O gerenciamento de exposição a ameaças foi considerada uma das tendências de cibersegurança pelo Gartner para o ano de 2023, mostrando que os ataques realizados por criminosos estão ficando cada vez mais sofisticados. A consultoria também prevê que, até 2026, cerca de 60% das detecções, investigações e respostas a ameaças irão se beneficiar do controle de dados expostos para, então, validar e priorizar ameaças detectadas.

Esse controle é trabalhado dentro da área de Threat Intelligence, ou Inteligência de Ameaças, em português, e se trata de uma das respostas mais eficientes contra os hackers, pois ajuda a entender os atacantes, responder de forma mais rápida e eficiente a incidentes e prever proativamente o próximo passo dos criminosos, beneficiando empresas de todos os tamanhos. Além desses pontos, a adoção de um serviço de inteligência também reduz riscos, evita violações de dados e mantém os custos reduzidos.

É importante salientar que a inteligência deriva da informação. Essa, por sua vez, é obtida após o processamento de algum dado significativo dentro de um contexto, como, por exemplo: João, 27 anos, Brasil. Esses dados separados não nos entregam resultados, mas quando os juntamos é possível chegar a algumas conclusões, como: João tem 27 anos e mora no Brasil. A informação geralmente tem como foco o presente ou o passado e desempenha um papel fundamental na tomada de decisões, na comunicação e no avanço do conhecimento em todos os tipos de área de conhecimento e negócio.

Já quando falamos de inteligência, o foco muda, de presente ou passado, para antecipação, o que envolve os passos dos cibercriminosos, as mudanças, os riscos e as oportunidades sempre baseando-se em análises e interpretações dos dados e das informações. Ou seja, a inteligência é uma parte essencial da cibersegurança moderna e ajuda as organizações a entenderem melhor o cenário de ameaças em constante evolução. O ciclo de inteligência pode ser resumido em cinco etapas, conforme exposto a seguir.

1. Planejamento: essa fase envolve todos os pontos focais do ciclo, desde a identificação de necessidade, até a etapa de entrega ao cliente. O planejamento se encontra tanto no início quanto no fim do ciclo, pois após a entrega dos resultados, geralmente, se percebe outra necessidade levando a outro planejamento.
2. Coleta: para uma coleta ser eficaz, é necessário planejar, direcionar e focar os esforços nas fontes de dados corretas, como registros públicos, relatórios da mídia, internet etc. A coleta de códigos abertos, que estão disponíveis publicamente, também é muito importante nesta fase, pois enriquece a unidade de inteligência, aumentando sua capacidade de analisar recursos.
3. Processamento: neste momento ocorre a indexação, classificação e organização dos dados, ou seja, eles são transformados em informações para que possam ser consultados com facilidade.
4. Análise e produção: neste ponto, a informação obtida na fase de processamento começa a ser utilizada para geração de inteligência, ou seja, ocorrem análises e avaliações. Vale ressaltar que confiabilidade, validade e relevância são pontos extremamente importantes quando as análises são colocadas em algum contexto para a realização de julgamentos referentes a determinadas situações e eventos.
5. Disseminação: essa é a última etapa do ciclo. Aqui ocorre a distribuição de inteligência para os solicitantes tomarem decisões ou agir com base no relatório recebido. Nesta etapa, o solicitante também avalia o valor da inteligência fornecida, para se iniciar um novo ciclo.

Devido à alta taxa de desenvolvimento tecnológico, a cada dia que passa estamos mais expostos. Hoje, é comum observar dezenas de vazamentos de dados todas as semanas. Por isso, a Inteligência de Ameaças chegou para defender de forma proativa o negócio, beneficiando também áreas que não estão ligadas diretamente à Segurança da Informação. Ao adotar esse tipo de serviço, as organizações podem melhorar significativamente sua postura de segurança e reduzir os riscos associados às ameaças cibernéticas em constante evolução.

*Adenilson Almeida é gerente de cibersegurança e Juan Riquelme Marin Santos é consultor de cibersegurança. Ambos atuam na Protiviti Brasil, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

Imagine a seguinte situação: chegou o momento do pagamento do bônus sobre os resultados. Centenas de funcionários estão ansiosos para saber quando e quanto irão receber. De repente, todos recebem um e-mail com remetente da empresa e a seguinte mensagem: “Seu PLR já foi calculado. Acesse o link abaixo da intranet para saber o valor.” Um dos colaboradores acha aquilo estranho e reporta o caso para a TI. Tarde demais! Dezenas de pessoas já clicaram e passaram as suas senhas para o hacker, que conseguiu a chave da porta de entrada para os sistemas e dados da empresa.

Cenários como esse comprovam que o ser humano é a última barreira de segurança da informação. Ele pode ser a maior fortaleza ou a maior fragilidade da organização. Ou seja, mesmo que uma empresa invista pesadamente em tecnologias, os seres humanos ainda podem causar fragilidades nos sistemas de informação. Isso ocorre porque as pessoas são propensas a erros, como clicar em links maliciosos, digitar senhas inseguras e fornecer informações pessoais a terceiros não autorizados.

Essa afirmação não é só palavras ao vento. Há números que lastreiam isso. De acordo com o Fórum Econômico Mundial, 95% dos incidentes de segurança cibernética ocorrem devido a erro humano. O consentimento de pessoas em passar dados sigilosos que permitem os criminosos avançarem nas barreiras de cibersegurança acontece porque elas sequer sabem que estão fazendo algo errado. E, do outro lado da ponta, temos a engenharia social, que é uma técnica utilizada por hackers para enganar as pessoas a revelar informações confidenciais ou tomar ações que possam comprometer a segurança da informação. Os hackers podem usar uma variedade de técnicas de engenharia social, incluindo:

• Phishing: neste caso, os hackers enviam e-mails falsos que parecem ser de fontes confiáveis, como os bancos ou as empresas de tecnologia. Esses e-mails geralmente solicitam que as pessoas cliquem em links maliciosos ou forneçam informações pessoais, como senhas ou números de cartão de crédito.
• Vishing: aqui, os criminosos realizam chamadas telefônicas falsas que parecem ser de fontes confiáveis. Mais uma vez, solicitam informações pessoais, como senhas ou números de cartão de crédito.
• Pretexting: nessa modalidade, os hackers se passam por alguém que tem autoridade ou conhecimento com o objetivo de ter acesso a informações confidenciais ou tomar ações que possam comprometer a segurança.
• Tailgating: a técnica acontece quando os hackers seguem alguém para dentro de um prédio ou local seguro.
• Dumpster diving: os criminosos vasculham latas de lixo em busca de informações confidenciais, como senhas ou números de cartão de crédito. E contra este tipo de ataque, não há nenhuma barreira tecnológica melhor do que capacitar o próprio ser humano para bloquear as tentativas.

Se tiver que elencar um desses ataques como prioritários na condução de ações de proteção das empresas, seria o de phishing. Isso porque os criminosos estão usando técnicas cada vez mais avançadas para enganar os funcionários, incluindo o uso de logotipos e nomes de empresas conhecidas, bem como a criação de e-mails que parecem ser urgentes ou importantes. Em muitos casos, o hacker coleta informações de eventos importantes da organização e, a partir disso, monta os e-mails.

Mas, a boa notícia é que o mercado já dispõe de algumas soluções para ajudar as empresas a testar o comportamento humano em situações de engenharia social, contemplando ferramentas de disparo de testes de phishing, monitoramento e sinalização de e-mails suspeitos, além da capacitação de colaboradores para que não caiam nessas ciladas. Com esses tipos de tecnologia é possível:

• Criar um programa de conscientização em segurança personalizado para a organização. Esses cursos podem ensinar aos funcionários como identificar e evitar e-mails de phishing, além de responder a ataques.
• Eliminar os treinamentos antigos “Next-Next-Finish”. Essas plataformas apresentam treinamentos modernos em segurança, ajudando a manter os usuários atentos aos riscos atuais.
• Permitir aos usuários denunciar e-mails de phishing a partir da implementação do “Phish Alert Button” no seu cliente de e-mail. Desta maneira, a equipe de resposta a incidentes poderá identificar e responder mais rapidamente às ameaças em e-mail.

Independente da solução aplicada, avaliar, conscientizar e monitorar o ambiente de trabalho é a melhor solução para fazer o upgrade de segurança da informação aos colaboradores da organização.

*Matheus Jacyntho é diretor de Cibersegurança e Rodrigo de Castro Schiavinato é diretor-executivo de parcerias e inovação e sócio, ambos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

A Constituição Federal de 1988 assegura a todos o direito à segurança. Nesse sentido, e com o avanço da tecnologia, o combate aos crimes cibernéticos se mostra imprescindível. Por isso, algumas ações coletivas já foram postas em andamento. O Brasil firmou a Convenção sobre o Crime Cibernético em Budapeste, em 23/11/2001; o Congresso Nacional aprovou a Convenção por meio do Decreto Legislativo nº 37, de 16/12/2021; e o governo brasileiro depositou, junto ao Secretário-Geral do Conselho da Europa, em 30/11/2022, o instrumento de ratificação à Convenção e que esta entrou em vigor para a República Federativa do Brasil, no plano jurídico externo, em 01/03/2023.

Sob uma primeira ótica, é importante conceituar esse tipo de delito. Também conhecidos como crimes digitais ou eletrônicos, os crimes cibernéticos são atividades criminosas que ocorrem no ambiente virtual, através de computadores, redes e dispositivos eletrônicos conectados à internet.

Assim, essa modalidade explora vulnerabilidades e brechas de segurança para obter informações pessoais e financeiras ou causar danos a sistemas e indivíduos. Os crimes cibernéticos abrangem uma ampla gama de atividades ilegais realizadas online, como fraudes financeiras, roubo de identidade e vazamento de dados. Por exemplo:

• Roubo e negociação de dados corporativos.
• Ciberextorção, exigir dinheiro para evitar um ataque ameaçado.
• Espionagem cibernética, hackers acessam dados de governos ou de empresas.
• Ataques de ransomware, tipo de extorsão.
• Fraude por e-mail e pela Internet.
• Fraude de identidades, onde informações pessoais são roubadas para uso.

Nessa perspectiva, as políticas preventivas da área de Segurança da Informação se relacionam com os mecanismos da Tecnologia da Informação, entendida como um conjunto de equipamentos técnicos e procedimentos que permitem o tratamento e a difusão de informação de forma mais rápida e eficiente, fundamental para evitar a ocorrência de crimes cibernéticos e proteger sua segurança online, é importante adotar algumas medidas na interação cotidiana com o ambiente virtual e relevante observar se a certificação de sistema operacional, aplicativos, antivírus e outros programas estão sempre atualizados com as últimas correções de segurança.

A adoção de mecanismos de segurança é recomendada. Algumas das ferramentas indicadas para isso podem ser controles de pessoal, Controles físicos, Segurança de equipamentos, Controles de acesso lógicos, Identificação de usuários, Programas antivírus, Sistema de backup (a exemplo do Firewall e Honeypot), Protocolos seguros, Assinatura digital e Auditoria de acesso às informações, entre outros.

A utilização de senhas fortes, evitando usar informações pessoais, bem como a inspeção de links ou anexos de e-mails desconhecidos ou suspeitos (verificando o remetente e a URL antes de clicar) são exemplos de algumas alternativas essenciais para que indivíduos e organizações não caiam em golpes.

Ou seja, treinamentos contínuos, investimentos em tecnologia de ponta, controles de acesso e políticas de segurança junto com a implementação de gestão de riscos para prevenir e informar sobre crimes cibernéticos são ferramentas indispensáveis envolvendo a identificação, avaliação e mitigação dos riscos para que o direito à segurança seja, de fato, vivenciado na prática no cenário virtual.

*Por Marcelo Oliveira dos Santos é consultor de cybersecurity na Protiviti Brasil.

Para entender como funciona um ataque Man In The Middle, imagine a seguinte história: sua empresa está concluindo uma compra envolvendo grandes valores. Após as autorizações necessárias, a área de suprimentos efetua o pagamento. Tudo parece bem até que, dois dias após a data de vencimento da cobrança, o fornecedor entra em contato informando que não recebeu o valor acordado, o que é imediatamente negado pela área de suprimentos que, então, envia o comprovante da transferência realizada.
Ao analisar o documento, o fornecedor percebe que o depósito foi feito em uma conta bancária diferente da informada oficialmente. Por sua vez, o comprador responde que o pagamento foi realizado nessa nova conta atendendo a uma solicitação do próprio fornecedor.
Assim, a primeira reação de ambas as partes, comprador e fornecedor, é revisar o histórico de mensagens trocadas. Ao fazer isso, percebem que nunca enviaram ou receberam as mensagens apresentadas pela outra parte, inclusive aquele pedido de mudança na conta de depósito. O caos está instalado: as equipes jurídicas são acionadas, a relação comercial fica abalada, os prazos são comprometidos e ocorre um enorme prejuízo financeiro.

Ataque Man In The Middle: entenda

Se sua empresa ainda não passou por isso, ela está bem-preparada ou tem tido sorte. Tal fraude trata-se de um ataque do tipo Man In The Middle, que corresponde à sigla (MITM) e, em tradução livre, significa ‘homem no meio’.
Apesar de existirem técnicas de ataque complexas, o conceito por trás do ataque MITM é bastante simples. O invasor se posiciona entre duas pessoas que tentam se comunicar, intercepta mensagens enviadas e depois se faz passar por uma das partes.
Mas, como o atacante consegue entrar na conversa? Há dois exemplos simples do cotidiano: um colaborador da empresa usou uma rede Wi-Fi não segura, como cafés e aeroportos, ou foi vítima de phishing, ou seja, recebeu um simples e-mail, acabou clicando em um link malicioso e digitou sua senha. Os dois exemplos mostram ações que podem abrir as portas para o criminoso ter acesso ao login e à senha da caixa de e-mail do colaborador e, a partir daí, basta que ele espere pacientemente até uma grande transação financeira começar a se desenrolar.

E como o atacante enganou as pessoas envolvidas?

Uma vez que o fraudador obtém as informações de acesso, ele começa a monitorar os e-mails recebidos pelo usuário e, a partir do momento em que identifica alguma mensagem relacionada a pagamento, ele parte para uma fase de criação de domínios e endereços de e-mail bastantes parecidos com os domínios originais das empresas.
Com cada domínio semelhante em mãos, o fraudador dispara e-mails para as partes envolvidas e verifica se recebe as respostas naturalmente, sem que ninguém perceba a mudança de interlocutor. Com o atacante tendo controle das negociações, o último passo é enviar um documento com novas informações bancárias para o pagamento.
Uma vez que o golpe é bem-sucedido, vem a necessidade de recuperar o dinheiro perdido, além de entender as vulnerabilidades que possibilitaram essa fraude. Em primeiro lugar, é preciso identificar o arquivo contendo as informações falsas. Este documento pode ter elementos valiosos registrados nos metadados e servirão como ponto de partida para rastrear o fraudador. Ao mesmo tempo, os domínios falsos identificados devem ser rastreados. Em alguns casos, é possível encontrar dados cadastrais do proprietário do domínio ou mesmo determinar o país ou região onde a empresa provedora está localizada. Todas as informações encontradas são importantes para testar vínculos e construir uma boa rede de relacionamentos. Além disso, investigar os registros de acesso (logs) às caixas de e-mail que foram envolvidas é fundamental.

Como investigar

Considerando nosso cenário hipotético, em que a fraude via Man In The Middle foi concretizada, certamente será possível identificar acessos que fogem completamente do padrão entre os que são legítimos e, assim, se obtém informações como a geolocalização do usuário que efetuou login na conta de e-mail em determinado momento. Por fim, é importante conduzir uma investigação a respeito da conta bancária utilizada na fraude.
Aplicar técnicas de Human Intelligence (HUMINT) e Open Source Intelligence (OSINT) pode ser suficiente para descobrir o verdadeiro proprietário da conta bancária utilizada no esquema. Entrar em contato com a instituição financeira, detentora da conta, também pode ser uma excelente opção. Com sorte, o banco se mostra disposto a bloquear os saldos da conta ou até mesmo se comprometer a devolver a quantia. Em casos mais complexos, eles podem exigir a quebra de sigilo como condição para colaborar. Nesse caso, um bom dossiê reunindo informações de todas as frentes de investigação será a base para que um escritório de advocacia especializado possa dar andamento jurídico à solicitação.

Como diminuir os riscos de um ataque Man In The Middle

Para mitigar os riscos associados aos ataques MITM é fundamental adotar medidas de proteção adequadas, como:

1. Conscientização do usuário: é fundamental educar os usuários e os colaboradores sobre os riscos desses ataques e sobre a importância de verificar a autenticidade das conexões;
2. Criptografia de ponta a ponta: utilizar protocolos de criptografia robustos e implementar comunicações seguras é uma das medidas mais eficazes contra os ataques MITM. Isso garante que os dados transmitidos permaneçam confidenciais e não sejam manipulados;
3. Certificados digitais e HTTPS: a implementação de certificados digitais e o uso do protocolo HTTPS (HTTP Secure) garantem a autenticidade e integridade dos sites;
4. Duplo fator de autenticação: ao estabelecer conexões com outros dispositivos ou redes, é essencial verificar a identidade das partes. Isso pode ser feito por meio de autenticação em duas etapas, certificados digitais ou troca segura de chaves de criptografia;
5. Implementação de soluções de monitoramento: utilizar sistemas de Monitoramento de Eventos de Segurança (SOC – Security Operations Center) pode ajudar a identificar acessos indevidos e alertar tentativas de ataques MITM;
6. Atualização regular de software: manter os sistemas atualizados é crucial para corrigir vulnerabilidades conhecidas que podem ser exploradas por ataques.

Os ataques MITM representam uma ameaça significativa à segurança digital e às relações comerciais. Conhecer os riscos associados a esse tipo de ataque, implementar medidas de proteção adequadas e estar ciente das técnicas de ataque mais relevantes são passos essenciais para reduzir os riscos. Além disso, a conscientização dos usuários e a implementação de contramedidas são fundamentais para criar um ecossistema de segurança na empresa e proteger os dados sensíveis.

*Matheus Jacyntho é diretor de cibersegurança e Rodrigo Pacheco é gerente sênior de Forensics e Investigação Empresarial. Ambos atuam na Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.

Mesmo que uma empresa adquira as melhores e mais caras tecnologias de cibersegurança disponíveis no mercado, além de contar com profissionais altamente treinados e qualificados, saiba que a operação continuará vulnerável. Isso porque a Engenharia Social, que acontece quando o atacante se vale de suas habilidades sociais para obter informações privilegiadas ou sigilosas de uma empresa e até mesmo de seus sistemas computacionais, é uma prática criminosa em expansão.

Em 2022, por exemplo, houve crescimento de 356% no número de ataques avançados de phishing, segundo a empresa de prevenção israelense Perception Point. Ainda de acordo com a instituição, em 2023, o número total de ataques aumentou 87%.

Além do phishing, conforme listado abaixo, há atualmente mais quatro métodos de Engenharia Social que são considerados como as principais ameaças à Segurança da Informação das empresas. Veja abaixo como detectar e combater essas práticas.

Phishing

Phishing ou “pesca”, em português, é talvez o golpe mais comum na internet. Nesta prática, o atacante tenta obter dados pessoais e financeiros se passando por uma pessoa ou empresa confiável, geralmente por meio de e-mails, em que solicita informações como login, senha e número do cartão de crédito entre outros. Uma abordagem muito comum desse ataque é se utilizar de uma URL ou domínio de e-mail semelhantes à de empresas conhecidas. Apesar de ser, talvez, o mais simples dos ataques, é também o mais eficiente. A boa notícia é que ele pode ser combatido com ações simples por parte do usuário, tais como verificação das URLs, não fornecer dados de segurança bancária com base em mensagens, verificar uso de https e não abrir anexos de fontes não confiáveis, entre outros.

Spear Phishing

Muito parecido com o Phishing, porém, nessa tática, o atacante forja páginas falsas que se assemelham com as reais de grandes bancos e corporações. Por meio desses sites falsos, o cibercriminoso geralmente injeta malwares nos dispositivos de rede da empresa afim de coletar dados pessoais e sigilosos. A dica para detectar essas páginas é sempre conferir o endereço de e-mail com muito cuidado, principalmente o domínio, além de ativar os softwares antispam e antivírus.

URL Obfuscation

É uma técnica de Engenharia Social na qual o atacante esconde um endereço web malicioso de forma a deixá-lo parecido com uma URL legítima. Ao enviar o link malicioso, o usuário, desatento, é comumente enganado, e por fim, acaba fornecendo dados como login e senha de acesso. Hoje em dia, com os sites encurtadores de URL, está bastante fácil disfarçar e divulgar URLs falsas. Embora sejam muito difícil de serem identificadas, existem algumas maneiras de se evitar. Para se prevenir, o recomendado é utilizar um gerenciador para o usuário armazenar suas senhas em local seguro. Esse tipo de recurso também impede que sejam colocadas senhas em sites suspeitos.  Utilizar autenticação multifator (MFA) também é uma boa saída. Isso porque mesmo que o usuário digite o usuário e a senha em determinada URL, o atacante não teria acesso ao dispositivo.

Baiting

Baiting ou Isca, em português, se refere a ações do atacante nas quais são disponibilizadas um presente, ou seja, um dispositivo infectado, por exemplo. Geralmente são utilizadas iscas curiosas, ou atraentes, para fazer com que a vítima fique interessada em acessar o dispositivo para obter as informações contidas. É aí que o objeto malicioso infecta a máquina do usuário e, muitas vezes, se alastra para toda a rede da empresa. Para evitar este tipo de ataque, a melhor arma é o conhecimento e a conscientização de todos. Deve-se ter em mente que cada comportamento minimamente suspeito pode ser potencialmente perigoso. Ao detectar tal situação é recomendado comunicar os responsáveis para averiguar a ameaça.

Quid Pro Quo

Significa “Dar e Receber” ou “Isto por Aquilo”. São ataques baseados no abuso de confiança e geralmente assumem a forma de um serviço ou pesquisa. Por exemplo, ser contatado por um “funcionário da TI” solicitando login e senha para efetuar uma limpeza no dispositivo. Ou, ainda, um e-mail do “RH” solicitando que seja respondida uma pesquisa de satisfação ou até mesmo o cadastro para um sorteio de brindes. Esses ataques são baseados principalmente no abuso de confiança. Para se proteger, basta ter em mente uma atitude cautelosa e nunca fornecer informações pessoais em algo que não foi iniciado por você. Na suspeita, a recomendação é retornar o contato usando o número de telefone que consta do site oficial da empresa e.  trocar a senha imediatamente. Além disso, utilizar senhas fortes e trocá-las regularmente é uma saída para evitar essas ameaças; os softwares gerenciadores de senhas podem ajudar nessa parte.

De forma geral, a dica para evitar esses tipos de ataques de engenharia social é suspeitar de e-mails ou mensagens solicitando informações internas e não fornecer informações pessoais, tampouco da organização, a um solicitante desconhecido. Outra dica é jamais enviar informações confidenciais por meio de links não verificados, e, manter sempre atualizados os softwares de firewall, os antivírus e os filtros de e-mail.

*Renato Mirabili Junior é consultor de Segurança da Informação da Protiviti. A empresa é especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

A Segurança da Informação é (e deve ser) uma das maiores preocupações das grandes corporações. Você já deve ter ouvido falar que essa informação vale ouro. Diariamente, milhares de dados dos mais diversos tipos circulam na internet. Fica a pergunta: como manter esses dados em segurança?

Mas o que quer dizer Segurança da Informação? A Segurança da Informação (SI) diz respeito à proteção de dados. Ou seja, nada mais é do que a área responsável pela proteção desses dados e a redução dos riscos que possam vir a ocorrer caso eles sejam atacados.

Tradicionalmente a SI era composta por 3 prioridades básicas, conhecidas como os 3 pilares: a Confidencialidade, Integridade e Disponibilidade. Esse é um conceito conhecido como CID.

A Confidencialidade nada mais é do que a garantia de que essas informações trafeguem de forma sigilosa e confidencial, e que somente as pessoas autorizadas a essa informação tenham acesso a ela. Este pilar compreende também as restrições de quem pode ter acesso a determinado dado. Quanto mais limitado o acesso, mais segura a informação está.

A Integridade determina que a informação chegue até o destino de forma integra. Ou seja, que não tenha sofrido nenhum tipo de modificação não autorizada. Sendo assim a informação chegara ao destinatário tal como ela foi enviada. Esse pilar garante a veracidade da informação.

Já a Disponibilidade visa garantir que as informações estejam disponíveis para o usuário, a qualquer momento que ele precisar dela. Para este pilar, é necessário um grande investimento em infraestrutura, como backups por exemplo, a fim de reduzir as chances de o sistema de armazenamento ficar fora do ar.

Os novos pilares da segurança da informação

Atualmente contamos com mais 2 pilares: a Autenticidade e a Conformidade.

A Autenticidade, que visa garantir a origem da informação, ou seja, que essa informação seja proveniente de uma fonte confiável. Em outras palavras, é a Autenticidade que assegura que cada dado pertence a quem diz pertencer.

E a Conformidade, cujo objetivo é garantir que todo processo obedeça às normas e leis vigentes e devidamente regulamentadas.

É válido citar também que muitos profissionais da área de Segurança da Informação consideram como um sexto pilar a Irretratabilidade, ou o Não-Repúdio. Este pilar impede que algum usuário negue a autoria de determinada informação.

Como vimos, temos hoje 6 pilares da Segurança da Informação, os quais servem para padronizar normas e medidas de segurança afim de proteger as organizações de ameaças que possam causar perdas. Esses pilares também servem como parâmetro para eventuais auditorias e verificações no cumprimento da legislação e normas vigentes.

Tenha sempre em mente que a Segurança da Informação deve ser vista com mais apreço e ser colocada sempre entre as prioridades do departamento de tecnologia. Caso contrário sua empresa poderá correr perigo.

*Renato Mirabili Junior é Consultor de Cybersecurity na Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados. 

Com o avanço da tecnologia e da digitalização das infraestruturas industriais, tornou-se essencial garantir a resiliência cibernética em ambientes de OT (tecnologia operacional). Prova disso é que ambientes como usinas de energia, sistemas de transporte e instalações de manufatura estão cada vez mais expostas a ameaças digitais, o que requer a implementação de medidas robustas de segurança.

Primeiro, vamos entender um pouco sobre os sistemas de OT, que são responsáveis pelo controle e monitoramento de processos industriais essenciais. Diferentemente dos sistemas de tecnologia da informação (TI), que gerenciam dados e informações, este ambiente lida diretamente com a operação física e o controle de equipamentos e processos.

A tecnologia operacional também é definida pela presença de sistemas de controle industrial, dispositivos de campo e redes de comunicação específicas. A interconexão desses componentes com a infraestrutura digital expõe as organizações a ameaças, tornando a resiliência cibernética um requisito crucial na proteção desses sistemas. 

Um dos principais gatilhos de riscos, por exemplo, é a crescente interconexão entre os sistemas de OT e as redes de TI. Essa convergência proporciona eficiência e visibilidade operacional, mas cria uma superfície expandida de ataque. Nesses casos, os invasores cibernéticos podem explorar vulnerabilidades em sistemas de TI para acessar redes de OT, comprometendo a segurança e a continuidade dos serviços fundamentais.

Além disso, as vulnerabilidades específicas e ameaças digitais encontradas nesses ambientes também exigem atenção especial. Muitos desses sistemas foram projetados e implantados antes da consideração adequada à segurança cibernética, resultando em lacunas e fraquezas, dentre as quais estão as falhas de projeto, configurações inadequadas, falta de autenticação robusta, dispositivos desatualizados e ausência de monitoramento.

Um estudo publicado pela Fortinet, de nominado o “Estado da Tecnologia Operacional e Cibersegurança 2023”, revela que a maioria das companhias de tecnologia operacional foram atacadas no ano passado. De acordo com o relatório, essas empresas continuam sendo um alvo desejado pelos cibercriminosos, com 75% delas relatando pelo menos uma invasão no ano passado. O resultado está vinculado à explosão de dispositivos conectados, que aumentou a complexidade para as organizações de OT.

O cenário reforça que a resiliência cibernética passou a desempenhar um papel fundamental na mitigação desses riscos e vulnerabilidades, tendo em vista que este ato se resume na capacidade de um sistema de se adaptar, resistir, se recuperar e seguir operando de maneira segura e eficiente diante de incidentes.

Para isso, avaliar riscos e fazer um planejamento assertivo é o primeiro passo para este processo. Isso envolve identificar as ameaças digitais e vulnerabilidades existentes nos sistemas e redes, bem como avaliar as ameaças potenciais e determinar o impacto que uma violação de segurança poderia ter nas operações.

Com base nessa avaliação, é possível desenvolver um plano de segurança personalizado, que inclua políticas de acesso, segmentação de redes, monitoramento contínuo e implementação de soluções de segurança avançadas, como firewalls industriais e detecção de intrusões.

Dentre os pontos, destaca-se a segmentação de redes e o isolamento de sistemas críticos. Ao dividir a infraestrutura em zonas de segurança e restringir o acesso entre elas, é possível limitar a propagação de um ataque cibernético e minimizar os danos causados. Além disso, é importante isolar estes sistemas, a fim de garantir que não haja conexões diretas com redes não confiáveis, como a internet. E para complementar as etapas citadas, também devemos destacar o monitoramento contínuo dos sistemas e redes em tempo real. E, mesmo com todas as medidas de prevenção, é importante estar preparado para responder a incidentes cibernéticos e se recuperar de desastres por meio de um plano bem definido, sem esquecer de manter testes regulares do plano.

Ao compreender os riscos específicos e adotar medidas adequadas, as indústrias podem proteger seus sistemas e redes contra ameaças cibernéticas cada vez mais sofisticadas.

*Allan Campos é sênior manager da Protiviti Brasil, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.

por Matheus Jacyntho e Rodrigo de Castro Schiavinato*

A proteção da privacidade dos dados pessoais tornou-se uma preocupação fundamental em um cenário cada vez mais digital e interconectado. A Lei Geral de Proteção de Dados (LGPD) estabelece diretrizes rigorosas para o tratamento adequado e seguro dos dados pessoais no Brasil. Nesse contexto, a cibersegurança desempenha um papel essencial na proteção da privacidade dos dados, uma vez que visa mitigar riscos e evitar violações de segurança que possam comprometer os dados das pessoas.

A implementação de medidas de segurança adequadas, juntamente com soluções especializadas, é crucial para assegurar o atendimento aos princípios da Segurança e prevenção definido no artigo 6º da lei, bem como preservar a confiança dos usuários na era digital e a imagem da organização.

A LGPD não especifica medidas que tratem da segurança de informação, mas exige que as empresas adotem normas técnicas e organizacionais adequadas para proteger os dados pessoais que estão em seu poder e serão tratados. Isso significa que as companhias são responsáveis por implementar medidas de segurança proporcionais aos riscos envolvidos no tratamento dos dados pessoais.

Algumas soluções ajudam a garantir a segurança no tratamento de dados pessoais, tais como:

1. Controle de acesso: ao implementar mecanismos que restrinjam o acesso apenas a pessoas autorizadas, é possível garantir que apenas aqueles que necessitam dos dados pessoais tenham permissão para acessá-los. Um desses mecanismos é o MFA (Múltiplo Fator de Autenticação), adotado por meio de soluções, como, por exemplo, o Microsoft Authenticator ou o Google Authenticator. Mesmo em casos de perda de uma senha, o atacante não consegue confirmar o código que estará de posse do colaborador.
2. Criptografia: o uso de técnicas de criptografia para proteger os dados pessoais durante a transmissão e armazenamento tornando-os ilegíveis para pessoas não autorizadas.
3. Monitoramento e detecção de intrusões: permite estabelecer sistemas de monitoramento contínuo para identificar atividades suspeitas, intrusões ou tentativas de acesso não autorizado aos dados pessoais.
4. Gestão de vulnerabilidades: realiza avaliações regulares de segurança para identificar e corrigir vulnerabilidades nos sistemas e nos aplicativos que possam expor os dados pessoais a riscos.
5. Políticas de senhas: a orientação é implementar políticas de senhas fortes, que exijam combinações de caracteres complexas, além de sugerir a troca periódica das senhas.
6. Treinamento e conscientização: a capacitação dos funcionários permite a compreensão  das práticas adequadas de segurança da informação para que os mesmos estejam cientes de suas responsabilidades na proteção dos dados pessoais.
7. Backup e recuperação de dados: além de realizar cópias de segurança periódicas dos dados pessoais, é preciso ter um plano de recuperação de dados em caso de perda ou incidente.
8. Política de retenção de dados: é preciso estabelecer uma política clara de retenção de dados, garantindo que os dados pessoais sejam mantidos apenas pelo tempo necessário e sejam adequadamente descartados após o período determinado.
9. Deleção de dados: a implementação de soluções para eliminação de dados é necessária sempre que o processo de tratamento for finalizado ou seu prazo de retenção expirar. Tal ação, além de ser um requerimento legal exigido pela LGPD, também reduz a exposição ao risco de vazamento de dados que não tem mais finalidade dentro da empresa.

As medidas de segurança de informação mencionadas podem ser complementadas por várias outras soluções de cibersegurança para fortalecer a postura de segurança de uma organização, além de auxiliar na conformidade com as exigências da LGPD.

*Matheus Jacyntho é diretor de Cibersegurança e Rodrigo de Castro Schiavinato é diretor executivo de parcerias e inovação e sócio, ambos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

O WAF (Web Application Firewall) é uma camada de segurança importante para as empresas que possuem aplicações web, como sites, plataformas de e-commerce, sistemas de gerenciamento de conteúdo (CMS), entre outros. É uma espécie de “muro” virtual que fica entre os usuários da internet e o site da empresa, ajudando a proteger os aplicativos web ao filtrar e monitorar o tráfego entre o aplicativo web e a internet. O WAF protege as aplicações contra ameaças cibernéticas que visam explorar vulnerabilidades nas aplicações web para obter informações sensíveis ou derrubar o site.

As ameaças cibernéticas são cada vez mais frequentes e sofisticadas, e podem causar prejuízos financeiros, perda de dados e até mesmo danos à imagem da empresa. Muitos pensam que os ataques hackers são realizados especificamente por pessoas por trás de computadores. Não é bem assim: os hackers utilizam ferramentas de automação para vasculhar em altíssima velocidade e 24 horas por dia sites que sejam vulneráveis a ataques, independentemente de seu porte. É como se um ladrão pudesse testar a abertura de todas as portas das casas de um quarteirão em segundos. Pior do que isso – todas as portas das casas e apartamentos de uma cidade inteira em questão de minutos. Por isso, é fundamental que as empresas tenham uma solução de segurança cibernética que inclua um WAF para proteger suas aplicações web.

O que é WAF e para que ele serve?

O WAF é configurado para interceptar o tráfego de entrada e saída entre o cliente e o servidor da aplicação web. No tráfego de entrada, o WAF verifica se há atividades suspeitas, identificando padrões maliciosos de tráfego que indicam tentativas de invasão, como injeção de SQL, cross-site scripting (XSS), tentativas de força bruta, entre outros. Já no tráfego de saída, o WAF trabalha identificando se há tentativas de extrair informações do servidor, como dados sensíveis dos usuários. Nesses casos, o WAF pode bloquear ou permitir com restrições a saída de dados, protegendo as informações da empresa. Além disso, o WAF pode ser configurado para bloquear tráfego de países ou regiões específicas, ajudando a reduzir o número de ataques que chegam às aplicações.

Um dos ataques mais comuns que o WAF protege é o DDoS (ataque de negação de serviço). Esses ataques são executados por meio do envio de tráfego excessivo para a aplicação web, o que faz com que o servidor fique sobrecarregado e não consiga processar as solicitações legítimas. Imagine que uma estrada é um site da internet e os carros são os usuários que acessam o site. Quando há um engarrafamento, muitos carros congestionam a estrada, tornando o trânsito lento ou até parando completamente. O resultado é que o site fica fora do ar, causando prejuízos financeiros e danos à imagem da empresa.

Dados mostram que os ataques DDoS estão cada vez mais comuns e mais sofisticados. Para se ter uma ideia da magnitude desse tipo de ataque, em 2020, a Cloudflare atingiu o recorde de mitigação de ataques DDoS em sua rede global, bloqueando 17,2 milhões de requisições por segundo. Isso reforça a necessidade de que as empresas tenham um WAF em suas soluções de segurança cibernética para se proteger contra ameaças cibernéticas.

Como escolher um Web Application Firewall?

Escolher um WAF pode ser uma tarefa desafiadora, mas existem alguns critérios que podem ajudar na sua análise:

• Funcionalidades: avalie as funcionalidades oferecidas pelo WAF, como prevenção de ataques de injeção de SQL, proteção contra ataques DDoS, mitigação de bots maliciosos e outros recursos que atendam às necessidades da sua organização;
• Integração: verifique se o WAF se integra facilmente com as tecnologias e sistemas já existentes na sua organização;
• Escalabilidade: certifique-se de que o WAF é escalável e capaz de atender às necessidades de crescimento da sua organização;
• Usabilidade: avalie a facilidade de uso do WAF, verificando se a interface de gerenciamento é intuitiva e se os recursos de automação ajudam a simplificar o gerenciamento de segurança;
• Suporte técnico: verifique se o fornecedor do WAF oferece um bom suporte técnico, incluindo suporte em horário comercial ou 24/7, documentação completa e recursos de treinamento.

Além desses critérios, é importante considerar a reputação do fornecedor de WAF no mercado, avaliando suas referências e avaliações de clientes. O Web Application Firewall (WAF) da Cloudflare é reconhecido por sua qualidade e inovação, sendo avaliado positivamente por empresas de pesquisa como a Gartner e a Forrester. Em 2021, a Gartner reconheceu a Cloudflare como um Líder em seu Quadrante Mágico para Serviços de Proteção de Aplicativos Web. A Forrester também destacou a Cloudflare como uma forte opção para as empresas que procuram proteger seus aplicativos da web em seu relatório Forrester Wave: Serviços de Proteção de Aplicativos Web. Essas avaliações destacam a capacidade da Cloudflare de fornecer soluções WAF de alta qualidade e sua reputação como líder em segurança cibernética.

Em resumo, o WAF é uma camada de segurança importante para proteger as aplicações web das empresas contra ameaças cibernéticas. Com a crescente sofisticação dos ataques, é fundamental que a sua empresa invista em soluções de segurança cibernética que incluam um WAF para garantir a segurança dos seus dados, a disponibilidade de seus serviços online e, consequentemente, preservar a reputação e imagem perante os seus clientes online.