Tag Archives: segurança da informação

  • 0

Segurança da Informação para o seu escritório de Advocacia

Tags : 

Share

Você acha um desafio manter diversas informações dos clientes em locais seguros?

Pois saiba que é uma dúvida e um desafio para todos. A segurança da informação é um tema comum na vida do profissional jurídico atual.

A utilização da informática em todas as atividades humanas é um caminho sem volta e o mundo do Direito, com tantos escritórios de advocacia e com milhares de processos e informações de clientes, a segurança é essencial.

Manter tantas informações e dados de clientes é um grande atrativo para crimes cibernéticos e, portanto, a segurança da informação deve ser um tema sempre presente nos escritórios de advocacia.

Certamente o maior desafio para escritórios de advocacia é conciliar a proteção dos dados com os métodos de armazenamento.

A garantia da segurança não depende de muitos investimentos, havendo diversas formas de proteger todas as informações.

Segurança da informação: locais de armazenamento

Em qualquer sistema informatizado, o local de armazenamento de dados deve ser o mais concentrado possível.

Quanto maior o número de locais de armazenamento, mais difícil se torna manter a segurança.

O escritório de advocacia deve manter uma gestão que leve em conta os riscos a que os dados estão submetidos e, assim, restringir os dispositivos que possam acessar os arquivos irá simplificar a proteção e reduzir as chances de o sistema apresentar qualquer tipo de vulnerabilidade.

A tendência atual é armazenar todas as informações em nuvem, mantendo controle de acesso restrito e fazendo constantes backups dos dados armazenados.

Essa solução é mais eficiente do que gerenciar todos os dados por conta própria.

Além disso, o escritório de advocacia deve manter um plano de consolidação de dados antigos, centralizando-os e transferindo todas as informações para a nuvem.

A criptografia e o armazenamento de informações num sistema seguro em nuvem oferece maior proteção por tempo indeterminado.

Os dados podem ser facilmente acessados por pessoas credenciadas, com autorizações de acesso em nível, trazendo maior segurança e proteção contra ataques externos e evitando sérios problemas com os clientes.

Um programa informatizado deve utilizar métodos de criptografia confiáveis, melhorando a gestão do escritório de advocacia e protegendo todas as informações de processos e de clientes.

Escolher um serviço que oferece suporte à autenticação de usuários, controlar o acesso aos dados, manter os níveis de acesso e usar mecanismos de controle de acesso, são condições básicas para garantir a segurança da informação.

Restrição de acesso a dados

O escritório de advocacia, dentro dos níveis de acesso, deve considerar a importância de conhecimento dos dados por cada integrante do escritório. Assim, por exemplo, uma recepcionista só poderá ter acesso ao cadastro do cliente, enquanto que o advogado responsável terá acesso pleno aos processos do mesmo cliente.

A restrição de acesso é um ponto estratégico quando se trata de segurança da informação em escritórios de advocacia. Dependendo do tipo de informação, é necessário estabelecer regras de como devem ser acessados, precavendo-se contra surpresas desagradáveis.

Existem métodos aplicáveis de senhas seguras e até mesmo o uso de biometria. Contudo, a principal regra é ter o menor número de pessoas possíveis com acesso às informações.

A garantia de que apenas profissionais autorizados tenham acesso a dados confidenciais pode ser feita através da criptografia. A criptografia é uma técnica que permite embaralhar as informações, de forma que só tem acesso a elas pessoas com permissão.

Trata-se de um excelente método de prevenção contra roubo de dados e informações, além, evidentemente, do rígido controle de senhas.

A proteção de dados que circulam através de e-mail ou de transferência de arquivos é outro ponto de vulnerabilidade que merece atenção.

Existem meios de prevenção contra o risco de vazamento de informações, com canais mais seguros, como o SSL, um sistema utilizado por bancos e lojas online para reforço da segurança. Os sistemas SSL possuem certificados criptográficos que garantem a segurança da informação.

O escritório de advocacia detém informações importantes e, portanto, a segurança da informação não pode ser negligenciada. A confidencialidade necessária entre advogado e cliente deve ser protegida com meios seguros.

Por Jurídico Certo

Share

  • 0

Dados corporativos: backups nunca são demais

Tags : 

Share

Muitos acreditam que fazer backup em mídias físicas é uma relíquia do século passado. Afinal, nos dias de hoje, nós podemos contar com serviços de armazenamento em nuvem. Eles são acessíveis e permitem você fazer backups automaticamente e acessá-los a qualquer momento, onde você estiver. Além disso, o provedor de serviços em nuvem garante a segurança, proporcionando ainda mais tranquilidade. Certo? Nem tanto. Afinal, um provedor, como qualquer outra empresa, pode ser vítima de um ataque.

Ataque em backups

Isso foi exatamente o que aconteceu recentemente quando uma empresa americana chamada PerCSoft, que gerencia o serviço de backup DDS Safe, foi vítima de um ataque de ransomware. O serviço é usado por centenas de clínicas odontológicas norte-americanas, inclusive para armazenar arquivos e backups de pacientes, documentos de seguradoras e outros dados sem os quais uma instituição médica ficaria, digamos, “banguela”.

O malware em questão – conhecido por três nomes diferentes: Sodin, Sodinokibi e REvil – se infiltrou na infraestrutura do DDS Safe e começou a criptografar os dados. De acordo com a PerCSoft, a empresa fez o possível para identificar prontamente a ameaça. Porém, o ransomware conseguiu roubar os dados de vários de seus clientes. A Associação Odontológica de Wisconsin afirma que cerca de 400 clínicas perderam informações vitais para suas empresas.

O ataque interrompeu as operações rotineiras de algumas dessas companhias. Entre os dados criptografados estavam registros médicos, cópias de raios-x e informações financeiras – algumas empresas disseram que ficaram impedidas de realizar pagamentos para seus colaboradores.

As consequências desse incidente não puderam ser mitigadas. Apesar dos funcionários da companhia trabalharem 24/7 para contornar a situação, apenas duas semanas após o ataque que eles conseguiram burlar a criptografia dos dados de algumas clínicas.

Mantenha seus backups em um local seguro – ou, melhor ainda, em vários locais seguros

Essa história ilustra claramente os motivos pelos quais os backups na nuvem não devem ser o único seguro para a proteção de dados corporativos. Sugerimos criar vários backups de dados críticos, usando diferentes tipos de armazenamento.

Para economizar tempo e esforço em fazer backups, utilize uma solução de segurança que automatize os processos e proteja seus sistemas contra programas e ataques de ransomware.

Por Kaspersky Daily

Share

  • 0

Proteção de dados é vital para pequenas empresas

Tags : 

Share

Administrar uma pequena empresa não é fácil. Como em qualquer empresa a operação precisa ser meticulosamente planejado. No entanto, nem tudo pode ser minuciosamente antecipado – para uma empresa sobreviver precisa se comportar quase como um camaleão.

E não importa a área de especialização da empresa e por quanto tempo já atue no mercado, os negócios, hoje, devem lidar com a realidade de que gerenciar e proteger as informações do cliente devem ser prioridade na operação.

As empresas concordam. Pesquisas recentes revelaram que as pequenas empresas estão cientes da importância da proteção de dados – 62% dizem que é uma preocupação e mais de um quarto (27%) aponta como a questão mais importante em seus negócios.

No entanto, não há dúvida de que coletar e armazenar dados de clientes é uma tarefa difícil. A conformidade com as leis e melhores práticas de proteção de dados agora é um desafio para todas as organizações, grandes ou pequenas, mas pode ser especialmente difícil para empresas com poucos funcionários e escritórios menores.

Os principais componentes aqui são custo e a falta de conhecimento em gerenciamento. Se uma pequena empresa sofrer uma violação de dados e perder dados de clientes, é provável que seja punida pelos reguladores. As multas hoje impostas pelos reguladores após a violação podem causar impactos irreversíveis e são um preço alto que poucas pequenas empresas podem pagar. Por esse motivo, quase um terço (29%) acredita que se beneficiaria da terceirização de serviços de cibersegurança para permanecer em conformidade.

Vazamentos de dados parecem inevitáveis

Não é segredo que vazamentos de dados estão se tornando cada vez mais frequentes. No entanto, um ponto de atenção específico para empresas menores é que o número de violações que estão enfrentando está crescendo mais rapidamente se comparado às maiores. De fato, a quantidade de pequenas empresas que sofreu uma violação de dados este ano cresceu seis pontos percentuais (de 30% para 36%).

Compreendendo os riscos

Como o aumento das violações de dados não mostra sinais de redução, é importante que as pequenas empresas entendam os motivos pelos quais podem estar vulneráveis ​​a um ataque. Das empresas que sofreram uma violação de dados, segundo pesquisa realizada pela Kaspersky, mais de um quarto (28%) admitiu não ter soluções de TI apropriadas. A mesma quantia admitiu que não possui conhecimento e experiência em TI internamente. Outra constatação interessante da pesquisa é que mais de um quinto (22%) das pequenas empresas não possui uma política para regular ou restringir o acesso a infraestruturas internas por terceiros.

Ainda, um quarto (25%) delas admite usar apenas versões domésticas de software de segurança para proteger os negócios. É importante lembrar que os produtos de segurança dedicados ao uso comercial oferecem um nível muito mais abrangente de proteção de dados.

Como se prevenir? Planejando a proteção de dados

A melhor maneira de prevenir uma violação é fazendo o planejamento adequado, com intuito de garantir que as soluções de segurança corretas sejam adotadas em toda a empresa – não importa o porte do seu negócio. Metade das pequenas empresas (51%) admite que ainda precisa melhorar suas estratégias de resposta para violações de dados e incidentes de segurança de TI.

E a sua empresa, precisa de ajuda com isso?

A Multiconecta oferece os serviços de Consultoria Técnica para levantamento do ambiente de TI, diagnóstico e projeto de adequação, ou de ampliação, Documentação e Treinamento Técnico (ADM) de todas as soluções.

Somos especializados em PME’s, e podemos te oferecer condições totalmente adequadas as necessidades e ao momento da vida do seu negócio.

Confira! Clique aqui, veja tudo o que podemos fazer pela segurança de dados do seu negócio e solicite um contato.

Share

  • 0

Por que sua empresa deve investir em segurança digital?

Tags : 

Share

Se a sua empresa está em busca de soluções de TI que proporcionem o aumento de produtividade e a otimização dos processos, provavelmente ela investe em tecnologia, certo? Sistemas de gestão, modelos de computação e formas de armazenamento de dados são apenas algumas das ferramentas tecnológicas disponíveis. Mas a sua empresa também se preocupa com a segurança digital dos dados?

Se antes as informações ficavam salvas em papéis guardados nos almoxarifados, hoje elas são armazenadas em servidores e até na nuvem. Isso significa que esses dados podem ser acessados de qualquer lugar do mundo, por isso é muito importante garantir que somente as pessoas autorizadas consigam chegar até esses arquivos.

O que é política de segurança da informação?

A política de segurança da informação ou PSI é uma forma de a empresa se precaver contra más intenções e mau uso de soluções e ferramentas instalados nos computadores corporativos. A PSI precisa ser elaborada antes da instalação e ser repassada a todos os colaboradores que terão acesso à ferramenta em questão.

Para elaborar esse documento, usa-se como base a Norma 27001 da ABNT, que leva em consideração três quesitos fundamentais na hora de estabelecer as melhores práticas, que são: confidencialidade; integridade; disponibilidade.

Esses pilares garantem que as informações estarão disponíveis apenas para as pessoas com acesso autorizado e que tenham garantido utilizar as informações da maneira correta e mantendo sigilo.

Qual a importância de um antivírus corporativo?

Antivírus são ferramentas capazes de monitorar, detectar e eliminar vírus e arquivos maliciosos ou infectados de um computador. Existem diversas opções gratuitas disponíveis no mercado e elas até são consideravelmente efetivas quando se trata de computadores domésticos. O problema é que em redes corporativas esses softwares são pouco eficientes.

Como os servidores de uma empresa contêm informações de extrema importância e que são altamente confidenciais, o ideal é investir em antivírus corporativos para garantir a segurança dos dados. Essas versões dos antivírus são pagas, mas oferecem proteção integral, suporte técnico especializado e funções específicas para cada negócio.

Além disso, há garantias caso os computadores sejam infectados mesmo com os antivírus corporativos ativos. Isso significa que você tem a quem recorrer, caso os danos sejam irreparáveis.

O que um firewall pode fazer pela segurança digital de sua empresa?

O firewall funciona de forma semelhante ao antivírus, atua na proteção dos dados e computadores da organização. O ideal é que se utilize versões pagas e voltadas exclusivamente para empresas (pelos mesmos motivos citados anteriormente), mas não se engane, um não deve ser substituído pelo outro.

Enquanto o antivírus atua como a polícia local de uma região, o firewall é como a segurança montada nas fronteiras. Ele funciona como um filtro e garante que só entrem e saiam arquivos autorizados e seguros entre os computadores e as redes de internet.

E a equipe de TI?

Ter equipamentos de última geração e softwares modernos é muito importante, mas de nada adianta se não houver alguém capacitado para extrair o máximo dessas ferramentas. A equipe de TI precisa contar com colaboradores atualizados, inovadores e com experiência avançada. Para pequenas e médias empresas a melhor forma – e menos dispendiosa – de contar com uma equipe desse porte, pode ser investindo em serviços terceirizados de Service Desk, por exemplo.

Em síntese, fica claro que somente com uma equipe atualizada e ferramentas eficientes, os dados de sua empresa estarão guardados de forma segura e as informações sigilosas dificilmente serão acessadas por quem não possuir acesso.

Conteúdo adaptado do original produzido por Metrobyte

Share

  • 0

Número de vítimas de ladrões de senhas cresce 60%

Tags : 

Share

O uso de malware para coletar as senhas dos internautas cresceu significativamente em 2019. De acordo com os dados da Kaspersky, o número de usuários que sofreram ataques envolvendo roubo de senhas atingiu um pico de 940 mil pessoas – aumento de 60% em comparação com o primeiro semestre de 2018, quando este número ficou abaixo de 600 mil.

O roubo de senhas (Password Stealing Ware – PSW) é uma arma importante no kit dos cibercriminosos para sabotar a privacidade dos internautas. Este tipo malware obtém dados diretamente dos navegadores das vítimas e utiliza vários métodos. Muitas vezes, essa informação é sensível e inclui detalhes de acesso para serviços online, bem como informações financeiras – senhas salvas, dados pessoais para preenchimento automático e detalhes de cartões de pagamento salvos.

Além disso, algumas famílias deste malware são projetadas ainda para roubar cookies de navegador, arquivos de um local específico (por exemplo, o desktop). Além de dados de apps, como serviços de mensagens.

Nos últimos seis meses, a Kaspersky detectou altos níveis de atividade desses ladrões na Europa e na Ásia. Mas, frequentemente, o malware atingiu usuários na Rússia, Índia, Brasil, Alemanha e EUA.

Um dos trojans Stealer mais difundidos é o Azorult multifuncional, detectado em mais de 25% dos computadores em que a Kaspersky identificou um malware do tipo Trojan-PSW.

“Os internautas modernos estão cada vez mais ativos e contam com a internet para realizar tarefas rotineiras. Isso torna seus perfis digitais mais lucrativos para o criminoso, pois estão recheados de informações pessoais que serão monetizadas de várias maneiras. Ao armazenar com segurança suas credenciais, os consumidores podem usar os serviços online com a confiança de que suas informações não serão colocadas em risco. Para adicionar uma proteção maior, é possível usar uma solução de segurança para cuidar das senhas”, observa Alexander Eremin, pesquisador de segurança da Kaspersky.

Para garantir a segurança das senhas e credenciais digitais, já que infelizmente 44% dos brasileiros as compartilham, a Kaspersky recomenda:
– Tenha em mente que suas credenciais e senhas são tão pessoais quanto seus segredos. Sendo assim, não as compartilhe em hipótese alguma.
– Instale sempre as atualizações e correções dos programas instalados em seu dispositivo, pois isso é importante para fechar possíveis brechas de segurança que são usadas pelos cibercriminosos para infectar o dispositivo com malware.
– Se você ainda não conta com uma proteção, avalie as opções de gerenciadores de senhas disponíveis e escolha uma solução confiável como o Kaspersky Password Manager, que além de proteger as credenciais, ainda armazena com segurança documentos como passaportes, carteiras de motorista e cartões bancários.

Fonte: Kaspersky Daily

Share

  • 0

Antivírus completo para empresas e empreendedores: por que pagar por isso?

Tags : 

Share

Se proteger dados de clientes ou vendas e informações estratégicas de mercado ou de funcionários, evitar roubos, invasões de hackers e, assim, garantir o funcionamento da sua empresa é importante para você, então você deve ler essa dica na íntegra.

Se você chegou até aqui a boa notícia é que ameaças via e-mail, downloads e sites suspeitos não vencem antivírus completo.

Desde o início da popularização dos computadores, principalmente a partir dos anos 2000, o ritmo de desenvolvimento dos chamados arquivos e programas maliciosos cresceu. Em 2019, já é possível que seu computador seja invadido via e-mail, websites suspeitos, pen-drives e até por meio de programas ou arquivos baixados na internet.

305 novos vírus são detectados por minuto e 400 mil ameaças são desarmadas diariamente.

Uma invasão pode causar problemas consideravelmente pequenos, como a lentidão no sistema dos computadores afetados. Porém, casos extremos podem ser muito prejudiciais ao seu negócio: é possível que todos os dados do seu site ou loja virtual sejam roubados e os criminosos virtuais cobrem “resgate” para que eles sejam devolvidos.

Com um antivírus completo, isso vai deixar de ser uma preocupação para você.
Diferentemente de programas desenvolvidos para proteger o seu computador pessoal, antivírus empresariais garantem benefícios relacionados a dados de segurança, vendas e criptografia de dados como CPF, RG, CNPJ, contratos e senhas, por exemplo. Apesar de cobrar mensalidades, o serviço costuma se estender para várias máquinas de uma mesma empresa e ser constantemente atualizado com novas ameaças listadas no banco de dados.

Principais benefícios de um antivírus completo são:

  • Ameaças são detectadas antes de infectarem sistemas, redes ou máquinas;
  • A velocidade de funcionamento das ferramentas é maior, afinal, elas foram desenvolvidas priorizando o desempenho dos computadores;
  • Restringe-se ou veta-se o uso de dispositivos móveis que podem estar infectados com vírus — como pen-drives, HD’s e telefones celulares;
  • Prevenção de fraudes bancárias;
  • Suporte técnico para eventuais falhas técnicas ou necessidade de configurações diferentes das já feitas na plataforma.

Infelizmente ainda é muito comum que empresários e empreendedores não considerem os riscos de não se usar um antivírus completo. Mais comum ainda é que optem por economizar com soluções gratuitas ou improvisadas.

Se este é o seu caso, siga em frente e boa sorte. Você vai precisar.

Mas, se você quer entrar para o seleto grupo de gestores que já sabe que quando o assunto é a segurança do principal ativo de qualquer negócio – a Informação – e que o ditado popular “é melhor prevenir do que remediar”, é a regra que melhor se aplica neste caso, nós podemos te ajudar.

Clique agora mesmo aqui e adquira a licença do melhor antivírus do mercado para sua empresa.

Share

  • 0

Não perca tempo. Organize seu computador!

Tags : 

Share

Se para executar seu trabalho, você precisa de um computador (se identificou?), provavelmente, em sua rotina, lida com muitos documentos: financeiros, técnicos e até confidenciais. E talvez receba centenas de e-mails todo dia. Por mais cuidadoso que seja, pode ter acontecido, ao menos uma vez, que você tenha enviado uma mensagem (com ou sem documentos anexados) ao destinatário errado.

Em termos de segurança, é um vazamento de dados. Um estudo que fizemos no ano passado verificou que cerca de um em cada três vazamentos resulta na demissão de alguém. Claro que isso pode acontecer não apenas pelo envio de arquivos importantes para a pessoa errada, mas também devido às configurações incorretas de acesso. Esse post é sobre esse tipo de problema – abordado não pelo ponto de vista da empresa, mas sim do funcionário comum com a tarefa de lidar com documentos sensíveis, seguindo as melhores práticas de segurança.

Então, aqui estão algumas dicas para ajudá-lo a ficar longe da desordem digital – e evitar um vazamento de dados no trabalho.

Não leve trabalho para casa
Quando você não conseguir terminar alguma coisa durante o horário do expediente, o pensamento lógico de muitas pessoas é levar as pendências para casa. Mas considere que, além do tradicional argumento sobre manter um equilíbrio saudável entre saúde / trabalho, as boas práticas de segurança alertam contra esse tipo de comportamento.

No escritório, a segurança é responsabilidade da equipe de TI que implementa todos os tipos de políticas e usa serviços que mantêm os dados armazenados seguros, computadores protegidos e assim por diante. Os serviços para empresas geralmente são mais robustos e complexos em vários âmbitos, se comparados aos aplicativos utilizados por usuários em dispositivos domésticos. Por exemplo, no OneDrive for Business, a Microsoft emprega vários níveis de criptografia de dados e permite que as organizações bloqueiem o compartilhamento de documentos com todos. O OneDrive para usuários comuns não possui esses recursos.

A moral da história é que se ocorrer um vazamento de dados devido às políticas de segurança incorretas ou porque seu computador corporativo está insuficientemente protegido, a equipe de TI é a culpada, não você.

No entanto, o cenário muda assim que você leva trabalho para casa ou começa a usar serviços externos para armazenar documentos corporativos, pois assume total responsabilidade pela segurança desses dados e deve garantir que eles não cairão nas mãos erradas. E como sempre falamos, existem diversas maneiras pelas quais essas informações podem ser perdidas ou acidentalmente distribuídas.

As possibilidades são inúmeras. Por exemplo, um Google Docs com link compartilhado pode ser visto não apenas pelos destinatários, mas pelos mecanismos de busca. Outra hipótese é alguém roubar seu laptop não protegido por senha. Ou, se conectar ao seu smartphone por meio da USB no aeroporto.

Revogue as permissões de acesso
Não é preciso dizer que trabalhar com documentos compartilhados online é muito conveniente e uma prática quase onipresente – e que a funcionalidade de especificar quem pode acessá-los facilita muito a vida. O problema é que, na realidade, muitas pessoas atribuem permissões de acesso e esquecem de cancelá-las.

Imagine a seguinte situação: um prestador de serviço externo e você estão trabalhando em uma tarefa juntos, mas a parte do escopo atribuída a ele é finalizada. No entanto, você se esquece de revogar os direitos de acesso. Ele fecha um projeto com o concorrente da sua empresa, e fica muito feliz em conhecer seus segredos. Não é muito difícil imaginar o que os gestores do negócio farão quando descobrirem o que aconteceu, certo?

Para evitar esse tipo de situação, faça verificações regulares de documentos de trabalho para manter o controle das permissões de acesso. Se um funcionário deixar a equipe ou for demitido, verifique imediatamente os documentos que você pessoalmente compartilhou e retire-o. Quando um prestador terceirizado termina o trabalho ou um contrato expirar, faça o mesmo.

Não seja proativo no compartilhamento de informações confidenciais
Como nosso estudo recente mostrou, 30% dos funcionários jovens e 18% da geração mais velha estão dispostos a compartilhar computadores corporativos ou outras credenciais de acesso com colegas. O único alívio é que estão em menor número. Mas o fato de eles existirem não é nada tranquilizador.

Não é difícil pensar que o seu colega pode ter motivos dissimulados e deliberados para distribuir informações confidenciais. Se você for o único responsável por elas, não precisa ser um gênio para adivinhar quem será responsabilizado por esse vazamento.

Segundo, até mesmo um funcionário consciente pode acidentalmente excluir ou enviar errado um documento importante do seu computador. A falta de qualquer intenção maliciosa da sua parte ou do seu colega desastrado não vai deixá-lo longe da fila de desemprego.

Então, o que você divulga aos colegas deve estar sujeito aos mesmos procedimentos que em qualquer outro caso. Ao disponibilizar dados que são sua responsabilidade, você está essencialmente dando a uma terceira pessoa acesso à informação. E já descrevemos acima o que pode acontecer quando as permissões de acesso não são bem gerenciadas.

Coloque seu e-mail em ordem
Já enviou uma mensagem para a pessoa errada? É provável que tenha acontecido pelo menos uma vez. Ou se esqueceu de remover alguém da lista do “com cópia” e ficou em uma situação constrangedora? Sim, nós sabemos, acontece. A razão é geralmente pressa e falta de atenção. Aqui está um simples truque de vida: para evitar ou pelo menos minimizar a ocorrência de tais situações, crie uma tag (algo como Confidencial) e coloque-a em todas as mensagens com conteúdo sensível. Assim, ao enviar ou responder essas mensagens, você identificará a tag e terá o dobro de cuidado, conferindo o conteúdo e para quem está sendo enviada.

Não é apenas por esse motivo que você deve organizar ou manter em ordem o seu e-mail. A caixa de entrada de todos possui documentos ou mensagens necessários com certa periodicidade. E levar mais de um minuto para encontrá-los porque você não sabe como procurar é terrivelmente ineficiente. Então, nunca é uma perda de tempo classificar e gerenciar seus e-mails.

Arrume a casa
Nosso estudo também indicou uma estreita relação entre os hábitos domésticos e aqueles no trabalho. Em outras palavras, se a sua casa estiver uma bagunça, seu local de trabalho provavelmente também será, assim como a sua vida digital. Então comece devagar para ajudar a cultivar bons comportamentos quando se trata de organizar seu espaço de trabalho digital.

Fonte: KasperskylabDAILY

Share

  • 0

Erros comuns de PMEs: o ataque à rede de fornecedores

Tags : 

Share

Bill não gosta de ligações pela manhã. Não que seja preguiçoso; ele só acha que o trabalho deve começar depois que o equilíbrio emocional das pessoas tenha sido reestabelecido após o caos do deslocamento matinal – e certamente não antes da segunda xícara de café. Mas o telefone não parava de tocar.

“Porque a pessoa não desiste? Não aprendeu que é rude não desligar depois de três toques? Que falta de respeito! E se eu estiver ocupado com algo importante?”, resmunga Bill ao tentar desenterrar seu telefone de uma pilha sobre a sua mesa enquanto o aparelho toca novamente.

“Bill, meu pendrive não está carregando”, lamenta o designer gráfico pelo telefone.

“É porque desabilitei todas as portas da sua máquina há décadas! Você sabe que todos os arquivos precisam ser carregados por meio de um computador protegido – fale com o Alberto. Se pudesse, eu te desconectaria da internet!”, responde, e completa em pensamento “e arrancaria seus braços também”.

“Eu sei, eu sei! Mas não é apenas comigo – não carrega no computador de ninguém! Por favor, me ajude, é um projeto realmente importante. Temos que alterar o layout rápido ou vão me matar. O Alberto só volta depois do almoço”.

“Dwight, concordamos que todas as tarefas passam pelo Alberto, todos os documentos passam pelo computador dele. É o único do departamento que possui antivírus. De qualquer forma, quem enviou de repente esses arquivos pelo pendrive?”.

“A Cristina. Ela me pediu para fazer algumas correções urgentes no layout do folheto. Precisa ser impresso imediatamente. Ela vai me matar se isso não for feito logo, e não se importa se o Al não está por perto. Você sabe como ela é”.

“Seus pendrives serão a minha morte. Tá bem, já estou indo”.

Bill desliga e olha pensativo para o teto. Ok, a chefe deles motiva aquele desespero – e não está nem aí para convenções como o procedimento para transferir arquivos de fontes externas. O administrador de sistemas fica de pé, se alonga, coloca seu laptop embaixo do braço e vai para a área de design.
Os proprietários da agência de publicidade Magenta Elk consideram-se bem espertos. Desde o seu início como um estúdio de design familiar, a microempresa se transformou em uma empresa com quase 100 funcionários. Agora tem um departamento completo de designers, um diretor de criação capaz de acertar até mesmo com o cliente mais delirante, um departamento de desenvolvimento Web, e até mesmo sua pequena gráfica. Dentre os seus clientes estão várias multinacionais importantes que confiam suas campanhas de publicidade à agência.

No entanto, os donos nunca encontraram recursos para um departamento de TI minimamente decente. Bill gerencia todo o equipamento; consertava computadores a domicílio antes de ser contratado alguns anos atrás. Nunca conseguiu convencê-los a admitirem pelo menos mais um funcionário para ajudar.

“Me dê seu pendrive!”, rosna Bill ao abrir seu laptop enquanto se aproxima. “O que você lê aqui? Tudo está funcionando na minha máquina. Drivers estão sendo instalados… verificar, pode apostar… abrir… aqui está a pasta do projeto”.

Neste ponto, o antivírus exibe uma janela vermelha “Objeto malicioso Trojan.downloader.thirdeye.n foi detectado“. Bill fica boquiaberto em frente à tela.

“Dwight, que raios é isso?! Você tentou abrir isso em qualquer outro lugar?”, Bill aponta com o dedo para o arquivo Layout_corrections.docx.exe.

“Bem, de que outra forma eu saberia quais alterações fazer? Eu tentei, mas não abria de jeito nenhum. Eu cliquei e não aconteceu nada”.

“Não consegue ver que nem mesmo é um documento?! A extensão é EXE!”

“Não consigo ver nenhuma extensão! Consigo ver o ícone e o nome. Por que está gritando comigo? Tudo o que fiz foi tentar abrir o arquivo da Cristina!”.

“Faz sentido, acho. As extensões de arquivos conhecidos não são mostradas”, reflete Bill. “Tudo bem, vamos ficar calmos: em quais computadores você tentou acessá-lo?”.

“Bem, no da Anna Miller, da contabilidade. No laptop do fotógrafo. E no da Lena da logística. E no do Tom do desenvolvimento. E no da Kate… o que há de errado, é um vírus? Não é minha culpa! Talvez o fotógrafo estivesse contaminado!”.

“Isso não é apenas um vírus qualquer – é um Trojan feito especialmente para você! Não contamina apenas computadores aleatórios; alguém colocou isso especificamente nesse pendrive!”. Bill acessa a interface Web do roteador para isolar os computadores mencionados. “A propósito, onde você conseguiu a senha da Cristina? Ela saiu ontem para uma viagem de negócios”.

“Está anotada em um pedaço de papel embaixo do teclado – todo mundo sabe disso…” murmura o designer, ainda na defensiva. “Eu não levei para casa ou nada assim, encontrei aqui apenas ontem!”.

“O que você quer dizer com ‘encontrei’?”, diz um Bill assustado.

“Bem, quero dizer que ela deixou um bilhete na recepção pedindo que eu ajustasse o layout imediatamente”.

“Você está louco? Cristina esteve aqui o dia inteiro ontem. Por que raios ela precisaria deixar um pendrive com instruções em um post-it? Ela deixa muitos bilhetes para você? Você sabe que ela prefere conversar pessoalmente. E tinha acabado de colocar os arquivos no servidor! Droga, o servidor!”, Bill começa a digitar no teclado novamente. “Qualquer pessoa pode deixar qualquer coisa na recepção. A que horas isso aconteceu, exatamente?”.

“Bem, não sei. Era tarde e eu estava prestes a ir embora, então a Ivone disse que alguém havia deixado um envelope com um pendrive para mim. Ela estava saindo para um lanche, mas não viu quem era. Eu voltei, tentei abrir no laptop da Anna e no da Cristina, então – bem, você sabe o resto”.

“Dwight, você entende que alguém — ” o discurso é interrompido por uma ligação. É o CEO. “Tenho um mau pressentimento sobre isso…”.

“O que aconteceu? Por que não está na sua mesa?”, pergunta o CEO mal-humorado.

“Desculpe, os designers estão com um problema. Alguém deixou um pendrive — ”

“Esquece os designers”, interrompe o CEO. “Eu acabei de receber uma ligação da Österberg & Jones. O site da empresa está espalhando vírus desde ontem à noite. Somos as únicas pessoas que também têm acesso à página – para atualizar banners. Eu preciso provas de que não fomos nós. Supondo que não fomos nós”.

“Humm.. Quem teve acesso?”, pergunta Bill, suando frio.

“Não sei, exatamente. Algumas pessoas do desenvolvimento Web; eles fizeram o site. Talvez Dwight. Cristina com certeza – é cliente dela e você sabe que ela ama controlar tudo”.

“Humm… acontece que…”, a voz de Vítor se cala de repente. “Na verdade, acho que fomos nós”.

“Bem, estamos encrencados. Eles estão ameaçando com processos. Se fomos nós, então temos muitas explicações para dar. Preciso de uma análise detalhada até o final do dia. Se precisa de especialistas externos para a investigação, já me diga. Preciso de um relatório honesto e completo em mãos quando for rastejando até a Österberg & Jones. Agora faça um resumo rápido. O que aconteceu?”.

“Parece que alguém nos entregou deliberadamente um pendrive infectado. A Österberg & Jones era provavelmente o verdadeiro alvo. Você sabe como são as questões de segurança. Faço o que posso, mas estamos com falta de equipamento, pessoas, materiais… Até mesmo o antivírus não está — “.

“Ok, ok, entendi. Esse é seu jeito educado de dizer que sou um idiota. Vai ter sua equipe, e antivírus para todos. Se sobrevivermos a isso. O que duvido muito”.

Lições

• O procedimento da empresa para trabalhar com arquivos de fontes externas é perfeitamente bom e adequado. Mas não é seguido, porque alguns funcionários acreditam que uma tarefa é mais importante do que segurança. Na realidade, segurança deve ter mais prioridade do que até mesmo ordens diretas da administração.

• Muitas pessoas têm acesso aos recursos do cliente, um problema ainda pior pelo fato de que ninguém sabe exatamente quem pode acessá-los. Idealmente, essa informação deve ser conhecida por um funcionário, no máximo dois. Além disso, credenciais de acesso devem ser exigidas em cada login. Salvá-las no navegador é uma ideia extremamente ruim, assim como acessar o site de um computador desprotegido.

• Ter senhas escritas em um papel e presas embaixo do teclado pode soar ridículo, mas é na verdade bastante comum em muitas empresas. Isso é totalmente inaceitável – ainda que ninguém frequente seu escritório, às vezes membros da equipe podem causar o mesmo dano.

• Uma solução de segurança confiável deve ser instalada em todas as máquinas, sem exceção.

Por Nikolay Pankov, Editor, Social Media Content Factory, Kaspersky Lab

DICA MULTICONECTA
E esta última recomendação É MUITO SÉRIA. Se na sua empresa você ainda não tem essa Linha de Defesa Organizada – e não importa qual seja o tamanho do seu negócio – Você ainda poderá ter problemas muito mais caros do que custaria investir nisso.

Resolva logo, aqui, na Loja Multiconecta.

Share

  • 0

Maciço ataque ransomware GoldenEye / Petya está se desdobrando em todo o mundo

Tags : 

Share

Se você ainda não ouviu falar do novo ransomware que iniciou sua propagação hoje pela Europa em questão de horas, ficará sabendo. Trata-se do ransomware GoldenEye / Petya o qual já foi confirmado pela Kaspersky, Symantec, Bitdefender e outras empresas de segurança.

Diferente do #WannaCry que se espelhava “automaticamente” via uma vulnerabilidade do Windows no protocolo SMB, o GoldenEye / Petya se propaga via e-mail ou link malicioso onde o usuário precisa receber e abrir um arquivo do Office (Word e WordPad) que explora uma vulnerabilidade descoberta no Pacote Office (CVE-2017-0199).

Após aberto, o arquivo malicioso realiza o download do instalador do GoldenEye / Petya em background e inicia a criptografia dos arquivos.

Como pedido de resgate é solicitado $300 em bitcoin para enviar a chave de descriptografia dos dados daquela máquina, segue o endereço de e-mail encontrado até o momento no envio desses links e arquivos maliciosos: wowsmith123456@posteo.net

Abaixo as versões afetadas a essa vulnerabilidade:

  • Microsoft Office 2007 SP3;
  • Microsoft Office 2010 SP2;
  • Microsoft Office 2013 SP1;
  • Microsoft Office 2016;
  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2;
  • Windows 7 SP1.

A solução para essa vulnerabilidade do Pacote Office foi disponibilizada pela Microsoft no dia 11 de Abril de 2017.
Recomendamos que as seguintes atividades emergenciais sejam realizadas:

  • Nova verificação de atualizações de segurança em sistemas operacionais Microsoft sejam realizadas e caso houver qualquer pacote de segurança disponível, favor instalar;
  • Atualização das assinaturas dos antivírus instalados;
  • Recomendação aos colaboradores para não clicarem em arquivos e e-mails suspeitos.

Link para maiores informações: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199.

Fonte: Bitdefender

Share

  • 0

Sistema operacional humano: O paraíso dos hackers!

Tags : 

Share

Parece que o sistema operacional que realmente precisa de algumas correções de segurança é o humano. Enquanto gigantes da tecnologia como Microsoft, Google e Apple lançam atualizações, ajustes, correções constantes para ameaças, as brechas sempre aparecem no elo mais fraco – o funcionário negligente ou ignorante. O peopleware (aquela peça que fica entre o monitor e o encosto da cadeira), pode perceber, sempre tem uma parcela de culpa considerável.

Convenhamos: é praticamente impossível que um apaixonado Romeu não seja acometido pelo ciúme e curiosidade nesses tempos de cada vez mais sofisticados ataques que se valem de recursos de engenharia social. Olhando apenas para o ano passado, veremos que as maiores violações tiveram como alvo e tática enganar um empregado.

E isso é, apesar de anos de advertências lançadas por especialistas que bateram na tecla do treinamento para que os trabalhadores se conscientizem de seu papel na segurança da informação, ainda é fundamental uma palestra para todo o time a cada seis meses para que a sistema operacional humano não fique desatualizado.

Em uma pesquisa recente realizada pela Flash Dark Reading, mais da metade dos 633 entrevistados disseram que “a ameaça de engenharia social mais perigosa para as organizações ocorre devido à falta de conscientização dos funcionários”.

O último McAfee Phishing Quiz, que tocou mais de 30 mil participantes de 49 países no início deste mês, constatou que 80% dessas pessoas caíram em pelo menos um e-mail de phishing em alguma das 10 perguntas do questionário. Entre os usuários de negócios, o melhor resultado veio de equipes de TI e P&D -, mas a sua pontuação foi de apenas 69% de acertos na detecção de mensagens que eram legítimas das que eram maliciosas.

Em suma, hackear o humano continua a ser muito fácil. Chris Hadnagy, especialista em descobrir falhas a partir de engenharia social, disse “como você pode constatar a partir do noticiário recente, ataques a partir de mídias sociais funcionam muito bem”. De acordo com ele, de cada três pontos principais para o sucesso de um ataque, duas são humanas.

A primeira é que as pessoas são programadas para querer ajudar o próximo. “Essencialmente, queremos confiar nas pessoas”, diz. Em segundo lugar, a maioria dos usuários são ignorantes sobre ameaças de segurança. “As empresas não estão fazendo um grande trabalho de conscientização sobre como esses problemas afetam o empregado”, adicionou. “Coloque os dois pontos juntos – a psicologia e a falta de conhecimento – e você tem terreno fértil para a engenharia social.”

“Tudo começa com OSINT (sigla em inglês para inteligência de código aberto) ou coleta de informações online”, pontua Hadnagy, para acrescentar: “Essa é a força vital de engenharia social. Uma vez que o dado é recolhido, torna-se evidente que o vetor de ataque vai funcionar melhor”.

Theresa Payton, ex-CIO da Casa Branca e atualmente na posição de CEO da Fortalice Solutions, concorda que essa abordagem inicial dá aos atacantes ferramentas muito melhores para enganar seus alvos. “Descobrir quem é a equipe executiva da empresa, o escritório de advocacia, os nomes dos servidores corporativos, projetos em andamento, relações com os fornecedores e muito mais”, lista, “permite que usem esse conhecimento, o que muitas vezes pode ser feito em menos de um dia, para criar sofisticadas tentativas de engenharia social.”

Os invasores também praticamente eliminaram uma das suas fraquezas mais óbvias. Em outras palavras: não vivemos mais os dias de ortografia e gramática ruim que, por muito tempo, fez mensagens de phishing uma fraude relativamente óbvia. Parece que os hackers descobriram o corretor gramatical.

Outra evolução toca o nascimento/expansão do “vishing”, no qual um atacante faz um telefonema, se passando por alguém de outro departamento, para ludibriar o funcionário, fazendo-o clicar em um link em um e-mail sem verificá-lo completamente.

“Isso significa o envio do e-mail envenenado a uma secretária para depois chamá-la ao telefone ‘confirmando o recebimento’ da mensagem sob o pretexto de ter que comunicar algo importante para a organização”, cita Mark Gazit, CEO da ThetaRay, “O adversário normalmente permanece na linha para garantir que o funcionário lança o anexo. ”

O especialista observa que os ataques vishing também incluem o envio de SMS com um link para um site de phishing ou uma mensagem de spam para um funcionário, alegando que um de seus cartões de pagamento foi bloqueado. “Na pressa para responder a essa mensagem, as vítimas acabam divulgando suas credenciais bancárias e outros dados aos hackers”, comenta.

O único jeito eficaz para conter esta vulnerabilidade, dizem os especialistas, é melhorar o treinamento. E isso significa mudar o modelo predominante de mensagens impositivas. Passa por fazer com que os colaboradores se conscientizem da importância de atenção ao ambiente de ataques com recursos cada vez mais arrojados.

“O treinamento não deve ser um ‘evento’. Precisamos passar de algo de formação para o reforço positivo. Sinceramente, a maior parte dessas atividades se enquadra em aspectos muito limitados de transmissão de conhecimento, além de serem centradas, ainda, no computador”, observa Payton.

Ela recomenda a criação de um “feedback loop” para os funcionários. “Diga-nos porque os nossos protocolos de segurança ficam no caminho de suas atividades profissionais; quais os gatilhos emocionais; deixe-nos mostrar-lhe como seguir o nosso conselho para que se proteja de ataques tanto no trabalho quanto em casa”, aconselha.

Hadnagy acredita que o treinamento eficaz deve incluir exemplos do “mundo real”. “Fazemos imitações durante o horário comercial para ter acesso ao prédio”, ilustra. “O objetivo não é fazer as pessoas olharem para aquilo como algo estúpido, mas para mostrar os pontos fracos e o que você precisa fazer para fortalecê-los.”

Gazit lembra que , com a explosão no volume de informações diárias, muitos funcionários tendem a esquecer dos ensinamentos tão logo voltam para suas mesas. Ele concorda com seus colegas especialistas que os colaboradores precisam sentir que a formação é relevante. “Os executivos, contadores, administradores e trabalhadores da fábrica não estão sujeitos às mesmas ameaças virtuais, assim que o treinamento deve ajudar cada grupo aprenda a reconhecer e lidar com as ameaças específicas que são mais susceptíveis de encontrar”, crê.

É claro, tal como é o caso com a tecnologia, nada fará uma organização um organismo a prova de balas. Mas Hadnagy garante que uma boa formação pode reduzir drasticamente o risco. Ele falou de uma empresa que contratou sua equipe há dois anos para testar a sua consciência, e 80% dos empregados clicaram em e-mails de phishing, 90% foram vítimas de vishing e 90% foram enganados por um dos membros de sua equipe que se passou por um funcionário do help desk. “Demos o treinamento e depois fizemos um teste prático”, comprovou.

Isso, segundo ele, demonstra o quão eficaz pode ser um bom treinamento. “Declarações como: ‘Não há nenhum patch para a estupidez humana’ são prejudiciais para a crença que podemos corrigir isso”, acredita. “Não se trata de seres humanos sendo estúpido, mas sobre seres humanos sem conhecimento e sem instrução, que pouco sabe o quanto uma ameaça de segurança atinge ele e sua empresa”, conclui.

Publicado originalmente no Insider – Computerworld

Share

Procure-nos para uma solução completa para o TI da sua empresa