Resumo executivo 361 milhões 144 milhões 4 milhões

Tamanho: px
Começar a partir da página:

Download "Resumo executivo 361 milhões 144 milhões 4 milhões"

Transcrição

1 Um estudo conduzido pela Equipe RISK da Verizon com cooperação do Serviço Secreto dos Estados Unidos e da Unidade Holandesa de Crimes de Alta Tecnologia. Resumo executivo 361 milhões >> 144 milhões >> 4 milhões. Assim segue o cômputo do total combinado de registros comprometidos entre os casos da Verizon e do Serviço Secreto dos Estados Unidos (USSS) nos últimos três anos. Após quatro anos de perdas crescentes, que culminaram com o recorde de 361 milhões em 2008, especulamos se a queda para 144 milhões em 2009 era uma um acaso feliz ou um sinal do que vinha pela frente. O total de 2010 de menos de 4 milhões de registros comprometidos parece sugerir que foi um sinal. Mas de quê? E trata-se de uma mudança permanente de direção ou um desvio temporário? Para nos ajudar a responder a essa questão, temos muita satisfação em ter o Serviço Secreto dos Estados Unidos (USSS) de volta conosco para o Relatório de Investigações de Violações de Dados (RIVD) de Além disso, temos o prazer de dar as boas-vindas à Unidade Holandesa de Crimes de Alta Tecnologia (NHTCU Dutch National High Tech Crime Unit) à equipe. Através deste esforço de cooperação, tivemos o privilégio e o desafio de examinar cerca de 800 novos incidentes de comprometimento de dados desde nosso último relatório (com 761 deles correspondentes a 2010). Para colocar isso em perspectiva, o conjunto completo de dados da Verizon-USSS de 2004 até 2009 contou com pouco mais de 900 violações. Nós por pouco não dobramos o tamanho de nosso conjunto de dados apenas em 2010! É fascinante, do ponto de vista da pesquisa, que a menor quantidade de dados perdidos de todos os tempos aconteceu no mesmo ano em que houve a mais alta quantidade de incidentes investigados de todos os tempos. Além de ser o maior conjunto de casos, também foi extremamente diversificado em termos de agentes de ameaça, ações de ameaça, ativos afetados e atributos de segurança envolvidos. Testemunhamos ataques externos altamente automatizados e prolíficos, ataques simples e lentos, intrincadas redes de fraude interna, esquemas de adulteração de dispositivos alastrados por todo um país, audaciosas conspirações de engenharia social e muito mais. Algumas das estatísticas brutas podem parecer contradizer esta declaração de diversidade (por exemplo, a porcentagem de violações atribuídas a agentes externos está mais desigual que nunca), mas é preciso considerar a mudança de escala. Enquanto 10% costumava significar aproximadamente violações em um conjunto com uma média anual de casos, agora significa 75 violações no contexto dos casos de Leve esse fato em consideração ao analisar e ponderar os resultados do relatório deste ano. 1

2 Com o acréscimo do conjunto de casos de 2010 da Verizon e dos dados contribuídos pelo USSS e pela NHTCU, a série do RIVD agora se estende por sete anos, mais de violações e mais de 900 milhões de registros comprometidos. Continuamos a aprender muito com este estudo contínuo e estamos felizes por, mais uma vez, termos a oportunidade de compartilhar nossos achados com vocês. Como sempre, nossa meta é que os dados e as análises apresentadas neste relatório sejam úteis aos esforços de planejamento e segurança de nossos leitores. Como de costume, começamos com alguns destaques, a seguir. Quem está por trás das violações de dados? 92 % oriundas de agentes externos (+22%) 17 % pessoas de dentro da empresa implicadas (-31%) <1 % resultantes de parceiros comerciais (-10%) 9 % várias partes envolvidas (-18%) Se você tiver acompanhado esses valores com o passar dos anos, pode estar achando que mudamos nossa posição mais do que um contorcionista profissional. Admitimos que os membros da equipe RISK passaram por uma boa dose de coçadas de cabeça tentando interpretar o que os dados nos diziam. Em 2009, as violações que envolveram pessoas de dentro da empresa aumentaram muito devido à incorporação dos dados do USSS, mas voltaram a retornar para os níveis anteriores ao USSS em 2010 (embora ele ainda esteja colaborando conosco). Leia o relatório para conhecer o quadro completo, mas basicamente ele se resume no ENORME aumento do número de ataques externos menores, em vez de uma redução da atividade de pessoas de dentro da empresa. Ah, e as violações causadas por parceiros continuaram seu declínio uniforme. Como as violações acontecem? Devido à proporção mais baixa de agentes de ameaça internos, Uso indevido perdeu a pole position na lista de categorias de ações de ameaça. Ações de hackers e Malware reassumiram a liderança e estão jogando mais sujo que nunca. Credenciais ausentes, fracas ou furtadas estão saindo do controle. Entretanto, um novato está ganhando terreno rapidamente entre os três principais Ataques físicos. Depois de constar como uma porcentagem de todas as violações de 2009, eles conseguiram estar presentes mais uma vez em Talvez o crime cibernético esteja se tornando menos cibernético. Uso indevido e Ataques sociais, apesar de que com uma porcentagem mais baixa, ainda apresentaram um valor alto e forneceram alguns incríveis exemplos de mau comportamento, fraude e conspiração como destaque. 50 % usaram alguma forma de ação de hackers (+10%) 49 % incorporaram malware (+11%) 29 % envolveram várias partes (+14%) 17 % resultantes de uso indevido de privilégios (-31%) 11 % empregaram táticas sociais (-17%) Quais são os pontos em comum? 83 % das vítimas foram alvos oportunos (<>) Infelizmente, violar organizações tipicamente ainda não exige ataques altamente sofisticados, a maioria das vítimas constitui 92 % dos ataques não foram altamente difíceis (+7%) % de todos os dados foram comprometidos em 76 servidores (-22%) 86 % foram descobertos por terceiros (+25%) 96 % das violações poderiam ter sido evitadas por meio de controles simples ou de nível intermediário (<>) 89 % das vítimas sujeitas ao PCI-DSS não tinham atingido a conformidade (+10%) um alvo oportuno em vez de um alvo visado, a maioria dos dados é furtada de servidores, as vítimas geralmente não sabem da violação até ser notificada por um terceiro e quase todas as violações poderiam ter sido evitadas (pelo menos a posteriori) sem a necessidade de ações corretivas difíceis ou dispendiosas. Nós adoraríamos relatar algumas grandes mudanças aqui (números negativos), mas nossos resultados não nos permitem. Embora isso não se aplique a todas as organizações em nossa amostra, avaliações pós-violação daquelas sujeitas ao PCI-DSS revelaram níveis de conformidade bastante baixos. 2

3 Onde os esforços de atenuação devem se concentrar? Reunimos nossas mentes coletivas e honestamente tentamos conceber algo novo para dizer aqui, mas simplesmente não foi possível. Espere para ser honesto, isso não é bem verdade. Gostaríamos de lembrar às organizações que têm ou gerenciam dispositivos de entrada para cartões de pagamento (como caixas eletrônicos, bombas de gasolina, terminais de pontos de venda e outros quiosques) de verificá-los regularmente quanto a sinais de adulteração e skimmers. O número de ataques a eles relacionados vêm aumentando nos últimos anos. Estamos dispostos a inventar algo novo, se necessário, mas os itens à direita (e na seção Conclusões e recomendações) são uma parte saudável de uma dieta balanceada. Além disso, nosso conjunto de casos de 2010 sugere que há muitos por aí que ainda não provaram desse prato e seria falta de educação tirar a mesa antes de eles terem terminado de se servir. Se você estiver em busca principalmente de fast food, ela está disponível em muitos outros lugares. Bom apetite! Eliminar dados desnecessários; vigiar de perto os que permanecerem Garantir que os controles essenciais sejam cumpridos Verificar os itens acima novamente Avaliar os serviços de acesso remoto Testar e revisar os aplicativos da Web Auditorar contas de usuário e monitorar atividades privilegiadas Monitor e minerar os registros de eventos Examinar caixas eletrônicos e outros dispositivos de entrada de cartões de pagamento quanto a violações Ano analisado: 2010 Nuvem, Aurora, Mobilidade, Zeus, APT, Wikileaks, Stuxnet, Anonymous. Se um diagrama de palavras-chave fosse criado com as manchetes do setor de segurança da informação de 2010, certamente as palavras acima constariam em letras grandes e em negrito. Trata-se de uma interessante justaposição de temas. Enquanto a Nuvem e dispositivos móveis nos permitem cada vez mais fazer qualquer coisa a partir de qualquer lugar com qualquer um a qualquer hora, Aurora, Zeus, APTs (Advanced Persistent Threats), Wikileaks e Stuxnet nos lembram da dificuldade de proteger nossos ativos de informações em um mundo voltado para a facilidade de uso. Visto que nosso conjunto de casos (como os do USSS e da NHTCU) é uma janela para esse mundo, seria de se esperar que se vissem aspectos dele neste relatório anual sobre tendências de violação. E o RIVD deste ano cumpre essa expectativa. Depois da palavra Segurança, Nuvem foi a segunda palavra mais usada nos títulos das apresentações da Conferência RSA de Ela definitivamente consta de nossos corações e mentes coletivas. Como tal, nos perguntam com frequência se a Nuvem é um fator de muitas das violações que investigamos. A pergunta é ao mesmo tempo fácil e difícil de responder. A resposta fácil é Não, na verdade não. Nunca nos deparamos com uma violação que envolvesse uma exploração bemsucedida de um hipervisor que permitisse ao invasor, por exemplo, passar de uma máquina virtual para outra. Por outro lado, vemos constantemente violações que envolvem sistemas hospedados, gerenciamento terceirizado, fornecedores invasores e, até mesmo, máquinas virtuais (embora os vetores de ataque não tenham nada a ver com o fato de se tratar ou não de uma máquina virtual). Em outras palavras, a questão está mais relacionada a abrir mão do controle de nossos ativos e dados (sem controlar os riscos associados) do que a qualquer tecnologia específica à Nuvem. Com frequência, somos indagados se a Nuvem é um fator de muitas das violações que investigamos. A resposta fácil é Não, na verdade não. A questão está mais relacionada a abrir mão do controle de nossos ativos e dados (sem controlar os riscos associados) do que a qualquer tecnologia específica à Nuvem. Já que estamos falando de abrir mão do controle de nossos ativos e dados, podemos abordar o tema dos dispositivos móveis. Este é outro tópico sobre o qual nos perguntam com frequência durante nossas apresentações e discussões relacionadas a violações. O fato é que dispositivos para computação móvel (tablets, smartphones, telefones celulares, etc.) são raramente a fonte da perda de dados em nosso conjunto de casos. Isso tem muito a ver com o tipo de casos que investigamos (que tendem a envolver situações deliberadas de violação e comprometimento, em vez de perda acidental de dispositivos). Além disso, este relatório inclui somente incidentes confirmados de comprometimento de dados. 3

4 As ameaças aos dispositivos móveis são reais e supomos que devem certamente aumentar e se diversificar tanto quanto a utilização, os usos e os usuários de tais dispositivos. Considere o efeito do ipad desde seu lançamento um ano atrás: muitos diretores de empresas que eram indiferentes à tecnologia agora exigem o uso de seus ipads no trabalho. A conveniência e a funcionalidade desses e de outros dispositivos semelhantes impulsionarão a adoção disseminada pelas empresas e a segurança irá, mais uma vez, precisar se apressar para acompanhar esse ritmo. Zeus se manifestou pela primeira vez em nosso conjunto de casos de 2009, mas chegou ao seu apogeu em Entre os casos do USSS e os nossos, Zeus e seus diabólicos parceiros de negócios, tomada de contas e fraude nas transferências, foram desenfreados tanto entre os consumidores quanto entre as empresas. Todos esses elementos recebem consideração adicional neste relatório. Por isso, vamos apenas mencioná-los aqui e seguir adiante. Se Zeus nos mostra que os criminosos almejam nosso dinheiro, Aurora, APTs, Stuxnet e Anonymous nos lembram que alguns agentes de ameaça têm mais do que dinheiro em mente. Eles deram origem a um clima mais sinistro, direcionado e pessoal do risco da informação para todos nós em 2010 (alguns acrescentariam sem esperança à lista). Se esses sentimentos são justificados por um aumento considerável do risco é difícil dizer. Talvez esses sentimentos sejam, de fato, justificados. Talvez sejam justificáveis somente para um subconjunto entre nós. É possível que o risco não tenha sofrido nenhuma mudança, mas nossa conscientização dele tenha mudado drasticamente. Pode ser que haja um núcleo de verdade cercado por várias camadas de medo, incerteza e dúvida. O que sabemos de fato é que nosso conjunto de casos de 2010 revelou certas características que podem ser associadas a tais eventos. Por exemplo, os números de vítimas no setor público atingiram seu recorde de todos os tempos. Estudamos mais incidentes que envolveram furto de informações confidenciais, propriedade intelectual e outros dados organizacionais sigilosos do que nunca. Trata-se simplesmente do produto de um conjunto de casos de amostra muito maior e mais diversificado do que de uma mudança real? Talvez... ou talvez não. Os APTs merecem um tratamento especial aqui. Alguns se lembrarão de que expressamos nossa preocupação no RIVD de 2010 e nas postagens de blog subsequentes sobre a histeria relacionada ao APT que assolou a comunidade da segurança. Ainda acreditamos que existe um aumento do escopo na definição do APT. Os originadores do termo o usam principalmente em referência a ataques patrocinados pelo Estado, iniciados na República Popular da China. Outros o usam para descrever qualquer ameaça que apresente habilidade e determinação acima da média. O resultado lógico da primeira abordagem é avaliar e abordar seriamente a postura com relação à segurança de órgãos governamentais e da base industrial de defesa (que está certa e é boa). O resultado lógico da segunda abordagem é concluir que todos são um alvo do APT (o que é um paradoxo e leva a medos irracionais do bicho-papão, enquanto ladrões comuns levam sua casa e seu lar). Simplesmente, não é possível que todos sejam alvos. É indubitavelmente verdadeiro (com base em experiência investigativa) que alguns constituem o alvo de ataques patrocinados pelo Estado (originados na China e/ou em outra parte). Também é inquestionavelmente verdadeiro (mais uma vez com base na experiência) que alguns que creem ser vítimas de APTs são, na verdade, vítimas de criminosos organizados, hackers ativistas, adolescentes e seus scripts glorificados e de seus próprios erros. Porque os APTs são reais (independentemente da definição), é hora de cair na real sobre sua definição e a defesa contra eles. No entanto, fora da notoriedade dessas manchetes, uma história muito diferente se desenrolou em A quantidade de dados comprometidos atingiu seu ponto mais baixo de todos os tempos entre os casos combinados da Verizon e do USSS. DataLossDB, Identity Theft Resource Center e outras fontes também mostram um marcado declínio no número total de registros perdidos ou expostos. O que está acontecendo? As manchetes parecem mais desesperançadas que nunca. No entanto, os números (pelo menos alguns deles) parecem quase promissores. Por que o contraste? Qual é o verdadeiro 2010? Acreditamos que existam pontos verídicos em ambas as histórias. Como discutimos anteriormente, existe alguma verdade por trás das manchetes. Da mesma forma, os índices de perdas de dados apontam para uma possível e real mudança nos motivos e táticas usadas pelos criminosos para roubar informações. Fizemos o possível para retransmitir essas histórias e estatísticas nestas páginas e desvendar suas mensagens e significados principais. Esperamos que esse esforço desempenhe um pequeno papel em nos conduzir em direção a um final feliz em 2011 e além. Se Zeus nos mostra que os criminosos almejam nosso dinheiro, Aurora, APTs, Stuxnet e Anonymous nos lembram que alguns agentes de ameaça têm mais do que dinheiro em mente. Eles deram origem a um clima mais sinistro, direcionado e pessoal do risco da informação para todos nós em

5 Conclusões e recomendações Na conclusão de nosso último relatório, declaramos: Criar uma lista de recomendações eficazes fica mais difícil a cada ano em que publicamos este relatório. Pense: nossas descobertas se modificam e evoluem com o tempo, mas raramente são completamente novas ou inesperadas. Por que seria diferente para as recomendações baseadas nessas descobertas? É lógico que poderíamos encher linguiça com uma longa lista de recomendações até atingir a nossa cota, mas acreditamos que isso já esteja disponível em outros lugares. Estamos mais interessados em qualidade do que em quantidade. Mas é claro que, após examinarmos outras 800 violações no ano passado, teríamos inúmeras novas recomendações para solucionar todas as suas angústias relacionadas à segurança, certo? Na verdade, bastante errado. O último conjunto de evidências nos leva à mesma conclusão de antes: suas angústias relacionadas à segurança não são causadas pela falta de algo novo (a Figura 43 tem basicamente o mesmo aspecto de sempre). Quase certamente, elas têm mais a ver com não usar, subutilizar ou usar incorretamente alguma coisa antiga. O argumento apresentado contra essa noção é a de que nossos adversários são crápulas inteligentes que se adaptarão a fim de burlar nossas antigas defesas. Isso é verdade (e já vimos e discutimos evidências de tal adaptação), mas sejamos realistas. Como um todo, você realmente acredita que os estamos fazendo se mexer para se adaptarem? Ano após ano, nossos dados parecem sugerir que não, e isso é algo que precisa ser mudado. Se eles se adaptarem, que se adaptem. C est la vie. Mas vamos parar de deixar que eles tenham sucesso na estagnação. Com esse intuito, encontramos algumas velhas receitas para atingirmos um sucesso atual. Examinamos os principais ataques de 2010 e identificamos recomendações em nossos relatórios anteriores que melhor se adaptam a eles. Eles são categorizados e relacionados a seguir e esperamos que o ajudem no planejamento e na tabela de negociações orçamentárias. Figura 43. Custo das medidas preventivas recomendadas por percentual de violações* 4% Difícil e dispendiosa Geral Conseguir o essencial e, só então, se preocupar com a excelência: percebemos que muitas organizações obtém níveis muito altos de segurança em várias áreas, mas negligenciam outras. Os criminosos quase sempre preferem o caminho mais fácil. Identificar um conjunto de controles essenciais e assegurar sua implementação em toda a organização sem exceção e, em seguida, passar para controles mais avançados onde necessário representa uma estratégia superior contra ataques no mundo real. 33% Intermediária 63% Simples e barata * Somente o conjunto de casos da Verizon O argumento apresentado contra essa noção é a de que nossos adversários são crápulas inteligentes que se adaptarão a fim de burlar nossas antigas defesas. Isso é verdade (e já vimos e discutimos evidências de tal adaptação), mas sejamos realistas. Como um todo, você realmente acredita que os estamos fazendo se mexer para se adaptarem? 5

6 Controle de acesso Alterar as credenciais padrão: simples e eficaz, quando administradores de sistema/rede configurarem um novo sistema, devem alterar a senha. Se esse serviço for terceirizado, certifique-se de que a senha tenha sido alterada. Não parta do pressuposto de que seu pessoal ou seus parceiros seguem sistematicamente todas as políticas e procedimentos. Além de alterar as credenciais padrão, as organizações devem se assegurar de que as senhas sejam exclusivas e não compartilhadas entre usuários ou usadas em diferentes sistemas. Isso foi especialmente problemático para ativos gerenciados por terceiros. Todo ano em que estudamos ações de ameaças que levam a violações de dados, a história é a mesma: a maioria das vítimas não é vencida por ataques inescrutáveis que não possam ser contidos. Na maioria das vezes, os conhecemos bem o suficiente e também sabemos como dar um fim a eles. Análise de contas de usuários: os relatórios sobre violação de dados dos anos anteriores e anos de experiência nos levam a crer no valor de analisar as contas de usuários regularmente. A análise deve consistir em um processo formal para confirmar que as contas ativas sejam válidas, necessárias, corretamente configuradas e que contem com os privilégios apropriados (de preferência os menores). Restringir e monitorar usuários com privilégios: confie, mas confira. Use a triagem pré-contratação para eliminar o problema antes mesmo que comece. Não dê aos usuários mais privilégios do que precisam (isto é muito importante) e valha-se da separação de tarefas. Certifique-se de que eles tenham direção (que conheçam as políticas e as expectativas) e supervisão (para assegurar-se de que as acatem). O uso privilegiado deve constar dos registros e gerar mensagens para a gerência. O uso privilegiado não planejado deve gerar alarmes e ser investigado. Gerenciamento de rede Proteger os serviços de acesso remoto: em muitos casos, serviços de acesso remoto foram ativados e estão voltados para a Internet. Recomendados restringir esses serviços de modo que somente endereços IP ou redes específicas possam acessá-los. Além disso, é importante limitar o acesso a sistemas sigilosos na rede. Muitas organizações permitem que qualquer dispositivo na rede se conecte e acesse remotamente qualquer outro dispositivo. Recomendamos enfaticamente não gerenciar seus dispositivos dessa maneira. Restrinja os serviços de acesso remoto a redes de gerenciamento específicas por meio de listas de controle de acesso. Monitorar e filtrar o tráfego de saída da rede: a uma determinada altura da sequência de eventos em muitas violações, alguma informação (dado, comunicação, conexão) sai que, se impedida, poderia quebrar a cadeia e evitar a violação. Monitorando, compreendendo e controlando o tráfego de saída, uma organização aumentará em grande medida as chances de atenuar as atividades mal-intencionadas. Desenvolvimento seguro Teste de aplicativos e análise de códigos: ataques de injeção de SQL, scripts entre sites, desvio de autenticação e exploração de variáveis de sessão contribuíram com quase a metade das violações atribuídas a ações de hackers ou invasão de redes. Não é segredo que os invasores estão se movendo para cima na pilha e visando a camada de aplicativo. Por que nossas defesas não fazem o mesmo? Como acontece com tudo o mais, comece por apagar os incêndios: até mesmo uma leve varredura e teste dos aplicativos da Web teriam detectado muitos dos problemas que levaram a grandes violações nos anos anteriores. Em seguida, inclua análises regulares da arquitetura, dos privilégios e do código-fonte. Recomenda-se também incorporar uma abordagem SDLC (Security Development Life-Cycle) ao desenvolvimento de aplicativos. Por fim, ajude seus desenvolvedores a apreciar e programar códigos mais seguros. 6

7 Gerenciamento e análise de registros Ativar e monitorar registros de testemunho de aplicativos e de rede: com muita frequência, a evidência dos eventos que levaram às violações estava disponível à vítima, mas essa informação não foi percebida nem nenhuma ação foi tomada com respeito a ela. Processos que ofereçam monitoramento e resposta sensatos, eficientes e eficazes são críticos à proteção dos dados. No entanto, não basta concentrar seus esforços de registro em rede, sistema operacional, IDS e firewall, negligenciando serviços de acesso remoto, aplicativos da Web, bancos de dados e outros aplicativos críticos. Estes podem representar um conjunto de dados muito útil à detecção, prevenção e investigação de violações. Definir suspeito e anormal (e então buscar seja lá o que for): isso é reconhecidamente vago, mas, na verdade, generalizar o que isto implica a fim de prescrever algo que se ajuste a todos seria contraprodutivo. Descubra o que é crítico, identifique o que constitui o comportamento normal e, em seguida, estabeleça mecanismos cujo foco seja buscar e alertar quanto a desvios da normalidade. Alterar a abordagem ao monitoramento de eventos e à análise de registros: com base nos dados que coletamos nos eventos do momento da violação, acreditamos que as organizações estariam em melhor situação se se concentrassem menos nos métodos de detecção em tempo real e mais nos métodos voltados a esta semana. Se pudermos deslocar o intervalo do Comprometimento à Descoberta de Semanas e Meses para Dias, isso reduzirá significativamente os danos causados à organização. Concentre-se no que for óbvio, em vez de voltar-se aos detalhes minuciosos. Não precisa ser nada dispendioso; um simples script para contar linhas ou avaliar o comprimento do registro e enviar um alerta se estiver além da tolerância pode ser bastante eficaz. Estamos confiantes de que esta abordagem gerará benefícios e economizará tempo, esforço e dinheiro. Treinamento e conscientização Aumentar a conscientização quanto à engenharia social: eduque seus funcionários quanto aos diferentes métodos de engenharia social e aos vetores dos quais esses ataques podem proceder. Em muitos de nossos casos, vemos o momento em que os usuários clicam em links em que não deveriam clicar e abrem anexos recebidos de pessoas identificadas. Recompense os usuários por denunciar s e sites suspeitos e crie os incentivos necessários à vigilância. Treinar funcionários e clientes para procurarem sinais de adulteração e fraude: essas campanhas de conscientização estão presentes em determinadas áreas já há algum tempo, mas a adulteração/fraude de caixas eletrônicos e bombas de gasolina com cobrança por cartão parecem estar aumentando em número e escopo. Organizações que operam esses dispositivos deveriam considerar a condução de exames periódicos dos mesmos. Além disso, capacite os clientes a ajudarem em sua própria proteção, bem como a auxiliar a organização na detecção de problemas potenciais. Gerenciamento de incidentes Criar um plano de resposta a incidentes: se e quando houver a suspeita de que uma violação possa ter ocorrido, a organização vítima deve estar preparada para reagir. Um Plano eficaz de resposta a incidentes ajuda a reduzir a escala de uma violação e garante que as evidências sejam coletadas da maneira apropriada. Dedicar-se ao teste de simulações de incidentes: estamos sentados aqui conversando sobre prática; nenhum incidente, nenhum incidente, nenhum incidente mas estamos conversando sobre prática (os fãs do esporte entre vocês devem estar entendendo o que estou dizendo). Sim, estamos falando sobre prática, porque a prática gera a perfeição. A fim de operarem eficientemente, as organizações devem passar por treinamentos de rotina de recuperação de incidentes que abranjam estratégias de resposta, identificação e classificação de ameaças, definição de processos, devida manipulação da evidência e simulações de situações. Um convite ao compartilhamento de dados Um dos desafios mais críticos e persistentes que assolam os esforços de gerenciamento do risco relacionado a informações é a falta de dados. Enquanto profissionais e responsáveis pela tomada de decisões da comunidade, temos poucos dados porque não compartilhamos e, embora existam muitos motivos para isso, as dúvidas de se isso pode ser feito de maneira prática, privada e mutualmente benéfica são o principal entre os motivos. Gostaríamos de pensar que este relatório é um exemplo de que dados úteis e sigilosos podem ser compartilhados de maneira responsável para o benefício de muitos. Nos últimos dois anos, várias outras firmas de investigação começaram a compartilhar seus resultados e nós reconhecemos e apreciamos esses esforços. Cada pequeno dado compartilhado ajuda. Seria excelente se outros também se juntassem a nós e se você quiser relatar seus resultados usando o VERIS, de modo que possamos todos comparar dados equivalentes, teremos prazer em ajudar como pudermos. 7

8 Também gostaríamos de estender a outras organizações o convite de considerar o uso do site da comunidade VERIS 12 (site em inglês) para relatar incidentes de segurança anonimamente (qualquer tipo não apenas violações de dados). Todos os resultados (agregados e anônimos) serão disponibilizados gratuitamente para a comunidade. Compartilhando informações sobre incidentes, você contribuirá com o conhecimento coletivo da comunidade, ao mesmo tempo em que obtém acesso ao conjunto de dados VERIS para seu proveito. A meta geral é estabelecer as bases a partir das quais possamos aprender com as nossas experiências, de maneira construtiva e cooperativa, a gerenciar melhor o risco. Compreendemos que seu tempo é precioso e, por isso, agradecemos uma vez mais, pelo tempo dedicado à leitura do presente relatório. 12 https://www2.icsalabs.com/veris/ (site em inglês) verizonbusiness.com (site em inglês) verizonbusiness.com/socialmedia (site em inglês) verizonbusiness.com/thinkforward (site em inglês) 2011 Verizon. Todos os direitos reservados. MC14949 BR-PT 6/11. Os nomes e logotipos da Verizon e Verizon Business e todos os outros nomes, logotipos e slogans que identificam os produtos e serviços da Verizon são marcas comerciais e marcas de serviço ou marcas comerciais e de serviço registradas da Verizon Trademark Services LLC ou de suas afiliadas, nos Estados Unidos e/ou em outros países. Todas as outras marcas comerciais e marcas de serviço são de propriedade de seus respectivos detentores. 8

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

IMPLEMENTANDO UMA ARQUITETURA DO SECURITY ANALYTICS

IMPLEMENTANDO UMA ARQUITETURA DO SECURITY ANALYTICS IMPLEMENTANDO UMA ARQUITETURA DO SECURITY ANALYTICS Resumo da solução RESUMO As novas ameaças de segurança exigem uma nova abordagem ao gerenciamento de segurança. As equipes de segurança precisam de uma

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Quanto mais informações você disponibiliza na Internet, mais difícil se torna preservar a sua privacidade Nada impede que você abra mão de sua privacidade e, de livre e espontânea

Leia mais

Ser sincero em sua crença de que todos devem ir para casa todos os dias com segurança e saúde - demonstre que você se importa.

Ser sincero em sua crença de que todos devem ir para casa todos os dias com segurança e saúde - demonstre que você se importa. A Liderança Faz a Diferença Guia de Gerenciamento de Riscos Fatais Introdução 2 A prevenção de doenças e acidentes ocupacionais ocorre em duas esferas de controle distintas, mas concomitantes: uma que

Leia mais

Quais tipos de informações nós obteremos para este produto

Quais tipos de informações nós obteremos para este produto Termos de Uso O aplicativo Claro Facilidades faz uso de mensagens de texto (SMS), mensagens publicitárias e de serviços de internet. Nos casos em que houver uso de um serviço tarifado como, por exemplo,

Leia mais

Política de segurança de rede: White Paper de práticas recomendadas

Política de segurança de rede: White Paper de práticas recomendadas Política de segurança de : White Paper de práticas recomendadas Índice Introdução Preparação Criar declarações de política de uso Realizar uma análise de risco Estabelecer uma Estrutura de Equipe de Segurança

Leia mais

PROJETO RUMOS DA INDÚSTRIA PAULISTA

PROJETO RUMOS DA INDÚSTRIA PAULISTA PROJETO RUMOS DA INDÚSTRIA PAULISTA SEGURANÇA CIBERNÉTICA Fevereiro/2015 SOBRE A PESQUISA Esta pesquisa tem como objetivo entender o nível de maturidade em que as indústrias paulistas se encontram em relação

Leia mais

ASSUNTO DO MATERIAL DIDÁTICO: SISTEMAS DE INFORMAÇÃO E AS DECISÕES GERENCIAIS NA ERA DA INTERNET

ASSUNTO DO MATERIAL DIDÁTICO: SISTEMAS DE INFORMAÇÃO E AS DECISÕES GERENCIAIS NA ERA DA INTERNET AULA 05 ASSUNTO DO MATERIAL DIDÁTICO: SISTEMAS DE INFORMAÇÃO E AS DECISÕES GERENCIAIS NA ERA DA INTERNET JAMES A. O BRIEN MÓDULO 01 Páginas 26 à 30 1 AULA 05 DESAFIOS GERENCIAIS DA TECNOLOGIA DA INFORMAÇÃO

Leia mais

Segurança em PHP. Márcio Pessoa. Desenvolva programas PHP com alto nível de segurança e aprenda como manter os servidores web livres de ameaças

Segurança em PHP. Márcio Pessoa. Desenvolva programas PHP com alto nível de segurança e aprenda como manter os servidores web livres de ameaças Segurança em PHP Desenvolva programas PHP com alto nível de segurança e aprenda como manter os servidores web livres de ameaças Márcio Pessoa Novatec capítulo 1 Conceitos gerais No primeiro capítulo serão

Leia mais

INTERNET BANKING: DICAS DE SEGURANÇA. Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos.

INTERNET BANKING: DICAS DE SEGURANÇA. Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos. 1 INTERNET BANKING: DICAS DE SEGURANÇA Alexandre Kaspary 1 Alexandre Ramos 2 Leo Andre Blatt 3 William Rohr 4 Fábio Matias Kerber 5 Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos.

Leia mais

Defesa contra os ataques de phishing direcionados atuais

Defesa contra os ataques de phishing direcionados atuais Defesa contra os ataques de phishing direcionados atuais Introdução O email é phishing ou é legítimo? Essa é a pergunta que os funcionários e especialmente os executivos estão fazendo com frequência cada

Leia mais

Amway - Política de privacidade

Amway - Política de privacidade Amway - Política de privacidade Esta Política de Privacidade descreve como a Amway Brasil e determinadas filiadas, inclusive a Amway América Latina (conjuntamente Amway ) utilizam dados pessoais coletados

Leia mais

Guaiaquil tira proveito da IoE para oferecer à população os benefícios da telemedicina e do governo eletrônico

Guaiaquil tira proveito da IoE para oferecer à população os benefícios da telemedicina e do governo eletrônico Guaiaquil tira proveito da IoE para oferecer à população os benefícios da telemedicina e do governo eletrônico RESUMO EXECUTIVO Objetivo Melhorar a vida dos moradores e ajudálos a serem bem-sucedidos na

Leia mais

Gerência de Redes Segurança

Gerência de Redes Segurança Gerência de Redes Segurança Cássio D. B. Pinheiro cdbpinheiro@ufpa.br cassio.orgfree.com Objetivos Apresentar o conceito e a importância da Política de Segurança no ambiente informatizado, apresentando

Leia mais

Identificação rápida de gargalos Uma forma mais eficiente de realizar testes de carga. Um artigo técnico da Oracle Junho de 2009

Identificação rápida de gargalos Uma forma mais eficiente de realizar testes de carga. Um artigo técnico da Oracle Junho de 2009 Identificação rápida de gargalos Uma forma mais eficiente de realizar testes de carga Um artigo técnico da Oracle Junho de 2009 Identificação rápida de gargalos Uma forma mais eficiente de realizar testes

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Via Internet Banking você pode realizar as mesmas ações disponíveis nas agências bancárias, sem enfrentar filas ou ficar restrito aos horários de atendimento Realizar transações

Leia mais

Informação: o principal ativo de um negócio

Informação: o principal ativo de um negócio WHITE PAPER Informação: o principal ativo de um negócio Gestão de dados se tornou ponto crucial para sobrevivência das instituições, mas poucas ainda mantêm programa de treinamento em segurança. Fiscalização

Leia mais

Cinco requisitos. ao considerar a segurança do e-mail

Cinco requisitos. ao considerar a segurança do e-mail Cinco requisitos ao considerar a segurança do e-mail 2015 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. (1110R) 1 Resumo Em um panorama de

Leia mais

Política de uso de dados

Política de uso de dados Política de uso de dados A política de dados ajudará você a entender como funciona as informações completadas na sua área Minhas Festas. I. Informações que recebemos e como são usadas Suas informações

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ O acesso às redes sociais já está incorporado ao cotidiano de grande parte dos usuários da Internet e, muito provavelmente, do seu. As redes sociais possuem características que

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

Termos & Condições www.grey.com (o website ) é de propriedade do Grupo Grey e operado por ele ( nosso, nós e nos ).

Termos & Condições www.grey.com (o website ) é de propriedade do Grupo Grey e operado por ele ( nosso, nós e nos ). Condições de Uso do Website Termos & Condições www.grey.com (o website ) é de propriedade do Grupo Grey e operado por ele ( nosso, nós e nos ). Ao acessar este site, você concorda em ficar vinculado a

Leia mais

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS Novembro de 2013 Introdução Este documento fornece um resumo de alterações

Leia mais

Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada

Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada Visão Geral do Mercado Embora o uso dos produtos da Web 2.0 esteja crescendo rapidamente, seu impacto integral sobre

Leia mais

http://cartilha.cert.br/ Publicação

http://cartilha.cert.br/ Publicação http://cartilha.cert.br/ Publicação O uso de tablets, smartphones e celulares está cada vez mais comum e inserido em nosso cotidiano Caso tenha um dispositivo móvel (tablet, smartphone, celular, etc.)

Leia mais

Gerenciamento de Projetos

Gerenciamento de Projetos Gerenciamento de Projetos PMI, PMP e PMBOK PMI (Project Management Institute) Estabelecido em 1969 e sediado na Filadélfia, Pensilvânia EUA, o PMI é a principal associação mundial, sem fins lucrativos,

Leia mais

defendendo-se contra ameaças persistentes avançadas: estratégias para uma nova era de ataques agility made possible

defendendo-se contra ameaças persistentes avançadas: estratégias para uma nova era de ataques agility made possible defendendo-se contra ameaças persistentes avançadas: estratégias para uma nova era de ataques agility made possible as ameaças à segurança como as conhecemos estão mudando As ameaças tradicionais que as

Leia mais

Cidadania Global na HP

Cidadania Global na HP Cidadania Global na HP Mensagem abrangente Com o alcance global da HP, vem sua responsabilidade global. Levamos a sério nossa função como ativo econômico, intelectual e social para as Comunidades em que

Leia mais

Segurança da Informação. Prof. Glauco Ruiz glauco.ruiz@uol.com.br

Segurança da Informação. Prof. Glauco Ruiz glauco.ruiz@uol.com.br Segurança da Informação Prof. Glauco Ruiz glauco.ruiz@uol.com.br Segurança da Informação Segurança é importante? Qual o nosso nível de dependência? Quanto tempo podemos ficar sem nossos dados? Quanto tempo

Leia mais

Ética & Princípios de Conduta Empresarial

Ética & Princípios de Conduta Empresarial Nossa Cadeia de Fornecedores Ética & Princípios de Conduta Empresarial ao exercer atividades de negócios com a CH2M HILL Outubro 2011 Princípios baseados no livro The Little Yellow Book, escrito em 1978

Leia mais

whitepaper Os benefícios da integração do File Integrity Monitoring com o SIEM

whitepaper Os benefícios da integração do File Integrity Monitoring com o SIEM Os benefícios da integração do File Integrity Monitoring com o SIEM A abordagem de gerenciamento de informações e eventos de segurança (SIEM - Security Information and Event Management) foi criada para

Leia mais

Algumas Leis da Segurança

Algumas Leis da Segurança Algumas Leis da Segurança Marcos Aurelio Pchek Laureano laureano@ppgia.pucpr.br Roteiro Leis Fundamentais Leis Imutáveis Seus significados Sua Importância 2 Algumas Leis da Segurança As leis Fundamentais

Leia mais

PESQUISA GLOBAL DAS PMEs ÍNDICE DE CONFIANÇA EM TI RESULTADOS AMÉRICA LATINA

PESQUISA GLOBAL DAS PMEs ÍNDICE DE CONFIANÇA EM TI RESULTADOS AMÉRICA LATINA PESQUISA GLOBAL DAS PMEs ÍNDICE DE CONFIANÇA EM TI RESULTADOS AMÉRICA LATINA 2013 SUMÁRIO 3 4 5 6 8 11 INTRODUÇÃO METODOLOGIA ÍNDICE DE CONFIANÇA DAS PMEs EM TI CARACTERÍSTICAS DAS PMEs TOP-TIER MELHORES

Leia mais

Segurança em Dispositivos Móveis.

Segurança em Dispositivos Móveis. <Nome> <Instituição> <e-mail> Segurança em Dispositivos Móveis Agenda Dispositivos móveis Riscos principais Cuidados a serem tomados Créditos Dispositivos móveis (1/2) Tablets, smartphones, celulares,

Leia mais

12 PREVISÕES DE SEGURANÇA PARA 2012

12 PREVISÕES DE SEGURANÇA PARA 2012 12 PREVISÕES DE SEGURANÇA PARA 2012 Todos os anos, eu me sento com meu time de pesquisadores e conversamos sobre o que o próximo ano trará em termos de ameaças para nossos clientes. É uma discussão importante.

Leia mais

1. Quem somos nós? A AGI Soluções nasceu em Belo Horizonte (BH), com a simples missão de entregar serviços de TI de forma rápida e com alta qualidade.

1. Quem somos nós? A AGI Soluções nasceu em Belo Horizonte (BH), com a simples missão de entregar serviços de TI de forma rápida e com alta qualidade. 1. Quem somos nós? A AGI Soluções nasceu em Belo Horizonte (BH), com a simples missão de entregar serviços de TI de forma rápida e com alta qualidade. Todos nós da AGI Soluções trabalhamos durante anos

Leia mais

Prof. Jefferson Costa www.jeffersoncosta.com.br

Prof. Jefferson Costa www.jeffersoncosta.com.br Prof. Jefferson Costa www.jeffersoncosta.com.br Preservação da: confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. integridade: Salvaguarda da exatidão

Leia mais

EXIN Cloud Computing Fundamentos

EXIN Cloud Computing Fundamentos Exame Simulado EXIN Cloud Computing Fundamentos Edição Maio 2013 Copyright 2013 EXIN Todos os direitos reservados. Nenhuma parte desta publicação pode ser publicado, reproduzido, copiado ou armazenada

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Copyright 2012 EMC Corporation. Todos os direitos reservados.

Copyright 2012 EMC Corporation. Todos os direitos reservados. 1 IMPLEMENTAÇÃO DO GERENCIAMENTO DE SEGURANÇA AVANÇADA Gerenciando riscos para um mundo digital confiável e sustentável Nak Y. Kwak Brazil & SOLA nak.kwak@rsa.com 2 Agenda Corporação avançada Ameaças avançadas

Leia mais

Governança de T.I. Professor: Ernesto Junior E-mail: egpjunior@gmail.com

Governança de T.I. Professor: Ernesto Junior E-mail: egpjunior@gmail.com Governança de T.I Professor: Ernesto Junior E-mail: egpjunior@gmail.com Information Technology Infrastructure Library ITIL ITIL é um acrônimo de Information Technology Infraestruture Library. Criado em

Leia mais

A REALIDADE SOBRE GERENCIAMENTO DE SEGURANÇA E BIG DATA

A REALIDADE SOBRE GERENCIAMENTO DE SEGURANÇA E BIG DATA A REALIDADE SOBRE GERENCIAMENTO DE SEGURANÇA E BIG DATA Um roteiro para big data no Security Analytics PRINCIPAIS BENEFÍCIOS Este documento analisa: O aumento da complexidade do ambiente de gerenciamento

Leia mais

POLÍTICA DE PRIVACIDADE

POLÍTICA DE PRIVACIDADE POLÍTICA DE PRIVACIDADE Caro Assinante, O presente escrito estabelece e explica a Política de Privacidade da SOCIAL COMICS ENTRETENIMENTO LTDA, adiante também mencionada por SOCIAL COMICS e/ou PLATAFORMA.

Leia mais

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente.

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente. Noções básicas sobre segurança e computação segura Se você se conecta à Internet, permite que outras pessoas usem seu computador ou compartilha arquivos com outros, deve tomar algumas medidas para proteger

Leia mais

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida.

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida. Segurança da Informação é a proteção das informações contra os vários tipos de ameaças as quais estão expostas, para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Sobre Nós. NossaVisão

Sobre Nós. NossaVisão 2015 Sobre Nós 1 ArtsSec foi fundada por um grupo de profissionais dedicados à segurança da informação a fim de proporcionar soluções criativas e de alto valor aos seus clientes. A empresa surgiu em 2012,

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Atualmente, o acesso às redes sociais já faz parte do cotidiano de grande parte dos usuários da Internet e, muito provavelmente, do seu. Você pode usar as redes sociais para se

Leia mais

Computação em Nuvem: Riscos e Vulnerabilidades

Computação em Nuvem: Riscos e Vulnerabilidades Computação em Nuvem: Riscos e Vulnerabilidades Bruno Sanchez Lombardero Faculdade Impacta de Tecnologia São Paulo Brasil bruno.lombardero@gmail.com Resumo: Computação em nuvem é um assunto que vem surgindo

Leia mais

VISÃO GERAL DAS SOLUÇÕES WEBSENSE EMAIL SECURITY

VISÃO GERAL DAS SOLUÇÕES WEBSENSE EMAIL SECURITY VISÃO GERAL DAS SOLUÇÕES WEBSENSE EMAIL SECURITY OVERVIEW Desafio Muitos dos maiores comprometimentos de segurança atualmente começam com um único ataque de email que explora vulnerabilidades da web. Na

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

InSight* Soluções no Gerenciamento do Conhecimento. Descrição e Uso. Boletim Técnico de Produto

InSight* Soluções no Gerenciamento do Conhecimento. Descrição e Uso. Boletim Técnico de Produto Boletim Técnico de Produto InSight* Soluções no Gerenciamento do Conhecimento As aplicações de água e processo geram ou afetam diretamente grandes quantidades de dados operacionais, que podem ser de natureza

Leia mais

ILLIX INTELIGÊNCIA E SEGURANÇA

ILLIX INTELIGÊNCIA E SEGURANÇA ILLIX INTELIGÊNCIA E SEGURANÇA SOBRE A ILLIX A ILLIX é uma empresa que provê soluções especializadas em proteção de dados e comunicações, segurança, tecnologia e defesa de negócios. Detectar, prevenir

Leia mais

RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO DE SERVIÇO DA VERISIGN 1A EDIÇÃO - 1O TRIMESTRE DE 2014

RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO DE SERVIÇO DA VERISIGN 1A EDIÇÃO - 1O TRIMESTRE DE 2014 RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO DE SERVIÇO DA VERISIGN 1A EDIÇÃO - 1O TRIMESTRE DE 214 RESUMO EXECUTIVO Este relatório contém as observações e conhecimentos derivados de

Leia mais

Microsoft é uma marca registrada ou comercial da Microsoft Corporation nos Estados Unidos e/ou em outros países.

Microsoft é uma marca registrada ou comercial da Microsoft Corporation nos Estados Unidos e/ou em outros países. Este documento serve apenas para fins informativos. A MICROSOFT NÃO CONCEDE GARANTIAS EXPRESSAS, IMPLÍCITAS OU LEGAIS NO QUE DIZ RESPEITO ÀS INFORMAÇÕES NESTE DOCUMENTO. Este documento é fornecido no estado

Leia mais

Cartilha de Segurança para Internet

Cartilha de Segurança para Internet Comitê Gestor da Internet no Brasil Cartilha de Segurança para Internet Parte VII: Incidentes de Segurança e Uso Abusivo da Rede Versão 3.1 2006 CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes

Leia mais

Segurança de Dados. Relatório de Segurança de Dados, Inteligência de Mercado

Segurança de Dados. Relatório de Segurança de Dados, Inteligência de Mercado Segurança de Dados Segurança de dados e sigilo de informações ainda é um tema longe de ser solucionado no Brasil e no Mundo. A cada novo dispositivo lançado, cada nova transação bancária ou a cada novo

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Atualmente, graças à Internet, é possível comprar produtos sem sair de casa ou do trabalho, sem se preocupar com horários e sem enfrentar filas. Eainda receber tudo em casa ou

Leia mais

Impeça ataques de ameaças avançadas, identifique usuários de alto risco e controle ameaças internas

Impeça ataques de ameaças avançadas, identifique usuários de alto risco e controle ameaças internas TRITON AP-EMAIL Impeça ataques de ameaças avançadas, identifique usuários de alto risco e controle ameaças internas Desde iscas de engenharia social até phishing direcionado, a maioria dos ataques digitais

Leia mais

Hilti do Brasil Comercial Ltda. Política de Privacidade e Proteção de Informações Pessoais

Hilti do Brasil Comercial Ltda. Política de Privacidade e Proteção de Informações Pessoais Hilti do Brasil Comercial Ltda. Política de Privacidade e Proteção de Informações Pessoais Nós, Hilti (Brasil) Comercial Ltda. (coletivamente, referido como Hilti, "nós", "nosso" ou "a gente") nessa Política

Leia mais

Módulo 5 Interpretação da norma NBR ISO 19011:2002 requisitos: 7, 7.1, 7.2, 7.3, 7.3.1, 7.3.2, 7.3.3, 7.3.4, 7.4, 7.4.1, 7.4.2, 7.4.3, 7.4.4, 7.

Módulo 5 Interpretação da norma NBR ISO 19011:2002 requisitos: 7, 7.1, 7.2, 7.3, 7.3.1, 7.3.2, 7.3.3, 7.3.4, 7.4, 7.4.1, 7.4.2, 7.4.3, 7.4.4, 7. Módulo 5 Interpretação da norma NBR ISO 19011:2002 requisitos: 7, 7.1, 7.2, 7.3, 7.3.1, 7.3.2, 7.3.3, 7.3.4, 7.4, 7.4.1, 7.4.2, 7.4.3, 7.4.4, 7.5, 7.5.1, 7.5.2, 7.6, 7.6.1, 7.6.2 Exercícios 7 Competência

Leia mais

Estratégias para aumentar a rentabilidade. Indicadores importantes. Controle a produção. Reduza filas. Trabalhe com promoções.

Estratégias para aumentar a rentabilidade. Indicadores importantes. Controle a produção. Reduza filas. Trabalhe com promoções. Uma publicação: Estratégias para aumentar a rentabilidade 04 Indicadores importantes 06 Controle a produção 08 Reduza filas 09 Trabalhe com promoções 10 Conclusões 11 Introdução Dinheiro em caixa. Em qualquer

Leia mais

Resumo executivo. Metodologia. versus RESUMO EXECUTIVO DO EMC PRIVACY INDEX

Resumo executivo. Metodologia. versus RESUMO EXECUTIVO DO EMC PRIVACY INDEX Privacidade versus Conveniência Resumo executivo As manchetes sobre privacidade na Internet estão fomentando um debate sobre quanto de acesso governos e empresas devem ter a atividades, comunicações e

Leia mais

Professora Débora Dado. Prof.ª Débora Dado

Professora Débora Dado. Prof.ª Débora Dado Professora Débora Dado Prof.ª Débora Dado Planejamento das aulas 7 Encontros 19/05 Contextualizando o Séc. XXI: Equipes e Competências 26/05 Competências e Processo de Comunicação 02/06 Processo de Comunicação

Leia mais

Relatório de Conformidade com PCI da Verizon de 2014

Relatório de Conformidade com PCI da Verizon de 2014 Sumário Executivo Relatório de Conformidade com PCI da Verizon de 2014 Destaques de nossa pesquisa aprofundada sobre o estado atual da conformidade com a Segurança PCI. Em 2013, 64,4% das organizações

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício O que é Firewall Um Firewall é um sistema para controlar o aceso às redes de computadores, desenvolvido para evitar acessos

Leia mais

Código de Ética e Conduta Profissional da MRC Consultoria e Sistema de Informática Ltda. - ME

Código de Ética e Conduta Profissional da MRC Consultoria e Sistema de Informática Ltda. - ME 1 - Considerações Éticas Fundamentais Como um colaborador da. - ME eu devo: 1.1- Contribuir para a sociedade e bem-estar do ser humano. O maior valor da computação é o seu potencial de melhorar o bem-estar

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

CHECK - LIST - ISO 9001:2000

CHECK - LIST - ISO 9001:2000 REQUISITOS ISO 9001: 2000 SIM NÃO 1.2 APLICAÇÃO A organização identificou as exclusões de itens da norma no seu manual da qualidade? As exclusões são relacionadas somente aos requisitos da sessão 7 da

Leia mais

Introdução. Pense em toda a informação pessoal que você tem armazenada no. seu computador, informação irrecuperável como fotos, documentos,

Introdução. Pense em toda a informação pessoal que você tem armazenada no. seu computador, informação irrecuperável como fotos, documentos, Guia de Backup Introdução Pense em toda a informação pessoal que você tem armazenada no seu computador, informação irrecuperável como fotos, documentos, apresentações, entre outras. Imagine que quando

Leia mais

Cartilha de Boas práticas em Segurança da Informação

Cartilha de Boas práticas em Segurança da Informação Cartilha de Boas práticas em Segurança da Informação Classificação: Pública Versão: 1.0 Julho/2012 A Cartilha DS tem como objetivo fornecer dicas de segurança da informação para os usuários da internet,

Leia mais

Manual do Sistema de Gestão Ambiental - Instant Solutions. Manual do Sistema de Gestão Ambiental da empresa

Manual do Sistema de Gestão Ambiental - Instant Solutions. Manual do Sistema de Gestão Ambiental da empresa Manual do Sistema de Gestão Ambiental da empresa Data da Criação: 09/11/2012 Dara de revisão: 18/12/2012 1 - Sumário - 1. A Instant Solutions... 3 1.1. Perfil da empresa... 3 1.2. Responsabilidade ambiental...

Leia mais

Insider Threats Estamos convidando os inimigos a entrar?

Insider Threats Estamos convidando os inimigos a entrar? Insider Threats Estamos convidando os inimigos a entrar? Miriam von Zuben miriam@cert.br! Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil Núcleo de Informação e Coordenação

Leia mais

Voz em ambiente Wireless

Voz em ambiente Wireless Voz em ambiente Wireless Mobilidade, acesso sem fio e convergência são temas do momento no atual mercado das redes de comunicação. É uma tendência irreversível, que vem se tornando realidade e incorporando-se

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

Transcrição: Perguntas mais frequentes (FAQs) sobre o PDS

Transcrição: Perguntas mais frequentes (FAQs) sobre o PDS Transcrição: Perguntas mais frequentes (FAQs) sobre o PDS Modelo operacional Qual é o modelo organizacional do PDS? Trabalhamos bastante para chegar ao modelo organizacional certo para o PDS. E aplicamos

Leia mais

práticas recomendadas Cinco maneiras de manter os recrutadores à frente da curva social

práticas recomendadas Cinco maneiras de manter os recrutadores à frente da curva social práticas recomendadas Cinco maneiras de manter os recrutadores à frente da curva social Não há dúvidas de que as tecnologias sociais têm um impacto substancial no modo como as empresas funcionam atualmente.

Leia mais

COMO REFORÇAR A SEGURANÇA DE SUA REDE A AMEAÇA ESTÁ EM CONSTANTE MUDANÇA, COMO DEVE SER COM A SEGURANÇA

COMO REFORÇAR A SEGURANÇA DE SUA REDE A AMEAÇA ESTÁ EM CONSTANTE MUDANÇA, COMO DEVE SER COM A SEGURANÇA COMO REFORÇAR A SEGURANÇA DE SUA REDE A AMEAÇA ESTÁ EM CONSTANTE MUDANÇA, COMO DEVE SER COM A SEGURANÇA PRÁTICAS RECOMENDADAS DE SEGURANÇA DE TI: ESTRATÉGIAS ESPECIALIZADAS PARA COLETA DE LOGS, ANÁLISE

Leia mais

Relatório da McAfee sobre Ameaças: Quarto trimestre de 2012

Relatório da McAfee sobre Ameaças: Quarto trimestre de 2012 Resumo executivo Relatório da McAfee sobre Ameaças: Quarto trimestre de Por McAfee Labs Ao término de, o cenário de ameaças continuava a evoluir em muitas frentes, de maneiras que ameaçavam tanto consumidores

Leia mais

Agilizando o processo de compras para aumentar a eficiência e comprar melhor

Agilizando o processo de compras para aumentar a eficiência e comprar melhor Agilizando o processo de compras para aumentar a eficiência e comprar melhor Toda empresa privada deseja gerar lucro e para que chegue com sucesso ao final do mês ela precisa vender, sejam seus serviços

Leia mais

Segurança na Web: Proteja seus dados na nuvem

Segurança na Web: Proteja seus dados na nuvem White paper Segurança na Web: Proteja seus dados na nuvem Resumo Sabemos que as equipes de segurança não podem estar em todos os locais, mas o cenário atual exige que as empresas estejam prontas para proteger

Leia mais

7dicas para obter sucesso em BYOD Guia prático com pontos importantes sobre a implantação de BYOD nas empresas.

7dicas para obter sucesso em BYOD Guia prático com pontos importantes sobre a implantação de BYOD nas empresas. 7dicas para obter sucesso em BYOD Guia prático com pontos importantes sobre a implantação de BYOD nas empresas. Neste Guia, vamos mostrar algumas dicas para que a implantação da tendência BYOD nas empresas

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

Fraud Prevention for Endpoints. www.kaspersky.com

Fraud Prevention for Endpoints. www.kaspersky.com Fraud Prevention for Endpoints www.kaspersky.com 2 Fraud Prevention for Endpoints KASPERSKY FRAUD PREVENTION 1. Formas de atacar o Banco O principal motivo por trás do crime virtual é fazer dinheiro, e

Leia mais

Gestão do Conteúdo. 1. Introdução

Gestão do Conteúdo. 1. Introdução Gestão do Conteúdo 1. Introdução Ser capaz de fornecer informações a qualquer momento, lugar ou através de qualquer método e ser capaz de fazê-lo de uma forma econômica e rápida está se tornando uma exigência

Leia mais

PÚBLICA, PRIVADA OU HÍBRIDA: QUAL É A MELHOR NUVEM PARA SEUS APLICATIVOS?

PÚBLICA, PRIVADA OU HÍBRIDA: QUAL É A MELHOR NUVEM PARA SEUS APLICATIVOS? PÚBLICA, PRIVADA OU HÍBRIDA: QUAL É A MELHOR NUVEM PARA SEUS APLICATIVOS? As ofertas de nuvem pública proliferaram, e a nuvem privada se popularizou. Agora, é uma questão de como aproveitar o potencial

Leia mais

Folheto Acelere sua jornada rumo à nuvem. Serviços HP Cloud Professional

Folheto Acelere sua jornada rumo à nuvem. Serviços HP Cloud Professional Folheto Acelere sua jornada rumo à nuvem Professional Folheto Professional A HP oferece um portfólio abrangente de serviços profissionais em nuvem para aconselhar, transformar e gerenciar sua jornada rumo

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Professor: Cleber Schroeder Fonseca cleberfonseca@charqueadas.ifsul.edu.br 8 1 SEGURANÇA EM REDES DE COMPUTADORES 2 Segurança em redes de computadores Consiste na provisão de políticas

Leia mais

Questão em foco: Colaboração de produto 2.0. Uso de técnicas de computação social para criar redes sociais corporativas

Questão em foco: Colaboração de produto 2.0. Uso de técnicas de computação social para criar redes sociais corporativas Questão em foco: Colaboração de produto 2.0 Uso de técnicas de computação social para criar redes sociais corporativas Tech-Clarity, Inc. 2009 Sumário Sumário... 2 Introdução à questão... 3 O futuro da

Leia mais

Que informações nós coletamos, e de que maneira?

Que informações nós coletamos, e de que maneira? Política de Privacidade Vivertz Esta é a política de privacidade da Affinion International Serviços de Fidelidade e Corretora de Seguros Ltda que dispõe as práticas de proteção à privacidade do serviço

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

2.3. ORGANIZAÇÕES E GESTÃO DOS SISTEMAS DE INFORMAÇÃO

2.3. ORGANIZAÇÕES E GESTÃO DOS SISTEMAS DE INFORMAÇÃO 2.3. ORGANIZAÇÕES E GESTÃO DOS SISTEMAS DE INFORMAÇÃO As Empresas e os Sistemas Problemas locais - impacto no sistema total. Empresas como subsistemas de um sistema maior. Uma empresa excede a soma de

Leia mais

Política de denúncias

Política de denúncias WWW.USP.ORG/ETHICS Política de denúncias Espera-se que você fale se tiver alguma preocupação de boa-fé. Expresse-se Além de conhecer as normas éticas e legais que se aplicam ao seu cargo, esperase que

Leia mais

Segurança a da Informação Aula 02. Aula 02

Segurança a da Informação Aula 02. Aula 02 Segurança a da Informação 26/9/2004 Prof. Rossoni, Farias 1 Segurança a da Informação é: Cultura, Cidadania, Desenvolvimento pessoal e social, Competitividade, Influência e poder, Imprescindível para a

Leia mais

Nove erros comuns que devem ser evitados ao selecionar e implementar uma solução de mobilidade

Nove erros comuns que devem ser evitados ao selecionar e implementar uma solução de mobilidade Nove erros comuns que devem ser evitados ao selecionar e implementar uma solução de mobilidade Introdução Introdução A empresa de pesquisa IDC prevê que mais da metade dos trabalhadores usarão ferramentas

Leia mais

seguras para administradores de organizadores do site Cisco WebEx Melhores práticas para reuniões Visão geral da privacidade WebEx

seguras para administradores de organizadores do site Cisco WebEx Melhores práticas para reuniões Visão geral da privacidade WebEx Visão geral da privacidade WebEx As soluções on-line ajudam a permitir que os funcionários globais e as equipes virtuais se reúnam e colaborarem em tempo real como se estivessem trabalhando na mesma sala.

Leia mais