Hoje em dia as grandes organizações encontram-se em um nível razoável de segurança – ao menos possuem os controles e equipamentos básicos de segurança.
O banco de dados é o coração da empresa. É o lugar onde seus ativos mais valiosos residem: a informação. Base do seu negócio, é onde estão os registros de transações, os dados financeiros, as informações de clientes e diversos outros dados confidenciais. Essa importância transforma o banco de dados em um dos principais alvos de ataques.
Recentemente foi publicado o relatório anual da Trustwave que trata-se de um estudo realizado com base na inteligência que essa empresa possui por meio da análise de eventos e incidentes e Full Article »
É inegável a facilidade e utilidade que os serviços baseados em nuvem nos oferecem para armazenar e acessar os nossos dados a partir de qualquer lugar e de qualquer dispositivo, seja no seu laptop, tablet ou smartphone. Inclusive esse artigo foi escrito por mim utilizando um desses serviços :-). Serviços como Google Drive, Apple iCloud, Dropbox e Microsoft Skydrive já são amplamente utilizados e possuem opções tanto gratuita (com algumas limitações) quanto pagas.
Recentemente foram divulgados na mídia diversos casos de ataques a empresas e governos por essa nova modalidade de ameaça.
Dando prosseguimento ao meu último artigo – sobre Conscientização e Vazamento de informações em ambientes corporativos – gostaria de falar um pouco sobre as consequências para a vida privada.
Já foi-se o tempo em que os usuários eram apenas leitores passivos do que acontecia na internet. Hoje são grandes geradores de conteúdo, seja por meio de blogs ou redes sociais.
Desconsiderando a motivação que leva as pessoas a publicarem cada passo de suas vidas na redes sociais, vamos olhar do ponto de vista da segurança sobre o caso. Muitos desconhecem que as redes sociais – principalmente o Facebook e o Twitter – são meios preferenciais para diversos tipos de ataques como phishing, malwares, roubo de informações e de identidade e stalking (perseguições). Redes profissionais como o Linkedin também podem ser utilizadas para esse fim.
Independente do quanto você deseja, ou não, publicar na rede, seguem algumas dicas que podem ajudar a melhorar sua segurança online:
Nunca use a mesma senha para todas as contas nas redes sociais e outros acessos. Caso alguém consiga acesso à essa conta, as demais ainda estarão seguras. Não esqueça também de criar senhas complexas, misturando letras, números e outros caracteres especiais. Para gerenciar essas várias senhas, recomendo gerenciadores de senha como o KeePass. Trocar essas senhas periodicamente também é importante.
Sempre digite diretamente no browser, utilize os seus bookmarks ou o aplicativo oficial para acessar as redes sociais. Se você clicar em algum link enviado e digitar os seus dados de acesso em um site falso, você poderá estar fornecendo as suas informações para alguém mal intencionado. Nunca confie em links em e-mails enviados para você, mesmo que de uma fonte conhecida pois essa pessoa pode ter sido infectada por algum malware. Algumas pesquisas de segurança apontam um aumento nos ataques de phishing que simulam as redes sociais.
Entenda que tudo o que você postar em uma rede social é permanente. Mesmo que após algum arrependimento você decida excluir esse post ou imagem, isso pode já ter sido capturado por alguém e será muito difícil eliminar essa informação.
Seja muito seletivo com quem você adiciona como amigo na sua rede social. Evite adicionar desconhecidos que possam ter acesso à mais dados como fotos e outras informações restritas à amigos. Essa pessoa pode estar coletando informações sobre você. Os mesmos cuidados que você toma na sua vida real em relação à contato com estranhos deve ser levada para a sua vida virtual.
Use proteções de segurança no seu computador e mantenha sempre tudo atualizado. Sempre tenha instalado no seu computador proteções como firewall, antivírus, antispyware. Muita gente corre risco por não ter isso devidamente atualizado.
Seja restritivo quanto às informações públicas sobre você. Seja o mais discreto possível nesse ponto, evitando que as suas informações estejam abertas para qualquer pessoa. Uma informação aparentemente simples como data de aniversário, nome do time ou do seu bichinho de estimação pode ser usada para recuperação de senha em outros sites.
Tome bastante cuidado com as aplicações que você instala nas redes sociais. O Facebook tem várias aplicações interessantes, como jogos e fotos. É muito importante ser bastante seletivo na desses aplicativos, bem como na permissão de cada um no seu perfil.
Cuidado com o status sobre a sua localização. Divulgar a sua localização pode ser um pouco arriscado dependendo de como você controla quem acessa essas informações. Alguém mal intencionado pode tentar algo sabendo que você está em férias em Londres e a sua casa está sem ninguém ou até mesmo alguém saber que você está em algum restaurante específico.
Nunca esqueça de finalizar a sessão após o seu uso. Isso evita que alguém acesse a sua conta na rede social após o seu uso, possa tentar roubar a sua identidade ou se passar por você.
As empresas quem mantém essas redes sociais trabalham constantemente para aprimorar os recursos de segurança e tentar reduzir o risco durante o seu uso. Mass isso nunca substituirá o cuidado e a responsabilidade do usuário em utilizá-las.
Outro dia eu estava conversando com um amigo que é especialista em segurança e ele me disse que estava em um fórum de tecnologia quando uma pessoa postou sobre dúvidas referentes a algumas configurações em um banco de dados. Até aí tranquilo, é muito normal procurar ajuda em um fórum específico de tecnologia ou segurança.
Frequentemente sou questionado sobre a certificação CISSP, se realmente vale a pena o esforço e qual o processo de estudos que fiz para consegui-la. Por conta disso, resolvi reunir algumas informações relevantes nesse artigo para orientar os candidatos que querem conquistar essa importante certificação profissional.
O que é CISSP?
CISSP – Certified Information Security Systems Professional – é uma certificação na área de Segurança da Informação que reconhece o nível de conhecimento do profissional em um conjunto de melhores práticas que foram condensadas em 10 domínios:
Sistemas de controle de acesso;
Segurança de telecomunicações e redes;
Governança de Segurança da Informação e Gerenciamento de riscos
Desenvolvimento seguro de software;
Criptografia;
Arquitetura de segurança e design;
Segurança de operações;
Plano de continuidade de negócios e recuperação de desastres;
Leis, regulamentos, investigação e conformidade;
Segurança física
Você sabe onde estão suas informações sensíveis? Se sim, você dá a devida proteção a elas? O mais recente caso de tentativa de extorsão e vazamento de fotos íntimas da atriz Carolina Dieckmann, além de outros fatos corriqueiros que tenho observado nas empresas, me fez constatar que as pessoas ainda não dão a devida importância à guarda de informações. Um caso como o mencionado é exponencialmente maior quando falamos de um ambiente corporativo, no qual existem vários meios de manipular dados e mantê-los em dispositivos suscetíveis a perdas, roubos e ataques.
Imaginem o quanto valeriam os projetos de um novo tipo de motor, ou o planejamento publicitário anual de uma empresa para um concorrente? Essas informações, que devem ser protegidas e ter o seu uso monitorado, podem ser duplicadas e copiadas. Dados como esses podem cair nas mãos de um competidor, ou até mesmo um fraudador. A empresa pode ainda ser responsabilizada pelo vazamento de informações caso sejam dados financeiros de seus clientes, por exemplo.
Antes de começar a proteger as informações, necessitamos saber onde elas estão. Nessa fase entra o trabalho de classificação e descoberta, que começa pela identificação do que é realmente sensível. Após isso, investiga-se por onde são manipuladas, trafegam e são guardadas. É nessa fase que saberemos a visão real de exposição a qual uma empresa está sujeita e para onde devemos apontar os esforços.
