Como você protege as crianças ao seu redor dos perigos do mundo digital?

A internet pode ser um lugar hostil para quem não conhece seus perigos. E quando pensamos em crianças, a situação é ainda mais delicada, já que os pequenos têm menos acesso a informações sobre privacidade e muitas vezes são expostos por adultos que também não entendem todas as consequências de suas ações online. 

Muitos pais e familiares contam suas experiências de vida por meio das redes sociais e, às vezes, divulgam informações de caráter pessoal das crianças. Sharenting é uma expressão que vem da união das palavras “share” (compartilhar) e “parenting” (criação dos filhos e todas as responsabilidades envolvidas) e que vem tomando forma com discussões sobre privacidade e também os riscos envolvidos em super exposição.

Além disso, a infinidade de informações disponíveis na rede coloca crianças e pré-adolescentes em contato com conteúdos que eles ainda não tem condições de absorver e interpretar, colocando-os em uma posição do vulnerabilidade que pode afetar toda a família.

Separamos algumas dicas para que você possa compartilhar com seus colegas, amigos e familiares e assim ajudar a construir uma internet mais segura para todos!

⚠️  Configure a privacidade de redes sociais e evite postagens excessivas de fotos das crianças. Você sabia que, segundo uma pesquisa da Knowthenet de 2017, até os 5 anos de idade os pais já compartilham mais de 1.000 fotos dos filhos na internet?

⚠️  Antes de postar fotos, confira se há pistas da vida pessoal na imagem: uniforme escolar, nomes de rua, marcações em locais que fazem parte da rotina. Tudo isso permite a criminosos montar um dossiê sobre a família.

⚠️ Nunca compartilhe imagens de crianças nuas ou semi nuas! Fotos em piscina, de fralda ou mesmo qualquer exposição do corpo pode ser usada por pedófilos.

⚠️  Não compartilhe imagens que possam constranger a criança agora ou no futuro. A internet não perdoa e todas as ações têm consequências. Pense em como isso pode afetar emocionalmente a criança em sua adolescência ou vida adulta.

⚠️  Ative o bloqueio de conteúdos inapropriados em sites de busca. No Google Chrome, a página de Preferências oferece o Safe Search (Busca Segura), que elimina das pesquisas todos os conteúdos impróprios. Nenhuma solução é perfeita, mas você conseguirá proteger a criança de conteúdos explícitos.

⚠️  Atente-se a golpes direcionados a crianças que oferecem brindes ou acessos a jogos em troca de informações pessoais, como aqueles que pedem para enviar os dados de cartão de crédito dos pais. Assine a The Hack para ficar por dentro de notícias sobre cibersegurança!

Conscientize sua família e vamos juntos construir uma internet mais segura!

A Flipside tem mais de 10 anos de know-how em conscientização em Segurança da Informação, transformando políticas em materiais didáticos e lúdicos. Quer saber como ajudar seus usuários a terem comportamentos seguros na vida pessoal e profissional?

Em meio a um cenário de isolamento social não estamos comemorando os 12 anos da Flipside juntos, mas sim virtualmente com nossos colaboradores espalhados por todo o Brasil.

Mesmo à distância nunca estivemos tão próximos e conectados pelo mesmo propósito. Como em diversos momentos da nossa história, aprendemos a nos reinventar, nos adaptamos e continuamos crescendo.

Doze anos contam muitas histórias de sucessos, gargalhadas, aprendizados, despedidas, mas, acima de tudo, de pessoas. Somos feitos de pessoas que construíram nossa história com a gente. São profissionais que passaram pela nossa empresa e hoje constroem suas próprias histórias levando um pedacinho da gente, são centenas de clientes que acreditam nos nossos produtos, são milhares de participantes dos nossos eventos, são voluntários que nos inspiram com sua dedicação aos projetos e parceiros que estão do nosso lado para o que der e vier.

Agradecemos a todos que nos acompanharam até aqui #JuntosADistancia

Permalink

]]>12 anos de FlipsideBlogGuest UserWed, 24 Jun 2020 14:55:10 +0000https://www.flipside.com.br/blog/flipsideendeavor55c378d4e4b031b2fa7cbe45:56b0bcde0bfe8e3564e50199:5ef367a761afe551a7b84ba9Temos orgulho de anunciar que Flipside foi selecionada, dentro de centenas de empresas, e faz parte do seleto grupo de 16 empresas que participarão do Programa Scale-UP Endeavor B2B em 2020. A Endeavor, organização global de apoio ao empreendedorismo sem fins lucrativos, realiza anualmente a seletiva com empresas de base tecnológica que ofereçam soluções escaláveis e eficientes para grandes corporações em diversos setores. 

A Flipside criou e trabalha incansavelmente para manter um ecossistema onde público, clientes, parceiros e colaboradores se sintam inspirados, confortáveis e seguros. Promovemos, através da disseminação do conhecimento, um ambiente que empodere as pessoas e empresas sobre a importância da segurança da informação. E, hoje, o reconhecimento desse ecossistema, que conta com 5 frentes de negócio, mostra que estamos no caminho certo.

Além dos serviços de Campanhas de Conscientização em Segurança da Informação, os softwares Eskive e Hackaflag e nossos eventos Roadsec e Mind The Sec fazem parte desse ecossistema que já impactou mais de 200 mil pessoas de todo o país, seja através dos eventos, seja em treinamentos.

“Fundamos a Flipside com a percepção de que o mercado brasileiro de cyber security era pequeno demais para o seu potencial global, e que problemas estruturais, como a falta de mão de obra, prejudicariam seu crescimento. Assim nos dedicamos inicialmente a criar um grande ecossistema, que permitiria o surgimento de diversas soluções com tecnologia nacional, voltadas para nossas necessidades, mas com grande potencial de exportação. Estamos muito felizes que, apesar de termos optado por um caminho mais longo, esse esforço foi reconhecido e que os frutos do nosso trabalho são em alguma medida compartilhados com toda nossa comunidade”, conta Anderson Ramos, CEO da Flipside. 

“O mercado de cibersegurança cresce num ritmo superior ao do mercado de tecnologia há muitos anos. A recente pandemia acelerou ainda mais este processo e antecipou um futuro onde segurança e tecnologia precisam caminhar juntas para atender aos desejos dos novos consumidores, tornando-se um diferencial para todos os profissionais. Mas a segurança esperada jamais será atingida sem a gestão adequada dos riscos humanos, e esse é nosso core business há anos”, conta Priscila Meyer, COO da Flipside.

Falar sobre segurança da informação dentro de uma empresa não é uma tarefa simples. Inclusive, esse assunto ganhou uma importância gigantesca em um curto intervalo de tempo — até poucos anos atrás, crimes cibernéticos não representavam uma preocupação constante para os gestores, visto que as ameaças digitais não traziam riscos significativos.

Porém, os simples vírus que deixavam uma máquina lenta ou inoperante logo se transformaram em complexos códigos maliciosos que roubam e até mesmo sequestram dados sensíveis, causando prejuízos financeiros à corporação - basta vermos as graves consequências que os ataques em massa de ransomware trouxeram às empresas em diversos lugares do mundo. 

O cibercrime evoluiu e está se aprimorando constantemente, adotando novas técnicas para invadir os ambientes corporativos. Campanhas de spear phishing são cada vez mais comuns, tais como os ransomwares e uma série de fraudes online. Se antes os contraventores eram internautas que escreviam malwares por pura diversão. Hoje, os inimigos são verdadeiras quadrilhas organizadas que trocam informações entre si em fóruns obscuros e compartilham de recursos para invadir redes privadas. Não seria exagero dizer que estamos vivendo em clima de guerra.

Nesse cenário, é cada vez mais comum vermos empresas apostando todo o seu budget em soluções de segurança endpoint, como programas de antivírus e softwares derivados. De fato, esses produtos são úteis e ajudam bastante na proteção do ambiente profissional; porém, sozinhos, eles não fazem milagres.

O mais importante é blindar o elo mais fraco da segurança, que é o usuário — o alvo dos ataques de engenharia social. E é daí que a surge a importância de contar com um programa de conscientização bem estruturado, garantindo que todos os seus colaboradores estejam preparados para enfrentar novas ameaças.

É aí que surge a necessidade de uma campanha de conscientização completa para desenhar e implementar uma estratégia de capacitação, monitorar os resultados, responder de forma estruturada e planejada aos incidentes e aumentar a maturidade ao longo do tempo.

Primeiros passos...

O primeiro passo para uma campanha bem-sucedida é elaborar sua política de segurança da informação — ou seja, o conjunto de regras, procedimentos e orientações que vão nortear todas as ações educacionais a serem desenvolvidas. Uma política interna deve, entre outras coisas, descrever as prioridades de proteção de dados, definir a classificação de confidencialidade para cada tipo de informação e orientar os funcionários a respeito de processos básicos de segurança (incluindo as melhores práticas para uso do e-mail, apps de comunicação e assim por diante).

Planeje suas ações

Antes do planejamento em si, é necessário saber qual o nível de conscientização que a sua empresa possui, para então implantar ações que façam sentido para o momento - criando materiais que realmente condizem com o nível de conhecimento e não algo que seja simples ou muito complexo. Saiba também reconhecer os diferentes perfis existentes na organização, não é preciso atingir todos de uma vez. Diferentes públicos precisam de diferentes mensagens e abordagens, escolha os mais críticos primeiro, depois vá aumentando o processo e aprendendo com ele. Em seguida, é preciso planejar a melhor forma de garantir que a campanha atinja seu público-alvo, definindo as mídias que serão utilizadas e a linguagem adotada para a comunicação interna. 

Objetivos em curto, médio e longo prazo

O objetivo principal de uma campanha de conscientização é transformar os hábitos dos colaboradores, fazendo com que eles tomem decisões mais seguras na sua vida profissional e pessoal. 

Mas, além disso, o profissional de SI deve levar em consideração as pessoas, a cultura vigente e o momento em que a empresa se encontra, para traçar objetivos e planos que consigam atingir o público de modo certeiro.

Você pode considerar também objetivos complementares aos da conscientização dos usuários, por exemplo:

• Convencer um público específico sobre a importância do tema;

• Diminuir conflitos com outros departamentos, como de TI e conformidade;

• Mostrar a importância de uma área de pouca visibilidade.

• Dito isso, é muito importante saber priorizar seus objetivos, de modo que os resultados não sejam diluídos e se tornem pouco relevantes.

Apoio de outras equipes

É importante contar, ainda,  com a colaboração de todos os departamentos da empresa, principalmente de RH, Comunicação Interna e Compliance, que podem ter mais experiência em treinamentos e comunicação e podem ser de grande ajuda neste projeto. Porém, além disso, o ideal é procurar apoio de um parceiro externo que seja especializado no tema e possa prover materiais de alta qualidade.

Ações

Palestras com profissionais renomados, por exemplo, costumam ser eficazes e bem-aceitas por qualquer tipo de público. Cartazes, flyers, boletins e outros tipos de informativos, sejam eles impressos ou digitais, também são uma ótima pedida. O mais importante é garantir que a mensagem seja transmitida de um jeito fácil de entender — o uso de analogias e comparações é importante para mostrar que esse assunto faz parte do dia a dia das pessoas, que pode sim ser algo divertido e dinâmico. Além disso, os materiais devem ser criativos e atrativos e também por que não surpreender a equipe com canais e ações fora do comum?

Assuntos básicos

O ideal para uma campanha de conscientização é abordar os assuntos mais relevantes para a sua empresa, a personalização aqui é sempre um ponto positivo. Porém existem alguns assuntos que precisam ser tratados de alguma forma nas campanhas de qualquer empresa. Alguns deles são: senhas, conexões seguras, antivírus, firewall, atualizações de software, mensagens suspeitas, backup, mesa limpa, descarte seguro e computação móvel.
Tente encontrar uma maneira de incorporar todos estes assuntos para criar uma campanha completa.

Métricas

Após a implementação da campanha, é necessário aplicar análises que meçam a eficiência de todos esses materiais distribuídos aos colaboradores e até ver onde é possível melhorar para os próximos passos. Além disso, é preciso criar ações educativas a serem aplicadas periodicamente, principalmente em ambientes muito dinâmicos e com alta rotatividade, para que os usuários não se esqueçam do que foi aprendido e coloquem esses conhecimentos em prática de maneira regular.

LGPD E SEUS IMPACTOS

A Lei Geral de Proteção de Dados (LGPD) entrará em vigor ano que vem e já não se pode ignorá-la principalmente durante os próximos meses, pois a preparação deve começar agora.

Mas por que? Se uma organização se preocupar com o departamento de Segurança da Informação somente a partir de agosto de 2020 será tarde demais. O processo de conscientização é algo orgânico e, como toda aprendizagem, leva tempo para realmente se concretizar em hábitos seguros.

As chances de uma empresa com uma boa campanha de conscientização implantada sofrer com multas e advertências são muito menores. Não espere que uma multa ocorra ou que a divulgação de um vazamento de dados prejudique a imagem da sua corporação para a partir daí se preocupar com a Segurança da Informação.

Aprendendo todos os dias

Por fim, lembre-se que a conscientização deve estar constantemente presente na rotina dos profissionais — de nada adianta um treinamento momentâneo se os colaboradores eventualmente vão acabar se esquecendo daquilo que eles aprenderam (ou cairão em novas ameaças que até então eram desconhecidas).

Um programa eficaz deve ser contínuo, incentivando o respeito às políticas internas e criando um canal funcional para o reporte de incidentes de segurança. Afinal, temos diversos fatores que mudam ao longo do tempo como: 

• Rotatividade de pessoal

• Evolução tecnológica permanente

• Melhora da maturidade de SI pelo aumento e/ou aperfeiçoamento dos controles

• Mudanças de paradigma como computação móvel ou em nuvem

• Aumento da sofisticação e inventividade dos ataques

Bem-vindo à Conscientização em segurança da informação como processo permanente!

Entenda o porquê instituições devem se adaptar à LGPD o quanto antes.

No final de junho, o Mercosul e a União Europeia fecharam um Acordo de Associação. O trato busca simplificar o comércio entre os dois blocos e facilitar as trocas de marcos regulatórios, tarifas alfandegárias, regras sanitárias, propriedade intelectual e compras públicas. É uma ótima oportunidade comercial para as empresas brasileiras, mas as que atuam com e-commerces e utilizam dados de usuários ou consumidores devem ter uma preocupação a mais, elas precisam se adequar à Lei de Proteção de Dados Pessoais (LGPD) que entrará em vigor no Brasil em 2020.

Relação entre o Acordo de Associação e a LGPD

A União Europeia pensando na segurança dos dados de sua população criou a GDPR, Regulamento Geral de Proteção de Dados. As normas criadas em 2016 garantem e resguardam a privacidade das informações dos cidadãos da UE. Inspirado na legislação europeia, o governo brasileiro desenvolveu a LGPD. São diretrizes que têm como objetivo trabalhar em função da segurança e maior controle das informações digitais dos brasileiros. Por faltar mais de um ano para entrar em vigência, as empresas estão adiando até a última hora para se adaptarem às novas regras.

Com o acordo de livre comércio entre o Mercosul e a UE, e-commerces e organizações que se abastecem de informações de usuários necessitam se adequar o quanto antes à LGPD, para que consequentemente estejam em conformidade com a legislação de proteção de dados do continente europeu, a GPDR. Dessa forma, as possibilidades de relação comercial com países que integram a UE poderão se concretizar.

Como seguir as diretrizes da LGPD

A Lei de Proteção de Dados Pessoais entrará em vigor em agosto de 2020 e determina que os dados só podem ser coletados, armazenados ou divulgados com a autorização do proprietário. E as companhias deverão informar aos usuários, de maneira clara, o que fazem com os dados e quais informações estão sendo utilizadas.

As instituições que trabalham com os dados da população brasileira, a partir da Lei de Proteção de Dados, serão obrigadas a adotar medidas para prevenir quaisquer riscos de vazamento ou violação. Com isso, as companhias precisam analisar suas atitudes internas voltadas para a defesa de dados e garantir que seus colaboradores tenham ciência da importância de todas as mudanças que estão por vir com a nova Lei.

Penalidades em caso de vazamentos

Com a lei em vigência, as organizações que tiverem informações expostas, terão até 72 horas para informar seus clientes e assegurar soluções para o problema. Caso seja comprovado um vazamento por negligência (como sistemas desatualizados ou senhas fracas), advertências e multas de até R$ 50 milhões ou até 2% do faturamento anual, a depender da gravidade do incidente, poderão ser aplicadas.

O acordo de livre comércio entre os blocos Mercosul e União Europeia fará com que as empresas brasileiras tenham a necessidade de se adequar à LGPD, mesmo antes da lei entrar em vigor. Dessa forma, poderão desenvolver, de forma eficaz, estratégias de proteção e conscientização em segurança da informação em suas instituições. Confira nossos conteúdos e saiba como construir ambientes seguros e livres de ameaças.

Prepare-se para a LGPD e evite que sua empresa seja impactada negativamente

A Lei Geral de Proteção de Dados (LGPD) se aproxima e muitas empresas permanecem ignorando suas consequências e as mudanças que a lei causará no mercado.

Primeiramente, toda organização que armazena dados de clientes ou usuários precisa ficar atenta à mudança, pois multas e advertências serão executadas em empresas que não se comprometerem com a proteção que todo dado sensível de terceiros deve ter. O cenário brasileiro está crítico em Segurança da Informação. Segundo pesquisa realizada pelo Ponemon Institute, companhias brasileiras sofreram prejuízos em torno de US$ 7,2 milhões a cada ciberataque sofrido em 2018. O que indica que há muito o que se fazer para evitar falhas na área de Segurança da Informação. De acordo também com o Relatório Global de Inteligência de Ameaças deste ano, a maturidade em Segurança da Informação das companhias do mundo todo está pontuada em 1,45 quando a escala vai de zero a cinco.

A partir dos dados acima, percebemos que a LGPD é mais do que essencial para o nosso contexto. Com ela, espera-se que vazamentos não ocorram livremente e muito menos sem as consequentes punições.

Mas a quais vulnerabilidades minha empresa pode estar exposta?

Quando falamos de LGPD, podemos seguir por dois caminhos benéficos. O primeiro deles é que as empresas tomarão mais cuidado com os dados administrados por elas, já o segundo é que as mesmas organizações obrigatoriamente precisarão dar importância à Segurança da Informação, área que deixará de ser vista como opcional.

Ambos benefícios fazem com que as companhias se tornem mais seguras. Uma empresa com boas políticas de Segurança da Informação e com colaboradores que possuem hábitos seguros está muito menos suscetível a ataques de diversas naturezas.

As vulnerabilidades que uma empresa enfrenta são inúmeras e por isso Campanhas de Conscientização têm desempenhado papel importantíssimo na proteção dos dados. Hábitos inseguros como deixar a tela do computador desbloqueada, não fragmentar documentos sigilosos antes do descarte e compartilhamento excessivo de mídias removíveis comprometem a sua companhia e podem causar enormes prejuízos não só a você como a terceiros.

Se hábitos simples precisam ser corrigidos, imagine as vulnerabilidades um pouco mais complexas como o phishing (mensagens falsas enviadas com o intuito de iludir e coletar informações do destinatário). Muitas portas ainda continuam abertas para vulnerabilidades que podem causar um vazamento de dados da empresa, bem como um vazamento de informações de clientes ou usuários.

O que minha empresa já pode começar a fazer?

Fica nítido que a organização que investir em Segurança da Informação trabalhando nos hábitos de seus colaboradores terá menos preocupações relacionadas à LGPD. Em outras palavras, se os costumes começam a ser corrigidos desde já, o impacto da LGPD na empresa será minimizado.

Logo, Campanhas de Conscientização são necessárias para prevenir que dados confidenciais da própria empresa e de terceiros sejam vazados. Em uma única iniciativa, como implementar uma campanha da Flipside, a empresa deixa de ser alvo fácil de ataques.

Como dito anteriormente, as vulnerabilidades aumentam e a preocupação das organizações não parece crescer no mesmo ritmo. Não espere que o vazamento de dados ocorrido em sua empresa seja divulgado publicamente para começar a se preocupar com a Segurança das Informações. Evite que a imagem da sua organização seja prejudicada e siga construindo seu caminho com mais credibilidade no mercado.

Mais do que nunca, os hábitos dos colaboradores de sua organização podem trazer grandes prejuízos.

Com a chegada da Lei Geral de Proteção de Dados (LGPD), todas as empresas que armazenam dados de terceiros precisarão ter um novo olhar para a área de Segurança da Informação. As organizações que se recusam a ter uma perspectiva mais cuidadosa com as informações armazenadas terão alta probabilidade de sofrer prejuízos financeiros e de imagem.

Antivírus, Firewall, VPN e a equipe de Tecnologia da Informação são úteis, porém tudo isso está longe do necessário para que uma empresa fique imune aos riscos e às punições previstas na LGPD. É indispensável que qualquer organização atue no comportamento humano, ou seja, na transformação dos hábitos dos colaboradores.

Campanhas de Conscientização em Segurança da Informação agem exatamente neste âmbito. Com elas, funcionários adquirem conhecimentos que blindam seus dados pessoais, bem como as informações sigilosas e sensíveis da empresa.

Campanha de Conscientização como transformadora de hábitos

Sem perceber, os funcionários, durante a campanha, começam a se reeducar e os processos da empresa se tornam mais práticos e seguros, uma vez que ela lidará com menos burocracia e prejuízos relacionados a envios de documentos sigilosos para destinatário incorreto e acessos a links maliciosos que chegam por email, por exemplo.

Os hábitos incorretos mantidos intrinsecamente na cultura das empresas brasileiras são inúmeros e vão desde os mais comuns, como deixar documentos confidenciais na impressora por horas, até os mais complexos, que é o caso de roubo de informações através de um perfil fake de rede social simulando ser um colaborador detentor de cargo alto na organização (CEO Fraud).

Empresas que adotam a Campanha de Conscientização da Flipside inibem drasticamente esses e outros riscos colaborando para que se mantenha a saúde do negócio, bem como a tranquilidade de estar de acordo com as normas da LGPD.

A relação entre a LGPD e a Campanha de Conscientização

A LGPD chega para ressaltar que dados de usuários e clientes não podem mais sofrer vazamentos e ficar por isso mesmo. Entretanto, os cuidados que as corporações precisam tomar não devem ser justificados pela ocorrência de uma possível multa alta ou advertência, mas sim porque simplesmente todo dado confidencial de terceiros precisa ser mantido em sigilo.

Com isso, a LGPD busca não somente obrigar que empresas respeitem os dados armazenados como transforma esta cultura de que vazamento de dados é comum e continuará acontecendo de maneira desenfreada.

Estar mais preparado para a LGPD e ainda defender sua organização contra ataques, golpes e invasões já é possível com uma Campanha de Conscientização bem estruturada. De fato, comportamentos inadequados podem deixar não somente informações sensíveis expostas como prejudicar a imagem da sua empresa para sempre, uma vez que apurada e confirmada a infração, ela pode se tornar pública.

Não deixe que seu negócio seja um dos afetados negativamente por advertências e multas, aproveite a LGPD para reafirmar que sua empresa é responsável e merece ser referência no mercado.

Saiba de uma vez por todas como o seu negócio pode ser afetado se não estiver de acordo com a LGPD.

Muito tem sido falado sobre a Lei Geral de Proteção de Dados (LGPD), mas o impacto que ela deve causar no mercado ainda não está totalmente claro para as empresas que armazenam dados de qualquer natureza de seus clientes.

As consequências obviamente dependerão da gravidade do ocorrido que vão desde advertências até multas com valores significativos, podendo essas prejudicar o caixa da empresa e até mesmo a continuidade da empresa no mercado em caso de reincidências.

De fato, caberá à Autoridade Nacional de Proteção de Dados penalizar as empresas. Como dito acima, a ANPD poderá gerar uma advertência para que o incidente seja regularizado em prazo a ser definido, bem como aplicar multas de até 2% sobre o faturamento obtido pela empresa no último exercício, considerando como teto o valor de R$ 50.000.000,00. Ou seja, quanto mais grave, maior será a consequência para o responsável pelo descuido com os dados.

Multas diárias também poderão ser aplicadas com a LGPD para que a infração logo seja sanada. Além disso, toda infração apurada e já confirmada pode se tornar pública, o que pode danificar a imagem da sua empresa para sempre.

Por isso, evitar o descuido com os dados pessoais de terceiros armazenados por sua empresa é mais do que essencial para manter seu negócio saudável.

Confira as seis principais sanções propostas pela LGPD:

I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo
ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;

A LGPD também prevê que a punição não somente será baseada na gravidade da infração, como nos seguintes fatores: a boa-fé do infrator, a vantagem que o infrator obteve ou pretendia obter, sua condição econômica, a reincidência de acontecimentos semelhantes e a cooperação do infrator na solução para o incidente.

Segurança da Informação agora é prioridade!

A Segurança da Informação já não pode mais ser tratada como opção nas empresas e a LGPD chegou para reafirmar a obrigação e a responsabilidade que toda organização deve ter quando o assunto é a informação sensível de seus clientes ou usuários. Em outras palavras, precisa ficar cada vez mais claro que garantir a proteção dos dados não consiste em mais um gasto para a empresa, mas sim em um investimento necessário.

Por todos esses motivos, as campanhas de conscientização em Segurança da Informação nunca fizeram tanto sentido na empresas, pois elas, de fato, buscam atingir os comportamentos inadequados que comprometem o sigilo das informações sensíveis e confidenciais.

Já pensou se sua empresa, além de ser multada por um vazamento de dados, sofre um ataque direcionado causado por um mau hábito de alguns colaboradores que poderia ser facilmente evitado através da educação que uma campanha de conscientização poderia oferecer?

A Flipside acredita e segue provando que colaboradores com hábitos seguros diminuem indubitavelmente as chances de golpes e incidentes de Segurança da Informação em grandes, médias e pequenas empresas. Só sofre consequências quem tratar a LGPD como novidade e algo distante, bem como a empresa que ainda enxerga a segurança como algo secundário e que deve permanecer em segundo plano.

Saiba como utilizar e garantir a segurança dos seus dados na hora de fazer backup

Uma prática essencial quando falamos em segurança da informação para garantir a proteção de arquivos importantes é o backup. É a cópia de documentos a fim de garantir o acesso aos dados, mesmo quando os conteúdos originais são perdidos ou ameaçados por ataques de cibercriminosos. Uma alternativa prática para duplicar e compartilhar informações é o serviço de cloud. Entenda como funciona esta forma de armazenamento e saiba como se proteger de possíveis ameaças.

Você já ouviu falar em Cloud?

Praticamente todos os serviços que você consome nos dias de hoje na internet são baseados no conceito de nuvem, como as redes sociais e os populares aplicativos de streaming musicais e de vídeos, por exemplo. A concepção de guardar arquivos "no ar" e poder acessá-los de qualquer lugar do mundo é o diferencial desta forma de backup.

Cloud computing ou computação em nuvem é uma plataforma que oferece a informação de forma online a qualquer um que tenha permissão de acessá-las, basta estar com um dispositivo ligado à internet. Desta forma, pessoas e instituições podem se conectar com facilidade, trabalhar colaborativamente em um mesmo arquivo e assim potencializar seus processos de forma segura.

Vantagens de utilizar a cloud

• Seus conteúdos em um só lugar

É inegável a praticidade oferecida, pois é possível concentrar em um único local todas as formas de acesso, diferentes funcionalidades e assim criar um sistema integrado para toda a empresa.

• Preço justo

Geralmente as plataformas disponibilizam um espaço mínimo para guardar informações de forma gratuita. Caso precise expandir a capacidade é necessário pagar por isso, mas o valor é equivalente a quantidade de armazenamento e processamento que for utilizado, ou seja, o serviço sempre irá se adaptar às necessidades do usuário e desta forma ele irá pagar apenas pelo o que precisar.

• Maior proteção

Estes servidores são preparados para receber cópias de dados com mais segurança e qualidade. Sem contar que os usuários serão redirecionados automaticamente para uma cópia de um outro servidor, caso o original dê problemas.

Cuidados ao fazer backup na cloud

Apesar de todas as vantagens, também precisamos ter um comportamento seguro no uso de cloud para não prejudicar a segurança das informações. Por conta disso, é importante conferir a privacidade dos documentos, principalmente no caso dos sigilosos e ao compartilhá-los confira o acesso liberado a terceiros (edição, visualização ou comentários).

Quando for enviar arquivos confidenciais, procure utilizar algum método de criptografia.

Benefícios para sua empresa

O conceito não é apenas guardar dados na nuvem e acessá-los de qualquer local. É possível também reduzir o investimento de infraestrutura, diminuir a necessidade de equipes especializadas em serviços não relacionados ao seu negócio, além de abrir a possibilidade de crescimento da companhia de forma colaborativa, integrando diferentes áreas e assim aumentar a efetividade dos projetos.  

Segundo Arles Sant Ana, diretor técnico da Axislera, startup de alta eficiência em serviços de TI, as empresas, ainda têm um receio muito grande em fazer a migração para a nuvem. O medo é de que os dados sigilosos da companhia sejam acessados por pessoas não autorizadas e com isso se enganam ao achar que a segurança interna é superior ao serviço de cloud.  

A ação de transferir as informações da instituição para nuvens é a apropriada no momento em que vivemos, no qual estão acontecendo diversos vazamentos. Somente durante os seis primeiros meses de 2018, cerca de 300 dados pessoais vazaram por segundo, conforme a pesquisa realizada pela a empresa holandesa de segurança digital, Gemalto.

Por mais que seja indicado mudar de hábito e realizar o backup de dados é preciso ter muito cuidado. O especialista em Cloud Computing e CTO na Datafly Tecnologia, Gustavo Vila Verde, acredita que por mais que as organizações estejam entusiasmadas em migrar para os serviços de cloud, a maioria delas não está preparada para tal feito. A grande questão, segundo Vila Verde, é o planejamento, as empresas precisam se planejar para conseguir utilizar a infraestrutura, que inclusive tem capacidade suficiente para atender a demanda.

Além do planejamento para começar a utilizar o serviço, o CTO aconselha ter a mesma preocupação que se deve ter ao armazenar informações em locais físicos, mantendo assim todas as regras, ferramentas, políticas e acessos de segurança.

Com a digitalização dos documentos da organização, fica garantido mais proteção e uma fácil recuperação em caso de incidente, pois mídias físicas, como pen drive, podem ser danificadas e o resgate do conteúdo pode se tornar impossível.

Agora que você já sabe o que é cloud computing e as vantagens pessoais e para a sua empresa neste tipo de backup, acesse outros textos do blog da Flipside e fique por dentro do mundo da Segurança da Informação.

A todo momento trocamos diversos e-mails e mensagens no whatsapp, efetuamos pagamentos online, acessamos aplicativos bancários e não nos damos conta da quantidade de informação que produzimos. Por conta disso é preciso estar sempre atento para evitar ataques de cibercriminosos. Os perigos surgem na mesma velocidade em que as tecnologias evoluem, com isso é preciso investir em opções rápidas e eficazes para se defender. Uma delas é a inteligência artificial. Vamos entender como a inovação tecnológica pode se tornar uma grande aliada para a Segurança da Informação.

Inteligência Artificial e Machine Learning

IA são sistemas inteligentes compostos por diferentes métodos, ferramentas e algoritmos. A aplicação desta tecnologia pode aparecer de diferentes formas no dia a dia, como em assistentes de voz presentes na maioria dos dispositivos móveis ou em carros autônomos, por exemplo.

Machining learning é um termo ligado à inteligência artificial e é um sistema preparado para ler padrões de fluxos de dados ao ponto de conseguir identificar uma ação suspeita em meio a uma grande quantidade de conteúdo. O software é muito importante na prevenção de fraudes, pois consegue reconhecer e mapear supostas práticas fraudulentas de forma rápida e automatizada.

Tipos de fraudes

Falsidade ideológica/documental

É o uso deliberado de informações de identificação de terceiros. Os dados pessoais de qualquer natureza são documentos extremamente sensíveis. É necessário ter cuidado ao enviar esse tipo de conteúdo, pois criminosos utilizam do acesso ilegal para efetuar ataques. O processo de falsidade ideológica é comum, por conta disso, é importante não preencher formulários online sem conhecer a procedência e a finalidade.

Auto-fraude

Essa prática pode acontecer quando um usuário efetua a compra de algum produto de pela internet e, após o recebimento, ele entra em contato com o banco alegando desconhecer a compra efetuada. Ocasionando assim no estorno do valor. É um golpe difícil de ser detectado e tem se tornado bastante comum.

Fraude interna

São investidas que ocorrem dentro da própria empresa e para evitar ser uma vítima é essencial sempre manter a tela da máquina bloqueada ao sair do ambiente, evitar anotar senhas e jamais deixar documentos sensíveis impressos sobre a mesa.

Os golpes também podem aparecer através da Engenharia social. São práticas criminosas que precisam da ação da vítima para que sejam concluídas, entre elas pode-se encontrar: phishing e smishing, são as mensagens falsas enviadas por e-mail, chats e SMS; vishing, são as conhecidas ligações falsas; baiting, são os  ataques por meio de mídias removíveis infectadas e tailgating, invasão física em uma empresa específica.

Como a machine learning funciona contra ameaças?

Esta subcategoria da IA consegue apresentar resultados mais precisos do que o controle humano. Ela é capaz de identificar movimentações quase indetectáveis, como roubo de pequenas quantidades em diferentes contas ou o acesso de informações privadas por um criminoso. Quanto mais a ferramenta trabalha, mais ela "aprende", com isso consegue entregar resoluções mais rápidas e precisas, mesmo em grande escala.  Desta forma uma instituição tem mais chances de evitar prejuízos.

As técnicas de machine learning possibilitam que as empresas possam trabalhar para melhorar suas falhas e assim impedir possíveis invasões e perigos digitais, pois o sistema é habilitado para reconhecer se conteúdos privados estão sendo utilizados de forma indevida e imediatamente bloquear a transação. A inteligência artificial além de propiciar que o software reconheça perfis de risco e bloqueie transações suspeitas, também previne de forma mais eficiente o uso de dados de terceiros por pessoas mal-intencionadas.

Acesse outros materiais presentes no blog da Flipside e saiba como se prevenir de fraudes.

A praticidade que a internet oferece é incontestável, à medida que essa ferramenta avança tecnologicamente, ataques de cibercriminosos também se modernizam e oferecem cada vez mais riscos para os usuários. Uma das principais ameaças digitais é o ransomware, um tipo de vírus que infecta o equipamento da vítima e faz uma espécie de sequestro de dados. A característica central desta investida é o pedido de um pagamento de resgate, feito pelos hackers, para que as informações sejam liberadas.

Segundo a pesquisa realizada pela ESET, companhia líder em detecção proativa de ameaças, no ano de 2018 houve ciberataques em grande escala que atingiram milhares de sistemas operacionais e servidores em menos de uma hora. De acordo com a análise, os três pontos mais atingidos são: acesso remoto, e-mail e cadeia de suprimentos.

Como é feito um ataque de ransomware?

A infecção acontece de forma silenciosa por meio de um clique em algum link malicioso, recebido por um e-mail não solicitado, conhecido como phishing, ou por download de um arquivo contaminado em algum site. O vírus se instala na máquina e libera o acesso para o criminoso, desta forma ele começa a criptografar todo o conteúdo desejado, a fim de impedir o acesso da vítima as suas próprias informações.  

Em dispositivos móveis a invasão pode ser ainda mais simples. A instalação de um aplicativo baixado em uma loja não oficial pode ser a porta de entrada para ações mal-intencionadas.

Ao acessar o computador do alvo desejado, o hacker pode invadir outros sistemas operacionais que estiverem conectados pela mesma rede e assim sequestrar mais dados. A pessoa afetada ainda corre o risco de mesmo com o pagamento não ter seus pertences devolvidas.

O que fazer para evitar um sequestro de informações?

Primeiramente é essencial que sua máquina tenha um antivírus instalado e se durante a varredura for detectado algo suspeito, efetue a limpeza imediatamente. Práticas seguras durante a navegação na internet também é fundamental. Evite clicar ou abrir arquivos suspeitos, não visite sites duvidosos, não abra e-mails de remetentes desconhecidos, tenha as atualizações de aplicativos, softwares e sistemas sempre em dia e faça backup, crie cópias de segurança de seus dados, principalmente dos mais importantes, assim garantirá o acesso a eles, mesmo após algum incidente.

Tipos de ransomware

Ainda conforme o relatório do ESET, existem quatro formas de bloquear o conteúdo particular da vítima.

• Crypto: os dados armazenados no dispositivo são criptografados.

• Screen Locker: bloqueia o acesso à tela do equipamento.

• Diskcoder: o disco completo é criptografado e isso impede o usuário de acessar o sistema operacional.

• PIN locker: altera o código de acesso especificamente de equipamentos Android, para bloquear seus usuários.

Prejuízos para sua empresa em caso de invasão

A Kaspersky, após pesquisa, afirma que o Brasil é o país mais afetado por ransomware na América Latina, já foi o alvo de 92% dos ataques no continente. As companhias precisam estar atentas, pois os prejuízos podem ser irreversíveis. Sem a proteção adequada podem ter sua credibilidade afetada, ter danos financeiros, perda de informações importantes e até paralisação caso máquinas essenciais sejam afetadas.

Como devo proceder após contaminação?

Infelizmente a recuperação de dados criptografados ainda não é assertiva e eficiente.  Por conta disso é recomendável que a máquina contaminada seja isolada da rede imediatamente, para que não afete outros dispositivos. Caso tente recuperar os arquivos, não formate o HD, pois isso irá reduzir as chances de ter de volta os conteúdos desejados e é importante identificar o tipo de ransomware invasor, para isso existem ferramentas online que podem lhe auxiliar nesse processo.

Venha conhecer os conteúdos da Flipside e saiba como eles podem te ajudar a ter hábitos seguros enquanto estiver navegando na internet e assim evitar ter seus dados bloqueados por conta de um ransomware.

Hoje é o Dia da Internet Segura e você sabe quantos dados já foram vazados online? Para se ter ideia, somente no primeiro semestre de 2018, mais de 3 bilhões foram comprometidas no meio digital, segundo o Breach Level Index da Gemalto.

Mas se você deseja números mais atuais, então por que não falarmos da maior violação de dados públicos em volume da história, descoberta em janeiro deste ano? O pesquisador de segurança e criador do site Have I Been Pwned, Troy Hunt, encontrou um arquivo que estava sendo publicado em um fórum hacker que continha nada mais, nada menos do que 87 GB de dados, entre eles mais de 700 milhões de e-mail únicos e 20 milhões de senhas.

Não apenas pela quantidade de informações expostas, esse vazamento chamou atenção também pela proteção aos donos desses dados, uma vez que a posse de um endereço de e-mail facilita o trabalho de pessoas mal-intencionadas. No âmbito pessoal você pode ter diversas contas invadidas, principalmente se usa a mesma senha em diferentes serviços (então pause a leitura e atualize suas senhas agora).

E quando alguém consegue acessar suas contas, também pode se passar por você para conseguir informações privilegiadas ou repassar arquivos maliciosos. Você sabe… não é legal receber mensagens dos amigos informando que seu perfil está enviando um vírus. Agora imagine as consequências dessa situação em um ambiente corporativo.

Internet Segura no ambiente de trabalho

Sabe por quê atacantes estão de olho em contas de e-mail corporativo? Com a lista de áreas e o mapeamento dos perfis de uma empresa, é possível desenvolver ataques direcionados e esses ataques podem ser para obter informações; infectar dispositivos ou causar danos a sistemas.

E como esses criminosos têm acesso aos e-mails corporativos? Algumas empresas deixam os contatos de seus funcionários em seus sites, para facilitar a comunicação com algumas áreas, mas também pode partir dos maus hábitos dos colaboradores, que o cadastram em serviços online, como redes sociais ou e-commerces.

Lembre que o e-mail corporativo é para uso profissional e serviços externos não funcionam de acordo com as Políticas de Segurança da Informação da sua empresa.

Redes Sociais: como garantir sua privacidade

Facebook, Instagram, Twitter, LinkedIn e tantas outras redes sociais são uma extensão das nossas vidas no ambiente digital. Compartilhamos nossos pensamentos, crenças e interesses nesses espaços. Também trocamos muitas informações com nossos amigos, familiares e colegas de trabalho.

Nunca utilize suas redes sociais pessoais para compartilhar informações sensíveis de trabalho (principalmente para enviar senhas de serviços para outras pessoas). Converse com a equipe de Segurança da Informação para saber qual a maneira recomendada para a troca segura de dados.

Sempre leia os Termos de Uso para saber como os seus dados podem ser compartilhados. E, de tempos em tempos, avalie os acessos dados a aplicativos de terceiros e vinculados a sua conta nas redes sociais.

Fake News e importância da checagem de fatos

Fake News são informações falsas criadas com o propósito de causar confusão e desinformação. As redes sociais e as ferramentas de trocas de mensagens, como o WhatsApp, ampliaram significativamente seu poder e propagação.

Para chamar a atenção das pessoas, essas notícias são escritas com títulos bombásticos e apelam para o emocional e a urgência. Além do conteúdo não ser verdadeiro, também pode ter objetivos bem menos nobres como difamar alguém ou alguma empresa. Então lembre-se de checar se a notícia é verdadeira antes de compartilhá-la.

Segurança é um exercício diário! Esteja atento às suas atividades nos ambientes digitais. Conheça as pessoas com quem você troca informações na internet e não compartilhe seus dados pessoais em sites suspeitos ou sem ter certeza das motivações de quem pede a informação.

Saber que os riscos existem, isso todos sabem, mas o que fazer ante a eles? Ter esse conhecimento é o grande diferencial hoje em dia para manter suas informações protegidas, seja você uma empresa, seja um usuário comum.

Conhecimento esse que é obtido não apenas acompanhando o que o mercado divulga sobre golpes, ameaças e afins ou investindo em novas ferramentas, mas também conversando sobre o assunto. E nada melhor que isso do que ouvir dos especialistas de mercado como as fraudes acontecem, principalmente quando envolve planos bem elaborados, ações que contam com a ajuda das vítimas sem que essas percebam e até estratégias à la enredo de cinema, como é o caso da Engenharia Social.

Foi pensando nisso que o Eskive patrocinou a Trilha de Engenharia Social no Roadsec São Paulo 2018, realizado no dia 10 de novembro, que contou com 7 palestras. Se você não conseguiu acompanhar, não tem problema: a partir de agora, ao longo dos próximos meses, tais conteúdos serão divulgados no Youtube do Eskive.

Veja abaixo a programação de divulgação das palestras:

Palestra: The dark side e a luz no fim do túnel da engenharia social - Marina Ciavatta

Quais são as técnicas usadas em invasões físicas a grandes empresas no Brasil? Aprenda com Marina, gerente de comunidade na Flipside, como um invasor usa truques básicos de comportamento e psicologia para burlar a segurança e conseguir acesso a informações sensíveis e como detectar, prevenir e conscientizar a equipe para reportar ações suspeitas a tempo para proteger seus dados!

Data de divulgação: 15/01

Palestra: Engenharia Social - Tips and Tricks  - Bruno Chucky

Analista e consultor de Segurança da informação, Bruno Chucky aborda em sua palestra técnicas que ele mesmo utiliza, além de dicas para quem pretende aprimorar suas próprias técnicas passando pelos mesmos caminhos que percorreu.

Data de divulgação: 29/01

Palestra: Eu Sou o Perigo – 10 Anos de Engenharia Social - Anderson Tamborim

Como o próprio nome da palestra já deixa claro, Tamborim é especialista em Investigação de Fraudes em Ambiente Corporativo, Engenharia Social e Segurança da Informação, além de perito em Análise da Conduta Não Verbal. Em sua apresentação, ele conta histórias reais de sua experiência e fala, ainda, sobre alguns conhecimentos básicos que todo profissional de segurança necessita para tornar-se e, ou, entender melhor este tipo de ator no ambiente da cibersegurança.

Data de divulgação: 12/02

Palestra: A arte de invadir - Como um invasor pensa? - Jordan Bonagura

Em sua palestra, Jordan procura falar se forma divertida e inovadora a maneira de pensar de um hacker/pesquisador de segurança da informação. Bonagura é Membro da Comissão de Crimes de Alta Tecnologia da OAB, professor e coordenador de curso em TI, Fundador do SJC Hacker Clube e palestrante em eventos de segurança da informação.

Data de divulgação: 26/02

Palestra: Fake News as a Service - Jonas Uliana

Qual a relação entre Fake News e Engenharia Social? Jonas mostra como a manipulação de informações pode ser útil no ambiente digital para fins maliciosos, servindo desde o compartilhamento de notícias falsas, até a realização de golpes, como campanhas de phishing.

Data de divulgação: 12/03

Palestra: Red Team Diary: Meu recon falhou e agora? - Arthur Paixão

Durante uma atividade de red teaming seu recon falha, aí vem a pergunta, o que fazer? Na palestra de Arthur Paixão você verá como elevar a engenharia social a outro nível.

Data de divulgação: 26/03

Palestra: Caçando unicórnios - como equipes disruptivas se expõem a ataques direcionados - Renoir Reis

O cenário de inovação carrega a bandeira da troca de conhecimento entre empresas, porém até onde a exposição das tecnologias utilizadas é saudável?

Data de divulgação: 09/04

Estamos a poucos dias de comemorar o Natal e o Réveillon — a tão aguardada hora de repensar tudo o que fizemos ao longo de 2018 ao mesmo tempo em que desejamos conquistas ainda maiores em 2019. Essa é uma época do ano em que as pessoas se divertem, participam de festas e, principalmente, trocam presentes para simbolizar o afeto para com as pessoas amadas. Não é à toa que se trata de um sazonalidade preciosa para o comércio, que investe em promoções e campanhas de marketing bem elaboradas.

Porém, não são só os lojistas que se aproveitam das compras compulsivas dos consumidores durante esse período. Os criminosos cibernéticos também sabem que, durante o Natal e o Ano Novo, fica muito mais fácil enganar os internautas mais afoitos com golpes de phishing ou correntes em redes sociais cujo objetivo é, basicamente, coletar o máximo de dados sensíveis que for possível. Aliás, os crimes digitais aumentam em toda e qualquer data comemorativa, incluindo Dia das Mães, Dia dos Pais, Black Friday e assim por diante. Por isso, é essencial manter a atenção redobrada para não cair em uma cilada.

Já está acontecendo!

Se você acha que estamos exagerando, saiba que especialistas já identificaram campanhas maliciosas que, em poucas horas, enganaram pelo menos 40 mil internautas ao redor do Brasil. Uma delas utilizava indevidamente o nome de uma famosa marca de cosméticos e prometia três brindes: um batom, um lápis retrátil ou uma máscara de cílios. Para ter acesso aos supostos presentes, porém, a vítima precisava informar seus dados pessoais, incluindo nome completo, endereço e até mesmo um CPF válido — o scam era tão elaborado que contava com um verificador para atestar a veracidade do documento.

Em outra campanha, os meliantes se apropriaram de uma marca de refrigerantes e prometeram um kit composto por uma garrafa térmica e seis garrafas da bebida. Novamente, para participar, o internauta era seduzido a preencher um formulário com informações pessoais e compartilhar a falsa promoção no WhatsApp. Com esse método, os criminosos conseguem viralizar a página maliciosa com rapidez e facilidade, visto que forma-se uma corrente de pessoas repassando o golpe sem sequer perceber que estão sendo enganadas. Bastam poucos minutos para que a mentira se espalhe.

Pesca de Natal

Além das correntes de WhatsApp, essas festividades também marcam um aumento vertiginoso nas tentativas de phishing — isto é, quando o criminoso envia um email falso para lesar a vítima de alguma maneira, seja com um anexo infectado (distribuindo malwares) ou direcionando-a para um link que contenha o golpe em si. Falando especificamente do Natal e do Ano Novo é muito comum o uso de telas falsas que simulam com perfeição, por exemplo, a página de compra de um produto em uma loja confiável. A vítima adquire o item e realiza o pagamento, mas o dinheiro vai direto para o criminoso.

Imagine, por exemplo, que você recebe um suposto email marketing de uma loja virtual famosa alertando para uma promoção imperdível — um celular de última geração pela metade do preço convencional. O fator emocional costuma impulsionar o internauta, que clica no link e compra o gadget (que nunca será entregue) sem pensar duas vezes. O mesmo pode ocorrer com passagens aéreas, contratações de serviços, reservas de restaurantes ou até mesmo tickets promocionais — as possibilidades são inúmeras.

E engana-se quem pensa que as únicas vítimas são os consumidores finais. O spear phishing, que é personalizado e direcionado a um alvo específico, também se torna mais comum nas festas de fim de ano. Um funcionário desatento pode receber um falso email de sua própria companhia lhe orientando a se cadastrar em um formulário para receber um brinde em casa, e, sem consultar a equipe de segurança da informação com antecedência, acaba entregando dados sensíveis de mão beijada.

Algumas dicas básicas

Sabemos que o Natal e o Ano Novo são épocas que despertam nosso desejo de comprar, presentear e — porque não? — ser presenteado, mas as práticas básicas de proteção digital jamais devem ser esquecidas. Não deixe que seus funcionários descuidem da segurança no ambiente corporativo. Lembre-se sempre: o usuário é o elo mais fraco no resguardo de dados digitais. Logo, conscientizar e educar seus colaboradores são a chave para manter um ambiente empresarial seguro e livre da ação de criminosos cibernéticos.

Oriente-os a ter mais cuidado com tentativas de phishing, sejam eles genéricos ou direcionados. Recebeu alguma promoção suspeita? Antes de clicar em um link ou baixar um anexo, é bom consultar o site oficial e as redes sociais da marca em questão para saber se ela realmente está organizando aquela oferta. Vale até mesmo ligar para o serviço de atendimento ao consumidor (SAC); se realmente for uma tentativa de golpe, é interessante aproveitar e alertar os atendentes sobre essa campanha maliciosa!

Está encarando uma promoção em uma loja virtual que parece boa demais para ser verdade? Use um truque simples: coloque o produto no carrinho, como se fosse comprá-lo, mas não faça o pagamento. Feche a janela do navegador. Abra uma nova guia e digite manualmente o endereço da loja em questão. Se a promoção for verdadeira, o item ainda estará no carrinho, pois os grandes e-commerces guardam sua sessão mesmo se o navegador for fechado. Se o carrinho estiver vazio, o anúncio era falso.

Vale a pena até mesmo pensar em ações e mini-campanhas específicas para propagar esse tipo de dica e reforçar as políticas internas de segurança durante tal período tão conturbado. Afinal, ressaltar essa postura de “desconfiar de tudo e de todos”, mas de uma forma saudável, nunca é demais quando estamos tentando nos livrar de golpes cibernéticos. Boa sorte e boas festas!

A proteção dos dados vem assumindo parâmetros como antes jamais vistos. Não só as empresas estão mais focadas em investir nela, como também é um assunto mais comum entre os usuários finais — por mais que esses ainda não estejam totalmente conscientizados dos riscos e de como seus comportamentos contribuem para as vulnerabilidades, eles já têm certa noção de como o vazamento de informações pode ser prejudicial.

Não por menos, quase 30% dos brasileiros diz preferir ter suas casas ou carros roubados do que sofrer um ataque cibernético, segundo uma pesquisa realizada pela Kaspersky Lab e a empresa de pesquisa chilena CORPA.

Porém, há um caminho para evitar que vazamentos ocorram? Processos e ferramentas surgem aos montes no mercado, mas eles podem não ser tão úteis se não houver o conhecimento de como usá-los. Veja, então, nosso infográfico, que explica um pouco sobre esse caminho:

Ano passado comentamos com vocês sobre o impacto de datas comemorativas do varejo, como a Black Friday, no seu negócio — caso seus colaboradores não estejam plenamente conscientizados em Segurança da Informação.

Riscos de ataques na Black Friday e em outras datas comemorativas

Independente da área em que sua empresa atua, todos nós somos alvos de ataques cibernéticos, principalmente nessas datas que remetem ao impulso consumista que existe em nós. Diversas promoções falsas começam a circular e muitos acabam clicando em algum objeto de desejo sem se atentar aos sinais de fraude.

Quando criminosos possuem nosso login e/ou senha, é possível que consigam acessar nossa lista de contatos, nossas redes sociais, nossas trocas de e-mails e muito mais. Por isso é tão importante garantir que nenhum colaborador utilize o e-mail corporativo em e-commerces e outros serviços online.

Invista no capital humano da sua empresa

Vamos reforçar aqui que os colaboradores são os bens mais preciosos do seu negócio. Quando as pessoas compreendem o que está em jogo, se comprometem com uma série de hábitos que ajudam a evitar que a empresa corra riscos. Além disso, o conhecimento extrapola a empresa e passar a ser uma ação corriqueira no cotidiano deles.

Planeje maneiras para que cada um de seus funcionários esteja engajado em entender e seguir as boas práticas da Segurança da Informação. O envolvimento de toda a equipe é um benefício para a empresa, que se preocupa mais com prevenção do que com contenção de riscos, e também para a sociedade, que começa a evitar grandes casos de fraude.

Comece ainda esse ano uma campanha de conscientização

Está em dúvida sobre como fazer isso? Existem diferentes maneiras de desenvolver uma campanha de conscientização:

• Ação de Phishing: descubra o quão atentos seus funcionários estão aos golpes mais clássicos

• Semana de Segurança: desenvolva uma ação intensiva com momentos interativos e palestras

• Campanha educativa: crie peças de comunicação exclusivas com os assuntos que colocam sua empresa em risco

Entre em contato com quem entende de conscientização em segurança da informação e monte a estratégia ideal para o perfil da sua empresa.

As redes sociais são facas de dois gumes. Se por um lado elas dão voz para qualquer cidadão e lhe permite dizer ao mundo o que se pensa sobre determinado assunto, por outro, ela também abriu as portas para discursos de ódio, atos de intolerância virtual e bullying digital. Estamos vivendo tempos conturbados e uma simples postagem no Facebook pode resultar em conflitos violentos, por exemplo.

Felizmente, a maioria das plataformas sociais contam com recursos de privacidade voltados a quem deseja ter um pouco mais de paz enquanto navega na web. O serviço de Mark Zuckerberg, por exemplo, permite até mesmo que o internauta volte atrás e altere a visibilidade de uma publicação antiga, escolhendo se ela poderá ser vista por amigos, amigos de amigos ou um número limitado de pessoas que você escolher.

É fácil efetuar tal configuração. Vá até a postagem em questão e clique no pequeno ícone localizado ao lado da data e horário na qual a publicação foi feita. Você terá seis opções à sua disposição:

• Público: qualquer pessoa poderá ver aquele conteúdo, mesmo que ela não esteja logada no Facebook;

• Amigos: somente quem estiver em sua lista de amizades poderá enxergar a postagem;

• Amigos, exceto…: aqui você pode selecionar exceções de sua lista de amizade que não serão capazes de enxergar a publicação;

• Amigos específicos: esta opção lhe permite exibir o conteúdo apenas para contatos que você escolher;

• Somente eu: ninguém poderá ver aquela postagem;

• Personalizado: opção própria para quem deseja aplicar um filtro mais refinado;

• Outros: para limitar a visibilidade por localização, amigos da faculdade, colegas do trabalho e assim por diante.

Os mais radicais, se assim preferirem, podem visitar a página de Configurações do Facebook (clicando no ícone de seta, localizado no canto superior direito da página), e ir na aba “Privacidade”. Nesta tela, além de limitar todas as publicações antigas de forma automática e configurar a privacidade-padrão das próximas, é possível escolher quem pode publicar na sua linha do tempo, lhe enviar mensagens, ver seus amigos e te encontrar pelo seu número de telefone.

E fora do Facebook?

O Twitter infelizmente não permite que você altere a visibilidade de publicações antigas; caso tenha se arrependido de ter postado algo, a única forma de voltar atrás é apagando o conteúdo mesmo. Porém, é possível esconder seus tweets futuros. Para isso, entre na página de configurações da plataforma, vá em “Privacidade e Segurança” e habilite a checkbox “Proteger seus Tweets”.

Nesta mesma página, você pode excluir todos os dados de geolocalização (inclusive de mensagens anteriores) e definir se os internautas poderão encontrá-lo pelo seu email ou celular, tal como marcá-lo em fotos.

Adotando essas medidas simples, você consegue desfrutar das redes sociais com maior tranquilidade e segurança, evitando conflitos e possíveis discursos de ódio.

Todos os dias recebemos mais notícias sobre o crescimento dos investimentos em Segurança da Informação, a necessidade de mão de obra qualificada para novas vagas que surgem e a visão positiva de lideranças quanto a importância dos profissionais atuando de maneira ativa nas empresas. A aprovação da LGPD também abre os olhos dos gestores, que precisam adaptar sua infra-estrutura e conscientizar os colaboradores.

Igor Rincon, Product Manager da Flipside, começou o Painel “Metrificando um programa de conscientização” destacando alguns dados da 3ª Pesquisa Nacional sobre Conscientização Corporativa em Segurança da Informação. O tema Phishing continua sendo uma reflexão necessária ao debate: como a maioria dos gestores teme que seus colaboradores caiam no golpe (21,23%), as Simulações de Phishing são vistas como as ações mais eficazes de uma campanha (19,8%) e é uma das poucas ações que os gestores conseguem metrificar de maneira objetiva (15,01%).

O próximo passo para as Campanhas de Conscientização: metrificar as ações

Campanhas de Segurança da Informação têm um perfil próprio: moldam hábitos para que os colaboradores de uma empresa estejam preparados em caso de possíveis ataques. Esse formato preventivo muitas vezes é difícil de ser mensurado. “Além de engajamento e participação, as lideranças querem ver resultados”, comenta Fernando Galdino, Information Security Officer da Eurofarma.

José Santiago, Information Security Officer no Banco Máxima, também trouxe a discussão para o painel: “ainda não é claro como correlacionar a conscientização com a quantidade de incidentes”. Em geral, quando uma campanha de conscientização é lançada em uma organização, os reportes de incidentes aumentam pois os colaboradores passam a prestar mais atenção em suas ações. Mas apenas com a continuidade do projeto é possível começar a metrificar a eficiência da Campanha.

“Outro desafio é aumentar o engajamento e o apoio das lideranças nesse processo”, agrega Celso Quintanilha, Account Manager na CheckPoint. A busca pelos modelos de metrificação é também uma maneira de garantir que lideranças e boards visualizem os resultados das campanhas e apoiem a continuidade das ações, servindo, inclusive, como exemplo para todos os colaboradores.

Cultura de Segurança: do ambiente corporativo para a sua casa

A cultura de segurança tem um ponto de inflexão fundamental: o colaborador. “Uma grande dificuldade é trazer o senso de preocupação para o funcionário e esse é o ponto-chave de qualquer Programa”, comenta Santiago. Um dos objetivos das campanhas de conscientização é fazer com que todos percebam os benefícios em criar hábitos seguros não só na empresa, mas também em suas vidas pessoais.

“Tecnologia faz parte das nossas vidas e a todos os instantes, nós, como usuários modernos, também temos que nos educar em casa”, comenta Quintanilha. O plano ideal para uma campanha de conscientização em segurança da informação é ampliar o conhecimento para práticas do colaborador fora da empresa. Como compartilhar essa informação que é tão necessária com amigos e familiares?

Vale reforçar também que qualquer ambiente corporativo é diversificado e é necessário criar conteúdos que alcancem todos os perfis. Como é o caso da Eurofarma, que possui um público interno vasto, com diferentes níveis de conhecimento e que nem sempre todos têm acesso a computadores no trabalho, mas possuem contato com informações. “Quando falamos com público que não tem acesso a computadores é preciso fazer um conteúdo adaptado e que traga sentido à vida da pessoa”, adiciona Galdino.

A cobertura completa do Mind The Sec São Paulo 2018 você pode acompanhar nas redes sociais oficiais do evento. Você pode ver trechos de falas dos palestrantes e painelistas no Twitter, assistir o ao vivo do painel do TSE na página do Facebook e pegar alguns insight na página do LinkedIn.

Setembro foi um mês agitado para a Segurança da Informação no Brasil. Depois da aprovação da LGPD já tivemos alguns casos de vazamento de dados.

• Ministério Público investiga C&A por vazamento de dados de clientes

• Boa Vista SCPC apura possível vazamento de dados de brasileiros

Setembro também foi o mês do nosso evento de segurança da informação para ambientes corporativos, o Mind The Sec. Recebemos um painel histórico sobre segurança da urna eletrônica com representantes do TSE.

• Em debate com especialistas, TSE defende segurança das urnas eletrônicas

• A urna eletrônica é segura? Em princípio sim, mas há quem discorde

Você lembra do caso da C&A? Criamos um infográfico com o passo a passo do que aconteceu:

Para evitar desgastes da imagem da sua empresa, é importante desenvolver ações e campanhas de conscientização em Segurança da Informação na sua empresa. Aproveite que Outubro é o Mês da Segurança para planejar atividades na sua organização.

Sempre falamos sobre a necessidade de desenvolver hábitos e uma cultura de segurança. Ambientes corporativos podem ajudar os colaboradores a pensar na temática e levar boas práticas para casa, ensinando familiares e amigos.

Mas você já parou para pensar que estamos cercados de nativos digitais? Crianças e adolescentes convivem com equipamentos eletrônicos, redes sociais e todo tipo de facilidade que a internet permite desde muito cedo. Você sabe como conversar com eles sem parecer que ainda vive em outro milênio?

Para um futuro digital seguro, eduque os jovens

Antes de ir cobrar determinados comportamentos de crianças e adolescentes, pense se você também mantém bons hábitos:

• Não repasse discursos de ódio

• Não repasse informações sem checar a fonte

• Não adicione desconhecidos

• Não passe dados pessoais para desconhecidos

Fake News - o problema do século XXI. O Brasil é um dos países que mais repassa informações sem checar fontes. Espalhar notícias falsas pode ser considerado crime e, caso a notícia impacte de maneira negativa a vida das pessoas, pode ter agravantes. Se você repassa mentiras que podem ser verificadas com facilidade na internet, está abrindo espaço para que seus filhos desconfiem de você. Que tal assumirmos um pacto com a responsabilidade!?

Você presenteia crianças com tecnologia?

Muitos brinquedos estão conectados com a internet. Por um lado, traz uma série de estímulos que ajudam as crianças a desenvolver diversas habilidades. Mas você sabia que é possível invadir esses brinquedos? Atacantes podem filmar a rotina da sua casa e até mesmo conversar com seus filhos, conseguindo acesso a dados pessoais de toda a família - o que por consequência pode se transformar em um caso de extorsão ou outro crime.

Para estimular que crianças tenham um comportamento seguro na internet, apresente o projeto do Google: Be Internet Awesome. Através da gamificação, é possível ensinar conceitos e comportamentos que vão garantir uma vida digital saudável, escapando dos riscos que a internet também traz.

Adolescentes entendem melhor e não podem cometer mais esses erros

Compartilhar informações nas redes sociais é divertido! Faz com que adolescentes mantenham relações com seus amigos, conhecendo um pouco mais os seus interesses. Mas também é uma maneira que os atacantes conseguem pinçar informações para criar golpes e tentar tirar dinheiro de você e da sua família.

Sabe aqueles testes com respostas engraçadinhas? Muitos jovens compartilham esse conteúdo, mas além de ser uma maneira de direcionar publicidade, mapeando todos os gostos dos usuários, também é uma forma de capturar dados pessoais.

E se esse dados acabam vazando, o atacante pode conseguir acessar além de redes sociais, alguns equipamentos e dispositivos, comprometendo também a privacidade do adolescente. Por isso termos de uso e opções de compartilhamento (público/privado) são muito importantes, esteja sempre atento a forma como você permite que sites e outros serviços utilizam seus dados.

Vamos conversar sobre a importância da privacidade

Algumas opções para você gerenciar o acesso dos seus filhos:

• Deixe o dispositivo utilizado em um local compartilhado: assim você consegue ver as atividades realizadas

• Limite o tempo de navegação: estabeleça horários para entrar nas redes sociais

• Ative filtros de conteúdo: uma maneira de garantir que determinados termos não chegarão ao seu filho

• Crie listas negras no navegador: para evitar que sites específicos sejam acessados

Mas lembre-se que todos nós precisamos de um espaço só nosso. Não invada a privacidade de crianças e adolescentes. Se você perceber comportamentos atípicos, tente entender o que está acontecendo e se mostre aberto para que eles contem seus problemas para você.

Para participar das próximas edições do nosso treinamento de autodefesa gratuito, acompanhe nossas redes sociais e receba em primeira mão nosso chamado. O Krav Mabytes acontece todo mês no prédio do InovaBra.