Virtus Junxit Mors Non Separabit

Sua empresa precisa de um CISO?

Demanda por especialistas cresce a medida que ameaças cibernéticas aumentam

 
Conforme a natureza das ameaças cibernéticas evolui e seu volume se multiplica, os Chief Information Security Officers (CISOs) se tornaram um elemento mais comum no cenário de negócios. As empresas que lidam com dados confidenciais correm o risco de vazamentos de dados embaraçosos, comprometendo a segurança e a confidencialidade de seus clientes e custando financeiramente, além de prejudicar sua reputação.
 
Um profissional de segurança experiente, dedicado à segurança cibernética de uma empresa, significa que esses tipos de ataques poderiam ser mais bem mitigados, explicando porque um número cada vez maior de empresas está procurando um CISO.
 
Em 2017, a startups Lyft, a varejista Staples, a Delta Airlines e órgãos governamentais do Reino Unido até Nova Gales do Sul e Austrália, adicionaram um CISO a seus negócios pela primeira vez depois de sofrer uma violação de dados pouco tempo antes
 
Os números cresceram impulsionados pela evolução da função, colocando em camadas a conscientização comercial e as habilidades técnicas, além de uma base sólida de especialização em segurança. Atualmente, os CISOs orientam os executivos sobre os riscos e requisitos de segurança de suas organizações e estabelecem uma estratégia para minimizá-los.
 
“A segurança não é puramente focada em tecnologia, e o papel do CISO não é apenas técnico”, explica Mieke Kooij, diretora de segurança da Trainline. “A segurança é criar uma cultura em que as informações e os sistemas sejam protegidos, mudando a forma como as pessoas interagem com eles. Sempre que possível, usamos tecnologia e automação para fazer isso, mas, em última análise, é ganhar confiança do consumidor, conquistar corações e mentes e mudar comportamentos”.
 
Um estudo conduzido pelo Ponemon Institute descobriu que a nomeação de um CISO reduziu o custo de uma violação em US$ 7 por registro. E, em reflexo a esse valor agregado, os salários dos CISOs estão “absolutamente acima da inflação”, segundo Robert Grimsey, diretor da Harvey Nash.
 

Enquanto algumas organizações ainda acreditam que não precisam de um CISO, esse número está rapidamente em declínio.

Responsabilidades de um CISO

Embora o papel de um CISO não esteja limitado a um trabalho específico, ele naturalmente se concentra na segurança e ao redor do departamento de TI.

Um CISO geralmente trabalha em estreita colaboração com o CEO e CIO para criar uma estratégia que integre o melhor hardware e software de segurança de TI para os negócios, bem como supervisionar as políticas e padrões de segurança a serem seguidos pela organização.

E com a implementação do GDPR (Lei geral de proteção de Dados) em maio passado, ter um CISO para assumir a responsabilidade pela supervisão da conformidade poderia ser outro benefício no suporte ao departamento de TI e à organização mais ampla.

Além disso, no caso de uma violação de dados ou outro incidente de segurança com um CISO a bordo, é possível minimizar danos, sejam de reputação ou de seus sistemas.

Porque os CISOs são mais importantes do que nunca

O Gartner prevê que o gasto global com segurança atingirá US$ 96 bilhões em 2018, um aumento de 8% sobre a soma de 2017. E as organizações que extraem mais valor de seus gastos terão uma forte compreensão da proteção de dados e gerenciamento de riscos. Um CISO pode ajudar a garantir que o orçamento de segurança de uma empresa seja efetivamente gasto.

“Todos os recentes incidentes de ciberataque de alto perfil poderiam e deveriam ter sido evitados com soluções de custo relativamente baixo”, disse Brian Lord, ex-vice-diretor de Inteligência e Operações Cibernéticas do GCHQ.

“O motivo pelo qual as violações estão crescendo é porque as empresas não estão se protegendo adequadamente, porque estão sendo confundidas pelos fornecedores de segurança cibernética”, complementa.

O aumento das preocupações do público em relação à privacidade e a chegada de regulamentações de proteção de dados mais rígidas, como o GDPR – onde as violações podem resultar em multas de até US$ 17 milhões – também influenciaram o aumento dos orçamentos de segurança cibernética.

“Cada vez mais, quando uma empresa é rompida, a dor é sentida na diretoria, já que as organizações são frequentemente atingidas por multas enormes, danos à reputação e até ações judiciais. Essa mudança está deixando os executivos muito preocupados. Eles querem garantias de que os sistemas estão totalmente seguros e estão totalmente de acordo com as regulamentações que enfrentam. Assim, como indicado pela pesquisa, agora estamos começando a ver mais CISOs sendo empregados pelas organizações”, alerta Bharat Mistry, estrategista de segurança da Trend Micro.

Quando um CISO é essencial?

Os CISOs não podem garantir segurança, mas podem melhorá-la. Entre as formas de mitigar os efeitos das violações de segurança, está o desenvolvimento de um plano de resposta baseado na compreensão especializada do CISO dos sistemas de segurança.

Alguns dos sinais seguros de que um CISO é necessário incluem deficiências de liderança em conjuntos de habilidades de TI, violações de segurança e falta de coordenação entre as necessidades de segurança e de negócios.

A nomeação de um CISO pode parecer desnecessária enquanto os sistemas parecem seguros, mas esperar até que uma violação ocorra pode ser desastroso. Uma abordagem preventiva em vez de reativa às questões de segurança é, de longe, mais sensata. O papel é estruturado para ditar a estratégia de segurança, um objetivo que será prejudicado se eles combaterem incêndios desde o início.

Nem toda empresa está pronta para se comprometer com a contratação de um CISO. Por exemplo, pequenas e médias empresas (PMEs) com requisitos mais básicos de segurança operacional podem ainda não precisar de um executivo de segurança dedicado pronto para definir padrões de segurança e fazer grandes mudanças organizacionais.

Um CISO precisa de total confiança em sua capacidade e liberdade de planejar de forma independente e reagir imediatamente a qualquer incidente. Eles também precisam de acesso direto ao conselho, ou até mesmo um assento ao lado de outros executivos C-level.

Imprimir Email

6 formas de melhorar a qualidade de dados e prevenir fraudes

O minucioso mapeamento dos dados a serem enviados aos sistemas antifraude e de autenticação, como o 3DS 2.0, é condição necessária para a obtenção de bons resultados

Muito tem se falado e investido em ferramentas e em tendências de prevenção à fraude em pagamentos digitais. Temas como Inteligência Artificial, Machine Learning, Analytics e os mais diversos modos de automação de decisão estão há muito tempo presentes nas soluções da CyberSource.

Essas ferramentas necessitam de um importante insumo para o sucesso de todas essas técnicas: dados abundantes e de qualidade. Não é novidade que o minucioso mapeamento dos dados a serem enviados aos sistemas antifraude e de autenticação, como o 3DS 2.0,  é condição necessária para a obtenção de bons resultados.

E nem é apenas uma questão de percepção: os números comprovam a diferença na performance e o grande retorno financeiro do investimento no assunto.

Abaixo deixo algumas dicas sobre como melhorar a qualidade dos dados que chegam aos sistemas de controle de risco:

ID de dispositivos: nossos estudos mostram que dispositivos devidamente identificados e com histórico possuem um nível de risco até 90% menor do que dispositivos novos. A solução de Device Fingerprint integrada na CyberSource possui fácil implementação e fornece dezenas de atributos adicionais relativos ao dispositivo usado

Endereços IP: saber o IP de origem das transações auxilia, não apenas na identificação da forma de conexão, mas também no cruzamento das informações de geolocalização presentes na transação.

Email: de forma similar ao Device Fingerprint, o email é usado na busca de vínculos no histórico de transações. Também serve como chave de identificação do cliente em listas positivas e negativas. Um ponto de atenção aqui é estudar formas de evitar erros de digitação do email por parte do cliente.

Carrinho de compras: a perfeita identificação dos produtos adquiridos é ponto chave na determinação do risco da transação. As estratégias são totalmente segmentadas de acordo com o tipo e com a quantidade de produtos adquiridos, bem como a relação dos mesmos com os demais dados de comportamento e de localização coletados.

prevencaoafraude

Endereços e telefones: a análise de regiões de entrega e a forma na qual essas se relacionam com o histórico dos pedidos e com demais informações da transação são cruciais na tomada de decisão. Aqui é importante mapear corretamente os campos de logradouro, número e complemento para que o sistema interprete as informações da forma mais fluida possível.

Dados do cartão: alguma solução podem dar aos dados do cartão o devido tratamento em cumprimento aos requisitos PCI. Isso é feito enquanto se mantém a visibilidade das informações relevantes e que auxiliam na identificação de risco como: a variante do tipo de cartão e a geração de uma chave encriptada para busca de histórico.

(*) Daniel Villar é diretor de Vendas da CyberSource

Imprimir Email

Tudo o que os CIOs devem ter em mente quando o assunto é cibersegurança

Embora a conscientização tenha aumentado, muitos ainda estão tentando descobrir a melhor estratégia para manter os ambientes virtuais seguros a longo prazo

Muito se fala sobre como 2017 foi o ano que mais chamou atenção para a importância da cibersegurança e Segurança da Informação (SI). Diversos ataques de ransomware, assim como violações de dados que comprometeram informações de clientes e empresas foram notícia no mundo todo, e passaram a preocupar CIOs conforme percebiam que não era mais uma questão de "se", mas "quando" as companhias estariam sob ataque. À medida que a transformação digital gera mudanças nos modelos de negócio, aumentando os dados gerados e armazenados on-line, as ameaças também crescem, tornando respostas rápidas e eficientes indispensáveis.

Mas, embora a conscientização tenha aumentado, muitos ainda estão tentando descobrir a melhor estratégia para manter os ambientes virtuais seguros a longo prazo, enquanto outros ainda precisam começar a estabelecer defesas. De acordo com a pesquisa Gartner Agenda CIO 2018, embora 95% dos CIOs esperem que as ameaças cibernéticas cresçam nos próximos três anos, apenas 65% das empresas contam com especialistas em segurança cibernética. Este cenário mostra que ainda há muito caminho a percorrer quando se trata de segurança on-line, e medidas podem ser tomadas desde as mais avançadas até as mais básicas.

Uma vez que um ataque cibernético é bem-sucedido, ele será continuamente usado por um número crescente de invasores. Isso significa que as ameaças on-line estão em um constante movimento de vai e vem, à medida que novos ataques estão sendo criados e os antigos ainda estão em uso. Assim, CIOs devem ter em mente a importância de sempre ter boas medidas básica de segurança em ação. Nesta categoria estão práticas como manter os sistemas atualizados, gerenciar privilégios e eventos de contas, aplicar uma política de configuração de senhas complexas, proteger servidores e endpoints e sempre monitorar o que está acontecendo na rede.

Manter um monitoramento de rede eficiente é um dos primeiros passos para uma estratégia de segurança de alto nível, porque, essencialmente, você não pode controlar o que não pode ver. Uma pesquisa recente patrocinada pela Sophos e conduzida pela Vanson Bourne mostrou que, em média, 45% do tráfego da rede não é identificado pelos gerentes de TI e que 85% deles querem mais visibilidade. Essa falta de visão pode resultar em perdas não apenas para segurança, mas também para o negócio. Se você não sabe quais aplicativos estão consumindo mais banda, não é possível priorizar os mais críticos e reduzir o uso de aplicações não relacionadas ao trabalho, afetando também o Retorno sobre Investimento (ROI) e regras de responsabilidade legal e compliance.

Na verdade, um maior controle e visibilidade de rede é algo que o mercado já espera das empresas. Em vigor desde maio de 2018, o Regulamento Geral de Proteção de Dados (GDPR) estabelece no artigo 33 a exigência obrigatória do relatório de violação em 72 horas. Isso significa que, dentro de três dias após tomar conhecimento de que um ataque cibernético está acontecendo, as companhias devem fazer uma investigação completa para informar as autoridades e indivíduos afetados sobre a natureza da violação, um registro do que foi feito para impedir ataques e um plano de mitigação. 

Fazer um relatório tão completo em apenas três dias pode parecer um grande desafio, mas é importante lembrar que, além das medidas básicas de segurança, outras soluções podem fornecer aos CIOs a visão holística necessária para realizar esse tipo de investigação. À medida que os ataques se tornam cada vez mais sofisticados e personalizados, as estratégias de defesa também precisam seguir o mesmo caminho. Soluções com detecção e resposta de endpoint (EDR) e Deep Learning podem detectar padrões para proteção e tentar prever novos ataques, e recursos como segurança sincronizada podem fazer com que diferentes aspectos da segurança, como firewall e endpoint, se comuniquem entre si para identificar e responder a ameaças de maneira mais rápida.

ciberseguranca

Segurança da informação é um tópico que se tornou fundamental, e é necessário que empresas tenham equipes especializadas com experiência no gerenciamento das tecnologias que possuem e em resposta a incidentes. Se isso não for possível, uma boa solução é contratar organizações especializadas com boa reputação em segurança. Embora os CIOs tenham um papel mais focado nos negócios, é importante ter em mente que uma estratégia de segurança traz outros benefícios além da cibersegurança, permitindo maior produtividade e proatividade tecnológica para a empresa. Com as ferramentas certas, os CIOs podem proteger as empresas, além de cultivar um ambiente de trabalho consciente em relação a segurança.

(*) Marcos Tabajara é Country Manager Brasil da Sophos

Imprimir Email

Os tokens e a disrupção dos mercados de commodities

O Blockchain já começa a revolucionar também o comércio de ouro

A The Royal Mint Gold (RMG) mudará a forma como o ouro é negociado, executado e liquidado, transformando-o em token e tornando-o disponível para negociação com um ledger transparente de propriedade e custos mais baixos. 

No nível técnico, o projeto The Royal Mint Gold (RMG) traz um ledger distribuído que difere de outros Blockchains, eis que projetado para a segurança e digitalização de um único ativo.

O Blockchain RMG é projetado para garantir segurança a partir do zero: todas as carteiras são multi-assinatura.

Não há buracos negros
E aqui, vale a pena abrir um parênteses para falar sobre multisignaturekeys. Chaves com multi-assinaturas (ou multisignature, em inglês) exigem mais de uma chave para autorizar uma transação. Geralmente é usado para dividir a responsabilidade pela posse de uma criptomoeda ou token.

Transações padrão na rede Bitcoin, por exemplo, podem ser chamadas de “transações de assinatura única”, porque as transferências requerem apenas uma assinatura — do proprietário da chave privada associada ao endereço do Bitcoin.

Assim, voltando ao objetivo deste texto, as assinaturas de várias pessoas são necessárias para que os fundos de outro possam ser transferidos. A ideia é que os tokens na RMG se tornem “onerados”, fornecendo endereços de várias partes, exigindo, assim, a cooperação dessas partes para fazer qualquer coisa. Essas partes podem ser pessoas, instituições ou scripts programados. Especialistas em segurança reconhecem há muito tempo o valor das carteiras com várias assinaturas. Mas qual a utilidade dessas carteiras multi-assinaturas da RMG?

Perda ou comprometimento de uma única chave não resulta em perda de ativos no Blockchain. Isto é, não há “buracos negros”.

Devido à maneira como se manipula as chaves, é impossível enviar fundos para um endereço inválido onde o RMG não pode ser recuperado. Todas as partes que participam da rede são identificadas antes de poderem realizar transações. 

Montesquieu aplicado à descentralização
A solução Blockchain da RMG separa os poderes e, ao mesmo tempo, impõe a descentralização pela divisão de funções:

Emissor de Ativos
A Royal Mint emite ativos da RMG para a cadeia e mantém 100% de reserva de ouro. Como o emissor do ativo, o Royal Mint também é responsável por autorizar validadores confiáveis ​​na rede para verificar todas as transações.

Validadores
Uma rede descentralizada de validadores verifica e aplica regras de transação Blockchain para criar blocos. A comunidade de validadores inclui inicialmente instituições acadêmicas e públicas, parceiros corporativos e clientes interessados.

Nós de rede ponto-a-ponto
Uma rede descentralizada de nodes (dispositivos computacionais que integram uma rede Blockchain) verifica as transações legítimas na rede e verifica se os validadores produzem blocos válidos, ao mesmo tempo em que fornecem total transparência a todas as transações na rede.

Provedores de Conta
Os Provedores de Conta garantem que todos os usuários do sistema foram identificados, fornecem chaves de backup em caso de perda e fornecem serviços de co-assinatura para segurança adicional.

Atrelando ouro físico a um ativo digital
Em parceria com a Chicago Mercantile Exchange, (o principal e mais diversificado mercado de derivativos do mundo), a The Royal Mint Gold já construiu uma rede distribuída para registrar as mudanças na propriedade da Royal Mint Gold (RMG), que recebe ouro em cofre no The Royal Mint em Llantrisant, South Wales.

Esta rede é privada, o que significa que as pessoas precisam pedir permissão para participar, já que o The Royal Mint é o administrador da rede. Todas as transferências efetuadas na rede são publicadas no domínio público em um nível transacional, com todas as identidades criptografadas pelo Blockchain de RMG subjacente.

Agora, é possível possuir ouro físico, abobadado pelo The Royal Mint, e receber prova dessa propriedade como um ativo digital que é mantido em uma carteira digital. Cada nova compra de ouro resulta na alocação do ouro da London Good Delivery em um cofre ao lado do crédito simultâneo do RMG para a conta RMG do comprador. A CME está desenvolvendo uma plataforma de negociação digital de ativos, na qual os clientes podem negociar o RMG.

blockchainouro

Em busca do ouro perdido
Os ativos digitais têm o potencial de transcender essa natureza segregada dos mercados tradicionais de commodities, como o mercado de ouro, permitindo que a mesma estrutura de propriedade — ouro físico digitalmente comercializado — seja compartilhada em toda a cadeia de valor, no espaço de investimento e na comunidade de gerenciamento de risco.

Essa inovação não ameaça diminuir a liquidez dos mercados existentes, mas aumenta o perfil da oportunidade de investimento para o ouro, reforçando o argumento em favor da propriedade física segura e segura do ouro em um mercado digital eficiente, proporcionando transparência e proveniência.

Target: a redução de custo das transações
Com uma solução Blockchain, o RMG consegue reduzir o custo da rede. Podemos definir o custo da rede como a capacidade de iniciar e operar um mercado digital sem a necessidade de um intermediário tradicional. Ou seja, a posse física de ouro através dos tokens de criptomoedas Blockchain permite remover intermediários desnecessários no processo.

Além disso, o mercado de ouro hoje é um mercado muito manual. Assim, uma solução Blockchain reduziria os custos friccionais e transacionais no mercado de commodities e levaria a uma maior liquidez e descoberta de preços.

Por exemplo, os negócios na nova plataforma seriam feitos entre os investidores, sem uma troca no meio, conhecida como negociação “no balcão”.

No entanto, o permitir transações quase em tempo real, o Blockchain diminuiria o papel das câmaras de compensação e eliminaria em grande parte os riscos.

Os principais efeitos de uma redução no custo da rede seriam: 1) o aumento no valor dos ativos, 2) um aumento na liquidez dos ativos.

Novos mercados, novos negócios em vista
Como resultado da implementação de soluções baseadas em Blockchain no mercado de ouro, a natureza da intermediação pode mudar no futuro. Isso porque o desenvolvimento de uma rede por uma empresa que possui seu próprio sistema de pagamento para garantir empréstimos, bem como lucrar com a posse do ouro, permite criar um novo mercado descentralizado no espaço Blockchain.

Imprimir Email

Vulnerabilidades de segurança nos sistemas de armas dos EUA

O Escritório de Contabilidade do Governo dos EUA acaba de publicar um novo relatório: "Sistemas de armas de segurança cibernética: DOD apenas começando a lidar com a escala de vulnerabilidades" (resumo aqui). O resultado não será uma surpresa para qualquer um dos meus leitores habituais: eles são vulneráveis.

Do resumo:

Automação e conectividade são facilitadores fundamentais das modernas capacidades militares do DOD. No entanto, eles tornam os sistemas de armas mais vulneráveis ​​a ataques cibernéticos. Embora GAO e outros tenham alertado sobre riscos cibernéticos por décadas, até recentemente, o DOD não priorizava a segurança cibernética de sistemas de armas. Finalmente, o DOD ainda está determinando a melhor forma de lidar com a segurança cibernética de sistemas de armas.

Em testes operacionais, o Departamento de Defesa encontrou rotineiramente vulnerabilidades cibernéticas de missão crítica em sistemas que estavam em desenvolvimento, mas oficiais do programa com quem o GAO se encontrou acreditavam que seus sistemas eram seguros e descartavam alguns resultados de testes como irrealistas. Usando ferramentas e técnicas relativamente simples, os testadores conseguiram assumir o controle dos sistemas e, em grande parte, operam sem serem detectados, em parte devido a problemas básicos, como o gerenciamento inadequado de senhas e as comunicações não criptografadas.

Além disso, as vulnerabilidades que o DOD conhece provavelmente representam uma fração do total de vulnerabilidades devido a limitações de teste. Por exemplo, nem todos os programas foram testados e os testes não refletem toda a gama de ameaças.

É definitivamente mais fácil, e mais barato, ignorar o problema ou fingir que não é grande coisa. Mas isso é provavelmente um erro a longo prazo.

Imprimir Email

Pesquisar

Visualizações

Ver quantos acessos teve os artigos
196093

On-Line

Temos 24 visitantes e Nenhum membro online