5 maiores erros de segurança da informação cometidos pelas empresas

A maioria das companhias no Brasil ainda precisa aprender a interpretar e enfrentar problemas relacionados à proteção de dados.

De acordo com o Arcon Labs, equipe de inteligência que analisa tendências de ameaças e promove estudos, recomendações, normas e padrões técnicos, a maturidade do País vem evoluindo. Entretanto o mercado local está atrás de regiões como México, Peru, Argentina e Chile quando o assunto é o investimento em segurança da informação.

Estudo recente da Arcon identificou cinco grandes erros cometidos pelas empresas. São eles:

1- Foco em estratégias
Quando se fala em segurança de dados, o ideal não é priorizar apenas as estratégias. Elas são importantes, mas os níveis tático e operacional, cujos objetivos principais são executar os planejamentos das ações, devem ser considerados.

“Para vencer uma batalha, além das estratégias, é preciso que os soldados estejam 100% preparados para o combate, conheçam as armas e tenham um bom condicionamento físico. É assim também com a segurança da informação”, explica Wander Menezes, especialista em Segurança da Informação do Arcon Labs.

De acordo com o executivo, a parte operacional e tática deve ser exercida por profissionais que entendam, em profundidade, as ameaças e vulnerabilidades e saibam utilizar de forma eficiente recursos para detecção, análise, mitigação e erradicação de ameaças, amparados por uma estrutura adequada para o trabalho.

Para o especialista, são estes profissionais que trazem a inteligência técnica e operacional da segurança para dentro da instituição a fim de proteger o negócio.

2- Não perceber investimento em segurança é como uma poupança
Muitas vezes a terceirização de serviços é a última opção para a proteção dos dados. Porém, contar com o conhecimento de empresas especializadas ao invés de concentrar os esforços dentro de casa pode ajudar, inclusive, na avaliação dos custos de perdas e riscos que as ameaças representam para os negócios.

“As empresas precisam entender que a compra de ativos, na verdade, pode ser um canal para poupar dinheiro. Para isso é necessário avaliar o investimento mais apropriado para suportar o negócio. Exemplo: é possível que uma empresa invista US$ 100 em uma solução de segurança e economize US$ 1 mi em perdas em um determinado período”, explica Menezes.

3- Conceder privilégios em excesso aos usuários
Em segurança da informação, 80% do trabalho das equipes (estratégica, tática e operacional) está focado em criar, manter, disponibilizar e auditar acessos para minimizar o uso indevido da informação e ataques dentro e fora de uma organização.

Manter usuários com excesso de privilégios como acesso aos controles administrativos, não avaliar a entrada e saída de dados em aplicações (seja qual for), permitir que possam acessar mais informações do que de fato está estabelecido em suas funções e não estabelecer políticas de senhas são pontos que podem gerar vulnerabilidades.

Por isso é sugerido negar um acesso antes de concedê-lo. É preciso primeiro entender efetivamente a necessidade da demanda e se não tiver certeza de que é um acesso seguro, simplesmente, recomenda-se que negue o pedido. Além disso, colaboradores devem ter entrada em ferramentas (sala, sistema, rede e etc.) que sejam necessárias para o exercício de suas funções.

4- Não entender que segurança é um ecossistema complexo e está em constante transformação
A tecnologia muda e evolui para o bem e para o mal. A cada dia, milhares de malwares – softwaresdestinados a se infiltrarem em um sistema de computador alheio de forma ilícita, com o intuito de causar alguns danos, alterações ou roubo de informações (confidenciais ou não) – são criados e em algum momento é fato que conseguirão invadir os dados de uma empresa.

“O grande ponto é estar preparado e ter a contramedida adequada para o problema. Apesar de parecer fácil, não é tão simples quanto parece”, afirma Menezes. O especialista explica que é necessário entender o ecossistema que está sendo atacado e pensar em todos os outros controles que trabalham juntos, de forma que seja possível criar camadas de proteção para todos os níveis.

5- Dar prioridade às normas e não às políticas de segurança da informação
Para a maioria das empresas no Brasil, o mais importante é passar nas avaliações da auditoria e atender as normatizações. Manter o negócio seguro é avaliado em um segundo momento e este é o principal motivo do gasto desnecessário com serviços que não refletem em controles de segurança para os negócios.

“Sem regra não tem jogo. Por isso, antes das empresas pensarem em normas, devem avaliar a implementação de uma política de segurança”, explica o especialista em Segurança da Informação do Arcon Labs.

Menezes alerta que a maioria das companhias no Brasil não classifica as informações contidas em seus servidores e em suas estações de trabalho. “Se uma empresa não possui a cultura ou não vê a necessidade de classificação da informação, está fadada ao vazamento de dados e perdas financeiras ou de imagem”, explica.

Fonte: Cio.Com.BR

Diferenças entre Covert Redirect e Heartbleed

A falha de segurança conhecida como Covert Redirect ganhou grande atenção por parte dos especialistas de TI e chegou até a ser comparada com a devastadora vulnerabilidade Heartbleed – que afetou milhões de servidores no último mês. Apesar de ambos causarem sérias brechas de segurança, desconsidero a possibilidade do Covert Redirect ser tão grave quanto o Heartbleed.

Isso porque o Cover Redirect é uma falha de segurança – e não vulnerabilidade – na implementação do OAuth, que é um protocolo aberto de autorização segura, oferecido pelos prestadores de serviços. Ela se aproveita de terceiros que estão suscetíveis a um redirecionamento online aberto, no qual os cibercriminosos enviam uma aplicação vulnerável aos internautas e interagem com eles para adquirir permissões e informações estratégicas. 

Já o Heartbleed é uma grave brecha no código do OpenSSL, que é usado por aproximadamente 2 em cada 3 servidores para proteger as comunicações em sites que têm trafego de informações sigilosas. É este sistema que protege os dados como nome de usuários, senhas, números de cartão de crédito e contas bancárias. Um falha nesta biblioteca criptográfica pode permitir aos criminosos virtuais o acesso irrestrito à memória do sistema e a todas as informações pertinentes de empresas e pessoas lá armazenadas.

Diante deste panorama, ambas são oportunidades sérias que favorecem a perda e roubo de dados. Segundo o Relatório da Symantec sobre Ameaças à Segurança da Informação, em 2013, mais de 550 milhões de identidades foram expostas por meio de brechas na segurança online de companhias. Este número representa um aumento de 62% em relação ao ano anterior. 

No Covert Ridirect, o OAuth comprometido faz com que sites que exigem login e senha tenham o comando de memorizar a informação do usuário, redirecionar estes dados e permitir a utilização deles por terceiros. Isso acontece tanto no acesso a este locais virtuais a partir de aplicações móveis em tablets e smartphones quanto no desktop e notebooks. O resultado pode ser notado, infelizmente, quando a vítima começa a perceber movimentações estranhas em seus e-mails e perfis sociais, por exemplo.  

Neste caso, para o ataque ser bem sucedido, o internauta precisa conceder a permissão para enviar os dados – mesmo que sem saber – para um local virtual utilizado pelo cybercriminoso. Entre os dados que podem ser violados a partir do Covert Redirect estão o nome completo, a data de nascimento, a lista de contatos, os endereços de e-mail e os perfis sociais. Por isso, é importante se atentar para as seguintes dicas de segurança digital para não ser vítima de falhas ou vulnerabilidades na Internet: 

1. Verifique a procedência dos aplicativos e sites antes de enviar informações pessoais; 
2. Tenha o hábito de trocar as senhas de e-mails e perfis sociais periodicamente;
3. Mantenha seus dispositivos conectados à Web, incluindo smartphones e tablets, protegidos com soluções de segurança originais e atualizadas;  
4. Não acesse sites duvidosos. Opte por portais oficiais e com boa reputação;
5. Acompanhe a sua conta bancária e fatura do cartão de crédito. Desconfie de qualquer transação incomum ao seu perfil;
6. Para os desenvolvedores: bloqueie os redirecionamentos em seu site, para não infectar os usuários. 

André Carraretto é especialista em segurança da informação da Symantec para o Brasil. Como parte de sua função, o executivo ajuda a educar os consumidores sobre as questões de segurança online mais recentes.

Fonte: www.canaltech.com.br

Matéria completa: http://canaltech.com.br/noticia/seguranca/Diferencas-entre-Covert-Redirect-e-Heartbleed/#ixzz325HvPMET  O conteúdo do Canaltech é protegido sob a licença Creative Commons (CC BY-NC-ND). Você pode reproduzi-lo, desde que insira créditos COM O LINK para o conteúdo original e não faça uso comercial de nossa produção.