Simplificando a Seguranca de Ti Para Leigos

(1)

Trazido a você pela

Georgina Gilmore

Peter Beardmore

Simplificando a

Segurança de TI

Para as pequenas empresas, com os cumprimentos da K

(2)

A Kaspersky Lab é o maior fornecedor de capital fechado do mundo de soluções de proteção de terminais. A empresa está classificada entre as quatro maiores empresas do mundo com soluções de segurança para usuários de terminais.* Ao longo de sua história de mais de 15 anos, a Kaspersky Lab manteve-se inovadora em manteve-segurança de TI, e fornece soluções de segurança digital eficazes para as grandes, pequenas e médias empresas e consumidores. A Kaspersky Lab atualmente opera em cerca de 200 países e territórios em todo o mundo, fornecendo proteção para mais de 300 milhões de usuários em todo o mundo.

Saiba mais no site www.kaspersky.com/business.

* A empresa foi classificada em quarto lugar no Mundial de Receita de Segurança para Terminais da International Data Corporation por Fornecedor em 2011. A avaliação foi publicada no relatório da Previsão Mundial de Segurança de Terminal 2012-2016 e Ações de fornecedores “(IDC nº 235930, julho de 2012). O relatório classificou os fornecedores de software de acordo com os ganhos provenientes da venda de soluções de segurança de terminais em 2011.

(3)

Simplificando a

Segurança de TI

(4)

(5)

Por Georgina Gilmore e

Peter Beardmore

Simplificando a

Segurança de TI

(6)

The Atrium Southern Gate Chichester West Sussex PO19 8SQ Inglaterra

Para obter detalhes sobre como criar um livro personalizado Para Leigos para o seu negócio ou organização, entre em contato com CorporateDevelopment@wiley.com. Para obter informações sobre o licenciamento da marca Para Leigos para produtos ou serviços, entre em contato com BrandedRights&Licenses@Wiley.com. Visite nossa página www.customdummies.com

Copyright © 2014 por John Wiley & Sons Ltd, Chichester, West Sussex, Inglaterra Todos os direitos reservados. Nenhuma parte desta publicação pode ser reproduzida, armazenada em um sistema de recuperação ou transmitida de qualquer forma ou por qualquer meio, eletrônico, mecânico, por fotocópia, gravação, digitalização ou de outra forma, exceto sob os termos do Direito Autoral, Lei de Designs e Patentes de 1988 ou nos termos de uma licença emitida pela Copyright Licensing Agency Ltd, 90 Tottenham Court Road, Londres, W1T 4LP, Reino Unido, sem a autorização, por escrito, da Editora. Os pedidos para permissão para editora devem ser endereçados ao Departamento de Permissões, John Wiley & Sons, Ltd, The Atrium, Southern Gate, Chichester, West Sussex, PO19 8SQ, Inglaterra, ou enviado por e-mail para permreq@wiley.com, ou por fax para (44) 1243 7706 20.

Marcas registradas: Wiley, Para Leigos, o logotipo Para Leigos, Uma Referência para

o Resto de Nós, O Caminho dos Leigos, Diário dos Leigos, a Maneira Fácil e Divertida, Dummies.com e marcas relacionadas são marcas comerciais ou marcas registradas da John Wiley & Sons, Inc. e/ou de suas afiliadas nos Estados Unidos e em outros países, e não podem ser usadas sem permissão por escrito. Todas as outras marcas são de propriedade de seus respectivos proprietários. John Wiley & Sons, Inc., não está associado a qualquer outro produto ou fornecedor mencionado neste livro.

LIMITE DE RESPONSABILIDADE/EXONERAÇÃO DE GARANTIA: A EDITORA, O AUTOR E QUALQUER OUTRA PESSOA ENVOLVIDA NA PREPARAÇÃO DESTE TRABALHO NÃO REPRESENTAM OU GARANTEM COM RELAÇÃO À PRECISÃO OU INTEGRIDADE DO CONTEÚDO DESTE TRABALHO E ESPECIFICAMENTE REJEITAM TODAS AS GARANTIAS, INCLUINDO, SEM LIMITAÇÃO, GARANTIAS DE ADEQUAÇÃO A UM DETERMINADO PROPÓSITO. NENHUMA GARANTIA PODE SER CRIADA OU ESTENDIDA POR VENDAS OU MATERIAIS PROMOCIONAIS. OS CONSELHOS E ESTRATÉGIAS AQUI CONTIDOS PODEM NÃO SER ADEQUADOS PARA CADA SITUAÇÃO. ESTE TRABALHO É VENDIDO COM O ENTENDIMENTO DE QUE A EDITORA NÃO ESTÁ ENVOLVIDA NA PRESTAÇÃO LEGAL, CONTABILIDADE OU OUTROS SERVIÇOS PROFISSIONAIS. SE AJUDA PROFISSIONAL FOR NECESSÁRIA, OS SERVIÇOS DE UM PROFISSIONAL COMPETENTE DEVEM SER PROCURADOS. NEM A EDITORA NEM O AUTOR SERÃO RESPONSÁVEIS POR DANOS POR MEIO DESTA. O FATO DE UMA ORGANIZAÇÃO OU SITE SER REFERIDO NESTE TRABALHO COMO UMA CITAÇÃO E/OU UMA FONTE POTENCIAL DE INFORMAÇÕES NÃO SIGNIFICA QUE O AUTOR OU A EDITORA APROVA AS INFORMAÇÕES QUE A ORGANIZAÇÃO OU SITE PODEM FORNECER OU RECOMENDAÇÕES QUE ESTES FIZEREM. ALÉM DISSO, OS LEITORES DEVEM ESTAR CIENTES DE QUE SITES DE INTERNET LISTADOS NESTE TRABALHO PODEM TER ALTERADO OU DESAPARECIDO ENTRE QUANDO ESTA OBRA FOI ESCRITA E QUANDO FOI LIDA.

Wiley também publica seus livros em uma variedade de formatos eletrônicos. Algum conteúdo que aparece na impressão pode não estar disponível em livros eletrônicos. ISBN 978-1-118-84806-7 (ebk)

(7)

Introdução

B

em-vindo ao “Simplificando Seguranca de TI Para Leigos” - o seu guia para alguns dos desafios de segurança da informação enfrentados por todos os tamanhos de negócios no mundo de hoje, conectado à Internet. Com valiosas dicas e sugestões, este livro pretende ajudar a sua empresa a garantir que as

informações confidenciais permaneçam seguras - assim é menos provável que você venha a sofrer penalidades regulatórias/legais ou danos à sua reputação comercial. Embora os avanços de computação da última década tenham ajudado os empresários a reduzir custos, aumentando a eficiência e proporcionando níveis ainda melhores de serviço ao cliente, essas mesmas novas tecnologias têm criado oportunidades para hackers para atacar empresas inocentes. Mais do que nunca, todos os negócios - mesmo aqueles que pensam que não têm nenhuma informação confidencial que eles precisam proteger - devem estar ciente dos riscos e como evitá-los... assim, é por isso que escrevemos este livro.

Sobre este livro

Embora seja pequeno, este livro é repleto de informações para ajudar as empresas em crescimento a elaborar a melhor forma de proteger informações confidenciais - incluindo informações sigilosas sobre seus clientes - e como proteger seus computadores e dispositivos móveis contra vírus, ataques maliciosos e muito mais.

(8)

Desde as menores às maiores corporações, cada organiz-ação está em risco com os métodos sofisticados que os hackers usam para acessar informações confidenciais e roubar dinheiro de contas bancárias de negócios. Considerando que grandes multinacionais podem se dar ao luxo de contratar equipes de especialistas em segurança de TI, as empresas menores são menos propensas a ter experiência em segurança de TI no local. “Simplificando a Segurança de TI para Leigos” propõe ajudar as empresas através da consciência quanto a: ✓ Por que praticamente todas as empresas têm

informações sensíveis que eles precisam proteger. ✓ O alcance e a natureza dos riscos de segurança da

informação de hoje

✓ As medidas simples e ‘sem custo’ que ajudam as empresas a proteger informações confidenciais. ✓ Os produtos fáceis de usar que podem melhorar

muito a segurança da informação.

Pressupostos tolos

Para ajudar a garantir que este livro forneça as informações que você precisa, nós fizemos algumas suposições sobre você:

✓ O negócio que você possui, gerencia ou no qual trabalha usa laptops, dispositivos de desktops e/ou móveis.

✓ Você precisa se certificar de que seu negócio não colide com os regulamentos de segurança da informação.

✓ Você está interessado em garantir que as informações confidenciais da sua empresa permaneçam

(9)

3

✓ Você gostaria de aprender como evitar ataques de hackers que afetam as atividades do dia-a-dia do seu negócio.

✓ Você pode estar considerando armazenar algumas de suas informações de negócios em “nuvem”.

✓ Você gostaria de receber algumas dicas sobre como escolher um software de segurança de TI que é mais adequado ao seu negócio.

Como este livro é organizado

“Simplificando Segurança de TI para Leigos” é dividido em seis capítulos concisos repletos de informações:

✓ Capítulo 1: Por que todas as empresas precisam proteger informações confidenciais. Explicamos as

armadilhas de uma falsa sensação de segurança. ✓ Capítulo 2: Entendendo o que a sua empresa precisa.

Mesmo que todas as empresas precisem de segurança, este capítulo considera como os requisitos de

segurança podem variar.

✓ Capítulo 3: Descobrindo a verdade sobre ameaças de segurança. Saiba por que a TI de hoje é mais complexa

e as ameaças mais perigosas para as empresas. ✓ Capítulo 4: Planejamento para uma melhor

segurança da informação. Avalie os riscos -

certifique-se de que o seu negócio sabe como evitá-los. Também lhe damos alguns pontos a considerar para armazenar com segurança as informações em “nuvem”.

✓ Capítulo 5: Escolhendo o software de segurança para atender ao seu negócio. Com tantos produtos

disponíveis no mercado, vamos explicar os fatores que podem ajudar você a fazer a escolha certa.

(10)

✓ Capítulo 6: Dez perguntas para ajudar a identificar

como proteger o seu negócio. Use essas perguntas

como uma lista de verificação útil quando se considera o que você precisa para proteger seu negócio.

Ícones usados neste livro

Para tornar ainda mais fácil para você encontrar a informação que precisa, nós usamos esses ícones para realçar o texto principal:

DICA _{Este ícone alvo chama a atenção para} conselhos bons

LEMB REM-SE

A corda atada destaca informações importantes a levar em consideração.

AVISO

Cuidado com as armadilhas potenciais!

Aonde ir a partir daqui

Este livro é uma leitura rápida e fácil. Você pode entrar e sair do texto como quiser, ou você pode ler o livro de capa a capa. Seja qual for o caminho que escolher, temos certeza que você vai encontrá-lo repleto de bons conselhos sobre como proteger as informações dos seus clientes e os outros dados valiosos que seu negócio armazena e processa.

(11)

Capítulo 1

Por que todas as empresas

precisam proteger

informações confidenciais

Neste capítulo

▶ Avaliando os encargos adicionais para empresas menores

▶ Protegendo informações de negócios precisas

▶ Evitando os perigos de uma falsa sensação de segurança

▶ Entendendo por que os cibercriminosos almejam negócios de todos os tamanhos

N

este primeiro capítulo, vamos considerar algumas razões pelas quais as empresas estão sujeitas a riscos de segurança da informação - e por que não é aconselhável tentar varrer questões de segurança para debaixo do tapete.

As empresas estão sob ataque

Na era da informação, conhecimento é poder. As informações que a sua empresa mantém - sobre o seu conhecimento técnico especializado, seus produtos e seus clientes - é vital para o seu sucesso contínuo. Se você já não fosse mais capaz de acessar algumas das informações preciosas, isto poderia afetar o dia-a-dia do seu negócio. Pior ainda, quais seriam as consequências se estas

(12)

informações caíssem nas mãos erradas - nas mãos de um criminoso? Além disso, o que aconteceria se um criminoso pudesse ter acesso aos seus computadores e roubar dados de contas bancárias online do seu negócio? Caramba! Infelizmente, empresas de todos os tamanhos são atacadas por cibercriminosos que utilizam uma ampla gama de métodos para interromper as operações de negócios, acessar informações confidenciais e roubar o dinheiro. Em muitos casos, a empresa vítima pode estar totalmente alheia ao ataque. . . até que seja tarde demais..

Cibercrime e cibercriminosos

Os criminosos sempre foram bons em detectar novas oportunidades para explorar uma falha e ganhar algum dinheiro - à custa de outra pessoa. Quer se trate de uma fechadura frágil em uma janela do escritório ou um alarme que é fácil de desativar, os criminosos aproveitam qualquer oportunidade para explorar qualquer fraqueza. No entanto, na era de hoje com a Internet, um novo tipo de criminoso emergiu das profundezas escuras. . . o cibercriminoso. O cibercrime abrange uma vasta gama de atividades criminosas que são realizadas através de sistemas de TI e/ou na Internet. É muito fácil descartar a ameaça do cibercrime - e essa é uma maneira que as empresas ajudam a tornar ainda mais fácil para os cibercriminosos lucrarem.

Os cibercriminosos são altamente organizados e muito habilidosos no desenvolvimento de formas sofisticadas para atacar computadores empresariais, acessar informações confidenciais e roubar o dinheiro. Muitas vezes, as recompensas financeiras são consideráveis. . . enquanto que o custo para lançar um ataque pode ser muito baixo. Isto traz uma taxa de retorno com a qual muitos outros tipos de crime só podem sonhar! Assim, o volume de cibercriminalidade continua aumentando.

(13)

7 Empresas menores - Pressões maiores

De muitas maneiras, as empresas menores enfrentam praticamente todas as questões gerais, no dia-a-dia que as grandes empresas têm de enfrentar. . . além de toda uma série de desafios adicionais. Todas as empresas têm de continuar encontrando maneiras de lidar com a mudança das condições de mercado e responder às atividades dos concorrentes, e, ao mesmo tempo, estarem um passo à frente quanto a mudanças das necessidades e preferências dos clientes. No entanto, ao mesmo tempo, ao lidar com todos esses fatores, as empresas que mais crescem também têm de lidar com uma vasta gama de outras questões que surgem como resultado de um crescimento contínuo da empresa.

Estes desafios adicionais podem incluir:

✓ Encontrar maneiras de lidar com um número crescente de clientes - e receitas maiores. ✓ Recrutamento regular e treinamento de pessoal

adicional para lidar com demandas crescentes. ✓ Encontrar instalações maiores e organizar a mudança,

sem interromper as operações do dia-a-dia. ✓ Garantir financiamento adicional para ampliar

o negócio.

✓ Adicionar novas localizações de escritórios. ✓ Encontrar tempo para considerar coisas que as

empresas maiores tiram de letra – como, por exemplo, como manter as informações dos clientes de forma segura.

Todas estas tarefas são necessárias para garantir que o negócio continue funcionando de forma eficiente e esteja pronto para as próximas etapas do seu crescimento.

(14)

Esse não é meu trabalho!

Além disso, ainda há a gama de responsabilidades que os fundadores e empregados têm de cobrir. Desde o início, assim como um empreendimento de um só homem (ou mulher) ou de um pequeno grupo de indivíduos altamente motivados, trabalhar em uma empresa de pequeno porte geralmente significa “todas as mãos estão ocupadas” - com todos tendo que cuidar de uma variedade muito maior de tarefas do que em seus empregos anteriores. Normalmente, não há equipes de RH, departamentos jurídicos ou pessoal especialista em TI com que contar.

Se o seu negócio terá sucesso, todo mundo tem que conseguir ser mais do que apenas um “pau para toda obra”. Você e seus colegas todos sabem que vocês têm de dominar tudo o que acontece na gestão do negócio.

Sim, competências especializadas podem ser contratadas por hora, mas isto custa um dinheiro precioso. Cada gasto em atividades que não fazem parte do negócio principal limita o investimento em outras áreas vitais e pode até mesmo retardar seu crescimento empresarial.

Qual é o problema com a TI?

Para a maioria das empresas, a ideia de tentar funcionar sem nem mesmo TI básica - como laptops - é quase impensável. Mesmo que seja apenas um meio para um fim, é uma ferramenta chave que permite ajudar a aumentar a eficiência das empresas e melhorar a interação com clientes, colaboradores e fornecedores. No entanto, ela tem de servir o negócio - e isso significa que precisa ser fácil de configurar e gerenciar. Da mesma forma, qualquer software de segurança que protege os computadores da empresa e informações confidenciais tem de ser fácil de usar.

(15)

9 Há uma selva lá fora. . . então vá armado!

As empresas que consideram a computação como um mal necessário tendem a ter uma visão muito semelhante quando se trata de manter as informações armazenadas nesses computadores seguros. Essa visão é totalmente compreensível, se TI não for o seu ponto forte. No entanto, a triste realidade é que a segurança das informações de negócios nunca foi tão importante - para todos os tamanhos de negócios. Com altos níveis atuais de ameaças - e cibercriminosos utilizando regularmente as conexões de Internet para invadir computadores de empresas - nenhuma empresa pode se dar ao luxo de ignorar a segurança. Mesmo que sua empresa só implemente algumas medidas simples de proteção, essas precauções podem ser o suficiente para poupar muita dor de cabeça e uma quantidade significativa de dinheiro.

LEMB

REM-SE É perfeitamente aceitável considerar a segurança

de dados e segurança de TI como males necessários. . . desde que você coloque forte ênfase na palavra “necessário”! Assim, a palavra “mal” é apenas um lembrete do tipo de

cibercriminosos que lançam ataques contra empresas inocentes.

AVISO Um varejista não sonharia em deixar a sua caixa

registradora aberta para que qualquer criminoso que passasse pegasse um punhado de dinheiro. Da mesma forma, qualquer empresa que usa computadores, dispositivos móveis ou a Internet precisa ter certeza de que a sua TI não está escancarada para o ataque. É simplesmente muito fácil se tornar a vítima involuntária de um cibercriminoso que ataca as vulnerabilidades de segurança ocultas em seus laptops, tablets

(16)

Um pouco de segurança pode significar muito

A diferença entre não fazer nada e realizar algumas medidas simples de segurança pode ser enorme. Em primeiro lugar, se você só implementar algumas medidas básicas de segurança, estas poderiam ser o suficiente para garantir que o cibercriminoso médio acha mais fácil correr para outro negócio. . . e deixar o seu negócio em paz. No gráfico, você vê como um pequeno investimento em segurança pode reduzir drasticamente a possibilidade de um lançamento de malware ser bem-sucedido.

e smartphones. Assim, você precisa fazer tudo o que puder para garantir que os criminosos não possam roubar informações confidenciais ou roubar suas contas bancárias online.

Investir para proteger

Conforme seu negócio contribui para o seu investimento em segurança ... a chance de ser infectado por malwares

cai exponencialmente

Taxa de Sucesso de Malware

(17)

11 Segurança não deve atrasar o seu negócio

Tempo é dinheiro! Pronto! falamos... É claro que é um clichê, mas é verdade. Qualquer atividade não principal, que o leva para longe das principais atividades geradoras de receita da sua empresa lhe custa tempo, oportunidades e dinheiro. Ser ágil e focado é o que lhe deu a oportunidade de estabelecer o seu negócio em primeiro lugar. Assim, a última coisa que você precisa é de segurança de TI que serve como empecilho ao seu espírito empreendedor - não importa até que ponto a segurança de TI possa ser importante. Qualquer coisa que atrasa pode significar que você está gastando menos tempo nas atividades principais que lhe dão uma vantagem sobre seus concorrentes e ajudam a impulsionar seus negócios. Com a abordagem errada para proteção de informação e tecnologias de proteção inade-quadas, seu negócio pode se encontrar prejudicado pelas mesmas coisas que se destinam a ajudar sua defesa.

A fruta mais fácil de apanhar para os

cibercriminosos

Com as preocupações sobre a complexidade e desempenho, é de se admirar que tantas pequenas empresas fechem os olhos para a segurança de TI. No entanto, apesar do fato de que empresas recém-abertas e pequenas poderiam pratica-mente usar essa abordagem sem danos, há alguns anos, os níveis atuais de cibercrime revelam que essa é uma estra-tégia muito mal aconselhada. Adiciona-se a isto o fato de que alguns criminosos consideram as pequenas empresas como a “fruta mais à mão”, e que é mais fácil de obter do que as grandes organizações, e é claro que a segurança efetiva de TI não é mais opcional.

A boa notícia é que a sua empresa pode fazer muitas coisas simples para ajudar a proteger informações confidenciais.

(18)

Além disso, alguns dos mais recentes produtos de softwares de segurança foram desenvolvidos especificamente para ajudar empresas menores com pouco tempo a proteger seus sistemas e informações. Estes produtos de segurança significam que você não tem de comprometer a proteção ou perder tempo tentando executar um software de segurança complexo que é difícil de gerir.

AVISO Mesmo as organizações gigantes podem não ter a

dimensão e os recursos necessários para se recuperar de uma falha de segurança prejudicial. Portanto, empresas menores podem achar que é impossível continuar comercializando depois de um incidente de segurança.

Falsa sensação de segurança?

Algumas empresas podem se convencer de uma falsa sensação de segurança, com a crença equivocada de que os criminosos estão apenas em busca de peixes grandes. ‘Sim, é isso’, diz o empresário. ‘Quem iria querer atacar uma pequena empresa como a minha, quando alvos maiores e mais ricos estão disponíveis? Nós simplesmente não estamos no radar de nenhum cibercriminoso.’ Bem, é verdade que o radar não vai ajudar um ciber-criminoso a identificar a sua próxima vítima de negócio. No entanto, os cibercriminosos usam todos os tipos de outras ferramentas de varredura para encontrar empresas mais vulneráveis, e eles podem fazer tudo através da Internet. Com estas ferramentas de verificação inteligentes, os cibercriminosos podem identificar as empresas que têm falhas de segurança dentro de seus computadores. Em praticamente nenhum momento, os scanners podem encontrar o próximo negócio que será vítima dos crimi-nosos - e apontar como um negócio vulnerável a ataques.

(19)

13

Isto pode soar como uma trama de ficção científica elaborada, mas é verdade. Todos os dias, estes e outros métodos sofisticados servem para atacar pequenas empresas. Em um dia normal, o Kaspersky Lab identifica cerca de 12 mil ataques de malware (software malicioso) - e esse número continua crescendo.

As empresas menores podem

ser alvos mais fáceis para o crime

Geralmente, a maioria dos cibercriminosos está procurando maximizar os retornos financeiros de suas atividades ilegais e minimizar o esforço e tempo gastos para gerar esses retornos. Assim, embora acessar finanças de uma multi-nacional possa ser muito lucrativo, é uma aposta justa que o cibercriminoso teria de trabalhar muito duro para superar as defesas de segurança sofisticadas que tal empresa é suscetível de possuir.

Como alternativa, o cibercriminoso pode optar por alvejar um grupo de pequenas empresas. Sim, os rendimentos de cada ataque individual podem ser muito menos valiosos, mas, se as empresas menores tiverem defesas fracas ou inexistentes, isto poderia ser dinheiro fácil para o ciber-criminoso. Ataques lançados em dez ou vinte pequenas empresas podem gerar tanto dinheiro quanto um único ataque em uma grande empresa - e ser muito mais fácil de alcançar.

DICA Como muitas empresas menores podem achar que é difícil reservar um tempo para pensar em segurança, alguns criminosos se concentram deliberadamente em presas fáceis de pequenas empresas. Não deixe que o seu negócio esteja entre a suas próximas vítimas.

(20)

Os cibercriminosos podem usar pequenos

negócios como um trampolim

Os cibercriminosos reconhecem que as pequenas empresas são muitas vezes fornecedoras para grandes empresas - e essa é outra razão para os ataques contra pequenas empresas. Um ataque a um negócio como esse pode ajudar cibercriminosos a roubarem informações que podem vir a ser úteis, permitindo um ataque posterior contra uma grande corporação.

O cibercriminoso pode deliberadamente escolher um negócio por causa de suas relações com as grandes corporações. Por outro lado, um cibercriminoso oportunista pode simplesmente identificar o potencial enquanto eles estão roubando informações de clientes da empresa de pequeno porte.

Não é preciso dizer que, se o ataque subsequente à grande organização for bem-sucedido e o papel da pequena empresa no ataque tornar-se evidente, isto pode resultar em graves dificuldades para as pequenas empresas. Mesmo que a empresa de pequeno porte seja inocente de qualquer delito direto, a sua falta de segurança permitiu que seus próprios sistemas fossem infiltrados - e isto ajudou a permitir um ataque contra o cliente de porte corporativo. Se o papel da pequena empresa no compromisso torna-se conhecido, este é suscetível de ter repercussões - como ação legal, remuneração, multas, perda de clientes e danos à reputação da empresa de pequeno porte.

(21)

15 Perdendo. . . em ambas as pontas do negócio

Imagine o caso de uma pequena empresa que compra matérias-primas a partir de um grande fornecedor corporativo e, em seguida, vende seus produtos acabados para uma empresa multinacional. No interesse de eficiência, o fornecedor pode esperar que seus clientes - incluindo a pequena empresa - interajam e comprem através dos seus próprios sistemas online. Da mesma forma, o cliente multinacional pode esperar que a pequena empresa apresente notas fiscais eletrônicas diretamente em seus próprios sistemas de contas internas.

Isto significa que a pequena empresa possui ligações eletrônicas diretas com sistemas de computadores de seu fornecedor corporativo e sistemas informáticos de seus clientes multinacionais.

Se um cibercriminoso infiltra-se em computadores da pequena empresa, o cibercriminoso pode reunir informações que ajudam a atacar os dois fornecedores da empresa e do cliente. Mesmo que os ataques subsequentes não sejam bem sucedidos, a pequena empresa pode ter várias explicações a dar. . . e pode ser impedida de interagir eletronicamente com seus fornecedores e clientes. Isso poderia afetar negativamente a eficiência da pequena empresa e as margens de lucro - especialmente se os seus concorrentes estão se beneficiando de uma maior interação com os mesmos fornecedores e clientes.

(22)

(23)

Capítulo 2

Descobrindo quais são suas

necessidades de negócios

Neste capítulo

▶ Sabendo suas obrigações legais e regulamentares

▶ Avaliando o que é esperado no seu setor

▶ Percebendo que as ameaças de hoje são mais perigosas do que nunca

▶ Considerando como as necessidades de segurança podem variar

N

este capítulo, vamos dar uma olhada em como alguns requisitos de segurança podem ser semelhantes para empresas diferentes. . . e também a forma como eles podem variar.

Algumas necessidades de segurança se

aplicam a negócios de todos os tamanhos

Muitas empresas caem na armadilha de pensar que elas não possuem informações que poderiam ser de qualquer valor a um cibercriminoso. Além disso, o fundador pode acreditar que um incidente de perda de informações não causaria qualquer grande prejuízo para sua empresa.

(24)

Infelizmente, para empresas de qualquer tamanho, essas crenças raramente são verdadeiras.

Mesmo um simples banco de dados de contatos de clientes tem valor para uma ampla gama de pessoas diferentes - de cibercriminosos que desejam utilizar esses detalhes, como parte de golpes de roubo de identidade, até concorrentes que tentam roubar seus clientes.

Obrigações legais para proteger informações

Em muitos países, as empresas estão sujeitas a normas rígidas sobre como eles devem lidar com informações sobre indivíduos. O não cumprimento pode resultar em multas elevadas para o negócio. Em alguns casos, os diretores ou proprietários do negócio podem estar sujeitos a processos - com alguns crimes, até mesmo levando a penas de prisão.

Para alguns países, a legislação e o cumprimento de regula-mentos sobre como informações pessoalmente identifi-cáveis são processadas e armazenadas, podem causar obrigações mais onerosas em grandes organizações. No entanto, mesmo que as autoridades competentes exijam que as grandes corporações implementem medidas de segurança muito mais sofisticadas, a lei ainda espera que as pequenas empresas ajam de forma responsável e tomem as medidas cabíveis para ter em segurança todas as

informações relevantes.

AVISO Se uma empresa não adotar medidas que

poderiam razoavelmente ser esperadas a serem realizadas por esse tipo e tamanho de empresa, o negócio poderia encontrar-se em sérios apuros.

Expectativas de segurança ainda maiores

Muitas jurisdições obrigam todas as empresas a exercerem um maior grau de cuidado na forma como lidam com

(25)

19 Uma confidencialidade catastrófica?

Poderia haver um negócio menos intensivo em termos de TI do que a execução de um canil ou gatil? Seria realmente necessário segurança de TI para tal operação? Bem, sim! Basta considerar as informações que a empresa detém sobre os nomes e endereços de seus clientes - além do diário eletrônico da empresa de quando os felinos peludos ficarão na instalação.

E se essas informações cairem nas mãos erradas? É bastante óbvio que ninguém vai estar em casa para cuidar dos pequenos Bola de Neve e Totó - e esta é uma informação valiosa para os assaltantes. Com esse conhecimento interno sobre quando o dono da casa ficará afastado - e por quanto tempo ficará afastado - para que assaltantes possam desfrutar do luxo de serem capazes de tomar o seu tempo removendo objetos de valor da propriedade do dono do gato.

qualquer material particularmente sensível, ou qualquer outra informação que poderia causar danos significativos a um terceiro caso esses dados vazassem.

Além disso, as indústrias e setores específicos do mercado podem estar sujeitos a requisitos de segurança da infor-mação muito mais rigorosos do que outros setores. Por exemplo, empresas que atuam nos setores de saúde e legal são suscetíveis de terem mais cuidado com as informações que usam, armazenam e processam.

No entanto, mesmo se nenhuma dessas “expectativas esten- didas” se aplicarem ao seu negócio, a perda de informações confidenciais pode ter consequências terríveis.

(26)

Diferentes níveis de compreensão

e recursos

Apesar das semelhanças entre algumas das obrigações de segurança que são colocados em todos os tamanhos de empresas, há também algumas variações claras em como as organizações de diferentes tamanhos processam questões de segurança.

As coisas não são o que costumavam ser

A sofisticação e a natureza implacável de ataques de segurança de TI modernos significam que as ameaças de hoje são muitas vezes maiores e mais perigosas do que as ameaças de poucos anos atrás. Falha ao perceber isto pode deixar as empresas vulneráveis.

Quando se trata de segurança da informação, as grandes empresas podem se dar ao luxo de contratar especialistas em segurança de TI em tempo integral. No entanto, os proprietários de pequenos negócios não têm esse luxo.

O tamanho é importante?

A disponibilidade de recursos é, obviamente, um fator que diferencia as empresas menores de grandes corporações. As grandes empresas têm os especialistas internos para tomar decisões informadas sobre quais tecnologias de defesa investir. Eles também têm as finanças necessárias e recursos de suporte para a implantação de sua solução escolhida. Além disso, sua equipe local é experiente e sabe como desenvolver e aperfeiçoar constantemente os planos de segurança da empresa e políticas de segurança, de modo que o negócio continue a estar um passo à frente dos criminosos e nenhum buraco seja feito na defesa da organização.

(27)

21

Por outro lado, as pequenas empresas podem não ter qualquer conhecimento interno sobre segurança. Além disso, para uma empresa em crescimento, uma série de demandas concorrentes clama por qualquer dinheiro que esteja sobrando (hmm, dinheiro que sobra é um conceito interessante, mas nenhum dos autores se lembram de ter experimentado). Assim, a segurança do computador tem de ter o seu lugar na fila e justificar plenamente as despesas necessárias.

Noções sobre requisitos de

segurança diferentes

Mesmo que não haja um lote de terreno comum, diferentes tipos de negócios são suscetíveis de terem algumas diferenças em seus requisitos de segurança de TI. . . e também podem ter pontos de vista diferentes sobre o que é necessário no nível da segurança. Além disso, conforme a empresa cresce, suas necessidades de segurança da informação podem mudar.

Você reconhece algum dos seguintes perfis de negócios e suas opiniões sobre a segurança de TI?

A empresa recém-criada

“Sérgio dono de empresa nova” com 36 anos está deixando uma operação de grande porte, de base municipal e criando uma nova empresa de advogados com dois de seus colegas.

Como a empresa planeja usar TI:

✓ Sérgio e seus colegas são fortemente dependentes dos laptops, tablets e smartphones que lhes dão a flexibilidade para trabalhar em qualquer lugar. ✓ A equipe vai fazer uso pesado de e-mail para se

(28)

computadores para a geração de cartas, propostas e notas.

A atitude da empresa quanto à segurança:

✓ A natureza altamente confidencial das informações do cliente que serão tratadas - incluindo dados

financeiros - significa que a proteção de todas as informações sensíveis é de vital importância. ✓ Qualquer vazamento ou perda de informações seria

extremamente constrangedor e poderia ter grandes repercussões em termos de reputação pessoal para Sérgio e a empresa. Ela poderia até resultar em Sérgio ser processado.

✓ Salvaguardar o negócio é de vital importância e Sérgio entende que o software antivírus padrão não oferece proteção adequada.

Sérgio diz: ‘Nós temos que comprar um novo kit de TI e configurar tudo. Ao mesmo tempo, precisamos ser capazes de começar a gerar receita o mais rápido possível - assim o software de segurança que nós escolhemos tem de fornecer o nível adequado de proteção, além de ser fácil de

configurar, gerenciar e manter. Além disso, o fornecedor de software de segurança tem de fornecer o apoio que precisamos e quando precisarmos - assim podemos nos concentrar em servir os nossos clientes. Então, conforme o nosso negócio cresce, a nossa solução de segurança deve ser capaz de se adaptar para atender às novas demandas.’

O negócio em expansão

‘Ambicioso Ahmed’ conseguiu muito em seus 48 anos. Ele é o dono de uma cadeia de alfaiates de roupas masculinas que emprega dezoito pessoas - e o negócio está em expansão.

(29)

23

✓ Assim como abrir outra nova loja, a empresa está se aventurando em varejo online - venda de ternos através do seu site.

✓ Com a expansão, a empresa tem que comprar muito mais tecnologia - incluindo mais Pontos de Venda (POS), mais PCs, roteadores de redes Wi-Fi e um novo servidor.

✓ Apesar de Ahmed não estar focado em TI, ele considera seu novo smartphone útil para acessar seus e-mails.

✓ A empresa utiliza um produto de software antivírus que o sobrinho de Ahmed, “familiarizado com segurança tecnológica” comprou na loja de PC. No entanto, Ahmed sabe que este produto não é suficiente para manter as informações de seu negócio seguras - especialmente por que o negócio está se expandindo muito rapidamente. Ahmed odiaria ver sua concorrente local obtendo a lista de clientes regulares de Ahmed e seu modelo de precificação. ✓ Devido a Observância dos padrões de segurança de

dados na indústria de cartões de pagamento (PCI), Ahmed sabe o que o negócio precisa para implantar o software de segurança e mantê-lo atualizado, a fim de gerenciar vulnerabilidades.

Ahmed diz: ‘Costurar - e não TI - é a minha paixão. No entanto, é o momento certo para investir em algum software de segurança mais profissional de TI - mesmo que apenas para minha própria paz de espírito. Precisamos de segurança de TI que nos dê a proteção que precisamos, mas que seja fácil de instalar e gerenciar. Eu estou procurando um pacote que faça o seu trabalho e me deixe continuar com o meu. Desde que assumi o negócio do meu

(30)

pai, já alcançamos um cresci-mento impressionante. Estamos prestes a abrir a nossa quinta loja e estamos construindo nossas vendas na Internet - assim precisamos de uma solução de segurança de TI que possa crescer conosco.

O negócio que está mudando sua segurança

Dra. ‘Ivana Irritada’, 40 anos, é uma sócia sênior em um consultório médico local, que inclui dois outros médicos, um fisioterapeuta e três recepcionistas/administradores de pessoal de meio período.

✓ Cada médico tem um PC de desktop e um PC na sala que a fisioterapeuta utiliza. Dois outros PCs estão na recepção e mais um no escritório de administração. ✓ A Internet e os computadores mudaram a forma

como a clinica funciona - o que torna muito mais fácil manter o controle de registros de pacientes, descobrir novos medicamentos e procedimentos e, manter-se atualizado de uma maneira geral.

A atitude da clinica quanto à segurança:

✓ Dada a dependência da prática de TI e à natureza sensível dos arquivos e informações que são manipu-lados, a Dra. Ivana nunca hesitou em comprar software de segurança de TI.

✓ No entanto, o software de segurança atual está irritando todos os funcionários. Os PCs levam muito tempo para iniciar - e depois, quando o software de segurança verifica a existência de malware, os PCs parecem ficar paralisados.

Dra. Ivana diz: “a confidencialidade do paciente é de suma importância. É por isso que nunca hesitamos em instalar software de segurança. No entanto, nosso software atual

(31)

25

teve um efeito notável e muito negativo sobre o desem-penho de nossos computadores. Com a licença para a renovação, agora é o momento perfeito para mudarmos para um produto de software de segurança que não afete o desempenho de nossos computadores para que possa-mos ser mais eficientes na forma como lidapossa-mos com os pacientes. Nós só queremos algo que torne informações altamente confidenciais seguras, sem ficar no caminho de nossos esforços para oferecer o melhor atendimento ao paciente”.

A empresa que começou mal

‘“Suzie Sofredora” de 32 anos é uma proprietária de uma agência de marketing de sucesso, que emprega 22 pessoas. Os negócios da Suzie cresceram rapidamente, suas vendas e marketing garantiram que ela ganhasse novos clientes facilmente.

✓ A equipe principal de Suzie fica no escritório. No entanto, muitos de seus gerentes de contas visitam sites de clientes.

✓ Apesar de sua equipe possuir Apple Macs, o resto da empresa utiliza uma combinação de PCs de desktop e laptops, além de smartphones.

✓ Muitos da equipe também usam tablets. Uma vez que os tablets são de propriedade da equipe, eles não fazem parte do kit de trabalho oficial. No entanto, Suzie não se importa da equipe utilizar os dispositivos - especialmente porque eles fazem a agência parecer uma empresa de ponta.

✓ Infelizmente, a agência sofreu recentemente um grande incidente de segurança. Depois de uma reunião com um cliente, um dos diretores da conta de

(32)

Suzie levou seu laptop para um bar e o laptop foi roubado. O laptop tinha alguns arquivos muito sensíveis sobre ele - incluindo planos confidenciais para lançamento de um novo produto que daria ao cliente uma vantagem real no mercado.

✓ Suzie teve de informar o cliente, que ficou extrema-mente irritado. O incidente foi escalado para a equipe jurídica do cliente. Parece também que o cliente romperá o relacionamento com a agência. Assim, a agência de Suzie está prestes a perder uma parte significativa do negócio, e também pode haver implicações legais.

Suzie diz: “Nós ainda estamos somando o custo daquele incidente de segurança. Agora, a minha principal prioridade é ter certeza de que não há absolutamente nenhuma chance daquele tipo de dor de cabeça de segurança acontecer novamente. Nós precisamos ter uma solução de proteção integral o quanto antes. No entanto, também precisamos ter a certeza de que seja simples de gerenciar – para que um dos nossos designers, que tem um talento incrível para todas as coisas técnicas, possa gerenciá-la e mantê-la’.

O negócio que mantém seus dedos cruzados

“Raul Corre Riscos” tem 53 anos e é dono de uma empresa de contabilidade de cinco pessoas. É um negócio estabele-cido, que nunca levou a sério as ameaças de segurança. Raul sempre esperou que “não fosse acontecer com ele”. Como a empresa planeja usar a TI:

✓ Raul e outros dois assessores de contabilidade gastam muito tempo com os clientes. O uso de laptops dá aos consultores a flexibilidade para trabalhar fora do local.

(33)

27

✓ dois funcionários da administração do negócio usam PCs de desktop.

✓ A empresa também tem um servidor de arquivos que gere o seu software de gestão de relacionamento com clientes (CRM).

✓ Raul recentemente leu um artigo em uma revista especializada, sobre uma empresa rival que sofreu uma grave falha de segurança de TI. Um administra-dor tinha baixado um arquivo anexo que continha um malware que acessou os arquivos confidenciais de clientes. A falha de segurança só foi descoberta quando um cliente encontrou seus próprios dados confidenciais sendo vendidos na Internet.

✓ A reportagem deixou Raul extremamente nervoso com a segurança de TI de sua própria empresa. Raul agora reconhece que o software de segurança gratuito que a empresa vem utilizando é provavelmente inadequado.

Raul diz: “A indústria mudou muito nos últimos anos. Há muito mais regulação agora. Ao mesmo tempo, a natureza das ameaças de segurança que estão à espreita significam que temos de implementar uma segurança de TI muito mais robusta.”

Necessidades diferentes exigem soluções

diferentes

Mesmo que todas as empresas que citamos neste capítulo estejam em mercados diferentes e cada uma tenha expecta-tivas diferentes para a sua TI, todas elas têm uma coisa em comum: a necessidade de proteger informações preciosas. No entanto, com cada negócio tendo diferentes níveis de

(34)

sistemas de informática e experiência em TI, eles têm necessidades de segurança diferentes.

Os exemplos de empresas são, obviamente, baseados em generalizações sobre como alguns tipos diferentes de negócios podem ter necessidades diferentes de segurança de TI. No entanto, assim como as variações de modelos de negócios e tamanhos de negócio são virtualmente infinitas, assim também são as variações nos requisitos de TI. É perfeitamente possível para uma pequena empresa - com, digamos, três a cinco pessoas - executar processos em massa de computação intensiva. Nesses casos, o negócio é suscetível de ter uma rede de TI muito mais extensa e diversificada do que as outras empresas de dimensão semelhante. Portanto, este tipo de negócio exige uma solução de segurança que possa cobrir todas as complexi-dades de seu ambiente de TI - incluindo portais de Internet, servidores proxy e sistemas virtuais.

(35)

Capítulo 3

Descobrindo a verdade sobre

ameaças de segurança

Neste capítulo

▶ Compreenda como a complexidade de TI acrescenta novos encargos

▶ Saiba por que a proteção antivírus não é suficiente

▶ Aprenda sobre as ameaças online

▶ Protegendo suas transações bancárias online

N

este capítulo, consideramos como a crescente complexidade das soluções de computação de negócios típicos e a sofisticação dos vírus, malware e ataques de cibercrime estão tornando a vida muito mais difícil para todas as empresas.

Tudo se tornou mais complexo

Apenas alguns anos atrás, qualquer líder empresarial podia simplesmente esticar o braço e tocar todos os dispositivos de TI que precisavam ser protegidos dentro de sua organi-zação. Era também simples desenhar um anel imaginário em torno de rede de computação da empresa. Se você colocasse um firewall em torno de tudo dentro desse anel - e se certificasse de ter um software de segurança adequado

(36)

em execução em todos os computadores - você seria intocável.

Mas isso era nos tempos de mobilidade limitada e quando não se era capaz de acessar informações de negócios sempre que você estivesse fora do escritório. Isto também acontecia muito antes de os negócios terem se tornado tão fortemente dependentes de TI.

Os negócios não podem existir sem TI

Hoje, será que você poderia considerar gerir uma empresa sem todos aqueles aplicativos de negócios vitais e sem acesso celular, ou acesso “em qualquer lugar” às informa-ções de negócio essenciais? Bem, não. . . porque seus concorrentes estariam rindo no caminho até o banco. No entanto, estes avanços tecnológicos tiveram consequên-cias. A conveniência de acesso em qualquer lugar aumentou muito a complexidade de TI. Se você e seus funcionários estarão acessando informações usando laptops, smart-phones e tablets, onde está o anel imaginário no qual você tem de aplicar suas medidas de segurança?

BYOD acrescenta outra camada de complexidade

Para tornar as coisas ainda mais complexas, iniciativas do tipo Traga seu Próprio Dispositivo (BYOD) - que permitem que os funcionários usem seus próprios dispositivos para acessar sistemas de informação e de negócios - estão acrescentando ainda mais complexidade. Com BYOD, sua segurança agora tem de lidar com acesso “em qualquer lugar - a partir de qualquer dispositivo”.

As empresas têm sido rápidas ao reconhecer os custos operacionais e os benefícios potenciais que a iniciativa BYOD pode oferecer. No entanto, BYOD também significa que você se depara com um aplicativo de segurança em toda uma gama quase ilimitada de dispositivos móveis - incluindo uma vasta linha de Android, iPhone, BlackBerry,

(37)

31

Symbian, Windows Mobile e dispositivos Windows Phone que podem nem mesmo pertencer ao negócio.

Felizmente, alguns fornecedores de segurança reconhe-ceram que uma TI cada vez mais complexa contribui para pesadelos de segurança. Então, eles gentilmente desen-volveram novas soluções de segurança inovadoras que simplificam a tarefa de proteger a TI complexa - incluindo dispositivos móveis e BYOD.

DICA Para obter mais informações sobre questões de segurança móveis e soluções,

Segurança Móvel & BYOD para Leigos está

disponível em todas as boas livrarias. Bem, na verdade, não está dispo-nível em todas as lojas, mas você pode obter uma cópia gratuita no site: http://brazil.kaspersky.com/

produtos-para-empresas.

Antivírus ou anti-malware?

Algumas empresas caem na armadilha de pensar que vírus e malware são a mesma coisa - e isso os leva a acreditar que não há diferença entre os produtos antivírus e anti-malware. No entanto, isso simplesmente não é verdade, e de fato é um erro que pode custar muito caro.

A maioria das pessoas está familiarizada com os tipos de vírus que podem se espalhar de computador para computador. No entanto, malware - que é a abreviação de software mal-intencionado - é o nome dado a uma gama muito maior de software hostil. Malware inclui vírus, worms, cavalos de Troia, ransomware, keyloggers, spyware e muitas outras ameaças. Assim, um produto de software que oferece recursos anti-malware protege seus computadores e informações de muito mais do que apenas vírus.

(38)

As ameaças de hoje são cada vez

mais perigosas

Praticamente todo mundo tem algum nível de compreensão sobre vírus de computador. A maioria das pessoas foi sujeita a uma infecção por vírus desagradável (em seu PC - não estamos falando de seu corpo), ou conhece alguém que sofreu um ataque desse tipo no passado. No entanto, grande parte dessa experiência - e as anedotas que os amigos e família se lembram - podem datar da época do vandalismo cibernético, quando o desenvolvimento de malware era para se divertir. Hoje, os cibercriminosos usam malware para ganho financeiro.

Os anos de baixo risco se foram

Anos atrás, vândalos cibernéticos muitas vezes eram estudantes e crianças em idade escolar que procuravam mostrar suas habilidades de computação e de hacker. Eles criavam e distribuíam vírus que causavam um nível de perturbação em máquinas infectadas. Talvez o vírus apagaria alguns arquivos ou faria o computador da vítima ‘desligar’. Apesar de ter sido em grande parte uma questão de decisões más por parte dos desenvolvedores de vírus, os programas poderiam causar alguns inconvenientes. No entanto, esses vírus raramente causaram problemas significativos em curso para as empresas e não tentaram roubar fundos de indivíduos ou empresas de prestação de contas bancárias. Além disso, o software antivírus básico era muitas vezes suficiente para repelir a maioria desses ataques.

(39)

33 O vandalismo simples abriu caminhos

para o cibercrime sério

Nos últimos anos, os jovens geeks de computador têm voltado sua atenção para jogos online que lhes dão a oportunidade de mostrar seu talento. Ao mesmo tempo - e mais importante - com a ascensão inexorável no uso de processos de negócios com base na Internet e transações financeiras online, estamos todos muito mais dependentes da Internet e do comércio eletrônico. Isso tem atraído a atenção de criminosos. A era relativamente inocente do vandalismo cibernético passou, e uma presença muito mais ameaçadora se esconde na Internet.

AVISO Os cibercriminosos têm sido rápidos ao

reconhe-cer as oportunidades para desenvolvimento de malware e golpes na Internet, os quais fazem muito mais mal do que os vírus à moda antiga. Em vez disso, estes novos ataques estão focados em roubar informações, dinheiro e qualquer outra coisa de valor para o cibercriminoso. Não se engane, não se trata apenas de amadores. Os cibercriminosos com habilidades técnicas consideráveis estão constantemente desenvol-vendo novos métodos de ataque às empresas. Na maioria dos casos, eles são motivados pelo ganho financeiro - seja diretamente roubando dinheiro da conta bancária de uma empresa, roubo de dados corporativos sensíveis para vender no mercado negro, ou extorquindo paga-mentos da empresa através de outros meios. Além disso, através da “colheita” de informações pessoais de laptops, servidores de uma empresa e dispositivos móveis, os cibercriminosos podem realizar golpes de roubo de identidade e roubar dinheiro de indivíduos associados ao negócio.

(40)

Nossa dependência de computadores também tornou mais fácil para os atacantes perturbarem os sistemas de negócios, como uma forma de protesto social ou político (o chamado “hacktivismo”).

Conheça o inimigo e saiba seus métodos

Malware e ameaças de segurança de TI podem ter um efeito prejudicial sobre qualquer negócio. Para as empresas menores, os resultados podem ser fatais. Ao mesmo tempo em que a lista a seguir não é uma lista exaustiva de todos os tipos de ameaças, esta seção dá uma indicação de alguns dos riscos de segurança que as empresas têm de enfrentar...

Vírus, worms e cavalos de Troia

Os vírus de computador e worms são programas malicio-sos que podem se auto-replicar em computadores sem que a vítima esteja consciente de que o seu dispositivo tornou- se infectado. Cavalos de Tróia executam ações maliciosas que não foram autorizadas pelo usuário. Cavalos de Troia são incapazes de se auto-replicar, mas a conectividade proporcionada pela Internet tornou fácil espalhá-los para os cibercriminosos.

Se estes programas maliciosos atacam sua rede, eles podem apagar, modificar ou bloquear o acesso aos dados, perturbar o desempenho de seus computadores e roubar informações confidenciais.

Cavalo de Troia de Porta dos Fundos

Portas dos fundos são usadas por cibercriminosos para controlar remotamente máquinas que eles infectaram. Tipicamente, os computadores infectados tornam-se parte de uma rede maliciosa - conhecida como botnet - que podem ser usados para uma grande variedade de finalidades cibercriminosas.

(41)

35 Keyloggers

Keyloggers são programas maliciosos que gravam as teclas que você pressiona no teclado do computador. Os ciber-criminosos usam keyloggers para capturar dados confide-nciais - incluindo senhas, números de contas bancárias e códigos de acesso, cartão de crédito e muito mais. Keyloggers muitas vezes trabalham em conjunto com cavalos de Troia de portas dos fundos.

Spam

Na sua versão menos prejudicial, o spam é simplesmente uma versão eletrônica do lixo eletrônico. No entanto, o spam pode ser muito perigoso se for usado como parte de uma campanha de mistificação da interface ou se incluir links para sites infectados que faz download de vírus, worms ou cavalos de Troia no computador da vítima.

Phishing

Phishing é uma forma sofisticada de ataque malicioso, no qual os cibercriminosos criam uma versão falsa de um site verdadeiro, como um serviço bancário online ou um site de rede social. Quando a vítima visita o site falso, o site utiliza métodos de engenharia social para obter informações valiosas da vítima. Phishing é muitas vezes usado para golpes de roubo de identidade e para roubar dinheiro de contas bancárias e cartões de crédito.

Ransomware

Cavalos de Troia ransomware são projetados para extor-quir dinheiro. Normalmente, o cavalo de Troia ou cripto-grafa dados sobre a vítima no disco rígido do computador - para que a vítima não possa acessar seus dados - ou bloqueia totalmente todo o acesso ao computador. O cavalo de Troia ransomware exige, então pagamento para desfazer essas mudanças.

(42)

Infecções cavalo de Troia ransomware podem se espalhar via e-mails de phishing ou podem ocorrer quando um usuário visita um site que contém um programa malicioso. Como os sites infectados podem incluir sites legítimos que foram infiltrados por cibercriminosos, os riscos de pegar uma infecção ransomware não são de modo algum limitados a visitas a sites suspeitos.

Ataques distribuídos de negação de serviço (DDoS)

Os cibercriminosos usam ataques distribuídos de negação de serviço, a fim de tornar o computador ou rede indispo-nível para o seu uso pretendido. As metas para esses ataques podem variar. No entanto, o site de uma empresa é muitas vezes o foco principal para um ataque.

Com a maioria das empresas, dependendo de seu site para atrair e interagir com clientes, qualquer coisa que acarrete no mau funcionamento do site, executado lentamente ou deixando de permitir o acesso dos clientes, pode ser muito prejudicial para o negócio.

Existem muitas formas diferentes de ataque DDoS. Por exemplo, os cibercriminosos podem infectar grandes quantidades de computadores de usuários inocentes e, em seguida, usá-los para bombardear o site da empresa alvo com um enorme volume de tráfego inútil. Isso pode sobrecarregar os computadores que executam o site da empresa vítima e fazer com que o site fique lento ou falhe totalmente.

(43)

37 Entendendo outros riscos

de segurança

Além dos tipos específicos de ataque que explicamos na seção anterior, a sua empresa precisa se proteger contra outros perigos.

O que está incomodando o negócio?

Praticamente todos os aplicativos de software e sistema operacionais que sua empresa executa são suscetíveis de conter “bugs”. Muitas vezes, estes erros no código de computador não podem causar nenhum dano direto. No entanto, alguns criam vulnerabilidades que os cibercriminosos podem explorar a fim de obter acesso não autorizado aos seus computadores.

Essas vulnerabilidades agem um pouco como se deixasse a porta do escritório aberta - exceto pelo fato de que os cibercriminosos não apenas marcham em sua área de recepção, eles ficam bem no coração do seu computador. O uso de tais vulnerabilidades para instalar malware está agora difundido, por isso é importante manter os aplicativos atualizados e corrigidos (não ignore os avisos de atualização de software ou os adie como um incômodo). Algumas soluções de software de segurança incluem recursos de “varredura de vulnerabilidades” - para identificar qualquer aplicativo ou vulnerabilidades do sistema operacional no seu negócio de TI da rede - e pode ajudá-lo a aplicar “remendos” que corrigem as vulnerabilidades para que os cibercriminosos não possam explorá-las.

(44)

Riscos ao usar Wi-Fi público

Com hotéis, aeroportos e restaurantes que oferecem aos clientes acesso gratuito a uma conexão Wi-Fi pública, é fácil verificar o e-mail e acessar as informações de negócios quando você está fora. No entanto, é também muito fácil para os cibercriminosos espionarem redes públicas de Wi-Fi e capturar informações que você envia ou acessa. Isto poderia significar que os criminosos ganhariam acesso direto às suas contas de e-mail de negócios, a sua rede de negócios de TI e suas senhas para transações financeiras.

Online Banking e a necessidade

de segurança adicional

Usar Online Banking tornou-se um mecanismo extremamente importante para muitas empresas. É conveniente e economiza tempo. No entanto, sempre que você estiver realizando todas as transações financeiras online, você pode estar no seu estado mais vulnerável.

Os cibercriminosos desejam monitorar computadores de suas vítimas e dispositivos móveis, a fim de saber quando a vítima está visitando um site de banco ou serviço de pagamento online. Em seguida, programas especiais keylogger podem capturar as informações digitadas. Isso significa que o cibercriminoso pode roubar sua senha furtivamente - para que ele possa acessar sua conta e roubar seu dinheiro, sem você saber.

Felizmente, alguns produtos de software de segurança incluem tecnologias que fornecem camadas adicionais de proteção quando você está realizando transações financeiras online.

(45)

39 Spear phishing

Spear phishing é outra forma sofisticada de ataque. O cibercriminoso procura capturar informações pessoais - talvez por espionagem em uma conexão Wi-Fi pública. Mais tarde, o cibercriminoso que utiliza informações pessoais para adicionar um verniz de credibilidade a um e-mail de phishing que tem como alvo um negócio. Por exemplo, se o cibercriminoso consegue acessar um dos posts do seu empregador em um site de rede social e descobre alguns detalhes sobre o recente feriado do funcionário, o cibercriminoso pode depois usar essa informação em um e-mail de phishing. Quando o empregado recebe um e-mail de alguém fingindo ser um colega - e aquele e-mail menciona alguns detalhes sobre férias do empregado - é mais provável se parecer com um e-mail verdadeiro. E, se a mensagem pede ao empregado para clicar e confirmar o acesso à rede da empresa, o cibercriminoso pode capturar as senhas de acesso necessárias.

Laptops perdidos

Todos nós já lemos sobre aqueles indivíduos infelizes que já deixaram seus laptops em táxis, trens ou restaurantes. O potencial de informações de negócios altamente sensíveis caindo nas mãos erradas é alarmante. Quando isso acontece, pode danificar seriamente a reputação do negócio de uma organização e resultar em multas pesadas. Uma saída é escolher uma solução de segurança que criptografa as informações da empresa para que, mesmo se um laptop for perdido ou roubado, seja praticamente impossível que cibercriminosos acessem as informações no disco rígido do laptop.

(46)

As ameaças móveis

Indivíduos e empresas podem ambos cair na armadilha de pensar que os seus smartphones e iPhones são apenas telefones. Eles não são: eles são poderosos computadores que podem armazenar uma grande quantidade de informações confidenciais da empresa - assim, perda ou roubo de um aparelho celular pode causar graves violações de segurança. Se um smartphone perdido ou roubado não estiver protegido com um PIN (ou, melhor ainda, um código mais longo), quem acessa pode simplesmente acessar qualquer conta online usada no dispositivo.

Entendendo a criptografia

A criptografia é uma forma particularmente astuta de vencer os criminosos em seu próprio jogo. Assim como espiões na versão mais recente de cinema codificam as mensagens de forma que apenas os seus destinatários pode entendê-las, a criptografia permite codificar informações sensíveis do seu negócio - por isso as informações não podem ser decodificadas sem a chave de decodificação necessária.

Isso significa que se alguma das informações confidenciais da sua empresa for acessada por cibercriminosos, eles não serão capazes de vê-la em sua forma legível - a menos que tenham a sua chave secreta de decodificação.

No caso de um membro de sua equipe perder seu laptop ou esquecer um cartão de memoria USB cheio de informações confidenciais, se os dados no laptop ou cartão de memória já tiverem sido criptografados, você pode evitar o constrangimento de vazamento de informações.

(47)

41

No entanto, algumas soluções incluem recursos de segurança operados remotamente - tais como os que lhe dão a possibilidade de contato com o seu telefone perdido e permissão para ‘limpar’ todos os dados dele.

DICA Se a sua solução de segurança escolhida também incluir um recurso de criptografia de dados, isto também pode adicionar uma camada adicional de proteção. Mesmo se um criminoso encontrar o telefone antes que você perceba a sua falta - e você ainda não tenha tido a chance de limpar seus dados - o fato de que as informações sobre o telefone foram criptografadas garantem que o criminoso não conseguirá ler os dados. Além disso, como smartphones e tablets de hoje são realmente computadores, eles são vulneráveis a um volume crescente de malware e ataques que se tornaram comuns em desktops e laptops - incluindo vírus, worms, cavalos de Troia, spam e phishing. Portanto, é imprescindível a utilização de software de segurança para proteger dispositivos móveis (para saber mais, obtenha a sua cópia gratuita do Mobile Security & BYOD para Leigos no site: http://brazil.kaspersky.com/

(48)

(49)

Capítulo 4

Planejamento para melhor

segurança da informação

Neste capítulo

▶ Beneficiando-se de uma simples avaliação de seus riscos de negócios

▶ Melhorando a sensibilização para as questões de segurança do seu pessoal

▶ Compreendendo como a computação em nuvem pode afetar a segurança

▶ Avaliando os prestadores de serviços de computa-ção em nuvem

Q

uando se trata de segurança de TI, algumas pessoas pensam: “É tudo muito difícil. Vou cruzar os dedos e esperar pelo melhor”. Desejamos-lhes boa sorte com essa abordagem. No entanto, quando os seus clientes e parceiros de negócios começam a processar a empresa como resultado de um incidente de perda de dados, a empresa não deu realmente muito com que seu advogado de defesa pudesse trabalhar. Assim, neste capítulo, vamos considerar algumas medidas de segurança simples que você pode introduzir sem gastar nada em software ou hardware - e nós consideramos como a computação em nuvem pode afetar a estratégia de segurança de uma empresa.

(50)

Negócio arriscado?

A realização de uma avaliação de risco pode soar como uma tarefa onerosa que é melhor realizada por uma equipe de cientistas com jalecos brancos e pranchetas. No entanto, se você está interessado em melhorar a segurança da informação, nesta seção nós compartilharemos alguns conceitos simples que formam a base de uma avaliação de valor dos riscos que a sua empresa enfrenta.

Comece fazendo a si mesmo algumas perguntas básicas: ✓ Onde as informações da minha empresa estão

armazenadas?

✓ Qual é o valor destas informações - para o meu negócio e para um responsável por um ataque em potencial?

• Quais seriam as consequências para o meu negócio, se qualquer informação confidencial caísse nas mãos erradas?

• Como é que um vazamento de informações afetaria as relações do meu negócio com clientes, colaboradores e parceiros de negócios?

• Qual seria o custo provável - em termos de perda/ penalidades financeiras e reputação empresarial danificada?

✓ O que meu negócio está fazendo para proteger as informações confidenciais?

✓ As disposições de segurança da informação da minha empresa são adequadas?

• Como essas disposições de segurança se comparam com a norma prevista dentro do meu setor de mercado e para o meu tamanho de negócio? (Não se esqueça, conforme seu negócio cresce, você provavelmente vai precisar

(51)

45

implementar níveis mais elevados de segurança da informação.)

• Será que um tribunal concorda que a segurança da minha empresa é suficiente? (Uma resposta honesta a essa pergunta pode acabar com qualquer empresa que esteja tentando varrer toda a questão para debaixo do tapete ao mentir para si mesma que uma segurança inadequada é boa!) ✓ Qual é a probabilidade de o meu negócio sofrer um

vazamento de informações confidenciais? (Lembre-se, isso poderia resultar de um evento simples, como a perda de um laptop ou smartphone. Não importa o quanto você é diligente, até que ponto os seus funcionários são cuidadosos?)

Suas respostas serão úteis para ajuda-lo a decidir sobre como proceder para melhorar a segurança da informação.

Educando funcionários na arte da segurança

Quando se trata de proteger informações valiosas,

“o precavido vale por dois” (“quatro braços” também ajudariam a tirar mais proveito do seu dia de trabalho - mas, a menos que o seu negócio seja na indústria biônica, isso nunca vai acontecer!). Então, certificar-se de que você e seus funcionários estejam cientes da grande variedade de riscos de segurança - e como evitá-los - é essencial. É surpreendente como muitas empresas não conseguem dedicar esforços o suficiente para espalhar a notícia sobre a melhor prática de segurança entre o seu pessoal - apesar de que educar os funcionários sobre os riscos de segurança e como evitá-los pode ser uma das formas mais rentáveis de tornar a vida mais difícil para cibercriminosos. Trazer funcionários para o seu lado na batalha por uma melhor segurança não precisa ser difícil:

(52)

✓ Considerar todos os riscos do cibercrime que podem afetar o seu negócio e decidir sobre como seus funcionários podem ajudar a evitar esses riscos de malware potenciais. Apesar do caráter sofisticado das ameaças de hoje, muitos ataques começam simples-mente enganando alguém para fazer algo que põe em risco a segurança do negócio, tal como clicar em um link num e-mail que lança pishing.

✓ Elaborar e compartilhar uma política de segurança que defina claramente como você espera que sua equipe se comporte com relação à manutenção da segurança e eliminação de riscos desnecessários. ✓ Realizar sessões de sensibilização do pessoal

regular-mente. Destinam-se a aumentar a conscientização sobre questões principais, tais como:

• A necessidade de usar senhas diferentes para cada aplicação e conta. • Os perigos do Wi-Fi público e como evitá-los. • Como detectar tentativas de lançamento de phishing. • As consequências da perda de um dispositivo móvel para segurança.

✓ Aplicar a política de segurança da sua empresa - por exemplo, certificando-se de que todos usam senhas fortes para proteger o acesso a informações de negócios, contas bancárias e muito mais (veja a barra lateral “O que faz com que uma senha seja forte?” para obter dicas sobre isto).

✓ Revisar a política de segurança, como e quando surgem novos riscos ou adotar novos processos de trabalho.

✓ Executar cursos de reciclagem para manter as quest-ões de segurança em mente para seus funcionários.