Postagem em destaque

Success Case SPC Brazil & Oracle - Information Security - 2015

http://medianetwork.oracle.com/video/player/4120352136001

quarta-feira, 28 de junho de 2017

Essa premiação " Security Leaders 2016 - Brasil " vem coroar uma história de luta, espirito de vencedor, simplicidade, reais parcerias e equipes de alta competência e importantes projetos estratégicos entregues com excelência. 

Parabéns e obrigado a todos que sempre acreditaram e investiram em  minha pessoa, carreira e me proveram oportunidades de realizações de bons trabalhos. 
Avante, faremos juntos a diferença e muito  mais.

 

terça-feira, 20 de junho de 2017

Evento CSO Network - abril/2017


Dia de muito aprendizado 

Encontro ilustre com Mario Sérgio Cortella, destaco sua simplicidade, carisma, sem dúvida competente e diferenciado.

CSO Network - Next Midia

Strong ID and Security for Blockchain


Link: http://buff.ly/2sjrE17
Artigo no CryptoID
Prezados colegas e leitores, por muitas décadas atribuímos as responsabilidades de Segurança da Informação a área de Tecnologia com foco em Segurança de TI ou melhor Segurança técnica de perímetro subestimando e acreditando em na sua força técnica e nós terceirizando até responsabilidades que são nossas como profissionais da área, empresários, usuário e até pessoa física. E agora temos como desafio em explorar e prover “Strong ID and Security for – Blockchain”

Fraterno Abraço

terça-feira, 31 de janeiro de 2017

Colegas e amigos com felicidades compartilho com vocês o artigo publicado na revista HAKING - IT SECURITY MAGAZINE - Vol.12 - No.02 de janeiro 2017. Este artigo aborda "What you need to know about Ransomware", disponivel neste link.

Agradeço a Deus, família, amigos, colegas de trabalho, pelo apoio incondicional.

Aproveito para agradecer a revista HAKING pela oportunidade, confiança e parceria. Boa leitura. 

Fraterno Abraço Longinus Timochenco

quarta-feira, 20 de julho de 2016

Empresas estão despreparadas para aderir à lei de dados

Você está em: Decision Report - Risk Report - Risk Report 20/07/2016 Um relatório do Instituto de Transformação Digital da Capgemini Consulting, divisão global de consultoria em estratégia e transformação do Grupo Capgemini, revelou que muitas empresas de bens de consumo estão correndo riscos com a segurança e privacidade dos dados de seus clientes. Elas estão deixando de implementar processos e mecanismos de segurança adequados na pressa de capturar o máximo de informações e obter as recompensas prometidas pela coleta de dados. O relatório revelou que quase metade das fabricantes de bens de consumo não possui uma política clara com relação à segurança e privacidade dos dados dos consumidores e que 90% delas já sofreram violações de dados. A Regulamentação Geral de Proteção de Dados (General Data Protection Regulation – GDPR, em Inglês) foi projetada para reger a segurança e privacidade dos dados em todos os setores, impondo multas pesadas por violações de até 4% do faturamento anual global de uma empresa ou 20 milhões de euros, aquele que for maior. Apesar de ter sido criada pela União Europeia, essa legislação deve trazer um impacto global, pois se aplica a qualquer empresa que detenha dados de clientes na Europa. O relatório estima que as fabricantes de produtos de consumo que não estejam cumprindo a lei estariam em risco de serem penalizadas em um total acumulado de US$ 323 bilhões em penalidades financeiras, caso o regulamento GDPR já estivesse em vigor e se houvesse aplicação de multas no limite máximo. A pesquisa "Consumer Insights: Finding and Guarding the Treasure Trove", realizada com 300 executivos de 86 empresas de bens de consumo do mundo inteiro, com faturamento conjunto de mais de US$ 756 bilhões, revela um setor dividido entre a busca por valor por meio da análise dos dados dos clientes e as preocupações dos consumidores com privacidade e segurança. Nos últimos anos, fortalecidas pelos avanços tecnológicos e pela transição para os canais de compras online, as fabricantes de bens de consumo empreenderam iniciativas significativas para coletar dados dos clientes. Essas iniciativas têm como objetivo obter uma compreensão mais profunda de padrões de comportamento e de compra dos clientes. Os benefícios são grandes para as empresas que obtiverem sucesso, uma vez que essas informações ajudam a melhorar consideravelmente os seus serviços, produtos e marcas. Mais de 80% dos executivos de grandes organizações de bens de consumo afirmam que usar essas informações dessa maneira é uma prioridade fundamental. No entanto, apesar da importância das percepções dos clientes, as empresas não têm sido capazes de proteger os dados dos consumidores. O relatório constatou que 46% das empresas ainda não conseguiram elaborar políticas claras e não negociáveis sobre a segurança e privacidade dos dados dos clientes, enquanto mais de 90% destas corporações já sofreram violações de segurança de dados de clientes. “Enquanto a data oficial para a adoção será 2018, o impacto da Regulamentação Geral de Proteção de Dados está ocorrendo muito mais rapidamente do que as pessoas imaginam, e o setor de bens de consumo parece despreparado. Achar o equilíbrio entre o manuseio sensato dos dados dos consumidores, garantindo a sua segurança, e o uso das informações sobre os clientes para lhes oferecer uma melhor experiência é extremamente desafiador. A confiança do consumidor está em jogo, e em muitos casos fica claro que os riscos foram subestimados ou ignorados. Essa é uma questão com a qual as empresas precisam lidar rapidamente se querem evitar não somente os danos à sua reputação, mas também graves punições”, diz o líder de Bens de Consumo & Varejo, da área global de Insights & Prática de dados da Capgemini, Kees Jacobs. Os consumidores do mundo inteiro estão cada vez mais preocupados com a maneira como seus dados são usados e protegidos. Em uma pesquisa recente, mais de 91% dos consumidores admitiram ter perdido o controle sobre como as suas informações pessoais são coletadas e usadas pelas grandes empresas². Cerca de dois-terços disseram ser importante poder controlar quais informações suas são coletadas. Para muitas fabricantes de bens de consumo, no entanto, o dado do cliente continua a ser um ativo a ser utilizado. O relatório apurou que apenas 51% das empresas de bens de consumo oferecem às pessoas a opção de controlar os dados coletados e somente 57% permitem que os consumidores acessem ou visualizem os dados coletados. “O que fica claro neste relatório é que as capacidades das percepções do consumidor estão se tornando engrenagens cada vez mais importantes dentro das corporações de bens de consumo. Mas com isso vem a responsabilidade. Coletar e utilizar dados de clientes em escala exige um novo tipo de organização, abordagem e liderança. Com a GDPR se aproximando, as empresas precisam se certificar de que estão prontas”, afirma o vice-presidente executivo da área de Consumo & Percepções de Mercado da Unilever, Stan Sthanunathan. O relatório da Capgemini calcula que com o preparo atual das organizações, o setor global de bens de consumo corre o risco de perder mais de 3,5% do seu valor de US$9 trilhões se deixar de cumprir o regulamento GDPR, enquanto as empresas europeias sozinhas poderiam sofrer multas de US$ 151 bilhões. FONTE: http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=23424&sid=41

sexta-feira, 13 de maio de 2016

Saiu a regulamentação do Marco Civil da Internet! E agora? Entenda as novas regras.

Em 11 de maio de 2016, como um dos últimos atos do governo Dilma Roussef antes do afastamento determinado pela decisão do Senado Federal, foi promulgado o Decreto 8.771/2016, que regulamenta as disposições do Marco Civil da Internet. A regulamentação traz regras relacionadas a neutralidade de rede, proteção da privacidade e de dados pessoais, e atribuiu competências para a fiscalização do cumprimento. E agora? Entenda as novas regras, nesse breve resumo. Do que trata? Hipóteses admitidas de discriminação de pacotes de dados na internet e de degradação de tráfego, indica procedimentos para guarda e proteção de dados por provedores de conexão e de aplicações, aponta medidas de transparência na requisição de dados cadastrais pela administração pública e estabelece parâmetros para fiscalização e apuração de infrações previstas no Marco Civil da Internet. Quando passa a valer? A partir de 10 de junho de 2016. A quem se aplica? Aos responsáveis pela transmissão, comutação e roteamento, o que inclui os backbones, e aos provedores de conexão e de aplicação, em geral. A quem não se aplica? Serviços de telecomunicações que não envolvam conexão à Internet, e serviços especializados, ainda que utilizem tecnologia TCP/IP, como é o caso, por exemplo, de links dedicados privados, desde que não acedam à Internet, de forma pública e irrestrita. Como ficou a neutralidade de rede? Discriminação ou degradação do tráfego como medidas excepcionais, em decorrência de requisitos técnicos, ou visando priorização de serviços de emergência. Obriga as empresas a quem se aplica o decreto a: tratar questões de segurança da rede, restringir envio de spam, controlar ataques de negação do serviço (DDos), e tratar situações especiais de congestionamento da rede, inclusive provendo rotas alternativas, no caso de interrupção da rota principal, ou situações de emergência. Obrigatoriedade de observância da regulação da ANATEL e das diretrizes estabelecidas pelo CGIbr, nas ações de gerenciamento da rede. Divulgação, inclusive com obrigatoriedade de indicação nos contratos de prestação de serviços, dos motivos que possam implicar em discriminação ou degradação do tráfego, em linguagem de fácil compreensão. Estabelecimento de situações taxativas para degradação ou discriminação do tráfego em razão de serviços de emergência, que ficam restritas a: comunicação destinada aos prestadores de serviços de emergência ou comunicação entre eles, ou comunicações necessárias para informar a população em situações de risco de desastre, emergência, ou estado de calamidade pública. Garantia da gratuidade da transmissão de dados relacionada a serviços de emergência. Vedação de acordos que possam comprometer o caráter público e irrestrito da internet no Brasil, priorizem pacotes de dados em razão de arranjos comerciais, ou privilegiem aplicações ofertadas pelo próprio responsável pela transmissão, comutação, ou roteamento, ou empresas do seu grupo. As ofertas comerciais de acesso à Internet deverão sempre privilegiar uma internet única, de natureza aberta, plural e diversa, visando inclusão e não discriminação. Como ficou a proteção da privacidade? Autoridades administrativas (polícia, ministério público, e outros órgãos) que solicitem acesso a dados cadastrais de usuários da Internet deverão indicar o fundamento legal expresso de sua competência, a motivação para o pedido, e os indivíduos cujos dados são requeridos, vedando pedidos genéricos ou inespecíficos. Abre a possibilidade do provedor não coletar dados cadastrais como qualificação pessoal (nome, prenome, estado civil e profissão), filiação e endereço, ficando desobrigado do fornecimento desses dados, na hipótese de não coletar. Os órgãos da administração pública federal deverão publicar, anualmente, na Internet, dados estatísticos de requisição de dados cadastrais. Estabelece padrões de segurança para provedores de conexão e aplicações, relacionados à guarda e acesso dos registros de usuários da Internet, quais sejam: (a) controle estrito do acesso aos dados; (b) mecanismos de autenticação do acesso aos dados, permitindo individualizar o responsável pelo tratamento dos registros; (c) registros de acesso aos dados, contendo o momento e a duração do acesso, bem como a identidade do responsável pelo acesso; (d) uso de soluções técnicas que garantam a inviolabilidade dos dados, como encriptação e outras medidas equivalentes. Estabelecimento do princípio de retenção de dados na menor quantidade necessária, e determinação da exclusão de tais dados após atingida a finalidade do seu uso, ou se encerrado o prazo determinado por obrigação legal. Conceituação de dado pessoal como dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados de localização, ou identificadores eletrônicos relacionados a uma pessoa. Obrigação de que os dados sejam mantidos em formato interoperável e estruturado, facilitando acesso decorrente de decisão judicial ou determinação legal. Divulgação clara dos padrões de segurança adotados pelos provedores, preferencialmente nos próprios sites da Internet. Como ficou a fiscalização? Estabelece que a Anatel atuará na regulação, na fiscalização, e na apuração de infrações. Estabelece que a Secretaria Nacional do Consumidor atuará na fiscalização e na apuração das infrações. Estabelece que o Sistema Brasileiro de Defesa da Concorrência atuará na apuração de infrações à ordem econômica. Estabelece a atuação colaborativa entre os órgãos acima, inclusive prevendo a aplicação de sanções mesmo para as pessoas jurídicas sediadas no exterior. Fonte:

quinta-feira, 12 de maio de 2016

Estudo das piores senhas utilizadas

A organização SplashData realizou um estudo das piores senhas utilizadas nos últimos 05 anos (2011-2015) e publicou seu resultado. Este por sinal mostrou que ainda algumas pessoas não dão a devida importância neste tema tão importante. Segundo a organização, cerca de 03 segundos é o suficiente para violar uma senha fraca. Há anos tem ocorrido uma guerra entre organizações, pessoas e crackers, pois toda vez que alguma organização tem algum ataque, todos os usuários têm que realizar alteração de senha por questão de segurança. Tendências para segurança das senhas Algumas organizações e usuários finais estão utilizando várias técnicas para prevenir ou impedir violações de dados. Como a tecnologia vem evoluindo rapidamente, serviços em nuvem de armazenamento e outros mais, muitos já utilizam serviços para gerenciar senhas. Vale ressaltar que como qualquer serviço, é necessário ficar atento ao que ele nos oferece de proteção, visto que você poderá armazenar todas suas senhas em um único local. Lições aprendidas nos últimos 05 anos de estudos Muitas organizações e usuários finais não pensam muito para criar uma senha, contudo a senha continua sendo vital para segurança na internet. A organização vem aconselhando ao longo do tempo organizações e usuários a corrigirem o problema na origem, antes que o pior aconteça. 2011  As top piores senhas foram: password, 123456, 12345678, qwerty, abc123, monkey, 1234567, letmein, trustno1 e dragon;  Usuários complacentes com senhas que são facilmente adivinhadas, raramente realizam alteração e as utilizam em diversos sites;  Utilizam as mesmas senhas em ambientes financeiros;  Vários incidentes afetaram grandes companhias nos Estados Unidos, como bancos e varejos;  Organizações começaram a investir em criptografia de dados com base em nuvem; 2012  As top piores senhas foram: password, 123456, 12345678, abc123, qwerty, monkey, letmein, dragon, 111111 e baseball;  Tiveram novas entradas como: welcome, Jesus, ninja e mustang;  Grandes sites tiveram incidentes com senhas como: Yahoo; LinkedIn e eHarmony;  Usuários continuam a utilizar senhas fracas;  Provedores que utilizam a nuvem começaram a reformar a segurança de rede e soluções de criptografia de senhas; 2013  As top piores senhas foram: 123456, password, 12345678, qwerty, abc123, 123456789, 111111,1234567, iloveyou e adobe123;  Brechas de segurança da Adobe expos milhões de clientes;  Usuários continuam a utilizar senhas fracas;  Mais combinações numéricas foram utilizadas;  Governo americano inicia a implantação de um sistema mais robusto de gerenciamento de senhas e política de proteção de dados depois de diversos incidentes que ameaçaram plataformas federais online. 2014  As top piores senhas foram: 123456, password, 12345, 12345678, qwerty, 123456789, 1234, baseball, dragon e football;  O relatório demonstrou que é necessário manter fora das senhas: nomes, padrões numéricos simples, palavrões, esportes;  Mais de 3.3 milhões de senhas vazadas foram analisadas durante o ano;  Senhas 123456 e password continuam entre os dois primeiros colocados desde 2011. 2015  As top piores senhas foram: 123456, password, 12345678, qwerty e 12345;  Esportes continuam a ser temas de senhas populares, possível identificar através da análise das 25 piores senhas utilizadas;  O relatório de 2015 foi criado a partir de mais de 02 milhões de senhas comprometidas;  Como nas listas do passado, as senhas numéricas continuam a ser carro chefe, com seis das top 10 de 2015;  Empresas americanas continuam a investir montantes significante em soluções de segurança na nuvem, criptografia de dados e gerenciamento de senhas. Grupos de Risco Na era da internet, pessoas podem ter dezenas ou centenas de senhas, que vão de sites financeiros a sites de diversão. Segundo pesquisa realizada pela WP Engine alguns grupos parecem estar com maior risco no quesito senhas, sendo eles:  Pessoas com 60 ou mais anos de idade;  Mulheres entre 30 e 45 anos de idade;  Adolescentes;  Políticos e CEOs;  Usuários que realizam autenticação em mais de dois dispositivos. Na pesquisa da SplashData também se identificou que fãs de esportes acabam utilizando nomes de times, jogadores e mascotes na confecção de senhas. No geral, a possibilidade de ter suas senhas roubadas está cada dia maior. Grupos do setor responde a estas ameaças criando várias opções e que por vezes acabam abrindo outras vulnerabilidades devido aos procedimentos que nem sempre são seguidos pelos usuários por serem burocráticos e necessidade de ter em mente várias senhas complexas, perguntas e respostas de segurança. Sendo assim, soluções de gerenciamento de senhas podem ser ótimas opções para aumentar a segurança e simplificar o processo de acesso ao ambiente. Ferramentas de proteção de senhas Muitas organizações oferecem soluções de proteção de senhas, das mais simples as mais sofisticadas. Durante os 05 anos de estudos, a SpleshData descobriu que os mais sofisticados possuem devem possuir:  Aplicação segura e nativa para smartphone, tablet e desktops;  Criptografia forte;  Sincronização com opção de escolha de nuvem ou serviços de wifi local;  Backup automatizado;  Categorização e compartilhamento;  Recurso de preenchimento automático;  Recurso para importação de senhas;  Gerador de senhas;  Notas seguras;  Múltiplos fatores de autenticação; Dicas e melhores práticas Nada é 100% garantido, mas ao longo dos 05 anos a SplashData forneceu algumas dicas para melhorar e reduzir os riscos:  Evite utilizar o mesmo usuário e senha em diversos sites, o risco aumenta quando utilizado a mesma combinação para sites do tipo financeiro, e-mail e entretenimento;  Utilize no mínimo 12 caracteres, para facilitar, crie senhas com pequenas palavras e espaços ou caracteres para separa-las, além de caracteres especiais;  Nunca utilize datas de nascimentos, nomes, esportes favoritos como senhas;  Limitar o número de dispositivos que você acessa as aplicações, pois nem todas as plataformas tem segurança para todos os dispositivos, como por exemplo, um smartphone. O estudo fala muito em utilização de um gerenciador de senhas, não sou contra esta utilização, contudo é necessário se atentar ao contrato e o que a solução realmente oferece de proteção para nosso ambiente corporativo e pessoal, da mesma forma que deve ser avaliado qualquer solução em nuvem. Compartilhe isso:

segunda-feira, 17 de fevereiro de 2014

O que é Feedback?

Feedback significa apenas, INFORMAÇÃO. É assim que deve ser visto e aplicado nas empresas e na vida. Essa informação, por sua vez, “precisa ser precisa” isenta de qualquer adjetivo ou emoção que, eventualmente, possa estar conjugada, pois, isso ocorrendo, não é mais apenas uma informação, passa a ser crítica, sugestão, opinião, etc. INFORMAÇÃO. Insista nessa compreensão. Quando um foguete envia a coordenada para a base, foi gerada uma informação. A base interpretou a informação e, de acordou com os objetivos de pousar o foguete na Lua, gerou outra informação para o foguete. Por sua vez, o foguete interpretou a informação recebida e agiu no sentido de correção da rota ou de persistência, se as coordenadas estivessem corretas. Assim DEVE ser o Feedback entre os interlocutores. O gestor deve transmitir uma informação precisa e cabe ao colaborador que receber a informação compreender que esta tem por objetivos organizacionais, interpretá-las e agir. Claro, o gestor precisar dar o tempo necessário para o colaborador agir. Que fique bem claro o destaque ao mencionar que a informação gerada pela base (gestor) não deve ocorrer somente se a rota estiver errada, mas também se o foguete estiver na rota certa. Se o gestor não o fizer, o colaborador continua emitindo sinais que precisa do feedback e se não forem recebidas as informações, mesmo positivas, o colaborador pode julgar que algo está errado e, por conta própria, mudar as coordenadas, gerando, então, o problema. Quando a informação vier acompanhada de um complemento, como por exemplo um sentimento, nesse momento de descaracteriza o feedback e corremos o risco de gerar ruídos na transmissão da informação e essa ser interpretada de forma errônea ou, ainda ,de forma negativa. Feedback é uma informação precisa que tem como objetivo conduzir o colaborador para cumprir sua missão, a empresa atingir os objetivos e todos saírem ganhando. Mas é importante saber que Feedback não é opinião, não é bronca, não é sugestão. Feedback é informação. Baseado no livro Feedback para Resultados da editora Qualitymark. Imagem: Google.