento de serviços relevantes para a sociedade.

Leia também:

+ Aumento de ataques cibernéticos e LGPD impulsionam procura por seguros

O especialista aponta a adoção de Zero Trust como uma estratégia para mitigar a ameaça. É necessário investir em toda a infraestrutura e ver quais são os produtos que vão complementar essa estratégia, com alguns princípios básicos que precisam ser seguidos. “Não adianta somente autenticar o usuário, tem que verificar as condições de acesso, a cada workload que ele acessa”, afirma Diogenes.

Yuri afirma que é fundamental garantir que a segurança seja embutida desde o posicionamento do código. “É importante lembrar que você está lidando com um grupo organizado. Os atacantes são como água, vão sempre buscar o caminho de menor esforço, buscando brechas. Se você investir no básico, já aumenta o custo para o atacante, pois eles não conseguem entrar no ambiente, logo, não conseguem se expandir”, finaliza.

Newly: o seu portal de tecnologia

Roteadores de casa podem ser porta de entrada para ameaças cibernéticas

Por / Deixe um comentário / Últimas / agosto 29, 2022 / , , , , , , , , , ,
Relatório da Apura Cyber Intelligence mostra que esse tipo de aparelho tem sido alvo dos cibercriminosos para roubar informações pessoais, senhas e acessos de trabalhadores.

Um aparelho cada vez mais comum na casa de milhões de brasileiros pode ser a porta de entrada para ameaças “invisíveis” e virtuais que trazem problemas não apenas no âmbito pessoal, mas também no profissional: os roteadores de internet.

Com a necessidade de ter internet disponível em casa, seja por lazer ou mesmo por trabalho, as empresas de telefonia têm disponibilizado aparelhos que funcionam de uma maneira simples e seguem um padrão, chegam na casa do cliente, instalam o roteador, fazem a configuração de rede e pronto: internet funcionando.

“O cliente na grande maioria das vezes não tem a mínima noção básica se existe algum tipo de segurança nesses aparelhos que possa evitar ataques de hackers e a invasão da rede local”, atenta Sandro Süffert, CEO da Apura Cyber Intelligence.

Leia também:

+ Nuvem híbrida é o caminho para empresas brasileiras se igualarem ao avanço internacional, diz analista da ISG

Em recente relatório publicado pela empresa, que é referência nacional e internacional em segurança cibernética, os roteadores têm sido um dos principais alvos de ataques de cibercriminosos. Especialmente com a pandemia de Covid-19 no começo de 2020, que fez muitas empresas colocarem seus funcionários para trabalhar de casa e, consequentemente, usar a internet local para logar suas máquinas, com senhas e acessos à rede da empresa.

Normalmente, os roteadores utilizados em casa não possuem a mesma capacidade de proteção que aqueles presentes nos ambientes internos das empresas, como firewalls, EDRs, até mesmo antivírus corporativos.

Um dos problemas mais comuns, muitas vezes não levado em conta, é o uso de senhas padrão de administrador, que podem vir como “default” do aparelho e são fáceis de serem descobertas. A falta de atualizações também aumenta as vulnerabilidades que colocam em risco a segurança e a confidencialidade da comunicação entre empregado e empresa.

Leia também:

+ CISO Forum confirma presença de experts da cibersegurança da Natura, Riachuelo, KaBuM! e Accenture para edição de 2022

Como um ataque pode ser efetivado

Os ataques a roteadores podem fazer com que criminosos sequestrem o DNS (Sistema de Nome de Domínio) e redirecionem o tráfego de dados para servidores dos criminosos, capturando todos os dados sigilosos, senhas e até mesmo acesso aos e-mails.

Por exemplo, no início de junho de 2022, a Agência de Segurança Cibernética e de Infraestrutura (CISA) norte-americana emitiu um alerta em conjunto com outras agências de segurança sobre ameaças oriundas do governo chinês que aproveitavam os dados roubados “na casa” dos trabalhadores para pivotar e tentar invadir os sistemas das empresas.

“Mesmo que os fabricantes consertem as vulnerabilidades, sempre surgem novas ameaças”, diz Süffert.

Leia também:

+ Investimentos em cibersegurança atingirão U$ 172 bilhões em 2022, diz estudo

Outros tipos de dispositivos também visados pelos cibercriminosos são: VoIP, sistema de telefonia por internet, dispositivos IoT (Internet of Things), como câmeras de vigilância e até mesmo aplicações domésticas, que, por estarem conectadas, podem servir de objetos para ações como parte de botnets que executam ataques de negação de serviço contra os mais diversos alvos.

Ações recomendadas

Os especialistas da Apura indicam alguns procedimentos, mesmo que possam parecer simples, que aumentam o nível de segurança doméstico e reduzem o risco de invasão.

Manter os dispositivos conectados à internet sempre atualizados é um passo importante. A sua operadora pode fornecer informações importantes, como versão e últimas atualizações, e ajudar no procedimento.

Leia também:

+ Scouter, o robô que automatiza testes, será lançado durante a Febraban Tech

Troque as senhas padrões e realize mudanças de senhas com frequência. Outro ponto importante é manter-se informado sobre as ameaças. Muitas empresas como a Apura lançam bastante informações sobre cenários atuais de ameaças, informações que podem ser consultadas na internet.

Também fale com sua empresa para saber quais são as ferramentas de segurança que ela faz uso e como deve ser feito todo e qualquer tipo de acesso remoto.

“Ter uma ferramenta de inteligência de ameaças fornecendo informações atuais, fidedignas e acionáveis faz toda a diferença no atual cenário cibernético em que novas ameaças, cada vez mais avançadas, surgem todos os dias”, diz o CEO da Apura.