Os membros dos conselhos de administração ignoram com frequência os riscos que as empresas correm em relação à segurança.Foi exatamente isso que o Ponemon Institute descobriu em junho passado ao realizar uma pesquisa com membros de conselhos de administração e especialistas em segurança da informação que trabalham nas mesmas empresas. Os pesquisadores do Ponemon descobriram que 30% dos diretores¹ reconhecem que ignoram os riscos que suas empresas correm quando se trata de segurança. Além disso, mais da metade dos especialistas em segurança da informação acreditam que os membros de conselhos de administração não entendem o ambiente de segurança em que trabalham ou o risco que ele representa.

Isso é importante, considerando o número de violações de dados no mundo corporativo. Cerca de 90% das grandes empresas já enfrentaram um ataque cibernético, segundo um relatório publicado em 2015 pela empresa Kaspersky Lab.² A culpa pelas violações frequentemente é atribuída a invasores mal-intencionados, criminosos cibernéticos que pretendem coletar informações por meio de roubo ou ataque de malware.

Quando as pessoas em uma organização não estão preparadas para reconhecer ameaças básicas à segurança e como elas podem impactar a organização, o preço pode ser alto. A estimativa é de que os crimes cibernéticos alcancem USD 2 trilhões³ em perdas corporativas até 2019. Essas perdas podem resultar de erros simples que levam a violações de dados: um assistente que clica no link de um e-mail de phishing, um vendedor que deixa seu smartphone em um café ou um membro do conselho que abre um anexo mal-intencionado enviado por uma conta de e-mail alsa. Sem a devida capacitação e treinamento em segurança, todos em uma organização colocam em risco os dados corporativos, com possíveis efeitos colaterais, como elevadas multas e, frequentemente, danos à reputação. No entanto, para melhorar o QI de segurança de uma empresa, todos precisam entender melhor onde estão os riscos e o que pode ser feito para eliminar ameaças em potencial.

Tudo o que você precisa saber sobreameaças cibernéticas, mas não tinha coragem de perguntar

1. “Dell SecureWorks and Ponemon Institute Present the 2015 Global IT Security Spending & Investments Report”, https://www.secureworks.com/about/press/ponemon-2015-global-security-spending-report 2. “90 percent of companies have suffered at least one cyber attack”, Ian Barker, 7 de outubro de 2015. BetaNews http://betanews.com/2015/10/07/90-percent-of-companies-have-suffered-at-least-one-cyber-attack/ 3. “Cybercrime will cost businesses over $2 trillion by 2019”, Juniper Research, 12 de maio de 2015 https://www.juniperresearch.com/press/press-releases/cybercrime-cost-businesses-over-2trillion

Ben Bourne Diretor de Sucesso do Cliente, Região EMEA

Magdalena Borcal Diretora de Sucesso do Cliente, Região EMEA

Nathan Birtle VP de Vendas e Desenvolvimento Comercial,Região EMEA

Tudo o que você precisa saber sobre ameaças cibernéticas, mas não tinha coragem de perguntar

seu próprio dispositivo) permite às empresas reduzir custos por causa desses dispositivos, mas isso também significa que a TI tem menos controle do software, de práticas de segurança e do acesso geral. A expectativa é de que a preocupação com a segurança desses dispositivos torne-se cada vez maior. De acordo com a empresa de pesquisa Gartner10, mais de seis bilhões de dispositivos estarão conectados à Internet em 2016. Os funcionários poderão conectar uma ampla gama de dispositivos às redes Wi-Fi das empresas e, em razão das vulnerabilidades inerentes aos sistemas operacionais de muitos desses dispositivos, a segurança corporativa poderá ser atacada por programas backdoor e ser comprometida.

Tecnologias emergentes

Cada avanço de nova tecnologia torna-se, inevitavelmente, alvo de hackers e de outros tipos de invasores mal-intencionados. Isso significa que o uso de novas tecnologias pelos membros do conselho pode colocá-los, e, potencialmente, toda a organização, em maior risco. Conforme o site ZDNet11, os especialistas em segurança concordam que os carros inteligentes, os edifícios inteligentes e os mais modernos wearables podem e serão atacados mais cedo ou mais tarde. Mesmo que a tecnologia emergente não esteja diretamente conectada aos data centers de sua empresa, a nova tecnologia pode permitir o acesso à empresa por outras vias. Um sistema de segurança de edifício invadido pode abrir as portas para ladrões, como comprovaram os pesquisadores da Universidade de Michigan12 quando conseguiram invadir um sistema de segurança de casa inteligente.

Autenticação do usuário

Os sistemas de autenticação do usuário, como o uso de senhas, devem proteger os dados e as contas, mas senhas roubadas também são uma mina de ouro para ladrões de dados. Um relatório da Trend Micro13 mostrou que não são apenas as senhas propriamente ditas que são valiosas, mas como o acesso a essas contas pode impactar ainda mais a segurança, como descobriu um membro do conselho da Shipley Energy14 quando um hacker vasculhou seu e-mail e o computador depois de obter acesso à sua senha pessoal. Ter uma única combinação de senha/nome de usuário simplifica o trabalho de mineração para os criminosos cibernéticos. Quando a empresa não impõe o uso de sistemas de autenticação de vários fatores a todos os seus funcionários (isso inclui o conselho de administração), a entrada na rede fica fácil para usuários não autorizados.

Fornecedores terceirizados

Nos últimos anos, a culpa por importantes violações recaiu sobre fornecedores terceirizados. A Target talvez seja o exemplo mais famoso, já que a violação que sofreu foi causada por erros de segurança cometidos por um fornecedor de sistemas HVAC (aquecimento, ventilação e ar condicionado). Como MacDonnell Ulsch apontou em artigo da TechTarget15, os fornecedores terceirizados frequentemente são “quasi-insiders” confiáveis, o que oferece a eles amplo acesso a informações importantes, sem o mesmo nível de controle de segurança que os funcionários da empresa.

OS RISCOS

Insiders

A maior ameaça à segurança de qualquer empresa são as pessoas que têm acesso direto à rede e a dados confidenciais, segundo o relatório de violações de dados de 2016 da Verizon⁴ e o relatório “Battling the Big Network Security Hack”⁵ da empresa de monitoramento Spiceworks.

As ameaças internas aparecem de várias formas, mas, em geral, nem sempre derivam de ações mal-intencionadas. Ainda assim, determinados comportamentos produzem graves efeitos à segurança. Às vezes, basta perder dispositivos bloqueados, usar dispositivos sem um software de limpeza de dados ou conectar-se a dispositivos de armazenamento não verificados em um computador. Mesmo em uma grande corporação, um simples erro ou clique pode causar um prejuízo avassalador e custar milhões para a devida recuperação.

Conforme uma pesquisa realizada pela empresa Thomson Reuters⁶, os membros do conselho são muitas vezes responsáveis por colocar a segurança corporativa em risco. Por exemplo, boa parte continua a imprimir e transportar documentos de reuniões, que podem ser perdidos ou extraviados. Esse tipo de comportamento coloca em risco dados corporativos confidenciais, que podem ser encontrados por pessoas externas à organização, comprometendo a segurança.

Redes sociais

As redes sociais são uma faca de dois gumes. Por um lado, elas permitem que as corporações atinjam seus públicos-alvo em tempo real e com mensagens direcionadas. Também permitem uma comunicação rápida e fácil entre a empresa e os clientes.

Por outro lado, as redes sociais também podem ser a origem de pesadelos que rondam a segurança cibernética. Conforme um relatório da IFSEC Global⁷, uma comunidade online para o setor de segurança, a maioria dos profissionais de TI e de segurança da informação constatou que o acesso às redes sociais no ambiente de trabalho representa um risco grave à segurança corporativa, mas pouquíssimas organizações lidam com essa ameaça. A conta de redes sociais da sua empresa pode ser invadida e usada para iniciar ataques de engenharia social destinados a enganar os clientes e qualquer pessoa afiliada à corporação. Isso pode levar a downloads de malware, roubo de informações pessoais, vazamentos de dados corporativos ou perda de reputação.

Vários dispositivos

Um relatório da Citrix⁸ declarou que o funcionário médio usa pelo menos três dispositivos para se conectar à rede corporativa. Isso coincide com um estudo da GlobalWebIndex⁹, segundo o qual uma pessoa normalmente usa três dispositivos e que esse número sobe com os níveis de renda. Com base nessas considerações, é seguro afirmar que a maioria dos membros do conselho tem pelo menos quatro dispositivos. Mais de 60% estariam conectados à rede fora do escritório. O movimento BYOD (“Bring Your Own Device” - traga

4. “Leaky end users star in DBIR 2016”, Susan Richardson, 23 de maio de 2016. Data on the Edge, http://blog.code42.com/leaky-end-users-star-in-dbir-2016/ 5. “Battling the Big Hack: Inside the ring and out… IT pros plan to land some blows in 2016”, Spice Works, dezembro de 2015: https://www.spiceworks.com/marketing/resources/reports/it-security/?utm_function=dg&utm_channel=swemail&utm_source=securitypromo&utm_medium=e-mail&utm_ campaign=2016itsecurity&utm_content=151216-button&mkt_tok=3RkMMJWWfF9wsRoksqrMd%2B%2FhmjTEU5z16egrXaS2gIkz2EFye%2BLIHETpodcMTsFgNrvYDBceEJhqyQJxPr3MJNkN1NxvRhnjCQ%3D%3D 6. “Are your board members a security risk?”, Thomson Reuters, http://www.biia.com/is-your-board-member-a-security-risk 7. “Global Survey: Malware attacks up because of social media”, IFSEC Global, 12 de outubro de 2011. http://www.ifsecglobal.com/global-survey-malware-attacks-up-because-of-social-media/ 8. “7 Enterprise Mobility Statistics You Should Know”, Citrix, 12 de junho de 2015 https://www.citrix.com/articles-and-insights/workforce-mobility/jun-2015/7-enterprise-mobility-statistics-you-should-know.html 9. “Digital consumers own 3.64 connected devices”, Global Web Index, 18 de fevereiro de 2016 http://www.globalwebindex.net/blog/digital-consumers-own-3.64-connected-devices 10. “6.4 Billion Connected “Things” Will Be in Use in 2016, Up 30 Percent From 2015”, Relatório da Gartner, novembro de 2015, http://www.gartner.com/newsroom/id/3165317 11. “A huge security breach traced back to an unsecured IoT device will happen within the next two years, warn security experts”, Danny Palmer, 1 de julho de 2016. ZD Net, http://www.zdnet.com/article/the-first-big-internet-of-things-security-breach-is-just-around-the-corner/ 12. “Hacking into homes: ‘Smart home’ security flaws found in popular system”, Nicole Casal Moore, 2 de maio de 2016. Michiga News, Universidade de Michigan. http://ns.umich.edu/new/multimedia/videos/23748-hacking-into-homes-smart-home-security-flaws-found-in-popular-system 13. “How much your passwords are worth to cybercriminals”, Market Watch, 31 de dezembro de 2015 http://www.marketwatch.com/story/how-much-your-passwords-are-worth-to-cybercriminals-2015-12-11 14. “Kill the password: a string of characters won’t protect you”, Mat Honan, 15 de novembro de 2012. Wired, https://www.wired.com/2012/11/ff-mat-honan-password-hacker/15. “Third-party risk management: Horror stories? You are not alone”, MacDonnell Ulsch, Tech Target, http://searchsecurity.techtarget.com/feature/Third-party-risk-management-Horror-stories-You-are-not-alone

Tudo o que você precisa saber sobre ameaças cibernéticas, mas não tinha coragem de perguntar

⊲ A ameaça persistente avançada (APT) é o pior pesadelo de uma corporação. O objetivo da APT é roubar a maior quantidade de informações possível, conforme um artigo publicado no periódico Network Security.18 Um hacker, que normalmente faz parte de uma organização criminosa cibernética, infiltra-se na rede e permanece despercebido por longo tempo. Isso oferece ao hacker acesso praticamente ilimitado às informações que passam pela infraestrutura. É possível detectar um controle de APT de várias formas, como uma atividade de logon incomum ou grandes transferências de dados não planejadas.

⊲ Ataques de dia zero entram por vulnerabilidades em programas de software. Os hackers tentam usar essas vulnerabilidades antes que o furo seja descoberto e corrigido. Segundo a empresa Malwarebytes, para evitar ataques de dia zero, os especialistas estimulam os usuários a implantar patches de software tão logo sejam disponibilizados.

⊲ Ataques Man in the Middle (MitM) são ataques que espionam as comunicações para que o hacker possa se inserir no meio dessas conversas online para obter informações. Por exemplo, um ataque MitM, segundo especialistas da Veracode19, pode controlar a transação entre um banco e um correntista e assim ter acesso a números de conta, nomes e senha.

⊲ Malvertising e downloads drive-by são tipos diferentes de ataques, mas são semelhantes na maneira como o agente mal-intencionado se apodera do site de outra pessoa. O código do malware é colocado no site, quase sempre sem o proprietário perceber. Em um ataque de malvertising, o malware é baixado quando o usuário clica em um anúncio infectado. Como observa a Fox Business20, os downloads drive-by infectam um sistema quando alguém visita o site.

Ransomware

Tecnicamente, o ransomware é um malware, mas os ataques estão se tornando tão sofisticados que é necessário discuti-los como um vetor individual de ataque. O ransomware toma os dados como reféns criptografando-os e forçando o proprietário a pagar um resgate dentro de determinado número de dias para receber a chave de criptografia. Segundo um estudo realizado pela PhishMe21, no primeiro trimestre de 2016, 93% dos e-mails de phishing continham ransomware. Caso um membro do conselho clique acidentalmente em um link ou em um anexo com ransomware, esse malware poderá infectar a rede corporativa e custar caro à empresa.

Embora esteja no mercado há muito tempo, a popularidade do ransomware é atribuída a diversas razões: os pagamentos são feitos de maneira anônima, normalmente com Bitcoin ou outras moedas online; os kits de exploração estão prontamente disponíveis e os hackers não precisam desenvolver constantemente novos malwares para obter sucesso. Além disso, trata-se de um sistema rápido de ataque e recompensa.

informações importantes, sem o mesmo nível de controle de segurança que os funcionários da empresa.

“É por isso que o gerenciamento de terceiros e os SLAs (contratos de nível de serviço) são tão importantes no gerenciamento de riscos”, escreveu Ulsch.

É claro que muitos fornecedores terceirizados levam esses riscos a sério e mantêm os requisitos de segurança do cliente em mente o tempo todo. Bons fornecedores terceirizados tendem a ser receptivos e estar prontos para discutir os requisitos de segurança, a fim de trabalhar em estreita colaboração com o cliente para garantir a segurança da rede e a resolução dos problemas.

TIPOS DE ATAQUES

Malware

Malware é o termo abrangente para as ameaças cibernéticas mais comuns e mais conhecidas, como vírus, Trojans, worms ou ransomware. O malware frequentemente vem em famílias, com base em código, com mais de 1.500 famílias de malware identificadas até o terceiro trimestre de 2015, segundo a publicação comercial Help Net Security.16 Algumas das famílias de malware mais populares são Conficker, Sality e Cutwail. Uma vez no sistema, cada linha de malware cumpre determinada função. Algumas buscam registros financeiros ou outros tipos de dados; outras são projetadas para tornar seu sistema inoperável. Outras famílias ainda podem surgir, para transformar seu computador em um bot, programa que envia spam.

Ninguém está imune a ataques de malware. Quanto aos membros do conselho, eles podem correr grave risco, porque podem estar conectados a várias organizações. Agentes mal-intencionados usam diferentes tipos de ataque para infectar seu sistema com malware. Esses ataques incluem:

⊲ Os ataques de phishing simulam comunicações legítimas para enganar o destinatário do e-mail e fazê-lo clicar em um link mal-intencionado ou abrir um anexo com malware. Segundo a empresa de segurança Tripwire17, os ataques de phishing vêm em uma variedade de formatos. O e-mail de phishing normal é enviado aleatoriamente, até que alguém morda a isca. Ataques spear phishing são mais direcionados a determinadas pessoas e parecem vir de fontes confiáveis, compartilhando documentos legítimos relacionados ao trabalho. O whaling leva o spear phishing a outro patamar, direcionado a executivos, equipes de gerência e indivíduos importantes, como celebridades e políticos. Os e-mails de whaling são altamente personalizados e difíceis de detectar.

⊲ Os ataques de negação de serviço distribuído (DDoS) fazem exatamente o que o nome implica. Eles devem negar o serviço à rede. Os ataques DDoS, como definidos pelo Departamento de Segurança Nacional dos EUA, são um dos métodos favoritos de ataque de organizações de hackers ativistas, como a Anonymous, que tiram sites do ar para fazer uma declaração ou um protesto político.

16. “Top malware families targeting business networks”, Help Net Security 30 de novembro de 2015 https://www.helpnetsecurity.com/2015/11/30/top-malware-families-targeting-business-networks/17. “6 Common Phishing Attacks and How to Protect Against Them”, David Bisson, 5 de junho de 2016 http://www.tripwire.com/state-of-security/security-awareness/6-common-phishing-attacks-and-how-to-protect-against-them/18. “Advanced Persistent threats and how to monitor and deter them”, Colin Tankard, agosto de 2011. Elsevier, http://www.sciencedirect.com/science/article/pii/S135348581170086119. “Man-in-the-Middle Tutorial: Learn About Man-in-the-Middle Attacks, Vulnerabilities and How to Prevent MITM Attacks”, Veracode, http://www.veracode.com/security/man-middle-attack20. “What You Need to Know About ‘Drive-By’ Cyber Attacks”, Jason Glassberg, 04 de fevereiro de 2015. Fox Business, http://www.foxbusiness.com/features/2015/02/04/what-need-to-know-about-drive-by-cyber-attacks.html21. “93% of phishing emails are now ransomware”, Maria Korolov, 1º de junho de 2016. CSO, http://www.csoonline.com/article/3077434/security/93-of-phishing-emails-are-now-ransomware.html

Tudo o que você precisa saber sobre ameaças cibernéticas, mas não tinha coragem de perguntar

Boas práticas de segurança cibernética incluem:

⊲ Criptografia de dados quando inativos.

⊲ Uso de opções de e-mail seguras.

⊲ Implantação de ferramentas de segurança em cada ponto de extremidade, inclusive em smartphones e tablets.

Aproveite os avanços tecnológicos

A tecnologia também pode aprimorar a segurança. Com um portal para conselhos, por exemplo, a comunicação e os documentos são criptografados, o que dificulta o roubo por parte de hackers em potencial. Os portais para conselhos também oferecem aos membros do conselho um único local através do qual acessar as informações. Assim, não há preocupações quanto ao fato de e-mails ou documentos serem armazenados em sistemas inseguros ou desatualizados, que são mais vulneráveis e correm um grande risco de exploração.

O diretor da Agência de Segurança Nacional dos EUA, Mike Rogers, disse ao Wall Street Journal22 que não é uma questão de se suas redes serão invadidas, mas quando, e todas as organizações, não importa o tamanho, precisam levar a segurança cibernética mais a sério.

PREVENÇÃO E PROTEÇÃO

Para a devida prevenção e proteção, é preciso comprometer-se com as práticas recomendadas de segurança, como a condução regular de testes de penetração, a instituição de políticas de segurança, a atualização e aplicação imediatas de patches de software e o controle dos dispositivos que se conectam à rede. Além disso, os especialistas em segurança sugerem o seguinte:

Capacitação

É essencial oferecer a todos os funcionários treinamento obrigatório em segurança. Todos que acessam a rede precisam entender os riscos corporativos relacionados à segurança cibernética e as táticas de prevenção. A capacitação deve incluir:

⊲ A comunicação regular, como dicas de segurança semanais ou mensais em relação às ameaças mais recentes, e as expectativas em relação à segurança.

⊲ Treinamento prático regular. Há módulos de segurança cibernética disponíveis online para treinamento mensal ou trimestral que incluem a detecção de phishing scams e outros ataques em potencial.

⊲ As práticas recomendadas de redes sociais que incluem o que não compartilhar nas redes sociais e como reconhecer a engenharia social.

⊲ Instituição de políticas de segurança de BYOD e a respectiva aplicação.

⊲ Uma linha aberta de comunicação. Todas as pessoas que têm acesso à rede devem poder levar suas preocupações à TI ou aos responsáveis pela segurança. Todas as perguntas e todos os comentários devem ser levados a sério.

Concentre-se nos dados, não nas redes

Os especialistas em segurança recomendam cada vez mais que as organizações reestruturem a política de segurança da rede para a proteção dos dados.

Como hoje existem muitos pontos de extremidade com acesso a dados confidenciais, e muitas dessas informações estão armazenadas em servidores externos, os métodos padrão de segurança de perímetro não são mais tão eficazes. Isso significa um pente fino completo nos fornecedores terceirizados, especialmente os provedores de nuvem, para saber como eles protegem os dados.

22. “NSA Chief Expects More Cyberattacks Like OPM Hack”, Robert Wall e Alexis Flynn, 15 de julho de 2015. The Wall Street Journal, http://www.wsj.com/articles/nsa-chief-expects-more-cyberattacks-like-opm- hack-1436985600

Os portais para conselhos tornam o trabalho dos hackers mais difícil. O roubo de documentos e de comunicações fica bem complicado.

Tel.: 0800-591-9013 E-mail: info@diligent.com Site: www.diligent.comDiligent é uma marca comercial da Diligent Corporation, registrada nos Estados Unidos. As marcas

comerciais de terceiros pertencem aos respectivos proprietários. ©2016 Diligent Corporation. Todos os direitos reservados.