Padrão internacional de certificação muito comum para Infraestruturas de Chaves Públicas (ICP). Os certificados X.509 são assinados por Autoridades Certificadoras (AC), que atestam confiar nos dados contidos naquele certificado, garantindo sua autenticidade e validade jurídica.Padrão internacional de certificação muito comum para Infraestruturas de Chaves Públicas (ICP). Os certificados X.509 são assinados por Autoridades Certificadoras (AC), que atestam confiar nos dados contidos naquele certificado, garantindo sua autenticidade e validade jurídica.Padrão internacional de certificação muito comum para Infraestruturas de Chaves Públicas (ICP). Os certificados X.509 são assinados por Autoridades Certificadoras (AC), que atestam confiar nos dados contidos naquele certificado, garantindo sua autenticidade e validade jurídica.WPadrão internacional de certificação muito comum para Infraestruturas de Chaves Públicas (ICP). Os certificados X.509 são assinados por Autoridades Certificadoras (AC), que atestam confiar nos dados contidos naquele certificado, garantindo sua autenticidade e validade jurídica.oPadrão internacional de certificação muito comum para Infraestruturas de Chaves Públicas (ICP). Os certificados X.509 são assinados por Autoridades Certificadoras (AC), que atestam confiar nos dados contidos naquele certificado, garantindo sua autenticidade e validade jurídica.rm de computador projetado especificamente para atacar o sistema operacional SCADA, desenvolvido pela Siemens para controlar as centrífugas de enriquecimento de urânio iranianas.Worm de computador projetado especificamente para atacar o sistema operacional SCADA, desenvolvido pela Siemens para controlar as centrífugas de enriquecimento de urânio iranianas.Worm de computador projetado especificamente para atacar o sistema operacional SCADA, desenvolvido pela Siemens para controlar as centrífugas de enriquecimento de urânio iranianas.tWorm de computador projetado especificamente para atacar o sistema operacional SCADA, desenvolvido pela Siemens para controlar as centrífugas de enriquecimento de urânio iranianas.éWorm de computador projetado especificamente para atacar o sistema operacional SCADA, desenvolvido pela Siemens para controlar as centrífugas de enriquecimento de urânio iranianas.cnica de transferência de dados, onde os dados são processados em fluxo contínuo, o que permite que o conteúdo seja reproduzido antes de ser completamente enviado. Um exemplo do uso dessa tecnologia é o Youtube, onde os usuários podem assistir a um vídeo (e ouvir o áudio) enquanto ele ainda está sendo carregado.técnica de transferência de dados, onde os dados são processados em fluxo contínuo, o que permite que o conteúdo seja reproduzido antes de ser completamente enviado. Um exemplo do uso dessa tecnologia é o Youtube, onde os usuários podem assistir a um vídeo (e ouvir o áudio) enquanto ele ainda está sendo carregado.técnica de transferência de dados, onde os dados são processados em fluxo contínuo, o que permite que o conteúdo seja reproduzido antes de ser completamente enviado. Um exemplo do uso dessa tecnologia é o Youtube, onde os usuários podem assistir a um vídeo (e ouvir o áudio) enquanto ele ainda está sendo carregado.Ftécnica de transferência de dados, onde os dados são processados em fluxo contínuo, o que permite que o conteúdo seja reproduzido antes de ser completamente enviado. Um exemplo do uso dessa tecnologia é o Youtube, onde os usuários podem assistir a um vídeo (e ouvir o áudio) enquanto ele ainda está sendo carregado.etécnica de transferência de dados, onde os dados são processados em fluxo contínuo, o que permite que o conteúdo seja reproduzido antes de ser completamente enviado. Um exemplo do uso dessa tecnologia é o Youtube, onde os usuários podem assistir a um vídeo (e ouvir o áudio) enquanto ele ainda está sendo carregado.nômeno em que as pessoas levam para o trabalho as tecnologias que estão acostumadas a usar em casa ou na rua, como softwares, redes sociais, tablets e smartphones.NFenômeno em que as pessoas levam para o trabalho as tecnologias que estão acostumadas a usar em casa ou na rua, como softwares, redes sociais, tablets e smartphones.oFenômeno em que as pessoas levam para o trabalho as tecnologias que estão acostumadas a usar em casa ou na rua, como softwares, redes sociais, tablets e smartphones. Fenômeno em que as pessoas levam para o trabalho as tecnologias que estão acostumadas a usar em casa ou na rua, como softwares, redes sociais, tablets e smartphones.pFenômeno em que as pessoas levam para o trabalho as tecnologias que estão acostumadas a usar em casa ou na rua, como softwares, redes sociais, tablets e smartphones.ainel Hackers to CSO, o mais esperado do Security Leaders, a mediadora Graça Sermoud colocou uma questão interessante para todas as empresas: Até que ponto as empresas podem usar o conhecimento dos hackers na defesa corporativa?
Claro, para esse tipo de assunto não existem conclusões definidas.
Mas a maioria dos CSOs disse acreditar que essa é uma ação não só interessante como necessária para as empresas. Sergio Ricupero, CSO do Grupo Abril, comentou que todas as empresas deveriam ter uma equipe de hackers e pesquisadores de segurança, inclusive com integrantes de diferentes especializações.
Padrão internacional de certificação muito comum para Infraestruturas de Chaves Públicas (ICP). Os certificados X.509 são assinados por Autoridades Certificadoras (AC), que atestam confiar nos dados contidos naquele certificado, garantindo sua autenticidade e validade jurídica.Padrão internacional de certificação muito comum para Infraestruturas de Chaves Públicas (ICP). Os certificados X.509 são assinados por Autoridades Certificadoras (AC), que atestam confiar nos dados contidos naquele certificado, garantindo sua autenticidade e validade jurídica.Padrão internacional de certificação muito comum para Infraestruturas de Chaves Públicas (ICP). Os certificados X.509 são assinados por Autoridades Certificadoras (AC), que atestam confiar nos dados contidos naquele certificado, garantindo sua autenticidade e validade jurídica.WPadrão internacional de certificação muito comum para Infraestruturas de Chaves Públicas (ICP). Os certificados X.509 são assinados por Autoridades Certificadoras (AC), que atestam confiar nos dados contidos naquele certificado, garantindo sua autenticidade e validade jurídica.oPadrão internacional de certificação muito comum para Infraestruturas de Chaves Públicas (ICP). Os certificados X.509 são assinados por Autoridades Certificadoras (AC), que atestam confiar nos dados contidos naquele certificado, garantindo sua autenticidade e validade jurídica.rm de computador projetado especificamente para atacar o sistema operacional SCADA, desenvolvido pela Siemens para controlar as centrífugas de enriquecimento de urânio iranianas.Worm de computador projetado especificamente para atacar o sistema operacional SCADA, desenvolvido pela Siemens para controlar as centrífugas de enriquecimento de urânio iranianas.Worm de computador projetado especificamente para atacar o sistema operacional SCADA, desenvolvido pela Siemens para controlar as centrífugas de enriquecimento de urânio iranianas.tWorm de computador projetado especificamente para atacar o sistema operacional SCADA, desenvolvido pela Siemens para controlar as centrífugas de enriquecimento de urânio iranianas.éWorm de computador projetado especificamente para atacar o sistema operacional SCADA, desenvolvido pela Siemens para controlar as centrífugas de enriquecimento de urânio iranianas.cnica de transferência de dados, onde os dados são processados em fluxo contínuo, o que permite que o conteúdo seja reproduzido antes de ser completamente enviado. Um exemplo do uso dessa tecnologia é o Youtube, onde os usuários podem assistir a um vídeo (e ouvir o áudio) enquanto ele ainda está sendo carregado.técnica de transferência de dados, onde os dados são processados em fluxo contínuo, o que permite que o conteúdo seja reproduzido antes de ser completamente enviado. Um exemplo do uso dessa tecnologia é o Youtube, onde os usuários podem assistir a um vídeo (e ouvir o áudio) enquanto ele ainda está sendo carregado.técnica de transferência de dados, onde os dados são processados em fluxo contínuo, o que permite que o conteúdo seja reproduzido antes de ser completamente enviado. Um exemplo do uso dessa tecnologia é o Youtube, onde os usuários podem assistir a um vídeo (e ouvir o áudio) enquanto ele ainda está sendo carregado.Ftécnica de transferência de dados, onde os dados são processados em fluxo contínuo, o que permite que o conteúdo seja reproduzido antes de ser completamente enviado. Um exemplo do uso dessa tecnologia é o Youtube, onde os usuários podem assistir a um vídeo (e ouvir o áudio) enquanto ele ainda está sendo carregado.etécnica de transferência de dados, onde os dados são processados em fluxo contínuo, o que permite que o conteúdo seja reproduzido antes de ser completamente enviado. Um exemplo do uso dessa tecnologia é o Youtube, onde os usuários podem assistir a um vídeo (e ouvir o áudio) enquanto ele ainda está sendo carregado.nômeno em que as pessoas levam para o trabalho as tecnologias que estão acostumadas a usar em casa ou na rua, como softwares, redes sociais, tablets e smartphones.RFenômeno em que as pessoas levam para o trabalho as tecnologias que estão acostumadas a usar em casa ou na rua, como softwares, redes sociais, tablets e smartphones.eFenômeno em que as pessoas levam para o trabalho as tecnologias que estão acostumadas a usar em casa ou na rua, como softwares, redes sociais, tablets e smartphones.cFenômeno em que as pessoas levam para o trabalho as tecnologias que estão acostumadas a usar em casa ou na rua, como softwares, redes sociais, tablets e smartphones.eFenômeno em que as pessoas levam para o trabalho as tecnologias que estão acostumadas a usar em casa ou na rua, como softwares, redes sociais, tablets e smartphones.ntemente, a Symantec divulgou os resultados de sua pesquisa anual sobre cyberataque, a qual mais uma vez revela o aumento de ataques virtuais e os custos consequentes a estes. Este estudo considerou 2100 empresas de todo mundo, sendo 73 brasileiras.
Para se ter uma idéia, 100% empresas consultadas disseram ter sofrido algum tipo de perda com tais incidentes, como roubo de informações pessoais, roubo de propriedade intelectual e indisponibilidade de sistemas. Desse total, 92% afirmaram terem sido incidentes críticos e que levaram a altas perdas financeira, diretas ou indiretas. Isso sem contar possíveis ataques que estejam ocorrendo e as empresas ainda não se deram conta.
Em valores, o custo médio global por conta dessas perdas foi de US$2 Milhões, e para as empresas da América Latina, em torno de US$500 mil. Falando somente em Brasil, 54% dos incidentes foram acometidos por meio da rede interna, por funcionários mal-intencionados ou desatentos.
As causas apontadas pelo estudo mostram que as áreas de segurança das empresas estão sobrecarregadas, sendo que os controles mais comprometidos são o gerenciamento de sistemas de segurança, controles de prevenção de perdas de dados, segurança da rede e endpoint security.
Analisando este cenário, observa-se que por falta de “braços” e, consequentemente, controles, as empresas estão sendo acometidas por diversos tipos de perdas e que estão custando um valor considerável somente para “apagar os incêndios”.
E se esses quase R$1 milhão fossem investidos pro-ativamente, em soluções, serviços e pessoal qualificado para evitar tais incidentes? Fazendo um diagnóstico incial para identificar as áreas de maior criticidade e deficiência é o primeiro passo antes de adquirir qualquer solução milagrosa que resolverão todos seu problemas, de acordo com os seus vendedores. Nenhuma ferramenta é perfeita, nem o ser humano.
Sabemos que sempre haverão incidentes, pois eles estão atrelados a diferentes fatores não-controláveis, por isso mister é reduzí-los e administrá-los adequadamente.
Padrão internacional de certificação muito comum para Infraestruturas de Chaves Públicas (ICP). Os certificados X.509 são assinados por Autoridades Certificadoras (AC), que atestam confiar nos dados contidos naquele certificado, garantindo sua autenticidade e validade jurídica.Padrão internacional de certificação muito comum para Infraestruturas de Chaves Públicas (ICP). Os certificados X.509 são assinados por Autoridades Certificadoras (AC), que atestam confiar nos dados contidos naquele certificado, garantindo sua autenticidade e validade jurídica.Padrão internacional de certificação muito comum para Infraestruturas de Chaves Públicas (ICP). Os certificados X.509 são assinados por Autoridades Certificadoras (AC), que atestam confiar nos dados contidos naquele certificado, garantindo sua autenticidade e validade jurídica.WPadrão internacional de certificação muito comum para Infraestruturas de Chaves Públicas (ICP). Os certificados X.509 são assinados por Autoridades Certificadoras (AC), que atestam confiar nos dados contidos naquele certificado, garantindo sua autenticidade e validade jurídica.oPadrão internacional de certificação muito comum para Infraestruturas de Chaves Públicas (ICP). Os certificados X.509 são assinados por Autoridades Certificadoras (AC), que atestam confiar nos dados contidos naquele certificado, garantindo sua autenticidade e validade jurídica.rm de computador projetado especificamente para atacar o sistema operacional SCADA, desenvolvido pela Siemens para controlar as centrífugas de enriquecimento de urânio iranianas.Worm de computador projetado especificamente para atacar o sistema operacional SCADA, desenvolvido pela Siemens para controlar as centrífugas de enriquecimento de urânio iranianas.Worm de computador projetado especificamente para atacar o sistema operacional SCADA, desenvolvido pela Siemens para controlar as centrífugas de enriquecimento de urânio iranianas.tWorm de computador projetado especificamente para atacar o sistema operacional SCADA, desenvolvido pela Siemens para controlar as centrífugas de enriquecimento de urânio iranianas.éWorm de computador projetado especificamente para atacar o sistema operacional SCADA, desenvolvido pela Siemens para controlar as centrífugas de enriquecimento de urânio iranianas.cnica de transferência de dados, onde os dados são processados em fluxo contínuo, o que permite que o conteúdo seja reproduzido antes de ser completamente enviado. Um exemplo do uso dessa tecnologia é o Youtube, onde os usuários podem assistir a um vídeo (e ouvir o áudio) enquanto ele ainda está sendo carregado.técnica de transferência de dados, onde os dados são processados em fluxo contínuo, o que permite que o conteúdo seja reproduzido antes de ser completamente enviado. Um exemplo do uso dessa tecnologia é o Youtube, onde os usuários podem assistir a um vídeo (e ouvir o áudio) enquanto ele ainda está sendo carregado.técnica de transferência de dados, onde os dados são processados em fluxo contínuo, o que permite que o conteúdo seja reproduzido antes de ser completamente enviado. Um exemplo do uso dessa tecnologia é o Youtube, onde os usuários podem assistir a um vídeo (e ouvir o áudio) enquanto ele ainda está sendo carregado.Ftécnica de transferência de dados, onde os dados são processados em fluxo contínuo, o que permite que o conteúdo seja reproduzido antes de ser completamente enviado. Um exemplo do uso dessa tecnologia é o Youtube, onde os usuários podem assistir a um vídeo (e ouvir o áudio) enquanto ele ainda está sendo carregado.etécnica de transferência de dados, onde os dados são processados em fluxo contínuo, o que permite que o conteúdo seja reproduzido antes de ser completamente enviado. Um exemplo do uso dessa tecnologia é o Youtube, onde os usuários podem assistir a um vídeo (e ouvir o áudio) enquanto ele ainda está sendo carregado.nômeno em que as pessoas levam para o trabalho as tecnologias que estão acostumadas a usar em casa ou na rua, como softwares, redes sociais, tablets e smartphones.DFenômeno em que as pessoas levam para o trabalho as tecnologias que estão acostumadas a usar em casa ou na rua, como softwares, redes sociais, tablets e smartphones.uFenômeno em que as pessoas levam para o trabalho as tecnologias que estão acostumadas a usar em casa ou na rua, como softwares, redes sociais, tablets e smartphones.rFenômeno em que as pessoas levam para o trabalho as tecnologias que estão acostumadas a usar em casa ou na rua, como softwares, redes sociais, tablets e smartphones.aFenômeno em que as pessoas levam para o trabalho as tecnologias que estão acostumadas a usar em casa ou na rua, como softwares, redes sociais, tablets e smartphones.nte a sexta edição da H2HC, aconteceu o primeiro H2CSO, um encontro apoiado pela Decision Report que colocou hackers e CSOs, gerentes e diretorias que respondem pela segurança da informação, juntos em um fórum para debate e aproximação dos dois lados da “força”.
Estavam presentes CSO de diversas empresas como Daniel Sobral, da Friboi, Antonio Vinhas,do Deutsch Bank, Sérgio Ricupero, da editora Abril, entre outros. Do lado dos hackers, estavam alguns caras muito bons como o Rodrigo Rubira Branco, da Checkpoint/Coseinc, Nicolas Waisman, da Immunity, Sebastian Porst, Zynamics, etc.
Eu estava lá e acompanhei de perto o debate. Na primeira parte foi discutido sobre o conceito hacker e a visão que as empresas tem desses profissionais. Tive que sair no meio da primeira parte pois o Bruno iria começar a palestrar e não queria deixar de perder uma das melhores e mais provocativas apresentações do evento: “Breaking the Perimeter Through The Human Stupidity”, na qual reproduziu a gravação de um ataque de engenharia social realizado com sucesso (com a devida autorização da empresa atacada, claro!).
Voltei para a segunda parte do H2CSO e aqui a discussão começou a ficar interessante.
Começou a ser discutido o ROI (Retorno do Investimento) em Segurança da Informação, que continua a ser a principal resistência para as empresas em investirem em segurança. Por um lado, as empresas precisam de uma forma para estimar o impacto de incidentes de segurança nos negócios, que mostre os resultados, benefícios e ampare as decisões e budget de investimento nesta área, como apontado por Cibele Tessari, CIO da Andrade Gutierrez. Por outro lado, Nicolas Waisman lançou a seguinte reflexão: “Quanto uma empresa perde com um ataque ou incidente?”. Nesta reflexão podemos elencar perdas em diferentes aspectos como: imagem da empresa, indisponibilidade, financeira, custos com recuperação do ambiente, comprometimento de dados e informações, etc.
Para cada um dos cenários, a estimativa do impacto se torna ainda mais difícil de ser identificada previamente, pois depende de outros fatores como a maturidade de TI e segurança da empresa em questão. A presença de controles de segurança, de logs até WAFs, permitem a identificação, rastreamento e, até, a minimização dos escopo de um incidente.
Ou seja, sem um diagnóstico do atual estado de TI, não é possível identificar gaps e planejar a segurança corporativa adequadamente. Normalmente, os gastos relacionados a segurança da informação são empregados pontualmente com testes de segurança ou soluções que nem sempre são adequadas para a empresa ou, então, como meros “extintores de incêndio”, situações em que não é possível identificar o retorno para a empresa. Por isso, é necessário que o alto escalão enxergue a segurança como um fator crítico ao negócio, uma vez que todos os processos covergem para ambientes tecnológicos e interconectados, independente do segmento de atuação.
Outra discussão importante foi quanto a presença de equipes de segurança técnica e a contratação de hackers profissionais pelas empresas. Sérgio Ricupero fez uma interessante analogia desses profissionais internos com um eventual ERPEnterprise Resource PlanningEnterprise Resource Planning, em português: Sistema Integrado de Gestão EmpresarialEnterprise Resource Planning, em português: Sistema Integrado de Gestão Empresarial. Sistema de informação que integra todos os dados e processos de uma organização em um único sistema, possibilitando a automação e o armazenamento de todas as informações de negócios.. Sistema de informação que integra todos os dados e processos de uma organização em um único sistema, possibilitando a automação e o armazenamento de todas as informações de negócios., em português: Sistema Integrado de Gestão EmpresarialEnterprise Resource Planning, em português: Sistema Integrado de Gestão Empresarial. Sistema de informação que integra todos os dados e processos de uma organização em um único sistema, possibilitando a automação e o armazenamento de todas as informações de negócios.. Sistema de informação que integra todos os dados e processos de uma organização em um único sistema, possibilitando a automação e o armazenamento de todas as informações de negócios. desenvolvido pela empresa. Por mais que o resultado seja satisfatório, não é o business da empresa.
É indiscutível a necessidade de haver equipes de segurança da informação e conformidade nas empresas, para definição de diretrizes, acompanhamento de processos e qualidade. Porém, manter equipes técnicas multidisciplinares acarreta em alto custo para a empresa e muitas vezes desinteressante para o profissional, por conta da desmotivação causada pela rotina e ausência de desafios.
Em resumo: a área de segurança da informação está ganhando força e as empresas estão começando a entender isso como sendo crítico ao negócio. A tendência para serviços está caminhando para a terceirização, de forma que as empresas possam contar com profissionais qualificados para cada situação, sem ter que gastar fortunas em equipes internas.
O modelo do evento foi inédito e creio que muito proveitoso para ambos os lados da discussão: hackers e CSOs! Parabéns Rodrigo e Balestra pela idéia e iniciativa!
[]´s
