Segurança corporativa. Como fazer?

Para transmitir credibilidade e confiança em um ambiente corporativo e não  comprometer as informações sigilosas de uma empresa é importante ter alguns princípios de segurança. Por acharem que estão em um ambiente 100% seguro, as pessoas costumam relaxar e acabam não se preocupando, quando na verdade os maiores contaminadores são os e-mails

Image CyberRiskinterstitial Banner temporario

Fernanda Quintero (*)

Em 2014 ocorreram vários ataques às empresas e órgãos governamentais, mas em 2015 é preciso ainda mais atenção, pois pode se destacar que as invasões em backup de nuvem vão aumentar. A tendência é cada vez mais arquivar documentos e informações em nuvens, por isso, o foco dos invasores está se voltando, por exemplo, para variações do ransomware.

Dispositivos móveis também ajudam no aumento do risco de segurança, ainda mais se a nuvem for compartilhada com o dispositivo. Para prevenção, é indispensável o uso de ferramentas e criptografia, incluindo o certificado digital SSL para comunicações seguras. Uma auditoria também auxilia para o entendimento do nível de risco.

É preciso educar cada vez mais as empresas, clientes e consumidores finais a se preocuparem com a segurança no meio corporativo, não somente nos e-commerces. É recomendável que as empresas utilizem uma suíte de ferramentas para garantirem maior segurança, como gestão de vulnerabilidades, testes de invasão, firewall de aplicação, certificado digital, entre outros serviços.

Cada vez mais, as empresas estão investindo em tecnologia avançada para arquivar informações, se não houver precaução e o gerenciamento de vulnerabilidade ficará mais fácil invadir os sistemas internos das corporações.

As empresas estão evoluindo no entendimento dos problemas que a falta de proteção pode causar e como as informações digitais depois de serem roubadas por diversos ataques podem se transformar em prejuízo financeiro. Proteger as informações pode ser abstrato para as pessoas e, para que a mensagem seja transmitida corretamente e entendida pelos diretores da empresa, é necessário enfatizar os riscos como danos à reputação da empresa e perdas financeiras.

A análise de riscos de segurança é a parte fundamental do processo de proteção de dados. Isso implica em diversas medidas para avaliar o nível de proteção da infraestrutura na qual são realizadas operações que envolvem informações para o negócio. A segurança de informações no setor financeiro tem como base a documentação do próprio segmento, que é composta por vários padrões de sigilo organizacionais. Esses documentos são baseados nos métodos de avaliação de riscos de segurança de informações, que serão diferentes para cada área de atividade da empresa. No final de tudo, seja qual empresa for, qual segmento atue ou qual tamanho do seu faturamento, todas as corporações precisam de segurança corporativa para privar seus dados e evitar maiores problemas.

(*) É webwriter responsável por toda produção de conteúdo da maior empresa de segurança para e-commerce da América Latina, a Site Blindado.


EMPRESAS DE INTERNET GERARAM MAIS DE 57 MIL NOVOS EMPREGOS NO BRASIL

As empresas do segmento de Internet geraram 57.780 novos empregos no período 2012-2014, e a desoneração da folha de pagamento promovida com a lei 12.546/2011 contribui para esse indicador.
O dado consta no estudo sobre faturamento, empregabilidade, massa salarial e arrecadação federal das empresas do setor, que a Associação Brasileira de Internet (Abranet) apresentou ao deputado federal Leonardo Picciani (PMDB-RJ), relator do Projeto de Lei 863/2015, do Poder Executivo, que reduz a desoneração da folha de pagamentos de 56 setores da economia.
Segundo o estudo, realizado pelo Instituto Brasileiro de Planejamento e Tributação, foram criados, em média, 19.260 novos postos de trabalho nos últimos três anos. O crescimento acumulado do número de funcionários foi de 18,47%, com média de 5,82% ao ano. "O crescimento contínuo no número de funcionários do segmento de Internet , beneficiados com a promulgação da Lei de Desoneração de Folha de Pagamento, não deixa dúvidas da sua eficiência", destaca o estudo.
Com a lei 12.546/2011, o cálculo da contribuição previdenciária patronal passou a vigorar com as alíquotas de 2% e de 1% para serviços de tecnologia da informação e da indústria, respectivamente, aplicada diretamente sobre o faturamento das empresas, ao invés de 20% sobre a folha de pagamento. Em razão da necessidade de aumentar sua arrecadação, o governo propôs o PL 863, que tramita na Câmara dos Deputados.


Ferramenta de dupla certificação digital que promete total segurança nas transações home banking e compras em lojas virtuais

120921 laptop 2 ap temporario

A Prosign IT, multinacional de origem uruguaia especializada em tecnologia da informação, apresenta ao mercado brasileiro o Prosign Authentication System uma plataforma de dupla certificação digital focada para transações comerciais realizadas na internet, que garante o que há de mais avançado em segurança virtual.
Por mais que o sistema traga uma maturidade de segurança concreta, na prática ele funciona de forma simples para o usuário e para clientes da ferramenta, que podem ser desde bancos à plataformas de e-commerce, a solução é extremamente acessível financeiramente.
A ferramenta funciona da seguinte maneira: supondo que o banco X utilize o Prosign Authentication System, o correntista vai entrar no portal do banco e preencher os dados necessários para acessar sua conta, antes de entrar de fato na conta bancária, o sistema vai gerar um QR Code que deverá ser scaneado por um aplicativo especifico do sistema através de um smartphone, desta forma os dados sigilosos da transação são divididos entre os dois dispositivos e enviados para o servidor do banco.
Atualmente grande parte das transações bancárias, por exemplo, são realizadas através de Tokens ou sistemas de senhas randômicas disponibilizadas em aplicativos para smartphone. A grande diferença entre a nova solução, frente às praticadas hoje no mercado, é que os dispositivos de senha não participam ativamente da certificação da transação, ou seja, se a maquina usada para o acesso à conta corrente estiver hackeada o sistema de senhas randômicas não será capaz de dirimir a ação criminosa, a transação será efetivada e como a máquina está sendo invadida, todos os dados do correntista serão passados para um servidor criminoso e uma vez que a conta esteja aberta neste servidor, o hacker terá sucesso no roubo das informações e poderá realizar qualquer tipo aplicação, como desvio de dinheiro, por exemplo.
Com o sistema da Prosign, para que o assaltante cibernético tenha sucesso, ele teria que invadir ao mesmo tempo o smartphone do correntista, a máquina usada para a transação e acessar o QR Code gerado, o que significa que a probabilidade de sucesso do ataque é mínima e a dificuldade para a invasão é muito grande, o que não vale a pena para o bandido virtual, que busca sempre sistemas de fácil violação.
Outro fator que aumenta ainda mais a segurança nas transações é que o sistema possui um módulo de geolocalização, onde são cadastrados os endereços usados para compras na internet, ou mesmo transações bancárias. Se o seu smartphone e notebook forem roubados, por exemplo, mesmo com todos os dados e ferramentas necessárias para a invasão da conta bancária ou compras na internet, se o endereço não estiver previamente cadastrado, o ladrão não conseguirá efetivar seu crime virtual.
O Prosign Authentication System representa a evolução mais segura de todos os sistemas de certificação para compras e transações virtuais e deve ser disponibilizado no mercado brasileiro a partir do dia 1º de julho.

Como melhorar a experiência de "mobilidade" na convergência de rede

Don Thomas Jacob (*)

Define-se a convergência de rede como a integração da voz, de vídeo e de dados em uma única rede

Essa convergência permitiu que as empresas oferecessem mais e até melhores serviços a um custo muito menor para seus usuários. Embora a convergência de rede venha evoluindo ao longo dos anos para incluir teleconferências, streaming de mídia e vídeo em HD, etc., a mais recente contribuição para a convergência de rede é a mobilidade, e isso inclui smartphones, tablets, laptops ou qualquer outro dispositivo sem fio.
Para uma empresa fazer um bom uso das vantagens da mobilidade, como o aumento na satisfação do funcionário, produtividade e agilidade geral da empresa, a rede deve conseguir fornecer ao usuário uma experiência contínua e sem problemas. Veja algumas coisas para as quais os administradores de rede precisam estar atentos na hora de convergir a mobilidade para a empresa que gerenciam:
Experiência com e sem fio:
Tradicionalmente, os sistemas com e sem fio funcionavam como redes separadas: a opção com fio era a mais utilizada e a sem fio era limitada a convidados e alguns funcionários que em geral ficavam se movimentando no escritório. Isso mudou com o advento da mobilidade e da lógica BYOD ("traga seu próprio dispositivo"). A mobilidade exige uma rede com e sem fio dimensionável, convergente e de alta velocidade, que pode fornecer um desempenho consistente para o usuário final com o dispositivo que está sendo usado, e sem a localização do usuário sofrer nenhum impacto sobre a experiência.
Para conseguir isso, os administradores de rede devem começar a consolidar suas redes autônomas em uma rede convergente, utilizando os hardwares de rede que são compatíveis com os dispositivos com e sem fio. Além disso, as redes convergentes são menos complexas e fáceis de gerenciar, e eliminam a necessidade de realizar manutenção com arquiteturas, políticas e recursos separados. Muitos fornecedores de hardware, incluindo Cisco, Alcatel-Lucent, Juniper, etc., têm soluções para acesso unificado que podem facilitar a convergência de rede.
Outra coisa a ser considerada é o desempenho de sua rede sem fio. Os administradores de rede devem garantir que suas redes sem fio forneçam o mesmo nível ou um nível melhor de experiência do que com uma rede com fio. Veja algumas dicas para melhorar sua rede sem fio corporativa.
Largura de banda:
Uma maior demanda para a largura de banda WAN causa um grande impacto da mobilidade. A mobilidade e a lógica BYOD acabam gerando aplicativos que competem pela largura de banda com os aplicativos essenciais aos negócios. Com cada usuário utilizando pelo menos dois dispositivos sem fio e inúmeros aplicativos, pode haver um aumento exponencial na demanda por largura de banda da empresa, o que pode levar à saturação dos links, à não entrega dos dados comerciais ou, até mesmo, à inatividade da rede.
Para garantir que a largura de banda WAN não esteja sendo mal utilizada por aplicativos indesejados ou por um tráfego que não tenha a ver com os negócios, a rede deve contar com uma análise de tráfego contínua e em tempo real, utilizando tecnologias como NetFlow e a inspeção profunda de pacotes. A análise de tráfego vai ajudar a determinar quem e o que está usando sua preciosa largura de banda WAN e fornecer informações práticas para ajudar a reprojetar as políticas de QoS ou tomar decisões de planejamento de capacidade.
E, se você ainda não estiver usando o QoS na sua rede, analise o uso atual da banda e implemente políticas de QoS para priorizar os aplicativos comerciais em relação ao tráfego não corporativo. As políticas de QoS são sua melhor aposta para garantir o fornecimento dos aplicativos em uma rede unificada que oferece suporte à mobilidade e à lógica BYOD.
Segurança:
Os dispositivos móveis são uma das principais causas dos problemas de segurança, e a segurança pode ser considerada o maior problema que a mobilidade traz para a empresa. Os funcionários podem acabar sendo "haqueados" ou sendo infectados por um malware ao usarem os dispositivos sem fio em redes públicas não seguras. Medidas de segurança, como firewalls, ACL e os Sistemas de Prevenção de Intrusão (IPS), mostram-se inúteis contra ameaças de segurança que são fisicamente transportadas pela rede. Quando esses dispositivos são conectados à empresa, o pior acontece: os vírus e malwares se espalham para outros dispositivos ou fornecem um acesso de "backdoor" a informações importantes que estão armazenadas na rede.
Os funcionários também tendem a usar dispositivos rooteados que permitem a instalação de aplicativos não verificados de qualquer fonte. O uso de dispositivos com esses aplicativos pode fazer com que um vírus se dissemine na rede, ou a rede acaba sendo vítima do roubo de dados.
Os aplicativos desconhecidos e indesejáveis devem ser bloqueados na rede, e a segurança da rede não deve ficar limitada apenas ao tráfego de entrada, mas também deve abranger o tráfego na LAN. Isso ajuda a detectar anomalias que poderiam ter sido transportadas fisicamente para a rede.
Monitoramento integrado:
O monitoramento é um dos aspectos mais importantes para garantir o desempenho da rede. Não importando se são redes com fio, sem fio ou convergentes, o monitoramento permite que os administradores identifiquem possíveis problemas antes que afetem a continuidade dos negócios. Além disso, o monitoramento pode ajudar um administrador de rede a identificar os dispositivos lentos, os links saturados, os flaps de rota, os servidores de aplicativos que estão falhando, as prioridades incorretas de QoS, as violações de segurança, as anomalias de rede e muito mais. Dessa forma, o administrador de rede começa a ser proativo e pode resolver problemas mesmo antes de os usuários perceberem e começarem a reclamar.
Pequenas coisas:
E não se esqueça das pequenas coisas. Só porque sua empresa oferece suporte à mobilidade não significa que você tenha que permitir todos os aplicativos instalados em um dispositivo da rede. Com certeza permitir todos os aplicativos é algo que só pode acabar gerando problemas de largura de banda ou de segurança, e ambos são indesejados. Você também não precisa aceitar as exigências pessoais dos funcionários... por isso, basta dizer "não" quando lhe solicitarem algumas condições que nada têm a ver com a empresa.
Outra coisa é definir políticas e regras ao usar a rede corporativa. Embora suas políticas organizacionais possam permitir uma rede irrestrita, lembre-se de rever ou registrar os downloads de arquivos, especialmente quando forem maiores do que o normal ou não forem do tipo de arquivo com o qual você está acostumado. Esses downloads podem monopolizar a largura de banda disponível, causando problemas de segurança e, em alguns casos, até mesmo problemas legais.
Finalmente, e mais importante: eduque. Os usuários da rede podem ser o maior problema de segurança que você vai enfrentar. Eduque os funcionários sobre a importância da proteção de dados, sobre a prevenção da perda de dados e sobre a segurança e a privacidade da rede, não importando se estão usando dispositivos com fio, sem fio ou remoto para acessar a rede da empresa.

(*) Head Geek da SolarWinds