Neste episódio do SegInfocast, recebemos Felipe Negri, CEO e sócio do PinBank, para uma conversa direta sobre os desafios do mercado financeiro em um cenário cada vez mais regulado, digital e exposto a riscos cibernéticos.

Ao longo do episódio, falamos sobre:
Inovação no setor financeiro e o papel das instituições;
Regulação do Banco Central como ponto de partida, não como fim;
Banking as a Service e a importância de manter foco no core do negócio;
Cibersegurança como ativo estratégico e diferencial competitivo;
Inteligência artificial, identidade e novos riscos cibernéticos.

Quer entender como preparar sua empresa para as novas exigências do Banco Central sem perder agilidade e inovação?
Acesse nosso conteúdo sobre adequação: https://clavis.com.br/lp-ebook-bacen-1/

The post SegInfocast #91 – Instituições financeiras na mira: cibersegurança como habilitadora de negócios appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

O SegInfocast está de volta, e o tema da vez é tecnologia operacional. Nosso CRO, Leonardo Pinheiro, recebeu dois especialistas que estão na linha de frente da proteção de infraestruturas críticas: Jarbas Carlos (coordenador de OT da Clavis) e Ítalo Calvano (VP regional da Claroty na América Latina). Eles compartilharam insights valiosos sobre os riscos, soluções e o futuro da segurança em ambientes industriais.

O papo foi direto ao ponto: ataques cada vez mais frequentes, maturidade no Brasil, Zero Trust em OT e como a união entre Clavis e Claroty tem gerado resultados concretos na prática. Um episódio essencial para quem atua com segurança e precisa tomar decisões que realmente impactam o negócio.

The post SegInfocast #90 – OT em pauta- cibersegurança além do digital appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

A Clavis lançou um novo webinar sobre Gerenciamento da Superfície de Ataque conduzido por Leonardo Pinheiro, CTO da companhia. Durante a apresentação, foi abordado desde o conceito até a aplicação em cases reais. Mais que isso, foram apresentados os diferenciais que a Plataforma de Segurança Clavis pode oferecer para as companhias.

Principais tópicos abordados no episódio:

Disponibilidade: O conteúdo está disponível no Spotify, SoundCloud e Apple Podcasts. 

Conceito de ASM: Definição e importância do gerenciamento da superfície de ataque para empresas.

Aplicações Reais: Demonstração prática de como gerenciar vulnerabilidades.

Soluções Clavis: Diferenciais da plataforma da Clavis para aumentar a segurança.

The post SegInfocast #89 – Gerenciamento da Superfície de Ataque appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Ouça agora:

O que você vai encontrar nesse material

• Dicas de como se proteger contra ameaças cibernéticas na era digital
• Entenda a dinâmica dos ataques
• Descubra como as vulnerabilidades em softwares de segurança são exploradas
• Veja como manter o gerenciamento eficaz de fragilidades, da identificação à correção
• Exemplo de casos reais, lições aprendidas e como fortalecer suas defesas cibernéticas
• Aprenda definições de vulnerabilidade de software, como a ISO/IEC 27005 e NIST SP 800-30
• Veja critérios usados pela comunidade de segurança para catalogar vulnerabilidades
• Aprenda sobre as diferentes abordagens para definir a severidade de uma vulnerabilidade
• Entenda as principais fases do Processo de Gerenciamento de Vulnerabilidades
• Aprofunde-se no conceito de gerenciamento de riscos e sua importância para a organização.
• Saiba como identificar os riscos cibernéticos associados aos ativos de informação
• Conheça a plataforma desenvolvida pela Clavis, o BART GCV

Sobre os entrevistados:

Raphael Machado:

Chief Scientist e co-fundador da Clavis, possui mais de duas décadas de atuação na área de Segurança. Possui doutorado em Engenharia de Sistemas e Computação pela COPPE/UFRJ. Coordenou dezenas de projetos de P&D que deram origem, não-apenas, a mais de uma centena de artigos científicos, mas também, a ferramentas e métodos aplicados na prática em centenas de organizações.

Rodrigo Montoro:

Head of Threat & Detection Research / Security Content Lead na Clavis, tem duas décadas de experiência com implementação de sistemas de segurança open source (firewalls, IDS, IPS, HIDS, log management) e fortalecimento de sistemas. Autor de 2 tecnologias patenteadas envolvendo a descoberta de documentos digitais maliciosos e análises de tráfego HTTP malicioso.

Leonardo Pinheiro:

Formado em Engenharia Elétrica pela Unicamp com especialização em data analytics pela Texas Tech University e em gestão de tecnologia pela FGV / Stanford. Possui uma década de experiência no mercado de tecnologia e desenvolvimento. Atualmente é o CTO na Clavis Security, direcionando a companhia na construção de uma plataforma de cybersecurity que entrega gestão de ativos, vulnerabilidades, ameaças e direcionando os clientes na diminuição dos seus riscos.

The post SegInfocast #88 – Gerenciamento Contínuo de Vulnerabilidades appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Adotando um modelo de Security as a Service (Segurança como Serviço) na sua empresa, você tem acesso a uma grande variedade de tecnologias e serviços que permitirão atender aos principais requisitos e controles previstos nos principais padrões e guias de segurança disponíveis no Brasil e no mundo.

Neste episódio, abordamos tudo o que você precisa saber sobre o modelo SECaaS para aumentar o nível de maturidade da segurança e privacidade da sua organização, construindo um efetivo Programa Corporativo de Segurança Cibernética.

OUÇA AGORA:

Sobre o Apresentador

Raphael Machado é líder de Pesquisa e Desenvolvimento e co-fundador da Clavis, possui mais de duas décadas de atuação na área de Segurança. Possui doutorado em Engenharia de Sistemas e Computação pela COPPE/UFRJ. Coordenou dezenas de projetos de P&D que deram origem, não-apenas, a mais de uma centena de artigos científicos, mas também, a ferramentas e métodos aplicados na prática em centenas de organizações.

The post SegInfocast #87 – Security as a Service: Uma estratégia ágil, abrangente e acessível para Segurança e Privacidade appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

A Amazon Web Services (AWS) é a plataforma de nuvem mais adotada e mais abrangente do mundo. De acordo com o Shared Responsability Model (Modelo de Responsabilidade Compartilhada), as empresas também são responsáveis pela segurança destes serviços na nuvem. Neste webinar, Rodrigo Montoro apresenta sua pesquisa sobre os pontos de maior atenção no modelo de responsabilidade compartilhada em ambientes AWS que você deveria conhecer. 

Sobre o Apresentador

Rodrigo Montoro é Head of Threat & Detection Research / Security Content Lead na Clavis, tem 20 anos de experiência com implementação de sistemas de segurança open source (firewalls, IDS, IPS, HIDS, log management) e fortalecimento de sistemas. Autor de 2 tecnologias patenteadas envolvendo a descoberta de documentos digitais maliciosos e análises de tráfego HTTP malicioso.

The post SegInfocast #86 – Desmistificando o modelo de responsabilidade compartilhada da AWS com Rodrigo Montoro appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Clique aqui e confira a página de cursos da Academia Clavis, incluindo os cursos EXIN.

Conte-nos um pouco sobre o EXIN. Do que se trata?

Milena comenta que o EXIN é um instituto internacional de certificações para profissionais de Tecnologia e Negócios. Fundado em 1984, inicialmente os cursos eram focados em atender as necessidades do governo holandês, porém aos poucos se expandiu para a região européia e depois para o mundo.

Qual foi o primeiro produto de sucesso do EXIN?

O ITIL foi o primeiro produto de destaque no portfólio do EXIN, tendo contribuído, inclusive, com a escrita da primeira versão. No Brasil, o EXIN foi o líder de certificações ITIL, tanto que muitos até hoje vinculam o EXIN ao ITIL, mas muitos outros cursos e certificações foram adicionados.

Quais são as opções atuais no portfólio do EXIN?

Nossa convidada cita quatro grandes pilares de cursos e certificações: A primeira voltada a metodologias ágeis (Agile, DevOps e Lean), outra voltada a Gestão de Serviços de Negócios (VeriSM, ISO 2000, etc), uma voltada a Privacidade, Proteção de Dados e Segurança da Informação (ISO 27001, DPO, Ethical Hacking) e a última voltada a Tecnologias e Software (Cloud, Blockchain, Inteligência Artificial e outros). 

Além disso, existem as opções de trilhas de carreira, onde os profissionais recebem uma sugestão de cursos e certificações visando a preparação e reconhecimento para essa jornada de estudos dos alunos. Isso facilita até o recrutamento desses profissionais pelas empresas.

E como são criados os exames?

Não se trata de algo criado exclusivamente na sala de produtos da EXIN na região europeia, cita Milena. Os projetos hoje são criados (e atualizados) com uma visão global, com a ajuda de especialistas ao redor do mundo, inclusive brasileiros, como aconteceu em cursos de metodologias ágeis e privacidade e proteção de dados. O EXIN visa criar produtos independentes, menos focados em soluções e mais focados em conceitos que podem ser entendidos em qualquer local do mundo.

E como os exames são realizados pelos candidatos?

É possível escolher uma de três opções disponíveis: A prova pode ser realizada na estrutura de um parceiro credenciado EXIN de modo online. Outra opção no parceiro é através da prova em papel. Essa opção é considerada normalmente como uma contingência e há um processo seguro de correção e descarte. A terceira opção é o EXIN Anywhere, modalidade online onde o candidato poderá realizar o exame em qualquer lugar, contanto que atenda os requisitos necessários do protocolo da prova. 

Qual é a estimativa de profissionais certificados pelo EXIN?

3 milhões de profissionais ao redor do mundo já foram certificados pelo EXIN. O Brasil representa de 8 a 10% desse total. As certificações do EXIN são reconhecidas mundialmente.

Qual é a campanha promocional que o EXIN está trazendo em 2022?

Em celebração aos dois anos da LGPD em agosto de 2022, o EXIN estendeu a campanha que concede um desconto automático em todas as certificações de USD25 até 31 de dezembro de 2022. Os alunos também poderão acumular com o voucher de desconto de 6% da Clavis.

Sobre a entrevistada:

Milena Andrade é Regional Director no EXIN há 13 anos. Formada em Administração de Empresas e MBA em Marketing. 

Sobre o entrevistador:

Luiz Felipe Ferreira tem 16 anos de experiência em Tecnologia da Informação e desde 2008 trabalha com Segurança da Informação. Formado em Tecnologia em Informática pela UniverCidade e com MBA em Gestão de Projetos e Negócios em TI pela UERJ. Atualmente é Especialista em Proteção de Dados na Vivo (Telefonica Brasil). Apresentador do SegInfocast. Professor universitário na IDESP e na Impacta. Instrutor credenciado EXIN no tema de privacidade e proteção de dados pela Clavis.  Possui as certificações EXIN DPO, ISFS, PDPF, PDPP.

Clique aqui e confira a página de cursos da Academia Clavis, incluindo os cursos EXIN.

Posts relacionados: Seginfocast #84 – Desenvolvimento Seguro / SegInfocast #83 – Novo livro sobre CyberSecurity do Andy Greenberg  – “SandWorm – A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers” e SegInfocast #82 – Novo Curso CompTIA Security+ 601

The post SegInfocast #85 – EXIN: desenvolvendo habilidades em cibersegurança (ISO 27001, DPO, Ethical Hacking) appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Neste episódio do SegInfocast, Luiz Felipe Ferreira recebe Raphael Machado que nos contará tudo sobre o tema de desenvolvimento seguro. 

Muito tem se falado sobre Desenvolvimento Seguro. Trata-se de uma novidade?

Raphael comenta que, embora haja iniciativas esporádicas relacionadas a Segurança de Software ao longo do desenvolvimento da Computação – como os mecanismos de proteção de dados implementados do projeto MULTICS na década de 1970 – é apenas na virada do milênio que o desenvolvimento seguro passa a se consolidar como um tema relevante para a segurança de computadores. Neste período de virada do milênio, dois movimentos relevantes começam a trazer as preocupações com Segurança da Informação para dentro dos processos de desenvolvimento. No primeiro movimento, Gary McGraw (com colaboradores) inicia uma série de estudos que culminariam no estabelecimento de um modelo de desenvolvimento conhecido como “Security Touchpoints”. O segundo importante movimento envolveu a Microsoft, que a partir de 2001, começou a tratar de forma sistemática os aspectos de segurança ao longo do processo de desenvolvimento de seu software – que, na época, possuíam uma imagem bastante negativa em relação a segurança e confiabilidade Como resultado concreto, além de uma mudança de mentalidade da empresa no que diz respeito à segurança de suas aplicações, o movimento Trustworthy Computing deu origem a um modelo de desenvolvimento seguro que ficou conhecido pela sigla SDL (Secure Development LifeCycle), o qual viria a ser disponibilizado ao público, alguns anos depois.

Há outros modelos de desenvolvimento seguro além dos clássicos já citados?

Raphael destaca o SAFECode e o Secure Software Development Framework como evoluções dos primeiros modelos de desenvolvimento seguro. Nestes modelos mais recentes, também são considerados aspectos de “suporte ao desenvolvimento seguro”, tais como a proteção do ambiente de desenvolvimento e questões organizacionais.

Como as atividades de desenvolvimento seguro se distribuem ao longo do ciclo de vida do software?

A maioria dos modelos de desenvolvimento seguro busca flexibilidade em relação ao processo de desenvolvimento, sendo aplicáveis a processos clássicos, tipo “waterfall”, mas também aos modernos processos “agéis”. Tipicamente, esses modelos de desenvolvimento seguro prevêem atividades que podem ser distribuídas ao longo das diversas fases do ciclo de vida: Requisitos, Design, Implementação, Testes e Implantação. Para cada uma delas, há atividades específicas.

Na fase de Requisitos, quais são as atividades relacionadas a Desenvolvimento Seguro?

Raphael cita que as atividades focam em obter informações relacionadas aos requisitos de segurança conectados ao negócio, tais como controle de acesso, exigências normativas ou requisitos exigidos pelo cliente por questões de compatibilidade.

E na fase de Design, quais são as atividades relacionadas a Desenvolvimento Seguro?

A modelagem de ameaças é a atividade mais importante dessa fase. O propósito aqui é identificar as ameaças e os riscos cibernéticos associados a arquitetura do software, avaliar tais riscos e definir controles de segurança para mitigá-los. 

Já na fase de Implementação, quais são as atividades relacionadas a Desenvolvimento Seguro?

Nesta fase, o desenvolvedor tem um papel muito importante, pois deve evitar a inclusão de fragilidade nos códigos através das diversas tecnologias existentes hoje, principalmente por componentes de terceiros. Outras práticas não devem ser esquecidas, como por exemplo o tratamento de entrada dos usuários, gerenciar erros e exceções. Uma sugestão é o uso de padrões de programação segura.

Quais são as atividades relacionadas a Desenvolvimento Seguro na fase de testes?

Esse é o momento de validar o nível de segurança do software. Há dois grandes métodos: uma análise estática (conhecida como SAST), focada mais no código fonte, onde ferramentas automatizadas buscam por eventuais padrões que podem ser eventuais falhas ou falsos positivos. Outra importante ação é a revisão manual de código (ou revisão por pares), onde um programador, preferencialmente com formação em desenvolvimento seguro busca por falhas no código.

O segundo método é conhecido como análise dinâmica (ou DAST), onde o código já compilado também será testado automaticamente por ferramentas através do envio de interações como se fosse um ataque cibernético. 

Nenhum método é perfeito. Uma poderá facilmente encontrar vulnerabilidades relacionadas a SQL Injection por exemplo, mas terá dificuldade nas vulnerabilidades relacionadas ao negócio, portanto o indicado é a combinação dos dois métodos para a correção do maior número de fragilidades.

Quais são as atividades relacionadas a Desenvolvimento Seguro na fase de implantação?

Raphael lembra que além do software, há outras camadas de segurança do ambiente operacional que devem ser consideradas como firewalls, IDS, etc. Outras configurações de tecnologias como servidores web, sistemas operacionais, banco de dados, controles de acesso devem ser testadas para evitar possíveis portas de entrada para ataques.

Quais desafios você destacaria em relação a Desenvolvimento Seguro?

Nosso entrevistado destaca que essa disciplina é considerada recente e os desafios que ele enxerga baseia-se principalmente na grande diversidade (e disponibilidade) de bibliotecas, componentes e serviços de terceiros. É necessário quais são os riscos que esses componentes podem trazer ao seu projeto.

A variedade de tecnologias e linguagens também podem ser um complicador para os testes e verificação de vulnerabilidades. E com a ascensão das metodologias ágeis, os códigos são implementados muito rapidamente.

A questão acadêmica também deve ser revista, já que milhares de estudantes aprendem a programar, mas não de forma segura.

Como se manter informado sobre Desenvolvimento Seguro?

Um bom ponto de partida é o treinamento de Desenvolvimento Seguro que está sendo lançado pela Academia Clavis – é um treinamento de 16 horas que apresenta os principais conceitos da área.

Sobre o entrevistado

Raphael Machado é Doutor em Engenharia de Sistemas e Computação (COPPE/UFRJ 2010). É pesquisador pelo Inmetro e Professor Efetivo pela UFF. É bolsista de produtividade em pesquisa pelo CNPq desde 2013 e Jovem Cientista do Estado do RJ desde 2015, tendo publicado mais de uma centena de artigos científicos nas áreas de Segurança da Informação, Análise de Código, Ofuscação, Incorruptibilidade de Software, Marcas d’Água, Criptografia, Complexidade Computacional, Matemática Combinatória e Teoria dos Grafos. Raphael foi coordenador de mais de duas dezenas de projetos de pesquisa científica, desenvolvimento tecnológico e inovação apoiados por CNPq, Finep, Faperj e Fapesp – tais projetos deram origem não apenas a uma vasta produção acadêmica, mas também, a patentes produtos e serviços utilizados pela indústrias e reconhecidos como “estratégicos” pelo governo federal. Raphael organiza ou organizou inúmeros eventos relevantes nas mais diversas áreas da Computação, incluindo o LAWCG’2018 (evento satélite do International Congress of Mathematicians), o SBSeg 2020, o IEEE MetroInd 2020, as edições 2015, 2016, 2017 e 2018 do WRAC+, o ACM/ISSISP 2015, o RECOMB 2012, o WGA 2012, o CS2I 2014, e várias edições do Workshop SegInfo, além das sessões especiais de Segurança Cibernética dos IEEE MetroInd 2018 e 2019. Raphael foi chefe do Laboratório de Informática do Inmetro, onde liderou diversas atividades de consultoria e cooperação técnica a empresas e a órgãos do governo, que deram origem a dezenas de pareceres técnicos. É coordenador do do Programa Profissional de Pós-Graduação em Metrologia e Qualidade do Inmetro, e docente permanente do Programa Acadêmico de Pós-Graduação em Computação do IC/UFF e do Programa Acadêmico de Pós-Graduação em Metrologia do Inmetro. Foi palestrante convidado de eventos de prestígio nacional (como o SegInfo e o SBSeg) e internacional (como o Princeton DIMACS Meeting). Foi membro de conselhos e comitês gestores relevantes nas áreas acadêmica e de segurança da informação, incluindo o Conselho Acadêmico do Inmetro, Comitê Gestor do programa Pronametro-Ensino, Comitê Gestor do SHCDCiber, Comitê Gestor do PNCH-TIC e Conselheiro do Grupo Clavis Segurança da Informação.

Sobre o entrevistador:

Luiz Felipe Ferreira tem 16 anos de experiência em Tecnologia da Informação e desde 2008 trabalha com Segurança da Informação. Formado em Tecnologia em Informática pela UniverCidade e com MBA em Gestão de Projetos e Negócios em TI pela UERJ. Atualmente é Especialista em Proteção de Dados na Vivo (Telefonica Brasil). Apresentador do SegInfocast, um podcast focado em Segurança. Professor universitário na IDESP e na Impacta. Instrutor credenciado EXIN no tema de privacidade e proteção de dados pela Clavis.  Possui as certificações EXIN DPO, ISFS, PDPF, PDPP.

The post Seginfocast #84 – Desenvolvimento Seguro appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Para conhecer um pouco mais sobre o processo de tradução e revisão técnica do livro “SandWorm” do autor Andy Greenberg, Luiz Felipe Ferreira recebe o time de tradutores Antonio Borge, Luciano Lima, Raphael Machado e Tulio Alvarez que contam detalhes sobre o tema do livro e lições aprendidas para a Segurança da Informação. 

Vocês podem falar sobre o autor do livro Andy Greenberg e do que se trata o livro SandWorm?

Tulio comenta que Andy é um repórter investigativo da revista Wired que escreve principalmente sobre temas relacionados a segurança da informação e privacidade. O livro “SandWorm – A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers” é um resultado de uma extensa pesquisa com diversas evidências sobre as ameaças cibernéticas atuais com base nas ações do grupo SandWorm, mostrando sua influência em empresas, governos e os perigos e impactos do ransomware, inclusive no meio físico. Ele remete também sobre recentes conflitos cibernéticos anunciados na mídia.

E o grupo Sandworm, que dá título ao livro, qual é a sua origem?

Raphael conta que a história do grupo remete ao romance Duna, que apresenta um futuro distópico com ambientes desérticos onde esse “verme na areia” (sandworm) faria uma referência a esse ambiente, a essa nova realidade descrita no livro. 

O livro cita recentes ataques cibernéticos. O que podem comentar sobre eles?

Antônio Borge lembra o que aconteceu em 2013, onde a Ucrânia serviu de laboratório para a Rússia testar um ataque cibernético à rede elétrica daquele país. Esse tipo de ataque, financiado por governos, tem sido de uso frequente nos seguintes anos, com extensa documentação no livro. 

Esse tema também foi citado no livro “Guerra Cibernética”, traduzido pela Clavis.

Raphael complementa que o livro permite que tenhamos a visão do impacto de ataques financiados por Estados no mundo físico, como foi o caso do Aurora, que afetou um gerador de energia. Há ainda outros exemplos da participação (não confirmada) de agentes russos e por último o famoso Stuxnet, que também foi tema de um livro traduzido pela Clavis: “Contagem Regressiva até Zero Day”. Seu objetivo era causar dano em uma usina nuclear iraniana. 

E como foi a evolução do grupo, contada no livro?

Luciano conta que inicialmente pensou-se tratar de um grupo de criminosos, porém suas ações mostraram que por trás havia o patrocínio estatal, inclusive no ataque à NSA, cujo propósito poderia ter sido envergonhar a agência americana, expondo diversas ferramentas como a EternalBlue, projetado para se aproveitar de vulnerabilidades no Windows, servindo de base para o famoso ataque Wannacry em 2017. Outra ferramenta exposta é o MimiKatz, criada para demonstrar uma falha no Windows.

Tulio lembra de mais um ataque famoso citado no livro, o NotPetya, cujo alvo inicial era a Ucrânia, porém acabou por se alastrar em outros países, afetando diversas empresas (efeito colateral de um ataque cibernético).

Como o livro trata de uma tema tão delicado, que é a possível participação de Estados em ataques cibernéticos?

Antônio Borge cita a dificuldade em atribuir responsabilidades nos ataques cibernéticos. Entretanto, devido a complexidade e sofisticação dos worms utilizados nos ataques, conclui-se que não há como não haver uma participação estatal, através de apoio financeiro e do uso das ferramentas. 

A investigação detalhada com fatos citados no livro apontam nessa direção.

Quais foram as lições aprendidas com o livro?

Raphael cita as implicações dos ataques cibernéticos atingindo não somente o espaço cibernético, mas também o físico, além da motivação estatal muito forte no caminho dos usos dessas armas modernas. Outro ponto é que o tema extrapola a questão de tecnologia, afetando questões diplomáticas.

Já para o Luciano, a principal lição é a necessidade de se ter uma vigilância constante, implementando controles técnicos e não técnicos, como a conscientização, e que deve se pensar fora de caixa.

Conheça outras obras similares

O Quinto Domínio:

Um urgente e novo alerta de dois especialistas em segurança autores de best sellers – e uma visão interna envolvente de como governos, empresas e cidadãos comuns podem enfrentar e conter os tiranos, usuários maliciosos e criminosos empenhados em transformar o reino digital em uma zona de guerra. Caso tenha interesse em comprar este livro clique aqui e acesse o site.

Guerra Cibernética:

Esse é outro clássico traduzido pela Clavis. Escrito por Richard Clarke, com o título “CYBER WAR – The next threat to national security and what to do about it”, é o primeiro livro sobre a guerra do futuro – ciberguerra – contendo um argumento convincente de que já podemos estar perdendo esta. Em linhas gerais, o livro trata sobre tecnologia, governo e estratégia militar; sobre criminosos, espiões, soldados, e hackers.

No livro, Richard Clarke apresenta um panorama surpreendente — e, ao mesmo tempo, convincente — no qual o uso de armas cibernéticas é uma questão concreta a ser considerada nas ações de Defesa Nacional. Como se sabe, computadores — e dispositivos computacionais — controlam boa parte das atuais infraestruturas civis e militares, incluindo sistemas críticos para o bem estar da sociedade e sistemas que suportam a adequada condução de ações militares.

Clique aqui para matar todo mundo:

O livro é uma tradução de Click Here to Kill Everybody – Security and Survival in a Hyper-connected World, escrito por Bruce Schneier. Nele, o autor explora os riscos e as implicações de segurança de uma era hiperconectada e estabelece políticas de senso comum que permite aos leitores usufruir dos benefícios dessa era sem ser vítima das consequências de sua insegurança.

A Clavis Segurança da Informação foi responsável pela tradução da obra para o português (do original Click Here to Kill Everybody – Security and Survival in a Hyper-connected World).

Sobre os entrevistados

Antônio Borge é Gestor de Segurança Cibernética, Especialista em Segurança da Informação e Gestão de Redes. Oficial da Ativa da Marinha do Brasil. Possui formação em Processamento de Dados pela UNIABEU (1996) com o desenvolvimento de um sistema para controle do processo licitatório da prefeitura de Mesquita, RJ. Especialista em Gestão da Segurança da Informação, pela Universidade Gama Filho (2010), com o trabalho focado na política de segurança como fator principal para segurança de informação. Especialização no Curso Superior (C-Sup), pela Escola de Guerra Naval (2011), com o trabalho focado em Guerra Cibernética: Ameaças à infraestrutura de Tecnologia da Informação da Marinha do Brasil.

Atua na área de Tecnologia da Informação desde 1988 e especificamente na área de segurança desde 1997. Atualmente está exercendo a função de Adjunto do Estado Maior Conjunto do Comando de Defesa Cibernética do Brasil.

Luciano Lima tem 24 anos de experiência profissional em TI e nos últimos 14 anos trabalhou exclusivamente com Segurança da Informação. Conquistou sua primeira certificação em 2001. Atualmente possui as principais certificações de segurança: CISSP (Certified Information Systems Security Professional), CSAE (CompTIASecurity Analytics Expert), CASP+ (CompTIA AdvancedSecurity Practitioner), CySA+(CompTIA CybersecurityAnalyst), CompTIA Security+, CEH (Certified EthicalHacking), ITIL V3 Foundation, MCP, MCSA, MCSE, MCSA Security e MCSE Security.

Como especialista em segurança da informação, tem grande experiência em segurança cibernética e gerenciamento de segurança. Também possui experiência na criação e implementação de políticas de segurança para proteger empresas de médio e grande porte. Tem experiência na implementação e acompanhamento de auditorias internas e externas com base na ISO / IEC 27001 e ISAE 3402. Também possui experiência em Análise de Vulnerabilidades no Windows, Unix, Linux e Networking.

Autor dos livros:

• Guia de Certificação MCSE Windows XP Professional;

• Simulados para a Certificação CompTIA Security+ SY0-401;

• Simulados para a Certificação CompTIACybersecurity Analyst (CySA+) – CS0-001;

• CompTIA Cybersecurity Analyst (CySA+) Certification Practice Exams – CS0-001;

• Simulados para el examen CompTIA CybersecurityAnalyst (CySA+) – CS0-001;

• Simulados para a Certificação CompTIA Security+ SY0-501;

• CompTIA Security+ SY0-501 Certification Practice Exams;

• Simulados para el examen CompTIA Security+ SY0-501;

• Simulados para o Exame CompTIA Cloud Essentials+ CLO-002; e

• CompTIA Cloud Essentials+ CLO-002 CertificationPractice Exams (English Edition).

Raphael Machado é Doutor em Engenharia de Sistemas e Computação (COPPE/UFRJ 2010). É pesquisador pelo Inmetro e Professor Efetivo pela UFF. É bolsista de produtividade em pesquisa pelo CNPq desde 2013 e Jovem Cientista do Estado do RJ desde 2015, tendo publicado mais de uma centena de artigos científicos nas áreas de Segurança da Informação, Análise de Código, Ofuscação, Incorruptibilidade de Software, Marcas d’Água, Criptografia, Complexidade Computacional, Matemática Combinatória e Teoria dos Grafos. Raphael foi coordenador de mais de duas dezenas de projetos de pesquisa científica, desenvolvimento tecnológico e inovação apoiados por CNPq, Finep, Faperj e Fapesp – tais projetos deram origem não apenas a uma vasta produção acadêmica, mas também, a patentes produtos e serviços utilizados pela indústrias e reconhecidos como “estratégicos” pelo governo federal. Raphael organiza ou organizou inúmeros eventos relevantes nas mais diversas áreas da Computação, incluindo o LAWCG’2018 (evento satélite do International Congress of Mathematicians), o SBSeg 2020, o IEEE MetroInd 2020, as edições 2015, 2016, 2017 e 2018 do WRAC+, o ACM/ISSISP 2015, o RECOMB 2012, o WGA 2012, o CS2I 2014, e várias edições do Workshop SegInfo, além das sessões especiais de Segurança Cibernética dos IEEE MetroInd 2018 e 2019. Raphael foi chefe do Laboratório de Informática do Inmetro, onde liderou diversas atividades de consultoria e cooperação técnica a empresas e a órgãos do governo, que deram origem a dezenas de pareceres técnicos. É coordenador do do Programa Profissional de Pós-Graduação em Metrologia e Qualidade do Inmetro, e docente permanente do Programa Acadêmico de Pós-Graduação em Computação do IC/UFF e do Programa Acadêmico de Pós-Graduação em Metrologia do Inmetro. Foi palestrante convidado de eventos de prestígio nacional (como o SegInfo e o SBSeg) e internacional (como o Princeton DIMACS Meeting). Foi membro de conselhos e comitês gestores relevantes nas áreas acadêmica e de segurança da informação, incluindo o Conselho Acadêmico do Inmetro, Comitê Gestor do programa Pronametro-Ensino, Comitê Gestor do SHCDCiber, Comitê Gestor do PNCH-TIC e Conselheiro do Grupo Clavis Segurança da Informação.

Tulio Alvarez está atuando como Consultor em Segurança da Informação. Militar da reserva com mais de 30 anos de experiência. Pesquisador em Gestão de Riscos Cibernéticos Marítimos pela Faperj/GreenHat; Mestre em Ciências Navais pela Escola de Guerra Naval (2012), com seu trabalho desenvolvido na área da Defesa Cibernética no setor naval. Especialista em Redes de Computadores pela PUC-Rio (2006), com desenvolvimento do trabalho na área de Gestão da Segurança da Informação (Norma ISO ABNT 27001); Especialista em Segurança de Redes e Criptografia pela UFF (2008), com trabalho focado em Segurança da Informação; e, Especialista em Gestão Empresarial pela COPPEAD/UFRJ (2012). Tem experiência na área de Tecnologia da Informação,  Auditoria, Testes de Invasão e vulnerabilidades, Ensino e treinamentos presencial e a Distância, Gestão da Segurança da Informação, “Security Officer”, Comando e Controle (C4ISR), Operações e Logística militares no Brasil e exterior (ONU), Planejamento e exercícios de Defesa Cibernética.

Sobre o entrevistador:

Luiz Felipe Ferreira tem 16 anos de experiência em Tecnologia da Informação e desde 2008 trabalha com Segurança da Informação. Formado em Tecnologia em Informática pela UniverCidade e com MBA em Gestão de Projetos e Negócios em TI pela UERJ. Atualmente é Especialista em Proteção de Dados na Vivo (Telefonica Brasil). Apresentador do SegInfocast, um podcast focado em Segurança. Professor universitário na IDESP. Instrutor credenciado EXIN no tema de privacidade e proteção de dados pela Clavis. Vice-Representante da Regional São Paulo na ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados), Palestrante em diversos congressos de Segurança como SegInfo, WorkSec e Congresso de TI. Possui as certificações EXIN DPO, ISFS, PDPF, PDPP.

Posts relacionados: Caso Maersk: Saiba como o NotPetya foi responsável por um dos maiores ataques cibernéticos da história / [Artigo] Segurança Cibernética no Setor Marítimo com foco na IMO – uma nova era a partir de janeiro de 2021 e SegInfocast #80 – Ransomware: um dos principais problemas da Segurança Cibernética

The post SegInfocast #83 – Novo livro sobre CyberSecurity do Andy Greenberg  – “SandWorm – A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers” appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Neste episódio do SegInfocast, Luiz Felipe Ferreira recebe Alberto Oliveira, que revela as novidades da mais recente versão do exame para a CompTIA Security+ e a atualização do Curso Preparatório da Clavis para essa Certificação. 

Do que se trata a certificação CompTIA Security+?

Alberto informa que a CompTIA Security+ é uma Certificação Internacional que tem ganhado importância nos últimos anos, sendo solicitadas em RFPs e em vagas no mercado de trabalho, já sendo considerada um diferencial. Ela aborda diversos temas, dentro do universo de Segurança da Informação, focados nos conhecimentos de base. Exatamente por isso, é conhecida por ser uma certificação de entrada, ajudando na construção da carreira do profissional. Sua validade é de 3 anos e a sua revalidação é necessária.

Para se ter uma ideia, a CompTIA Security + é exigida caso você vá trabalhar com o Departamento de Defesa norte-americano. Também organiza conferências ao redor do mundo sobre o tema.

Para qual momento de carreira a CompTIA Security+ é indicada?

Por não ser focada em tecnologias ou em um fabricante específico, é considerada uma ótima opção para quem quer migrar para a carreira de Segurança da Informação, como profissionais de infraestrutura, desenvolvedores ou até mesmo gestores que queiram saber mais sobre o tema. 

Quais são as novidades da recente versão 601?

Alberto tem experiência em todas as versões desta certificação. Elas foram acompanhando as evoluções de mercado e tendências em Segurança da Informação. A atual Versão 601 foca em gestão de riscos, gestão de incidente e IoT. Houve ainda uma compactação de domínios, de 6 para 5. 

O alcance da prova vai de 100 a 900 pontos, onde você precisa minimamente de 750 pontos para ser aprovado e conquistar a certificação.

Quais seriam as tarefas que a certificação ajudaria no dia a dia dos analistas de segurança da informação?

A certificação ajudará a: avaliar a postura de segurança cibernética das empresa, identificando falhas de segurança e sugerindo soluções; monitorar e proteger ambientes híbridos e muito mais. É claro, que somente realizando o curso e conquistando a certificação, não te deixará apto a realizar todas as tarefas de um analista de segurança da informação, já que ela tem uma aspecto teórico e sem muita profundidade, exigindo estudos adicionais e prática no trabalho.

Como será o curso CompTIA Security+ na Academia Clavis?

O curso é online e assíncrono. Alberto comenta que os vídeos são gravados. O aluno tem o prazo de 180 dias para acessar todo o conteúdo. Não há pré-requisitos para realizar o curso. É recomendável que o aluno tenha conhecimento dos conceitos básicos de redes de computadores. 

Durante o curso, Alberto fornece orientações aos alunos com diversas dicas para serem aprovados. A prova ainda não possui a opção de ser realizada em português, somente em inglês no momento. Você terá 90 minutos para responder 90 questões. A prova deve ser agendada pelo aluno por sua iniciativa.

Conheça mais detalhes, informações e faça sua inscrição no curso clicando aqui.

Sobre os entrevistados

Alberto Oliveira é Consultor de Segurança da Informação e atua no mercado nacional há mais de 20 anos. Atualmente é Head of Security Services da TrueSec Security Experts. Já realizou diversos projetos envolvendo soluções de segurança de diversos fabricantes.

Ele foi MVP da Microsoft de 2006 a 2018 e possui as seguintes certificações:

• CISSP – Certified Information Systems Security Professional

• CompTIA Security+

• MCSA/MCSE: Security

• MCT – Microsoft Certified Trainer

• MCTS – Microsoft Certified Technology Specialist

• MCITP – Microsoft Certified IT Professional

• ITIL – Information Technology Infrastructure Library

Participou de diversas palestras pelo Brasil e webcasts da Microsoft, sendo palestrante oficial do TechEd por cinco oportunidades.

Foi o revisor técnico do livro Certificação Security+ da prática para o exame em todas as suas edições, dos autores Yuri Diógenes e Daniel Mauser, sendo um dos autores da versão SY0-601.

Sobre o entrevistador:

Luiz Felipe Ferreira tem 16 anos de experiência em Tecnologia da Informação e desde 2008 trabalha com Segurança da Informação. Formado em Tecnologia em Informática pela UniverCidade e com MBA em Gestão de Projetos e Negócios em TI pela UERJ. Atualmente é Data Protection Product Owner no Itaú Unibanco. Apresentador do SegInfocast, um podcast focado em Segurança. Professor universitário na IDESP. Instrutor credenciado EXIN no tema de privacidade e proteção de dados pela Clavis. Vice-Representante da Regional São Paulo na ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados), Palestrante em diversos congressos de Segurança como SegInfo, WorkSec e Congresso de TI. Possui as certificações EXIN DPO, ISFS, PDPF, PDPP.

The post SegInfocast #82 – Novo Curso CompTIA Security+ 601 appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Neste episódio do SegInfocast, Luiz Felipe Ferreira recebe Rafael Soares e Lucas Lins que trarão as atualizações da novíssima versão 2021 do Top 10 da OWASP, uma referência em desenvolvimento seguro. 

Do que se trata a OWASP e o seu Top 10?

Lucas informa que a OWASP é uma fundação sem fins lucrativos, que desenvolve diversos projetos visando aumentar a segurança das aplicações. Ela também organiza conferências ao redor do mundo sobre o tema. Outra frente importante trata de projetos de pesquisa e o famoso Top 10, que revela as principais vulnerabilidades web (categorias de risco).

Rafael complementa sobre a importância e valor da OWASP, por ser totalmente regida pela comunidade de segurança da informação, o que permite a criação e condução de frentes para os desenvolvedores e para os profissionais de testes. Outro ponto positivo é a visão precisa do que deve ser priorizado no intuito de corrigir as vulnerabilidades.

Quais as vantagens que os profissionais de segurança da informação obtêm ao conhecer a OWASP e o Top 10 ?

Lucas acredita que umas das principais vantagens é saber quais são as ações de correção que devem ser priorizadas para minimizar a exposição dos ativos da empresa. Ele lembra que os resultados do Top 10 realmente refletem as vulnerabilidades dos testes que são realizados nos clientes.

O que deve ser feito com as versões anteriores do Top 10? Devem ser descartadas?

Na opinião do Lucas, nada deve ser descartado, já que vulnerabilidades antigas podem ser novamente exploradas. Rafael complementa que o Top 10 não é uma “bala de prata”, outros projetos devem ser utilizados para aumentar o nível de maturidade no que se diz respeito às vulnerabilidades de código.

Quais seriam as novidades da versão 2021 do Top 10 da OWASP?

Lucas revelou que a versão 2021 trouxe três grandes novidades nas categorias: a primeira, em design seguro (security design), a segunda em falhas de integridade de dados e software (software and data integrity failures) e por último a falsificação de solicitação do lado do servidor (server side request forgery).

A categoria do design seguro é bem ampla, englobando diversos tipos de fraquezas. O design seguro (que não deve ser confundido com implementação segura) é uma metodologia que garante que o código possa resistir aos principais métodos de ataque.

A segunda categoria, falhas de integridade de dados e software foca principalmente nas falhas oriundas das atualizações automáticas.

Já a última, falsificação de solicitação do lado do servidor, permite ao atacante acessar o lado servidor e assim podem direcionar para o domínio desejado

Qual a principal vulnerabilidade do Top 10?

Em primeiro lugar está a quebra do controle de acesso (Broken Access Control), que estava em quinto lugar na lista de 2017. Trata-se de uma falha das permissões do usuário, que não poderia realizar ações além daquelas pré-estabelecidas. Para resolver o problema, deve-se tratar o controle de acesso no lado servidor.

Rafael lembra que as vulnerabilidades de aplicações tem evoluído ao longo dos anos. As próprias aplicações hoje são muito mais elaboradas. Ele entende que a injeção, por exemplo, de tanto que foi falado, já faz parte da cultura e por tal razão, perdeu posições na lista.

Há alguma outra mudança relevante na lista?

Lucas notou que a injeção se uniu com o XSS em uma única categoria. Ainda é um tema que merece atenção.

Existe algum documento prático para corrigir ou prevenir as vulnerabilidades?

Lucas sugeriu um guia de codificação segura desenvolvido pela OWASP. Trata-se de um checklist com diversas validações que deve ser incorporado ao ciclo de vida do desenvolvimento. O portal seginfo tem um post detalhado deste guia.

Rafael lembra que a OWASP também possui outros guias com uma abordagem mais pró-ativa com rotina de testes, monitoramento, etc.

Onde podemos encontrar cursos e certificações sobre desenvolvimento seguro?

A Academia Clavis possui o curso de desenvolvimento seguro baseado na certificação da EXIN. Por ser agnóstico em relação a linguagem de programação, é indicado para qualquer desenvolvedor que queira melhorar o seu código e prevenir as aplicações contra ataques. 

Sobre os entrevistados

Lucas de Almeida Lins, graduado em Sistemas de Informação pela Universidade Federal do Estado do Rio de Janeiro e  Head de Segurança Ofensiva da Clavis Segurança da Informação. Possui experiência de mais de 5 anos em áreas, como Segurança Ofensiva, Infraestrutura e Academia. Possui a certificação Security+, da CompTIA; Vulnerability Management, da Qualysl; e as certificações Trustee, Defender, Sentry e Certified Delivery Engineer (CDE), da CyberArk.

Rafael Soares Ferreira é Diretor Comercial do Grupo Clavis Segurança da Informação. Profissional atuante nas áreas de testes de invasão e auditorias de rede, sistemas e aplicações, e de detecção e resposta a incidentes de segurança. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: GTS – Grupo de Trabalho em Segurança de Redes do cgi.br, CNASI – Congresso de Segurança da Informação, Auditoria e Governança TIC, FISL – Fórum Internacional de Software Livre, OWASP Day, Bhack Conference, SegInfo – Workshop de Segurança da Informação, Bsides SP, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web, Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH v8 (Certified Ethical Hacker), ECSA v4 (EC-Council Certified Security Analyst), CHFI v8 (Computer Hacking Forensic Investigator), CompTia Security+, SANS SSP-CNSA (Stay Sharp Program – Computer and Network Security Awareness) e ENSA v4.1 (EC-Council Network Security Administrator).

Sobre o entrevistador:

Luiz Felipe Ferreira tem 16 anos de experiência em Tecnologia da Informação e desde 2008 trabalha com Segurança da Informação. Formado em Tecnologia em Informática pela UniverCidade e com MBA em Gestão de Projetos e Negócios em TI pela UERJ. Atualmente é Data Protection Product Owner no Itaú Unibanco. Apresentador do SegInfocast, um podcast focado em Segurança. Professor universitário na IDESP. Instrutor credenciado EXIN no tema de privacidade e proteção de dados pela Clavis. Vice-Representante da Regional São Paulo na ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados), Palestrante em diversos congressos de Segurança como SegInfo, WorkSec e Congresso de TI. Possui as certificações EXIN DPO, ISFS, PDPF, PDPP.

Posts relacionados: OWASP Top 10 Liberadas as Vulnerabilidades principais de 2021 / Um guia para codificação segura do OWASP e Você conhece o projeto OWASP Top 10 Privacy Risks?

The post SegInfocast #81 – OWASP Top 10 2021 – 10 Principais Vulnerabilidades em Aplicações Web appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Neste episódio do SegInfocast, Luiz Felipe Ferreira recebe os convidados: Tulio Alvarez, Rafael Soares e Antônio Borge para conversar sobre uma das principais preocupações da Segurança da Informação, os ataques de ransomware. Abaixo encontramos um resumo dessa conversa:

A transformação digital mudou a forma das pessoas trabalharem através do home office e isso aumentou o número de ataques. Como lidar com isso?

Borge entende que o trabalho em home office/híbrido é uma tendência sem volta e que pode se intensificar com outras tecnologias, como o 5G.

Rafael complementa que a transformação digital aumenta muito a superfície dos ataques, já que o conceito de perímetro não é o mesmo de anos atrás. Além disso, as concentrações massivas de dados se tornam alvos de atacantes que enxergam nos ataques de ransomware ótimas oportunidades de lucros.

Tulio pontua que essa também é uma preocupação não somente das empresas, mas também de nações, já que armas cibernéticas podem desencadear conflitos. Há uma preocupação crescente com a Engenharia Social e o Phishing.

E como as empresas têm se preparado para essas mudanças ?

Rafael lembra que se um ataque de ransomware foi bem sucedido, significa que muito provavelmente seja necessária uma segurança mais robusta, com diversas camadas de proteção. E por último, mas não menos importante, é recomendável estar preparado para a recuperação através de backups e Planos de Continuidade de Negócios.

Qual é a principal porta de entrada de ataques de ransomware?

Embora seja mais comum o ataque que se aproveita da fragilidade humana através da Engenharia Social, Rafael comenta que há casos onde somente com uma vulnerabilidade técnica exposta já pode ser possível obter êxito no ataque de ransomware, o que afetaria inclusive os sistemas industriais.

Borge lembrou que devido a sua lucratividade, o ransomware já está sendo comercializado como um serviço e que muitos criminosos estão subornando funcionários para infectar as empresas onde trabalham. Um verdadeiro pesadelo.

O backup tornou-se um dos controles mais importantes na Segurança da Informação. Além disso, encontrar e corrigir todos os vetores de ataques deve ser uma obsessão. A segurança é um processo contínuo e permanente.

Quais seriam os passos recomendados para que as empresas estejam preparadas para os ataques de ransomware?

Uma abordagem aprofundada do nível de maturidade de segurança deve ser implementada. Nesta situação, deve haver um levantamento dos controles atualmente aplicados e, para cada um, verificar o nível em relação à tecnologia, processos e pessoas e sugerir uma priorização de correção de vulnerabilidades. Com isso, é criada uma “jornada”, que pode ser aprimorada constantemente.

É sugerido ainda um trabalho de threat intelligence, onde é observado o comportamento dos ataques em atividade dos ransomware, a fim de agir proativamente. A Clavis possui esse tipo de serviço para os seus clientes.

Onde encontrar fontes de conhecimento sobre ransomware?

Nos principais sites do setor, como o nosso Portal SegInfo, além de outras fontes, o leitor poderá encontrar informações relevantes.

Tulio comentou que a Clavis lançará mais uma tradução de um livro voltado para o público de Segurança da Informação. Trata-se do livro “Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers”, o qual já está sendo traduzido para o português e fala sobre os ataques históricos de diversos ransomware ao decorrer dos anos.

Ouça o Seginfocast 80 – Ransomware no soundcloud clicando aqui.

O Portal Seginfo selecionou e consolidou abaixo as notícias sobre o tema Ransomware, que foram divulgadas desde 2020. Servirá para que possam rever e buscar maiores informações sobre este tema tão relevante para todas as empresas e organizações, com a intenção de que os leitores possam ampliar os conhecimentos e desenvolver melhor suas defesas cibernéticas. Boa leitura:

• Cibercriminosos identificam a “vítima perfeita” para ransomware

• 5 razões pelas quais estamos vendo mais ataques de ransomware do que nunca

• Ransomware: Mudanças nos hábitos de segurança de governos e empresas

• Golpe alicia funcionários insatisfeitos para implementação de Ransomware

• Recomendações para proteção de dados contra violações e ataques de ransomware

• Recuperação pós-ransomware: 8 dicas para restauração com backups

• Microsoft anuncia novos recursos de detecção de ransomware para Azure

• Ransomware representa uma ameaça para governos locais vulneráveis nos EUA

• Como age um ransomware e como evitá-lo

• A União Europeia mira em ransomware com planos de tornar criptomoedas rastreáveis e proibir o anonimato

• Ransomware: 80% das empresas que pagam pelo resgate acabam se tornando vítimas novamente

• CISA – Nova ferramenta de auditoria de segurança de autoavaliação de ransomware

• Como controlar um ransomware? Veja o que especialistas afirmam

• G7 faz apelo à Rússia para reprimir gangues de ransomware

• 5 dicas para prevenir e mitigar ataques de ransomware

• Casa Branca recomenda às empresas adoção de boas práticas contra ataques de ransomware

• NIST – Draft do Framework de Segurança Cibernética para Gerenciamento de Riscos de Ransomware

• Darkside Ransomware: Melhores práticas para defender seu negócio de ataques de ransomware

• Explicando o Ransomware DarkSide: Como funciona e quem está por trás

• Ameaças de Ransomware as a Service (RaaS)

• 7 passos para ajudar a prevenir e limitar o impacto de um ransomware

Sobre os entrevistados

Tulio Alvarez está atuando como Consultor em Segurança da Informação e Head of Maritime Cyber Security do grupo CLAVIS-Segurança da Informação. Atuou como pesquisador em Gestão de Riscos Cibernéticos Marítimos pela Faperj/GreenHat. É Mestre em Ciências Navais pela Escola de Guerra Naval (2012), com seu trabalho desenvolvido na área da Defesa Cibernética no setor naval. É Especialista em Redes de Computadores pela PUC-Rio (2006), com desenvolvimento do trabalho na área de Gestão da Segurança da Informação (Norma ISO ABNT 27001); Especialista em Segurança de Redes e Criptografia pela UFF (2008), com trabalho focado em Segurança da Informação; e, Especialista em Gestão Empresarial pela COPPEAD/UFRJ (2012).

Rafael Soares Ferreira é Diretor Comercial do Grupo Clavis Segurança da Informação. Profissional atuante nas áreas de testes de invasão e auditorias de rede, sistemas e aplicações, e de detecção e resposta a incidentes de segurança. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: GTS – Grupo de Trabalho em Segurança de Redes do cgi.br, CNASI – Congresso de Segurança da Informação, Auditoria e Governança TIC, FISL – Fórum Internacional de Software Livre, OWASP Day, Bhack Conference, SegInfo – Workshop de Segurança da Informação, Bsides SP, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web, Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH v8 (Certified Ethical Hacker), ECSA v4 (EC-Council Certified Security Analyst), CHFI v8 (Computer Hacking Forensic Investigator), CompTia Security+, SANS SSP-CNSA (Stay Sharp Program – Computer and Network Security Awareness) e ENSA v4.1 (EC-Council Network Security Administrator).

Antônio Borge Gestor de Segurança Cibernética, Especialista em Segurança da Informação e Gestão de Redes. Oficial da Ativa da Marinha do Brasil. Possui formação em Processamento de Dados pela UNIABEU (1996) com o desenvolvimento de um sistema para controle do processo licitatório da prefeitura de Mesquita, RJ. Especialista em Gestão da Segurança da Informação, pela Universidade Gama Filho (2010), com o trabalho focado na política de segurança como fator principal para a segurança da informação. Especialização no Curso Superior (C-Sup), pela Escola de Guerra Naval (2011), com o trabalho focado em Guerra Cibernética: Ameaças à infraestrutura de Tecnologia da Informação da Marinha do Brasil. Atua na área de Tecnologia da Informação desde 1988 e especificamente na área de segurança desde 1997. Atualmente está exercendo a função de Adjunto do Estado Maior Conjunto do Comando de Defesa Cibernética do Brasil.

Sobre o entrevistador:

Luiz Felipe Ferreira tem 16 anos de experiência em Tecnologia da Informação e desde 2008 trabalha com Segurança da Informação. Formado em Tecnologia em Informática pela UniverCidade e com MBA em Gestão de Projetos e Negócios em TI pela UERJ. Atualmente é Data Protection Product Owner no Itaú Unibanco. Apresentador do SegInfocast, um podcast focado em Segurança. Professor universitário na IDESP. Instrutor credenciado EXIN no tema de privacidade e proteção de dados pela Clavis. Vice-Representante da Regional Sào Paulo na ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados), Palestrante em diversos congressos de Segurança como SegInfo, WorkSec e Congresso de TI. Possui as certificações EXIN DPO, ISFS, PDPF, PDPP.

The post SegInfocast #80 – Ransomware: um dos principais problemas da Segurança Cibernética appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Neste episódio do SegInfocast, Luiz Felipe Ferreira recebe mais uma vez Rafael Ferreira para falar sobre a nova versão do CIS Controls – Versão 8.

Para atualizar nossos ouvintes, poderia dizer o que seriam os CIS Controls? Do que se trata esse tema? (01:19)

Rafael comenta que os controles CIS (Center for Internet Security), são um conjunto priorizado de proteções recomendadas para mitigar os ataques cibernéticos mais prevalentes contra sistemas e redes.

Essa iniciativa, criada em 2008, devido a grandes brechas de seguranças, principalmente em sistemas industriais e a necessidade de proteção e criação de controles para evitá-las. Foi desenvolvido por um grande grupo que reuniu empresas, agências governamentais, instituições, pessoas da comunidade de segurança cibernética para criar o mais efetivo conjunto de ações dedicadas à defesa cibernética, fornecendo as melhores práticas aprovadas pelos profissionais de segurança da informação dos setores público e privado.

Os controles são endossados e referenciados por órgãos como NIST, MITRE, DoD, Department of Homeland Security, SANS Institute, European Telecommunications Standards Institute (ETSI), Reino Unido, com a National Governors Association (NGA) e UK’s Centre for the Protection of National Infrastructure (CPNI), dentre outros.

E os controles foram se atualizando ao longo dos anos, e a partir de 2015 vem sendo capitaneado pelo CIS, que lançou a versão 8 neste semestre.

Quais são os ganhos para as empresas que optam por seguir os CIS Controls? (05:03)

Além da adoção das melhores práticas definidas pela comunidade de Segurança, os controles trazem uma visão priorizada dos controles para aumentar o nível de maturidade e segurança. Assim as organizações poderão definir rapidamente os pontos críticos e importantes, economizando recursos, tempo e dinheiro, bem como garantindo uma melhoria na segurança no menor espaço de tempo possível.

Os CIS Controls pretendem substituir os demais frameworks de segurança do mercado? (06:20)

Nosso entrevistado comenta que não substituem e nem possuem essa intenção. Um dos princípios dos CIS Controls é a capacidade de mapear os controles especificados pelo CIS e os requisitos dos outros frameworks de mercado, incluindo os de nicho como o PCI-DSS ou CSA, e os mais generalistas como ISO27001, NIST etc. Assim, é possível realizar uma jornada de adequação, onde você sabe o início e onde deve chegar e, pode incluir aos frameworks que desejar para evoluir o nível de maturidade, pois o CIS já facilita o trabalho, na coexistência dos controles e os requisitos dos frameworks existentes. A empresa terá uma excelente base para iniciar os trabalhos de implementação da segurança com a priorização correta relacionada aos riscos.

Quais são os princípios que guiaram a atualização da nova versão dos CIS Controls? (09:33)

Um dos principios do CIS CONTROLS é ser orientado à ação, além do foco nos inventários, onde você precisa conhecer o que você possui para poder gerenciar. A questão da visibilidade é um princípio que se mantém. O princípio da capacidade de mapeamento, que faz de maneira facilitada essa tarefa. Rafael explica que a versão atual foi lançada permitindo a existência com os demais frameworks de segurança cibernética, controles flexíveis, focados e com menor redundância. E a questão de se manter sempre atualizado, com a abordagem com priorização, que tornou o processo mais fluido, evitando redundâncias.

Quais foram as atualizações desta última versão? (13:52)

Essa atualização foi motivada pelas recentes transformações como a nuvem, mobilidade, home office, regulatórios de proteção de dados e privacidade. O número total de controles foi reduzido de 20 para 18. Os controles foram organizados por atividades e por grupos de implementação. Um bom exemplo de mudança de abordagem é o controle 1 sobre inventários. Na nova versão, o levantamento de dados sobre os ativos foram expandidos, que não estavam previstos anteriormente. Houve uma mudança conceitual na abordagem. Rafael também comentou outras mudanças de abordagem e também a adaptação às novas realidades, como por exemplo o Data Protection, com as arquiteturas que são empregadas atualmente, tendo que proteger mais o dado do que o próprio perímetro, dentre outros.

Rafael comentou sobre detalhes sobre como abordar os controles de uma maneira progressiva, olhando para os controles e os safeguards, com sugestão de abordagem priorizada, permitindo otimizar o tempo e custos, minimizando os riscos com maior eficiência e eficácia.

Vale frisar que o inventário controle, que é a tarefa orientada a ação, onde existem controles que iniciam rotinas na sua empresa que garantem que o inventário estará atualizado, pois monitora as mudanças do dia a dia, permitindo uma visibilidade de toda a superfície de defesa/ataque podendo visualizar as brechas, atuando em pessoas, tecnologia e processos.

Quais são os CIS Controls atuais? (25:36)

Rafael comentou quais são os atuais controles, e também alguns pontos das mudanças e informações importantes e atualizadas de cada, que são: Inventário e controle de ativos corporativos, inventário e controle de softwares, proteção de dados, configuração segura de ativos e softwares, gerenciamento de contas, gestão de controle de acesso, gestão de vulnerabilidade contínua, gestão de logs – auditoria, proteção de email e web browser, defesa de malwares, data recovery, gestão de infraestrutura de rede, defesa e monitoramento de rede, mentalidade de segurança e treinamento, gestão de provedores de serviços, segurança de aplicações, gestão de resposta a incidentes e testes de penetração/invasão.

Para fazer um paralelo em quantitativo de ações, na versão 7.1, havia 20 controles e 171 sub controles; e já na versão 8 existem 18 controles e 153 “safeguards” e não mais chamados de sub controles.

Como a Clavis tem utilizado os CIS Controls? E se eu sou um profissional de segurança e gostei da abordagem citada neste SegInfocast e gostaria de pedir à Clavis um apoio para esses serviços, como faço? (30:06)

Rafael comenta que a Clavis atua fortemente como um centro de operações de segurança, e utiliza não somente o CIS Controls, mas também se baseia nos demais frameworks de segurança. Iniciamos o serviço com uma análise e uma modelagem de  um roadmap personalizado para cada cliente, criando assim uma jornada de adequação única. Cada aspecto relacionado a pessoas, processos e tecnologia no serviço de SOC da Clavis  são trabalhados para aumentar o nível de maturidade de segurança dos clientes alinhado às principais normas do mercado. Nós focamos em uma arquitetura de segurança adaptativa baseada em três prismas: ataque, defesa e inteligência. Nessas três áreas, conseguimos ajustar e adequar os controles necessários com serviços e soluções próprias, como o OCTOPUS SIEM, responsável pelo monitoramento contínuo de ameaças e o BART, responsável pela gestão centralizada de vulnerabilidades. Todo o cenário é contextualizado com fontes de inteligência (Threat Intel), orientado aos riscos inerentes ao negócio e suportado pelos pilares de Governança, Risco e Compliance. Agrega-se a tudo isso a ACADEMIA CLAVIS, que provê a conscientização e treinamento.

Rafael agradeceu aos ouvintes e deixou a mensagem que a segurança não é uma chave em que se virar consegue resolver o problema, e sim um processo contínuo, sendo importante ter uma ferramenta como essa do CIS CONTROLS que ajuda a ter uma visão atual do processo de segurança.

Conheça os serviços da CLAVIS clicando aqui e conferindo o site www.clavis.com.br

Veja os artigos sobre o CIS CONTROLS V8: CIS Controls Version 8 chegará em maio de 2021

Sobre o entrevistado

Rafael Soares Ferreira é Diretor Comercial do Grupo Clavis Segurança da Informação. Profissional atuante nas áreas de testes de invasão e auditorias de rede, sistemas e aplicações, e de detecção e resposta a incidentes de segurança. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: GTS – Grupo de Trabalho em Segurança de Redes do cgi.br, CNASI – Congresso de Segurança da Informação, Auditoria e Governança TIC, FISL – Fórum Internacional de Software Livre, OWASP Day, Bhack Conference, SegInfo – Workshop de Segurança da Informação, Bsides SP, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web, Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH v8 (Certified Ethical Hacker), ECSA v4 (EC-Council Certified Security Analyst), CHFI v8 (Computer Hacking Forensic Investigator), CompTia Security+, SANS SSP-CNSA (Stay Sharp Program – Computer and Network Security Awareness) e ENSA v4.1 (EC-Council Network Security Administrator).

Sobre o entrevistador:

Luiz Felipe Ferreira tem 16 anos de experiência em Tecnologia da Informação e desde 2008 trabalha com Segurança da Informação. Formado em Tecnologia em Informática pela UniverCidade e com MBA em Gestão de Projetos e Negócios em TI pela UERJ. Atualmente é Data Protection Product Owner no Itaú Unibanco. Apresentador do SegInfocast, um podcast focado em Segurança. Professor universitário na IDESP. Instrutor credenciado EXIN no tema de privacidade e proteção de dados pela Clavis. Palestrante em diversos congressos de Segurança como SegInfo, WorkSec e Congresso de TI. Possui as certificações EXIN DPO, ISFS, PDPF, PDPP.

The post SegInfocast #79 – CIS Controls Versão 8 appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Neste episódio do SegInfocast, Luiz Felipe Ferreira recebe diversos convidados: Rafael Ferreira, Ygor Buitrago e Livia Barroso para conversar sobre um guia lançado pela Autoridade Nacional de Proteção de Dados sobre Agente de Tratamento e Encarregados. 

Como está o panorama atual de proteção de dados no Brasil e no mundo?

Ygor inicia falando sobre o aniversário de 3 anos do GDPR, uma forte inspiração para a nossa Lei Geral de Proteção de Dados (LGPD). Inicialmente muitas empresas não se moveram em direção a conformidade, algumas se movimentaram por receio de multas ou punições, porém esse comportamento foi mudando com o tempo. Com a criação da Autoridade Nacional de Proteção de Dados (ANPD) não somente no papel, mas na prática, as empresas passaram a ter o entendimento de que a importância dada ao proteger a privacidade e os dados fornece uma visibilidade positiva para a empresa, clientes, fornecedores, e colaboradores.

Pelos aspectos do direito, Livia pontua a necessidade latente que os advogados tiveram para conhecer tanto a lei quanto aos processos de segurança da Informação envolvidos, para fazer a adequação contratual, tendo que buscar conhecimento sobre as bases de dados pessoais, entre outros. Outro ponto a destacar é que mesmo que as sanções administrativas estejam programadas a partir de agosto de 2021, já existem decisões judiciais baseadas na LGPD, como o conhecido caso do metrô de São Paulo e outros.

E sobre a ANPD? O que ela representa?

A autoridade Nacional de Proteção de Dados é a responsável pela fiscalização da LGPD, lembra Ygor. Além disso, ela tem diversas tarefas como a de zelar pela proteção de dados pessoais, orientando a população sobre as melhores práticas de privacidade; elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, dentre outras.

A ANPD lançou um guia recentemente. Do que trata este documento?

O Guia Orientativo sobre os Agentes de Tratamento e Encarregado esclarece quem são os agentes de tratamento (controlador e operador), além do encarregado de proteção de dados, definindo os conceitos de forma sólida, facilitando e muito, o dia-a-dia dos profissionais de privacidade e proteção de dados. Ygor comentou sobre as tarefas e responsabilidades de cada um deles, citando exemplos para facilitar o entendimento.

Livia lembra que o guia traz o conceito de controlador conjunto, aquele que tem o poder de decisão juntamente com outro controlador. Ainda é uma novidade para muitas empresas, sendo necessário o debate e entendimento com o setor jurídico para garantir a exata compreensão e adaptação dos contratos.

Como funciona na prática o trabalho dos agentes de tratamento em uma situação de vazamento de dados?

Ygor exemplifica que sendo o controlador o responsável pelo tratamento de dados, a empresa deve ter um processo interno preparado para que os dados pessoais sejam devidamente tratados. O Operador deve tratar os dados pessoais respeitando as orientações do Controlador. Já o Encarregado tem a tarefa de fazer com que o tratamento definido pelo controlador seja executado, além de atuar na comunicação do Controlador com o Operador, com a Autoridade Nacional de Proteção de Dados (ANPD), bem como com os Titulares. 

A ANPD já definiu o processo para os casos de violação de dados. Em termos gerais ele se divide em:

– Avaliar internamente o incidente – natureza, categoria e quantidade de titulares de dados afetados, categoria e quantidade dos dados afetados, consequências concretas e prováveis;

– Comunicar ao encarregado (Art. 5º, VIII da LGPD);

– Comunicar ao controlador, se você for o operador, nos termos da LGPD;

– Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (Art. 48 da LGPD); e

– Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (Art. 6º, X da LGPD).

Este guia é definitivo? Ou ele pode ser atualizado?

Foi destacado que o guia não é definitivo. A versão publicada está sujeita a comentários e contribuições pela sociedade civil de forma contínua por meio do e-mail normatizacao@anpd.gov.br e que o guia será atualizado à medida em que novas regulamentações e entendimentos forem publicados e estabelecidos pela ANPD.

E como as empresas podem se preparar para a conformidade com a LGPD?

Rafael lembra que é fundamental a abordagem dos controles de segurança da informação visando à privacidade. Trata-se de uma jornada – a jornada de adequação – que é um processo de implementação de rotinas, controles com o entendimento de cada processo, envolvendo pessoas e tecnologias. Deve-se entender o uso de dados pessoais dentro da empresa, a forma com que são manuseados e tratados para que se possa usar os controles de modo adequado e prover a segurança devida. É uma questão multidisciplinar, envolvendo os setores tecnológico e jurídico, principalmente.

Os advogados, como a Livia, tem um papel fundamental na adequação de contratos, incluindo os trabalhistas. As empresas precisam iniciar o quanto antes à adequação à LGPD, contratando profissionais especializados para realizar toda a fase de mapeamento dos dados pessoais que são tratados por elas, identificando se os mesmos estão em conformidade com as bases legais de tratamento previstas na LGPD e realizando as adequações necessárias.

E como podemos orientar os funcionários sobre os cuidados com a proteção dos dados?

Segundo Rafael, a conscientização e engajamento das pessoas nas causas da segurança da informação sempre foi uma questão importante, e agora, mais do que nunca, torna-se fundamental na estratégia de proteção de dados e privacidade da empresa, pois com a LGPD tudo isso ganhou impulso. Se já era necessário e latente conscientizar as pessoas sobre os riscos e ameaças digitais, agora faz-se necessário engajar as  pessoas com relação ao tratamento dos dados pessoais de terceiros.

Os treinamentos dos funcionários, em todos os níveis, principalmente após a contratação, são essenciais. Os advogados também auxiliam no nível de conscientização da alta diretoria, por se tratar de uma lei.

A Clavis consegue ajudar as empresas na questão da adequação a LGPD?

Rafael comenta que a Clavis atua não somente nos aspectos tecnológicos com os seus consagrados produtos de segurança tais como o Octopus SIEM e o BART, mas também nos processos com o auxílio na elaboração de documentações como políticas de segurança, políticas de privacidade e a adequação de contratos com clientes, fornecedores e colaboradores.

Como segurança é um processo, é importante que nesse caso da LGPD se faça uma abordagem ampla com foco em uma análise de gap pelos prismas de monitoramento e análise de vulnerabilidades. Deve contar com apoio de diversas frentes, por exemplo, para identificar os processos, monitorar, rastrear, controlar os dados, empregar a segurança orientada a dados, atuando sobre os pilares de Pessoas Processos e Tecnologias. Assim, a empresa poderá ter todo arcabouço de documentação elaborado. É recomendável que adote procedimentos para conscientização, capacitação do encarregado, treinamentos em Segurança da Informação, Privacidade e Desenvolvimento Seguro, além de simulações de ataques e invasão para manter o ambiente sempre sob o mais alto nível de segurança.

Conheça mais sobre os serviços da Clavis para a LGPD, clicando aqui.

Assista o SegInfocast #75 – LGPD: Impactos na Sociedade e a Jornada de Adequação das Empresas ocorrido em Dezembro de 2020. Este SegInfocast lhe fornecerá os principais aspectos da Lei.

Sobre os entrevistados

Rafael Soares Ferreira é Diretor Comercial na Clavis Segurança da Informação.

Ygor Buitrago é Head de Riscos e Compliance na Clavis Segurança da Informação.

Lívia Barroso é advogada trabalhista, graduada pela Universidade Federal do Rio de Janeiro e pós graduada pela Ejutra – Escola Associativa dos Juízes do Trabalho.

Sobre o entrevistador:

Luiz Felipe Ferreira tem 16 anos de experiência em Tecnologia da Informação e desde 2008 trabalha com Segurança da Informação. Formado em Tecnologia em Informática pela UniverCidade e com MBA em Gestão de Projetos e Negócios em TI pela UERJ. Atualmente é Data Protection Product Owner no Itaú Unibanco. Apresentador do SegInfocast, um podcast focado em Segurança. Professor universitário na IDESP. Instrutor credenciado EXIN no tema de privacidade e proteção de dados pela Clavis. Palestrante em diversos congressos de Segurança como SegInfo, WorkSec e Congresso de TI. Possui as certificações EXIN DPO, ISFS, PDPF, PDPP.

Recomendação de leitura: SegInfocast #75 – LGPD: Impactos na Sociedade e a Jornada de Adequação das Empresas / LGPD é sancionada e entra em vigor nesta sexta-feira (18/09) e Governo Federal lança plataforma de educação em LGPD

The post SegInfocast #78 – Guia da ANPD para Agentes de Tratamento e Encarregados appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Neste episódio do SegInfocast, Luiz Felipe Ferreira recebe diversos convidados: Tulio Alvarez, Luciano Lima, Antônio Borge e Ricardo Salvatore, responsáveis pela tradução em português do livro “The Fifth Domain: Defending Our Country, Our Companies, and Ourselves in the Age of Cyber Threats” dos autores Richard Clarke e Robert Knake. 

Qual o tema principal do livro O Quinto Domínio?

Tulio, que coordenou os trabalhos de tradução, cita que o título The Fifth Domain (O Quinto Domínio) é um termo que o Pentágono, e Forças Militares de muitos outros países, utilizam para se referir ao domínio do campo de batalha no âmbito cibernético. Os outros quatro domínios são: terrestre, marítimo, aéreo e espacial. E o quinto domínio, o cibernético, tem uma característica de permear todos os demais. Uma determinada ação no campo cibernético pode afetar sistemas, máquinas e até pessoas.

Com a dependência tecnológica cada vez maior, há um paradoxo de ter um maior risco e mais vulnerabilidades, o que permite que atores sem muitos recursos possam executar ações e causar grandes impactos. Quando levamos para o nível de conflitos, sejam declarados ou não, é fato que o mundo vem sofrendo diariamente com as ameaças existentes no ciberespaço.

E este livro vem apresentar não somente a ideia de se poder travar uma batalha neste vasto território, com ações ofensivas e defensivas no cenário atual e futuro, mas também fornecer aspectos interessantes sob o ponto de vista do setor público e privado, suas limitações e algumas ideias para tentar resolver o problema que pode afetar toda a nação.

É um livro de alto nível e extremamente recomendável para o público que tenha algum interesse no tema Segurança Cibernética. É quase obrigatório aos profissionais da área de tecnologia da informação, pois fornece uma ampla visão de como a segurança cibernética precisaria ser abordada para proteger o país, sua infraestrutura, suas empresas e todos os indivíduos, e que poderá expandir a base de conhecimentos aos leitores sobre essas questões.

Como foi o processo de tradução do livro?

A Clavis vem se consolidando como uma referência na tradução de livros sobre Segurança da Informação. Eles já foram tema de diversos episódios do SegInfocast. Vamos recordar alguns?

1. Clique aqui para matar todo mundo de Bruce Schneier

2. Contagem Regressiva até Zero Day de Kim Zetter

3. Fundamentos da Segurança da Informação – Livro Oficial da certificação da EXIN Fundamentos da Segurança da Informação baseado na ISO 27001 e ISO 27002, que faz parte da formação DPO da EXIN.

4. Guerra Cibernética – “CYBER WAR – The next threat to national security and what to do about it

5. Livros técnicos para certificações

Novamente foi montado um super time de revisores, profissionais conceituados e com vasta experiência tanto no setor privado quanto no público.

Como estão divididos os capítulos do livro?

O livro possui cinco capítulos: Segurança sob a visão das empresas; Suporte governamental; Guerreiros, diplomatas e candidatos; Futuro próximo da guerra cibernética (tendências); e, Nossa comunidade de segurança. 

Durante o podcast, os entrevistados, falaram sobre os principais pontos destacados nos capítulos.

Proteção e defesa cibernética é uma preocupação de todos. Não há como delegar uma segurança que depende de você. Quando você sai de casa, você tranca as portas e janelas, e se tiver alarme você o aciona, então por qual motivo vc sai do seu computador e não faz o mesmo?

O livro aborda o grande lobby das empresas de não quererem participar da segurança. Comenta sobre o NIST, instituto que cria padrões para serem adotados e fornece dados sobre como você consegue treinar as pessoas, tendo atenção ao grande deficit de profissionais de segurança.

Há passagens no texto que demonstram como o governo dos EUA está mudando a maneira de selecionar os profissionais de segurança. Tem que selecionar os talentos, pois eles tem que se dedicar e é ressaltado que devam ter um algo a mais para que entendam o que está ocorrendo no sistema. Como coordenar uma equipe para se defender? Eles trabalham com jogos e soluções de problemas para testar os profissionais. É bom conhecer como estão ocorrendo iniciativas de empresas de como selecionar melhor os profissionais.

Com relação aos sistemas de infraestrutura existe um aperfeiçoamento do que aconteceu neste últimos dez anos. A interação entre o governo e empresas deve ser próxima, visando cooperação e resiliência.

O autor tem uma postura mais crítica quanto à estrutura existente do Comando Cibernético, questionando o avanço da ofensiva. Ele comenta que é fundamental a existência de acordos internacionais para minimizar os riscos. Acreditam que devem ter meios de usar a tecnologia protegendo a democracia.

Outro ponto ressaltado pelos revisores foi de que união dos setores público e privado é fundamental. Um não pode estar à frente do outro. Se você controla a Internet, você perde a vantagem dela não ser controlada e da liberdade. Não seria bom controlar tudo. Coloca a visão das Forcas Armadas como defesa, cita a importância dos acordos diplomáticos e a questão de proteger os sistemas eleitorais e a democracia.

Em outro capítulo, as novas tecnologias são abordadas, como, 5G e Internet das Coisas, que vem tomando conta de um mundo de dispositivos conectados. Nesse ponto, apresenta o questionamento de: o quanto isso está protegido? Na realidade existe uma grande dificuldade de segurança, faltam aspectos de boas práticas inclusive dos fabricantes.

A Inteligência Artificial inicialmente foi concebida para automatizar processos, mas existe uma corrida armamentista usando uma corrente para fazer ataques no futuro. O futuro poderá ser a própria defesa contra as máquinas.

O conhecimento será multidisciplinar e o novo profissional deve se adaptar a isso.

O básico de segurança da informação tem que valer para todos esses pontos. As coisas são criadas para facilitar o uso para o ser humano. Mas há que pensar nos sistemas legados, e não somente no futuro. A padronização deve ser cobrada, mesmo após dar um salto à frente.

Há uma grande lacuna, que por mais que a comunidade de segurança tente adotar novos frameworks e modelos, muitas empresas demoram para adotar tais controles e, para algumas, é um grande desafio. O colaborador tem grande resistência em mudança e isso impacta na segurança.

É natural que os profissionais de tecnologia queiram ter soluções técnicas, mas como há pessoas decidindo, há um problema. Enquanto esse ser humano não for treinado e conscientizado o risco sempre existirá e não será minimizado.

Quem usa os dispositivos, quem desenvolveu os softwares, foram pessoas. O fator humano é fundamental. As soluções às vezes são muito seguras, mas por serem muito difíceis, acaba que o ser humano não a utiliza apropriadamente.

A segurança não deve estar acima do negócio. Há de se mostrar o risco e a decisão será tomada de acordo com a prioridade. É dizer sim de forma segura e como garantir o mínimo de segurança para o usuário.

Em resumo, o livro trata da resiliência como fator fundamental para se manter dentro desse novo domínio.

O livro “O Quinto Domínio” será lançado em breve. Aproveitem o conteúdo deste seginfocast e acompanhe o blog Seginfo para saber os detalhes do lançamento. Será uma leitura extraordinária !

Sobre os entrevistados

Tulio Alvarez está atuando como Head of Maritime Cyber Security da CLAVIS-Segurança da Informação e pesquisador em Gestão de Riscos Cibernéticos Marítimos pela Faperj/GreenHat. É Mestre em Ciências Navais pela Escola de Guerra Naval (2012), com seu trabalho desenvolvido na área da Defesa Cibernética no setor naval. É Especialista em Redes de Computadores pela PUC-Rio (2006), com desenvolvimento do trabalho na área de Gestão da Segurança da Informação (Norma ISO ABNT 27001); Especialista em Segurança de Redes e Criptografia pela UFF (2008), com trabalho focado em Segurança da Informação; e, Especialista em Gestão Empresarial pela COPPEAD/UFRJ (2012). Tem experiência na área de Tecnologia da Informação,  Auditoria, Testes de Invasão e vulnerabilidades, Ensino e treinamentos presencial e a Distância, Gestão da Segurança da Informação, “Security Officer”, Comando e Controle (C4ISR), Operações e Logística militares no Brasil e exterior (ONU), Planejamento e exercícios de Defesa Cibernética. 

Luciano Lima tem 24 anos de experiência profissional em TI e nos últimos 14 anos trabalhou exclusivamente com Segurança da Informação. Conquistou sua primeira certificação em 2001. Atualmente possui as principais certificações de segurança: CISSP (Certified Information Systems Security Professional), CSAE (CompTIASecurity Analytics Expert), CASP+ (CompTIA AdvancedSecurity Practitioner), CySA+(CompTIA CybersecurityAnalyst), CompTIA Security+, CEH (Certified EthicalHacking), ITIL V3 Foundation, MCP, MCSA, MCSE, MCSA Security e MCSE Security.

Como especialista em segurança da informação, tem grande experiência em segurança cibernética e gerenciamento de segurança. Também possui experiência na criação e implementação de políticas de segurança para proteger empresas de médio e grande porte. Tem experiência na implementação e acompanhamento de auditorias internas e externas com base na ISO / IEC 27001 e ISAE 3402. Também possui experiência em Análise de Vulnerabilidades no Windows, Unix, Linux e Networking.

Autor dos livros:

• Guia de Certificação MCSE Windows XP Professional;

• Simulados para a Certificação CompTIA Security+ SY0-401;

• Simulados para a Certificação CompTIACybersecurity Analyst (CySA+) – CS0-001;

• CompTIA Cybersecurity Analyst (CySA+) Certification Practice Exams – CS0-001;

• Simulados para el examen CompTIA CybersecurityAnalyst (CySA+) – CS0-001;

• Simulados para a Certificação CompTIA Security+ SY0-501;

• CompTIA Security+ SY0-501 Certification Practice Exams;

• Simulados para el examen CompTIA Security+ SY0-501;

• Simulados para o Exame CompTIA Cloud Essentials+ CLO-002; e

• CompTIA Cloud Essentials+ CLO-002 CertificationPractice Exams (English Edition).

Antônio Borge é Gestor de Segurança Cibernética, Especialista em Segurança da Informação e Gestão de Redes. Oficial da Ativa da Marinha do Brasil. Possui formação em Processamento de Dados pela UNIABEU (1996) com o desenvolvimento de um sistema para controle do processo licitatório da prefeitura de Mesquita, RJ. Especialista em Gestão da Segurança da Informação, pela Universidade Gama Filho (2010), com o trabalho focado na política de segurança como fator principal para segurança de informação. Especialização no Curso Superior (C-Sup), pela Escola de Guerra Naval (2011), com o trabalho focado em Guerra Cibernética: Ameaças à infraestrutura de Tecnologia da Informação da Marinha do Brasil.
Atua na área de Tecnologia da Informação desde 1988 e especificamente na área de segurança desde 1997. Atualmente está exercendo a função de Adjunto do Estado Maior Conjunto do Comando de Defesa Cibernética do Brasil.

Ricardo Salvatore é Mestre em Ciência da Computação pela Naval Postgraduate School (NPS), Califórnia-EUA. Pós-Graduado em: Gerência de Projetos de Software, Arquitetura da Informação, Análise de Sistemas pela PUC-Rio e Processamento Digital de Sinais pela UFRJ. Graduado em Eletrônica pela Escola Naval e Comandante da reserva da Marinha do Brasil. Tem Mais de 15 anos de experiência em gestão de Segurança da Informação, Governança de TI, Arquitetura da Informação e Gerência de Projetos de Software. Hoje é Gerente de Tecnologia e Segurança na Petronect.

Sobre o entrevistador:

Luiz Felipe Ferreira tem 16 anos de experiência em Tecnologia da Informação e desde 2008 trabalha com Segurança da Informação. Formado em Tecnologia em Informática pela UniverCidade e com MBA em Gestão de Projetos e Negócios em TI pela UERJ. Atualmente é Data Protection Product Owner no Itaú Unibanco. Apresentador do SegInfocast, um podcast focado em Segurança. Professor universitário na IDESP. Instrutor credenciado EXIN no tema de privacidade e proteção de dados pela Clavis. Palestrante em diversos congressos de Segurança como SegInfo, WorkSec e Congresso de TI. Possui as certificações EXIN DPO, ISFS, PDPF, PDPP.

The post SegInfocast #77 – Tradução do livro The Fifth Domain – O Quinto Domínio – Defendendo nosso país, nossas companhias e nós mesmos na era das ameaças Cibernéticas – Richard A. Clarke & Robert K. Knake appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

No episódio 76 do SeginfoCast, Luiz Felipe Ferreira conversa com o convidado Tulio Souza sobre Gestão de Segurança e Riscos Cibernéticos no Setor Marítimo, tendo como base documentos e diretrizes da Organização Marítima Internacional.

Como é o atual cenário da segurança cibernética no setor marítimo?

Tulio comenta que há muitos desafios a serem vencidos. Dentre as observações e pontos importantes, podem ser citados que o avanço e a dependência da tecnologia coloca em evidência os riscos cibernéticos enfrentados pelas empresas no geral. No Setor Marítimo não poderia ser diferente, tornando-se imprescindível se atentar aos mesmos, uma vez que existem diversos atores envolvidos e uma gama de sistemas de alta complexidade tecnológica e com enorme potencial de impacto em caso de falha.

Corroborando com o tema Segurança Cibernética, a Organização Marítima Internacional (IMO), órgão internacional vinculado às Nações Unidas, que trata da segurança do transporte marítimo internacional e outros temas relacionados, do qual o Brasil é signatário, vem estudando o assunto a alguns anos e impôs a data de 01 de janeiro de 2021 como um marco do início de uma nova era para a Segurança Cibernética do Setor Marítimo, obrigando empresas e navios para que tenham um processo de Gestão de Riscos Cibernéticos inseridos em seus já existentes Sistemas de Gestão de Segurança (baseados no ISM-CODE), a partir da primeira verificação do Documento de Conformidade a ser realizada em 2021.

Há casos de ataques cibernéticos no setor marítimo?

Mesmo não tendo tanta divulgação em grandes mídias, Tulio cita casos de ataques cibernéticos que impactaram diversas empresas do setor marítimo, trazendo prejuízos financeiros e danos de imagem. Como por exemplo: em 2017, um incidente de segurança relacionado ao ransomware NotPetya, que executou um dos maiores ataques cibernéticos da história, impactando também a dinamarquesa MAERSK, maior operadora de navios de contêineres e navios de abastecimento do mundo; em 2018 um ataque cibernético que afetou a empresa Chinesa COSCO Shipping; em 2020, a gigante Francesa de contêineres, CMA CGM SA, foi alvo de um ataque com o ransomware Ragnar Locker; e a própria Organização Marítima Internacional (IMO), que também foi vítima de um ataque cibernético sofisticado, que inativou por alguns dias os serviços de Internet da organização.

Atestando a relevância do tema, a IMO expediu em 2017 dois documentos que marcaram uma mudança de postura, incentivando e recomendando atuação direta para melhoria da Segurança Cibernética Marítima. São eles:

• A Resolução MSC.428(98) em junho de 2017, que reconheceu  a necessidade urgente de aumentar a conscientização sobre ameaças e vulnerabilidades de risco cibernético para oferecer suporte ao transporte seguro; e

• As Diretrizes sobre Gerenciamento do Risco Cibernético Marítimo, MSC-FAL.1/Circ.3 (Guidelines on Maritime Cyber Risk Management), fornecem recomendações de alto nível sobre o Gerenciamento de Risco Cibernético Marítimo para proteger o transporte marítimo de ameaças e vulnerabilidades cibernéticas atuais e emergentes.

O entrevistado também comenta sobre as principais características desses documentos da IMO para Gestão de Riscos Cibernéticos, cujo objetivo é apoiar o transporte seguro e garantir sua proteção. Abordou que o gerenciamento eficaz de riscos cibernéticos deve começar no mais alto nível da administração e que deve ser incorporada uma cultura de conscientização do risco cibernético em todos os níveis de uma organização. Sendo o treinamento de fundamental importância para a garantia e manutenção das condições mínimas de segurança.

Apresenta que o documento da Circ.3 (Guidelines on Maritime Cyber Risk Management da IMO) cita ser relevante tratar os riscos dos ambientes de Tecnologia da Informação (TI) e da Tecnologia Operacional (TO); e que recomenda a utilização de padrões, melhores práticas internacionais e guias da indústria marítima, como a ISO27001, NIST Cybersecurity Framework ou The Guidelines on Cyber Security Onboard Ships, ficando ao critério de cada interessado aplicar a solução que melhor lhe atender.

Quais os impactos podem ocorrer para aqueles que não estiverem em conformidade?

Nosso entrevistado cita os riscos como danos de imagem, paralisação das operações e prejuízos financeiros como possíveis consequências para as empresas que não estiverem em conformidade.

Ressalta que o principal risco a ser observado é quanto à própria segurança e proteção dos navios, sistemas, meio ambiente e a salvaguarda da vida no mar, mas também há de se considerar as penalidades que a empresa pode sofrer por não estar em conformidade.

Cita que já existe, atualmente, fora do Brasil, até a previsão para que navios sejam barrados em portos caso não estejam em conformidade com essas normas de segurança cibernética da IMO e outras normas locais, como é o caso da regulamentação da Guarda Costeira dos Estados Unidos da América.

Assim, podemos concluir que os impactos que podem ocorrer são enormes e deve ser dada a devida importância para acelerar o trabalho para salvaguardar o transporte marítimo das ameaças e vulnerabilidades cibernéticas atuais e emergentes, tendo em vista o prazo já citado de 01 de janeiro de 2021 como marco fornecido pela própria IMO.

Como as empresas do setor marítimo podem se adequar aos guias da IMO?   

Na conversa observamos que manter a segurança cibernética eficaz não é apenas um problema de TI, mas sim um aspecto operacional fundamental imperativo no ambiente marítimo do século XXI. Sob o aspecto de compliance, já estamos num período pelo qual se tornou obrigatória a gestão de riscos cibernéticos marítimos nas embarcações regulamentadas pela IMO. Logo, há a necessidade de se preparar e estabelecer os devidos controles de segurança.

Cita que a empresa pode definir seus objetivos de segurança conforme as normas existentes e suas necessidades, executar uma análise de riscos completa (incluindo aspectos de TI e TO) para conhecer o problema e selecionar o plano a seguir de acordo com as prioridades e recursos. O framework do NIST, bem como os demais padrões referenciados pela IMO, são excelentes parâmetros para executar esta tarefa.

Ressaltou que cada empresa e navio possuem suas peculiaridades. E, ao executar uma boa análise de gap, poderá identificar os problemas e implementar os controles necessários. É um fator facilitador ,altamente recomendável, poder contar com equipes especializadas e centros de controle que possuem acompanhamento 24h. O processo é longo e deve ser iniciado o quanto antes, para que a maturidade de segurança esteja sempre se aprimorando, uma vez que as ameaças estão em constante evolução, além de buscar a conformidade com as normas em vigor.

Para saber mais sobre o assunto:

Segundo o entrevistado, há diversos artigos disponíveis sobre o tema, onde o leitor poderá ter um contato inicial e poder seguir adiante e se aprofundar no tema. Podemos citar aqui os existentes no próprio Portal SEGINFO, além de um recente Webinar lançado pela Clavis, que possui soluções consagradas de segurança cibernética, como análise de gap e ferramentas  – Octopus e o BART, incluindo o emprego do SOC, disponível 24 horas por dia, que já atendem grandes players do mercado marítimo e off-shore.

Sites e Artigos citados:

• https://seginfo.com.br/2021/03/15/artigo-seguranca-cibernetica-no-setor-maritimo-com-foco-na-imo-uma-nova-era-a-partir-de-janeiro-de-2021/

• https://seginfo.com.br/2021/03/25/artigo-risco-cibernetico-maritimo/

• https://seginfo.com.br/2020/12/14/evento-discutira-seguranca-cibernetica-no-setor-maritimo/

• https://seginfo.com.br/2020/10/08/caso-maersk-saiba-como-o-notpetya-foi-responsavel-por-um-dos-maiores-ataques-ciberneticos-da-historia/

• https://www.imo.org/en/OurWork/Security/Pages/Cyber-security.aspx

Uma outra dica é a leitura de livros especializados e que abordam o assunto direta ou indiretamente. Por exemplo, os livros que estão sendo traduzidos pela CLAVIS: Fifth Domain e o Sandworm – new era of cyberwar and the hunt of Kremlin’s most dangerous hackers, que devem ser lançados ainda este ano no idioma português para colaborar com a nossa comunidade de segurança da Informação.

Sobre o entrevistado:

Tulio Souza está atuando como Consultor do Grupo Clavis -Segurança da Informação, Head of Maritime Cyber Security e pesquisador em Gestão de Riscos Cibernéticos Marítimos pela Faperj/GreenHat. É Mestre em Ciências Navais pela Escola de Guerra Naval (2012), com seu trabalho desenvolvido na área da Defesa Cibernética no setor naval. É Especialista em Redes de Computadores pela PUC-Rio (2006), com desenvolvimento do trabalho na área de Gestão da Segurança da Informação (Norma ISO ABNT 27001); Especialista em Segurança de Redes e Criptografia pela UFF (2008), com trabalho focado em Segurança da Informação; e, Especialista em Gestão Empresarial pela COPPEAD/UFRJ (2012).

Sobre o entrevistador:

Luiz Felipe Ferreira tem 16 anos de experiência em Tecnologia da Informação e desde 2008 trabalha com Segurança da Informação. Formado em Tecnologia em Informática pela UniverCidade e com MBA em Gestão de Projetos e Negócios em TI pela UERJ. Atualmente é Data Protection Product Owner no Itaú Unibanco. Apresentador do SegInfocast, um podcast focado em Segurança. Professor universitário na IDESP. Instrutor credenciado EXIN dos cursos EXIN Information Security Foundation, EXIN Privacy & Data Protection Foundation e EXIN Privacy & Data Protection Practitioner na Academia Clavis. Palestrante em diversos congressos de Segurança como SegInfo, WorkSec e Congresso de TI. Possui as certificações EXIN DPO, ISFS, PDPF, PDPP.

The post SegInfocast #76 – Risco Cibernético no Setor Marítimo | Organização Marítima Internacional – IMO appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Neste episódio do SegInfocast, Luiz Felipe Ferreira conversa com o convidado Raphael Machado sobre o mundo das pesquisas acadêmicas voltadas para temas relacionados a Segurança da Informação.

Quais são as possibilidades para aqueles que querem seguir um caminho mais acadêmico?

Nosso entrevistado sugere a busca de um programa de mestrado ou doutorado em universidades e por docentes especializados no tema de pesquisa de interesse. Em alguns casos, pode inclusive ser financiado/patrocinado por uma empresa privada que deseja que um colaborador através do aprendizado do método científico tente obter a solução de um problema corporativo.

Quais são os temas de Segurança da Informação em alta na área acadêmica? Em quais temas você tem trabalhado?

Raphael cita a criptografia, blockchain e aplicações de inteligência artificial, dentre outros assuntos, como temas de grande interesse no mundo acadêmico, atualmente.

Quais são os principais programas de mestrado e doutorado na área? Quais os requisitos para estudar em um deles?

Os programas chamados de stricto sensu são focados em temas mais amplos como Tecnologia da Informação/Computação ou Engenharia Elétrica. Raphael recomenda uma consulta ao sistema de avaliação da CAPES para analisar a qualidade do programa. O próximo passo é buscar um orientador especializado em Segurança da Informação.

Quais são os principais eventos acadêmicos de SI do Brasil e do mundo?

Os eventos internacionais recomendados são aqueles de grandes organizações científicas como o IEEE ou ACM, entre outros. No Brasil, ele aponta o SBSeg como o principal evento acadêmico.

Poderia citar exemplos de casos de sucesso de pesquisas realizadas em mestrados e doutorados?

Raphael destaca o sistema SADI, produto resultante de projeto de pesquisa apoiados por CNPq e Finep, como exemplo de um case de sucesso. Trata-se de uma ferramenta desenvolvida pela Clavis para simulação de ataques distribuídos para testes de sobrecarga e disponibilidade de dados. Do mundo acadêmico para o mercado.

Sobre o entrevistado

Raphael Machado é Doutor em Engenharia de Sistemas e Computação (COPPE/UFRJ 2010). É pesquisador pelo Inmetro e Professor Efetivo pela UFF. É bolsista de produtividade em pesquisa pelo CNPq desde 2013 e Jovem Cientista do Estado do RJ desde 2015, tendo publicado mais de uma centena de artigos científicos nas áreas de Segurança da Informação, Análise de Código, Ofuscação, Incorruptibilidade de Software, Marcas d’Água, Criptografia, Complexidade Computacional, Matemática Combinatória e Teoria dos Grafos. Raphael foi coordenador de mais de duas dezenas de projetos de pesquisa científica, desenvolvimento tecnológico e inovação apoiados por CNPq, Finep, Faperj e Fapesp – tais projetos deram origem não apenas a uma vasta produção acadêmica, mas também, a patentes produtos e serviços utilizados pela indústrias e reconhecidos como “estratégicos” pelo governo federal. Raphael organiza ou organizou inúmeros eventos relevantes nas mais diversas áreas da Computação, incluindo o LAWCG’2018 (evento satélite do International Congress of Mathematicians), o SBSeg 2020, o IEEE MetroInd 2020, as edições 2015, 2016, 2017 e 2018 do WRAC+, o ACM/ISSISP 2015, o RECOMB 2012, o WGA 2012, o CS2I 2014, e várias edições do Workshop SegInfo, além das sessões especiais de Segurança Cibernética dos IEEE MetroInd 2018 e 2019. Raphael foi chefe do Laboratório de Informática do Inmetro, onde liderou diversas atividades de consultoria e cooperação técnica a empresas e a órgãos do governo, que deram origem a dezenas de pareceres técnicos. É coordenador do do Programa Profissional de Pós-Graduação em Metrologia e Qualidade do Inmetro, e docente permanente do Programa Acadêmico de Pós-Graduação em Computação do IC/UFF e do Programa Acadêmico de Pós-Graduação em Metrologia do Inmetro. Foi palestrante convidado de eventos de prestígio nacional (como o SegInfo e o SBSeg) e internacional (como o Princeton DIMACS Meeting). Foi membro de conselhos e comitês gestores relevantes nas áreas acadêmica e de segurança da informação, incluindo o Conselho Acadêmico do Inmetro, Comitê Gestor do programa Pronametro-Ensino, Comitê Gestor do SHCDCiber, Comitê Gestor do PNCH-TIC e Conselheiro do Grupo Clavis Segurança da Informação.

Sobre o entrevistador:

Luiz tem 16 anos de experiência em Tecnologia da Informação e desde 2008 trabalha com Segurança da Informação. Formado em Tecnologia em Informática pela UniverCidade e com MBA em Gestão de Projetos e Negócios em TI pela UERJ. Atualmente é Data Protection Product Owner no Itaú Unibanco e instrutor na Academia Clavis para a trilha de Proteção de Dados e Privacidade da EXIN. Apresentador do SegInfocast, um podcast focado em Segurança da Informação. Membro do comissão de estudos técnicos de segurança da informação na ABNT. Membro do comitê PrivacyBR. Palestrante em diversos congressos de Segurança como SegInfo, WorkSec e Congresso de TI. Possui as certificações EXIN DPO (Data Protection Officer), EXIN Data Privacy and Protection Practitioner, EXIN Data Privacy and Protection Foundation, EXIN Information Security Foundation based on ISO 27001, CompTIA Security+, ITIL, VCP e MCP.

[soundcloud url=”https://api.soundcloud.com/tracks/834142414″ params=”color=#ff5500&auto_play=false&hide_related=false&show_comments=true&show_user=true&show_reposts=false&show_teaser=true” width=”100%” height=”166″ iframe=”true” /]

The post SegInfocast #74 – Pesquisa Acadêmica em Segurança da Informação appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

SegInfocast #73 – Faça o download aqui. (38:25 min,  46,1 MB)

Neste episódio do SegInfocast, apresentamos o áudio do Webinar Octopus SIEM apresentado por Victor Santos.

O SIEM permitem que os eventos gerados por diversas fontes de dados sejam coletados, normalizados e armazenados de forma centralizada; fornecendo assim uma visão ampla sobre o seu parque tecnológico e maior agilidade na identificação de ameaças através de técnicas de agregação e correlacionamento de dados.

As tecnologias de SIEM foram amadurecendo ao longo dos últimos anos e novas técnicas de detecção de ameaças foram sendo adicionadas, como algoritmos de Machine Learning, Análise de Comportamento de Usuário e integrações com Fontes de Inteligências públicas. 

Entretanto durante muito tempo as tecnologias de SIEM ficaram restritas a um nicho muito pequeno do mercado, devido ao alto valor de investimento, complexidade de implementação e dificuldade na usabilidade. E visando resolver estes desafios e atender uma demanda reprimida de mercado, que nasceu o Octopus SIEM.

Desde o início, sempre tivemos como base do Octopus SIEM a Elastic Stack  e em 2017 nos tornamos o 1º  parceira OEM (Original Equipment Manufacturer) da Elastic na América Latina e o primeiro caso de uso em Segurança da Informação. 

Já em 2018 o Octopus SIEM foi homologado pelo Ministério da Defesa como Produto de Defesa, um reconhecimento para soluções que possuem tecnologias e conhecimento imprescindíveis para a soberania nacional. Uma grande conquista para a Clavis!

Com a expansão das nossas operações e evolução do Octopus SIEM, em 2019 ele se tornou a principal plataforma de inteligência do Centro de Operações de Segurança (SOC) da Clavis, presente em 75% dos nossos clientes. Traduzindo em números, atualmente temos 18 grandes clientes do Octopus SIEM, sendo 5 listados na bolsa de valores, com um volume de mais de 1 trilhão de eventos/logs processados diariamente.

Catálogo de Serviços

Atualmente o Octopus SIEM é o coração do Centro de Operações de Segurança da Clavis. Ele agrega e unifica os nossos principais serviços e soluções, o que possibilita a Clavis fornecer aos nossos clientes uma arquitetura de segurança adaptativa alinhada os pilares de Governança, Risco e Compliance.

O Octopus SIEM realiza a integração de diversas fontes de dados relevantes à segurança para a identificação de ameaças. Estejam elas em um ambiente on premise, como Active Direct, Bancos de dados, dispositivos de rede e antivírus ou em ambientes de nuvem como AWS, Azure ou Google Cloud Platform.

O principal objetivo do Octopus é dar visibilidade e fornecer inteligência de segurança, através de alertas, relatórios e dashboads. Tudo isso com dados contextualizados com o seu negócio e enriquecido com fontes de inteligência internas e externas.

O Octopus SIEM trás uma visão unificada de dispositivos e tecnologias em um só lugar. E através do monitoramento dinâmico e da combinação com fontes de inteligência, o Octopus fornece tudo o que você precisa para uma tomada de decisão rápida e estratégica.

Além disso a implantação do Octopus SIEM é um dos nossos principais diferenciais, totalmente não intrusiva, de fácil integração ao seu ambiente e com uma arquitetura expansível para suportar o crescimento vegetativo e orgânico dos seus dados. 

A abordagem para o tratamento de dados do Octopus SIEM se baseia na centralização e integração de diversas fontes de dados, através de coleta ativa ou passiva, realizada pelos nossos coletores de dados.

Após a coleta, os dados são filtrados de acordo com a relevância e são analisados de acordo com o nosso modelo de informação, onde os dados são normalizados, contextualizados e enriquecidos. Só após essa transformação que os dados são armazenados e ingeridos na nossa base de dados.

E aí que entra em ação os nossos motores de inteligência, com as nossa regras de correlacionamento de dados (que identificam padrões de ataques e violações a políticas internas das companhias, como por exemplo ataques de força bruta, movimentações laterais e acessos não autorizados) com os nossos algoritmos de machine learning baseados em padrões e detecções de anomalias e das nossas técnicas de análise de comportamento.

Módulos do Octopus

Toda a inteligência do Octopus SIEM é composta por 8 módulos de detecção de ameaças ou como chamados internamente na Clavis, tentáculos do Octopus. Esses módulos nada mais são do que playbooks desenvolvidos pela Clavis desde a coleta do evento (normalização, contextualização e ingestão) até os insights  de segurança gerados pelo produto.

Diferenciais

Onboarding com resultados rápidos: Nosso processo de implantação assistida é em média 4x mais rápido que os nosso principais concorrentes. Nosso escopo de implantação focado na integração de tecnologias step-by-step com resultados e entregáveis nas primeiras semanas.

Importante mencionar que os serviços e soluções da Clavis seguem o Framework do CIS, que são diretrizes e práticas recomendadas de segurança cibernética reconhecidas internacionalmente para defesa contra ameaças. Um dos benefícios na utilização do Framework CIS é que ele prega o menor número de ações com maior valor efetivo para segurança da informação. E que por ser mantido por um comitê de profissionais de segurança, se mantém constantemente atualizado.

O CIS serve de referência e faz o mapeamento para diversas normas e padrões de segurança. Como a família da ISO 27000 e também do PCI DSS.

Normas – ISO 27001, LGPD (ISO 27701), PCS DSS e BACEN 4658

Falando em normas, o Octopus SIEM atende os requisitos de monitoramento, auditoria e controle das principais normas e padrões de mercado. Como a ISO 27001 e 27002, a Lei Geral de Proteção de dados, o PCI-DSS, e mais recentemente a BACEN 4658 – que tem como objetivo mitigar os riscos cibernéticos e garantir a segurança das instituições financeiras.

Crescimento

Sobre o apresentador

[soundcloud url=”https://api.soundcloud.com/tracks/824632498″ params=”color=#ff5500&auto_play=false&hide_related=false&show_comments=true&show_user=true&show_reposts=false&show_teaser=true” width=”100%” height=”166″ iframe=”true” /]

E veja mais informações sobre o Octopus SIEM aqui. (= 

The post SegInfocast #73 – Octopus SIEM – Security Information and Event Management appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

SegInfocast #72 – Faça o download aqui. (33:54 min,  40,7 MB)

Neste episódio do SegInfocast, apresentamos o áudio do Webinar “Como Obter a Certificação EXIN Data Protection Officer – DPO” apresentado por Luiz Felipe Ferreira.

Com a entrada em vigor do GDPR na União Europeia, o tema da privacidade e proteção de dados ganhou uma importância muito grande no mundo inteiro.Para continuar a negociar com o maior bloco comercial do mundo, diversos países criaram as suas próprias leis baseadas no GPDR, como o Japão, Coréia do Sul e também o Brasil, com a Lei Geral de Proteção de Dados (LGPD).Para se adequar as leis, as empresas deverão contratar profissionais especializados no tema de privacidade e proteção de dados.Um desses profissionais será o DPO (Data Protection Officer) ou Encarregado de Proteção de Dados na LGPD.Uma certificação reconhecida internacionalmente emitida por um órgão confiável e com décadas de experiência certamente será um diferencial desse profissional em uma disputa por uma vaga.A certificação do EXIN Data Protection Officer fornece o conhecimento e as competências corretas para aqueles que desejam se tornar ou já são um DPO (Encarregado) ou mesmo um profissional de privacidade e proteção de dados.Mas você sabe quais são os requisitos para obter o título EXIN Data Protection Officer?Esse é o tema do novo webinar Clavis “Como Obter a Certificação EXIN DPO?”, ministrado por Luiz Felipe Ferreira, instrutor oficial EXIN, professor dos cursos de privacidade e proteção de dados na Academia Clavis e apresentador do SegInfocast.

Sobre o apresentador

Luiz Felipe Ferreira tem 16 anos de experiência em Tecnologia da Informação e desde 2008 trabalha com Segurança da Informação. Formado em Tecnologia em Informática pela UniverCidade e com MBA em Gestão de Projetos e Negócios em TI pela UERJ. Atualmente é Data Protection Product Owner no Itaú Unibanco. Apresentador do SegInfocast, um podcast focado em Segurança. Produtor de conteúdo na El Pescador, empresa focada em Conscientização de Segurança da Informação. Instrutor credenciado EXIN no tema de privacidade e proteção de dados pela Clavis. Palestrante em diversos congressos de Segurança como SegInfo, WorkSec e Congresso de TI. Possui as certificações EXIN ISFS, Data Privacy and Protection Foundation, CompTIA Security+, ITIL, VCP, LPIC1 e MCP.

[soundcloud url=”https://api.soundcloud.com/tracks/815639482″ params=”color=#ff5500&auto_play=false&hide_related=false&show_comments=true&show_user=true&show_reposts=false&show_teaser=true” width=”100%” height=”166″ iframe=”true” /]

The post SegInfocast #72 – Como Obter a Certificação EXIN Data Protection Officer – DPO appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Neste episódio do SegInfocast, apresentamos o áudio do Webinar “O Caminho para a Certificação CompTIA Security+” realizado pela Clavis Segurança da Informação e apresentado por Luiz Felipe Ferreira com os convidados Alberto Oliveira e Luciano Lima.

O webinar traz como tema principal a parceria que irá trazer as questões do livro “Simulados para o exame CompTIA Security+ SY0-501” escrito por Luciano Lima no curso online da Clavis Segurança da Informação preparatório para a certificação CompTIA Security+.

Além de abordar tudo o que você precisará saber para obter a certificação CompTIA Security+, as novidades da versão mais recente (SY0-501), quais são os requisitos para ser aprovado no exame e o curso CompTIA Security+, ministrado por Alberto Oliveira, na Academia Clavis.

Sobre os entrevistados

Alberto Oliveira é consultor de segurança da informação e atua no mercado nacional há mais de 20 anos. Atualmente é Head of Security Services, da TrueSec Security Experts. Já realizou diversos projetos envolvendo soluções de segurança Watchguard, Cylance, Fortinet, Cisco Symantec, Microsoft e de outros fabricantes. Alberto foi MVP em Microsoft de 2006 à 2018 e possui as seguintes certificações: CISSP, CompTIA Security + MCSA/MCSE: Security, MCT, MCTS, MCITP e ITIL. Participou de diversas palestras pelo Brasil e webcasts Microsoft, sendo palestrante oficial do Teched em cinco oportunidades, sobre segurança da informação, ISA Server e TMG . Foi o revisor técnico do livro Certificação Security+ da prática para o exame em todas as suas edições , dos autores Yuri Diógenes e Daniel Mauser, sendo um dos atuais autores da versão SY0-501.

Luciano Lima tem 22 anos de experiência profissional em TI e nos últimos 12 anos trabalhou exclusivamente com Segurança da Informação. Conquistou sua primeira certificação em 2001. Atualmente possui as principais certificações de segurança: CISSP (Certified Information Systems Security Professional), CSAE (CompTIA Security Analytics Expert), CASP+ (CompTIA Advanced Security Practitioner), CySA+(CompTIA Cybersecurity Analyst), CompTIA Security+, CEH (Certified Ethical Hacking), ITIL V3 Foundation, MCP, MCSA, MCSE, MCSA Security e MCSE Security.
Como especialista em segurança da informação, tem grande experiência em segurança cibernética e gerenciamento de segurança. Também possui experiência na criação e implementação de políticas de segurança para proteger empresas de médio e grande porte. Tem experiência na implementação e acompanhamento de auditorias internas e externas com base na ISO / IEC 27001 e ISAE 3402. Também possui experiência em Análise de Vulnerabilidades no Windows, Unix, Linux e Networking.

Autor dos livros:

• • Guia de Certificação MCSE Windows XP Professional;
  • Simulados para a Certificação CompTIA Security+ SY0-401;
  • Simulados para a Certificação CompTIA Cybersecurity Analyst (CySA+) – CS0-001;
  • CompTIA Cybersecurity Analyst (CySA+) Certification Practice Exams – CS0-001;
  • Simulados para el examen CompTIA Cybersecurity Analyst (CySA+) – CS0-001;
  • Simulados para a Certificação CompTIA Security+ SY0-501;
  • CompTIA Security+ SY0-501 Certification Practice Exams;
  • Simulados para el examen CompTIA Security+ SY0-501.

Sobre o entrevistador:

Luiz Felipe Ferreira tem 15 anos de experiência em Tecnologia da Informação e desde 2008 trabalha com Segurança da Informação. Formado em Tecnologia em Informática pela UniverCidade e com MBA em Gestão de Projetos e Negócios em TI pela UERJ. Atualmente é Data Protection Product Owner no Itaú Unibanco. Apresentador do SegInfocast, um podcast focado em Segurança. Produtor de conteúdo na El Pescador, empresa focada em Conscientização de Segurança da Informação. Instrutor credenciado EXIN no tema de privacidade e proteção de dados pela Clavis. Palestrante em diversos congressos de Segurança como SegInfo, WorkSec e Congresso de TI. Possui as certificações EXIN ISFS, Data Privacy and Protection Foundation, CompTIA Security+, ITIL, VCP, LPIC1 e MCP.

Sobre a CompTIA:

A CompTIA é uma das principais associações de tecnologia do mundo, é uma líder de pensamento e líder de ação. Ela oferece diversos programas de certificação na área profissional de TI, promovendo desenvolvimento de habilidades e gerando conhecimento. A Clavis atualmente ministra 3 cursos da CompTIA que são: CompTIA CySA+, CompTIA Security+ e CompTIA PenTest+.

[soundcloud url=”https://api.soundcloud.com/tracks/687097720″ params=”color=#ff5500&auto_play=false&hide_related=false&show_comments=true&show_user=true&show_reposts=false&show_teaser=true” width=”100%” height=”166″ iframe=”true” /]

The post Seginfocast #70 – O caminho para a certificação CompTIA Security+ appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Emerson Wendt, Diretor de Departamento de Inteligência de Segurança Pública na Secretaria de Estado de Segurança Pública do Rio Grande do Sul é o convidado de Luiz Felipe Ferreira neste episódio do SegInfocast.

O Dr. Emerson traz o panorama diário de um delegado especializado em crimes cibernéticos.

Qual o panorama das atividades criminosas cibernéticas no Brasil?

Nosso entrevistado diz que o Brasil é um campo fértil para os criminosos, sendo o setor bancário como um dos mais visados. Além das fraudes bancárias, os crimes contra a honra tem sido muito utilizados, sem contar a pedofilia, um dos crimes mais denunciados.

O Brasil possui leis que amparam as investigações de crimes cibernéticos?

Emerson informa que nosso país é muito bem servido de diversas leis que são usadas como base nas condenações tais como a lei “Carolina Dieckmann” e outras, assim como a recente Lei Geral de Proteção de Dados que certamente apoiará as investigações.

Como é o processo de investigação de um crime cibernético?

Emerson diz que a complexidade do processo é variável, com casos muito simples a outros extremamente complexos que dependem da colaboração de outros órgãos.

Nosso convidado também informa que está lançando o seu mais recente livro “Direito e TI Cibercrimes”, já disponível para venda.

Sobre o entrevistado

Emerson Wendt é delegado de Polícia Civil do RS. Formado em Direito pela Faculdade de Direito da Universidade Federal de Santa Maria e Pós-graduado em Direito pela URI-Frederico Westphalen. Mestre em Direito pelo UnilaSalle Canoas-RS. Diretor do Departamento Estadual de Investigações do Narcotráfico e Membro do Conselho Superior de Polícia da Polícia Civil do RS e Professor da Academia de Polícia Civil nas cadeiras de Inteligência Policial e Investigação Criminal. Ex-Diretor do Gabinete de Inteligência e Assuntos Estratégicos.  Também é professor dos cursos de pós-graduação e/ou extensão da UNISINOS (São Leopoldo-RS), SENAC-RS (Passo Fundo-RS), IDC (Porto Alegre-RS), Verbo Jurídico (Porto Alegre-RS), Uniritter (Porto Alegre-RS e Canoas-RS), EPD (São Paulo-SP), IMED (Passo Fundo-RS), UNITOLEDO (Porto Alegre-RS), ESMAFE/RS (Porto Alegre), Uninorte (Rio Branco-AC), Unifacs (Salvador-BA). Membro da Associação Internacional de Investigação de Crimes de Alta Tecnologia (HTCIA), do PoaSec e do INASIS, além de ex-integrante do Comitê Gestor de Tecnologia da Informação da Secretaria de Segurança Pública do RS.  Já ministrou aula nas Academias das Polícia Civis de Pernambuco, Goiás, Paraná, Acre, Alagoas, Sergipe, Rondônia e Piauí. Também, é Tutor dos cursos EAD e presenciais da Secretaria Nacional de Segurança Pública, especialmente na atividade de Inteligência de Segurança Pública.

Autor do livro Inteligência Cibernética (Editora Delfos) e coautor dos livros “Crimes Cibernéticos: ameaças e procedimentos de investigação”, com Higor Vinícius Nogueira Jorge, e “Inteligência Digital”, com Alesandro Gonçalves Barreto. Autor e organizador dos livros “Investigação Criminal: ensaios sobre a arte de investigar crimes” e “Investigação Criminal: Provas”, juntamente com o Fábio Motta Lopes.

[soundcloud url=”https://api.soundcloud.com/tracks/655268177″ params=”color=#ff5500&auto_play=false&hide_related=false&show_comments=true&show_user=true&show_reposts=false&show_teaser=true” width=”100%” height=”166″ iframe=”true” /]

The post SegInfocast #69 – Lançamento do Livro Direito e TI Cibercrimes com Emerson Wendt appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

[soundcloud url=”https://api.soundcloud.com/tracks/652440359?secret_token=s-fziW7″ params=”color=#ff5500&auto_play=false&hide_related=false&show_comments=true&show_user=true&show_reposts=false&show_teaser=true” width=”100%” height=”166″ iframe=”true” /]

The post SegInfocast #68 – LGPD: Procuram-se DPOs no Brasil appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

[soundcloud url=”https://api.soundcloud.com/tracks/595510071″ params=”color=#ff5500&auto_play=false&hide_related=false&show_comments=true&show_user=true&show_reposts=false&show_teaser=true” width=”100%” height=”166″ iframe=”true” /]

The post SegInfocast #67 – Segurança da Informação e Desenvolvimento Seguro na era da Privacidade de Dados appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

No último dia 20 de março, a pedidos de nossos ouvintes, ampliamos as nossas plataformas de atuação, e agora, o podcast preferido dos brasileiros interessados em segurança da informação chegou a mais duas plataformas. Agora, é possível ouvir os episódios do SegInfocast também no Deezer e Google Podcast, acompanhando as entrevistas de Luiz Felipe Ferreira, sempre com convidados especiais.

O SegInfoCast surgiu com o propósito de divulgar notícias importantes e abordar os temas da atualidade mais relevantes na área de segurança da informação. Somos viciados em produzir conteúdo com qualidade e queremos compartilhar com nosso público a cultura da segurança da informação.

Ouça o nosso último Seginfocast aqui, onde Andréa Melo, especialista na norma ISO 27001, é entrevistada por nosso apresentador Luiz Felipe Ferreira e expõe detalhes do processo de certificação da norma ISO 27001.

Você pode ouvir mais de 60 outros SegInfocasts na plataforma que preferir:

• • No iTunes;
  • No Google Podcast;
  • No Spotify;
  • No Soundcloud;
  • No Deezer;

E queremos saber: Quais são temas que os nossos ouvintes desejam ouvir nos próximos episódios do SegInfocast?

Comente no Facebook e no Twitter do SegInfo!

The post Qual tema você gostaria de ouvir no SegInfocast? appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Andréa Melo, especialista na norma ISO 27001 é entrevistada por Luiz Felipe Ferreira neste episodio do SegInfocast.

Qual o principal objetivo da norma ISO 27001?

Andréa explica que a norma vai além dos controles tecnológicos e foca em sistema de gestão de segurança da informação, permitindo assim verificar a eficácia dos controles implementados e envolver a alta direção.

Quais são os principais requisitos da norma? 

A entrevistada diz que a norma se divide em duas partes. A primeira, trata da gestão de segurança da informação o SGSI. A segunda (anexo A), contém os controles indicados para mitigação dos riscos.

Como é o processo de certificação da norma ISO 27001?

Nossa convidada diz que o processo varia de acordo com o tamanho e escopo da empresa, mas que o processo de certificação normalmente varia entre seis meses a um ano. Inicia-se com um Gap analysis para entender o nível de maturidade atual da empresa. Depois, elabora-se um plano de ação para implementação dos controles. Realiza-se primeiramente uma auditoria interna e após verificar (e corrigir) os gaps restantes, chama-se a auditoria externa. As manutenções são semestrais ou anuais e a certificação tem duração de três anos.

Quais são as maiores dificuldades para implementação da norma ISO 27001?

A questão cultural é o principal obstáculo para a implementação dos controles sugeridos pela norma. Uma pessoa somente é suficiente para causar um incidente de segurança da informação.

E quais são as vantagens adquiridas quando se obtêm a certificação ISO 27001?

Andréa cita que a melhoria contínua do processo de segurança da informação é a principal vantagem, sem conter a mudança da cultura corporativa, através da conscientização das pessoas sobre o tema.

Sobre a entrevistada

Desde 2005, Andréa Melo trabalha com normas de sistemas de gestão tais como as ISO 9001, 20001, 22031 e 27001, certificando, treinando e palestrando tanto no Brasil quanto no exterior. Formada em Administração de Empresas com Especialização em Gestão de Tecnologia da Informação pela FGV.

[soundcloud url=”https://api.soundcloud.com/tracks/546767466″ params=”color=#ff5500&auto_play=false&hide_related=false&show_comments=true&show_user=true&show_reposts=false&show_teaser=true” width=”100%” height=”166″ iframe=”true” /]

The post SegInfocast #66 – Norma ISO 27001 appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Luiz Felipe Ferreira recebe pela primeira vez no SegInfocast a Dra. Ana Cristina Ferreira, advogada especializada em direito digital, para nos ajudar a entender a Lei Geral de Proteção de Dados, conhecida como LGPD, sancionada pelo presidente Temer em agosto de 2018.

Do que se trata a LGPD?

Segundo a Dra. Ana, a Lei Geral de Proteção de Dados, visa reforçar a segurança jurídica para os dados pessoais dos cidadãos brasileiros e mitigar os abusos. Ela nasceu inspirada na GDPR, lei europeia que também trata da proteção de dados pessoais.

O que são dados pessoais e dados pessoais sensíveis?

Nossa convidada explica que dados pessoais são informações relacionadas ao indivíduo que sejam capazes de identificá-lo tais como identidade, endereço, CPF, etc.. Já os dados pessoais sensíveis dizem respeito as preferências e convicções do indivíduo, tais como preferências religiosas, sexuais, informações biométricas, entre outros, por isso são tratados de forma especial pela lei.

Quais são os direitos dos titulares dos dados?    

Uma inovação que a lei traz são os direitos dos titulares. Ana cita que quando a lei entrar em vigor (a partir de agosto de 2020), será possível ter maior controle sobre o que as empresas estão fazendo com as informações pessoais podendo retificar, eliminar, solicitar portabilidade e revogar o consentimento a qualquer tempo.

Qual o impacto nos sistemas que armazenam, transmitem e processam os dados pessoais?

Embora seja difícil mensurar o impacto, Ana diz que será proporcional as operações realizadas e o nível de proteção decorrente do tipo dos dados pessoais armazenados. Ela sugere que auditorias internas façam parte do escopo de governança de dados para que as empresas estejam em conformidade legal.

Sobre a entrevistada

Ana Cristina Ferreira é advogada especializada em direito digital atuando no Brasil e em Portugal. Ana Cristina Ferreira, advogada inscrita na Ordem dos Advogados do Brasil e Na Ordem dos Advogados de Portugal, professora e articulista, idealizadora e fundadora da Digital Legal. Formada pelo Centro Universitário da Cidade Univercidade (Univercidade), com especialização LL.M Master em Direito Corporativo pelo Instituto Brasileiro de Mercado de Capitais – IBMEC. Professora do curso de extensão em Direito Eletrônico da Escola de Magistratura do Estado do Rio de Janeiro – EMERJ desde 2011. Membro da Comissão de Direito e Tecnologia da Informação OABRJ – CDTI e também da Comissão de Direito Digital da OAB São Gonçalo.

[soundcloud url=”https://api.soundcloud.com/tracks/546770046″ params=”color=#ff5500&auto_play=false&hide_related=false&show_comments=true&show_user=true&show_reposts=false&show_teaser=true” width=”100%” height=”166″ iframe=”true” /]

The post Seginfocast #65 – LGPD appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

The post SegInfocast #64 – Avaliação da Conformidade e a Segurança da Informação appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

[soundcloud url=”https://api.soundcloud.com/tracks/501595203″ params=”color=#ff5500&auto_play=false&hide_related=false&show_comments=true&show_user=true&show_reposts=false&show_teaser=true” width=”100%” height=”166″ iframe=”true” /]

The post SegInfocast #63 – Ameaças ao sistema financeiro – bancos e fintechs em evidência appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Davidson Boccardo retorna ao SegInfocast e conversa com Luiz Felipe Ferreira sobre o novo curso desenvolvido pela Clavis que prepara o aluno para duas certificações: CompTIA Pentest+ e EXIN Ethical Hacking Foundation.

Sobre o curso e as certificações

Davidson nos conta que a Clavis formulou o curso pensando nos estudantes e profissionais que desejam adentrar na carreira de pentester, preparando-os para duas certificações e destaca “É a melhor forma de começar“. A certificação da EXIN foca nos fundamentos e atividades básicas de ethical hacking, já a da CompTIA é mais focada na parte prática do teste de invasão.

As provas

A CompTIA exige que a prova seja realizada em um centro autorizado, já a EXIN pode ser realizada online, no conforto da sua casa.

O curso

Segundo Davidson, a Clavis optou por atualizar o material do curso antes preparatório apenas para a certificação EXIN Ethical Hacking Foundation, trazendo uma abordagem mais prática e contemplando também o conteúdo exigido na certificação CompTIA PenTest+. O curso é composto por aulas gravadas que estão sendo liberadas gradativamente até o mês de novembro.

Diversos temas serão abordados, tais como Planejamento e Preparação, Obtenção de Informações, Varredura, Exploração, Pós-Exploração e Ataques a Aplicações Web, cobrindo tópicos abordados nas duas certificações.

Preço de lançamento e desconto exclusivo

Aqueles que adquirirem o curso até dia 01 de novembro de 2018 poderão pagar um preço exclusivo de lançamento com 25% de desconto, por meio do uso do cupom #NOVOPENTEST+25.

Sobre o entrevistado

Davidson Rodrigo Boccardo é Doutor em Engenharia Elétrica pela Faculdade de Engenharia de Ilha Solteira UNESP (2009), com período parcial na University of Louisiana at Lafayette, na qual trabalhou em engenharia reversa de artefatos maliciosos no Software Research Lab do Computer Advanced Center Studies. Entre 2010 e 2015 coordenou o projeto “Segurança de Software em Medidores Inteligentes” no Instituto Nacional de Metrologia, Qualidade e Tecnologia – Inmetro, com a publicação de mais de 50 artigos científicos e 1 patente. Também é instrutor da Clavis – Segurança da Informação na trilha de Forense Computacional, Testes de Invasão e Desenvolvimento Seguro. Possui certificações CISSP (Certified Information Systems Security Professional), CHFI (Certified Hacker Forensic Investigator), Secure Programming, ISO 27001 e Security+.

Para mais detalhes sobre o curso e as certificações, clique aqui.

[soundcloud url=”https://api.soundcloud.com/tracks/501104733″ params=”color=#ff5500&auto_play=false&hide_related=false&show_comments=true&show_user=true&show_reposts=false&show_teaser=true” width=”100%” height=”166″ iframe=”true” /]

The post SegInfocast #62 – 2 em 1: Curso preparatório oficial para as certificações ComPTIA Pentest+ e EXIN Ethical Hacking Foundation appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Estreando no SegInfocast, Emilio Simoni , Security Director na dfndr Lab, uma divisão da PSafe Brasil, conversa com Luiz Felipe Ferreira sobre suas atividades no combate a fraudes e ameaças cibernéticas.

Combate a fraudes

Emilio conta que seu foco de proteção principal é a criação de tecnologias heurísticas de proteção para o usuário final, principalmente no ambiente de dispositivos móveis.

Malwares para dispositivos móveis

A popularização dos dispositivos móveis com acesso a internet fez com que os criminosos migrassem para esse tipo de usuário final, sabendo que eles carregam, além de informações pessoais, dados corporativos. Emilio cita que seu trabalho envolve diversas proteções contra páginas maliciosas, páginas falsas e aplicativos maliciosos.

Roteadores Domésticos

Nosso convidado comenta que está trabalhando em um projeto direcionado a identificar vulnerabilidades que possam ser exploradas nos roteadores domésticos como senhas padrão, protocolos inseguros ativos, vulnerabilidades de firmware etc., sugerindo ao usuário possíveis correções.

Relatório de Segurança Digital

Emilio diz que trabalha junto a alguns veículos de comunicação com propósito de conscientizar os usuários para que entendam o tipo de riscos que estão expostos na internet. O Relatório de Segurança Digital, criado em 2017 pela PSafe e com uma nova versão liberada a cada três meses possui informações sobre as estatísticas de ataques identificados.

Chamou a atenção o aumento do primeiro para o segundo semestre nesse ano de 12% do número de ataques, sendo o principal destaque o “Whishing“, o phishing direcionado para o WhatsApp.

Sobre o entrevistado

Emilio Simoni é Security Director na dfndr Lab, divisão da PSafe.

[soundcloud url=”https://api.soundcloud.com/tracks/491830764″ params=”color=#ff5500&auto_play=false&hide_related=false&show_comments=true&show_user=true&show_reposts=false&show_teaser=true” width=”100%” height=”166″ iframe=”true” /]

The post SegInfocast #61 – Combate a Fraudes e Ameaças Cibernéticas appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Davidson Boccardo retorna ao SegInfocast para uma conversa com Luiz Felipe Ferreira, sobre Gap Analysis – Análise Corporativa de Segurança da Informação 

The post SegInfocast #59 – Gap Analysis: Como está a Segurança da Informação na sua organização? appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

O convidado deste episódio, entrevistado por Luiz Felipe Ferreira, é  Rafael Barros, consultor na área de Governança, Risco e Compliance da Clavis Segurança da Informação, e vem esclarecer as dúvidas sobre a lei europeia GDPR (General Data Protection Regulation).

O que é a GDPR?

Segundo o nosso convidado, trata-se de uma atualização de leis anteriores da união europeia, visando evitar o vazamento massivo de dados dos cidadãos daquele continente. O objetivo da lei é obrigar as empresas a terem processos de segurança para coibir o mau uso das informações.

Escopo da Lei

Qualquer empresa europeia ou não que possua dados processados ou armazenados (informações pessoais) de clientes que são cidadãos europeus faz parte do escopo da lei, principalmente aquelas que armazenam dados em grande quantidade, segundo Rafael.

Sanções e Multas

Para as empresas que não estiverem em conformidade com a lei até o dia 25 de maio (provavelmente mais de 50%), Rafael informa que multas e sanções dependem da gravidade do vazamento de informações.

Oportunidades no  mercado de trabalho

A lei trouxe minhas oportunidades na Europa para os profissionais de compliance, além da criação da figura do DPO (Data Protection Officer), responsável por garantir que a empresa esteja em conformidade com a GDPR.

E as empresas brasileiras?

Rafael citou um exemplo de um cliente que faz o processamento de dados de cidadãos europeus e, por isso, precisa estar em conformidade com a GDPR, que não fere as leis nacionais. Como sugestão, ele sugeriu o uso dos controles das normas existentes na ISO 27001 e PCI-DSS, além da redução do escopo e armazenamento somente das informações extremamente necessárias.

Sobre o entrevistado

Rafael Barros é consultor na área de Governança, Risco e Compliance do Grupo Clavis Segurança da Informação e também instrutor dos cursos ISFS  e PCI-DSS, ambos disponíveis no portal da Clavis.

[soundcloud url=”https://api.soundcloud.com/tracks/439301418″ params=”color=#ff5500&auto_play=false&hide_related=false&show_comments=true&show_user=true&show_reposts=false&show_teaser=true” width=”100%” height=”166″ iframe=”true” /]

The post SegInfocast #58 – GDPR appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Neste episódio, Paulo Sant’anna recebe Alan Oliveira, que é um dos tradutores do livro Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon de Kim Zetter. Além disso, ele comenta sobre a relevância do Stuxnet como a primeira arma digital, e como essa primeira arma pode levar à criação de outras e o que podemos esperar deste novo cenário.

Em adição, correlaciona os fatos ocorridos com a maneira como o ataque foi realizado e o que ele representa no contexto da segurança da informação de sistema cibernéticos.

No livro, a jornalista especializada em cibersegurança conta a história por traz do vírus que sabotou os esforços iranianos para criação de um programa nuclear, mostrando como sua criação inaugurou um novo tipo de guerra, em que ataques digitais podem ter o mesmo poder destrutivo de uma bomba física.

Sobre o livro

O livro Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon descreve o funcionamento do malware Stuxnet, que atacou centrífugas de enriquecimento de urânio do Programa Nuclear Iraniano, mas também discute todos os aspectos táticos e estratégicos associados àquela que é considerada a primeira arma digital de guerra já usada numa ação contra um Estado nacional. O livro contém todos os elementos de um thriller que captura a atenção do leitor desde a primeira página.

O livro trata do surgimento da primeira arma digital do mundo, o Stuxnet, desde suas origens nos corredores da Casa Branca  até a execução do ataque a uma usina atômica no Irã.

Sua existência começou a se tornar pública em 2010, após inspetores da Agência Internacional de Energia Atômica (IAEA) perceberem  que as centrífugas de uma usina iraniana de enriquecimento de urânio estavam falhando em um ritmo sem precedentes por razões absolutamente desconhecidas.

Cinco meses depois – em um evento aparentemente não relacionado -, uma empresa de segurança em Belarus foi chamada para solucionar problemas em computadores no Irã. Nesses computadores eles encontraram um malware que, inicialmente, pensaram se tratar de uma ameaça simples e rotineira; mas análises mostraram se tratar de algo misterioso, e de complexidade sem precedentes.

O livro cita em detalhes o trabalho realizado por analistas de segurança da informação e analistas de sistemas de controle industrial (SCADA) para dissecar e desvendar esse malware.

Além disso, “Countdown” fala sobre a Guerra Cibernética, seu desenvolvimento e o mercado de compra e venda de códigos maliciosos.

Sobre o entrevistado

Alan Oliveira é Engenheiro, mestre em Engenharia Eletrônica na área de sistemas inteligentes e doutorando na UFRJ. Atuou por 7 anos como oficial da marinha nas áreas de sistemas de armas e comunicações. Atualmente é professor na Marinha do Brasil, onde ministra as disciplinas de controle de sistemas, guerra eletrônica e sistemas de comunicação. Desenvolve em seu doutorado uma pesquisa voltada para a segurança de sistemas de controle e automação.

[soundcloud url=”https://api.soundcloud.com/tracks/406475865″ params=”color=#ff5500&auto_play=false&hide_related=false&show_comments=true&show_user=true&show_reposts=false&show_teaser=true” width=”100%” height=”166″ iframe=”true” /]

The post Seginfocast #53 – Livro Contagem Regressiva até Zero Day appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Nesse episódio, Alan Oliveira, que é o responsável pela tradução do livro, comenta sobre a abordagem abrangente quanto à Segurança da Informação adotada na obra, detalhando uma série de conceitos sobre segurança, como confidencialidade, criptografia, controle de acesso, integridade de dados, riscos, ameaças (BOTNET, worms, trojans) e as possíveis contramedidas que devem ser utilizadas para proteção contra tais ameaças.

The post Seginfocast #52 – Lançamento do Livro Fundamentos de Segurança da Informação appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

SegInfocast #43: Faça o download aqui. (15:39 min, 11,3 MB)

Nesta nova edição do SegInfocast, Paulo Sant’anna recebe pela quarta vez, Yuri Diógenes, Mestre em CyberSecurity e instrutor do curso oficial CompTIA Security+ pela Clavis Segurança da Informação para um bate-papo sobre as novas certificações de Segurança da Informação do mercado.

Quais são as novas certificações de Segurança da Informação?

Yuri comenta sobre uma nova certificação chamada CyberSec First Responder, criada para atender uma demanda crescente das empresas, antes focadas somente na prevenção, que é a resposta efetiva aos incidentes de segurança da informação. Ele cita ainda a novíssima certificação da CompTIA CSA+ (que será lançada no primeiro semestre de 2017), cujo foco é cibersegurança, indicada como sendo um segundo passo após a CompTIA Security+ . Se desejar, poderá prosseguir com a CompTIA CASP. A prova prática, com simulações, possui 4 domínios (gerenciamento de ameaças, gerenciamento de vulnerabilidades, resposta a incidentes de segurança e arquitetura de segurança e ferramentas.

Recentemente Yuri foi entrevistado pela CompTIA para o eBook que cobre a importância do profissional certificado na área de segurança da informação. Para acessar o e-book, clique aqui.

Livro e curso oficial do CompTIA CSA+ no Brasil?

Ano que vem, Yuri pretende lançar mais um livro, desta vez relacionado a nova certificação CompTIA CSA+, que será usado como base para mais um curso oficial CompTIA, pela Clavis.

Sobre o entrevistado

Yuri Diógenes é Mestre em CyberSecurity, possui MBA pela FGV, pós graduado em Gestão de TI  e atualmente ministra o curso oficial CompTIA Security+ na Clavis Segurança da Informação.

[soundcloud url=”https://soundcloud.com/seginfocast/seginfocast-43-certificacao-comptia-csa” params=”color=ff5500&auto_play=false&hide_related=false&show_comments=true&show_user=true&show_reposts=false” width=”100%” height=”166″ iframe=”true” /]

The post SegInfocast #43 – Certificação CompTIA CSA+ appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.