Os 6 golpes principais envolvendo o Pix

Com pouco mais de seis meses de funcionamento, o sistema de pagamento instantâneo (Pix) brasileiro é um sucesso. Um estudo recente do Banco Central do Brasil (Bacen) mostra que seu uso já supera o de outros meios de pagamentos, como DOC, TED, transferência e boleto bancário. Mais de 1,5 bilhão de transações já foram realizadas pelo Pix e movimentaram mais de R$ 1,109 trilhão.

No fim de março, já havia mais de 206 milhões de chaves registradas para o recebimento de recursos: elas podem ser e-mail, CPF, CNPJ, celular ou número aleatório. Muito mais inclusivo do que outros métodos por não estar atrelado a contas nos bancos tradicionais, o crescimento do protocolo atinge 45% ao mês, em média, segundo dados da fintech Spin Pay.

Esses bons resultados têm atraído, além de novos adeptos para o sistema, a atenção de golpistas. Loucos para conseguir reais facilmente, eles não param de criar formas de enganar os usuários da ferramenta. A agilidade do Pix tem servido aos criminosos, já que permite movimentações rápidas e gratuitas a qualquer dia e horário. Com isso, a vítima tem menos tempo para perceber a artimanha e pode não conseguir cancelar a operação.

Por isso, é essencial ficar atento para evitar ser vítima de fraude na plataforma. Conheça, a seguir, os principais golpes que envolvem o sistema e veja como se proteger deles.

1. Clonagem de WhatsApp

Esse é um dos ataques mais comuns e existe desde muito antes de o Pix ser lançado. Com a nova tecnologia, a clonagem foi aprimorada. A primeira etapa do golpe é o contato com a vítima: o criminoso finge ser representante de uma empresa e solicita um código de segurança ao proprietário da conta como se ele fosse necessário para atualização, manutenção ou confirmação de cadastro.

Só que esse código permite o sequestro do perfil: se o usuário não tiver habilitado a autenticação em duas etapas, basta essa informação para que a conta de WhatsApp seja instalada em um dispositivo diferente. Com acesso ao perfil, o golpista aborda os contatos da vítima e pede ajuda financeira, de preferência com transferência por Pix. Depois que o dinheiro é transferido, recuperá-lo é pouco provável, já que a transferência é feita por vontade própria (mesmo que seja motivada por um golpe).

Uma variação desse ataque é a da falsa pesquisa sobre COVID-19. O golpista se passa por representante do Ministério da Saúde e faz perguntas sobre sintomas relacionados à doença. Ao fim do contato, solicita que o usuário informe um código recebido por SMS, como se fosse um dado necessário para confirmar a realização da pesquisa, mas a ideia é usá-lo para clonar o WhatsApp da vítima.

2. Perfil falso no WhatsApp

Esta modalidade geralmente é relacionada à clonagem da conta — é como se fosse um upgrade do método. Depois de sequestrar a conta da vítima, o golpista passa a usar fotos suas, obtidas em redes sociais. Em seguida, ele passa a procurar os contatos da vítima. Como o número de celular é desconhecido, ele alega que teve de trocá-lo. Em seguida, diz que está em uma emergência e pede uma transferência via Pix.

Por isso, é muito importante ter cuidado com a exposição de dados em redes sociais. E mais: vale ficar atento quando receber mensagens de contatos com números novos, especialmente se eles pedirem dinheiro com urgência. Antes de fazer um Pix, entre em contato com a pessoa por chamada telefônica ou pessoalmente (pelo WhatsApp não vale, porque a conta pode estar em posse de criminosos).

3. Engenharia social aprimorada

Mais uma evolução do golpe da clonagem de perfil do WhatsApp. Já faz algum tempo que a versão simples do ataque é combatida com o uso da autenticação em duas etapas e isso tem levado os criminosos a incluírem uma segunda fase à ação.

Depois de obter o código enviado por SMS, o golpista entra em contato com a vítima e se apresenta como integrante da equipe de suporte do WhatsApp. Ele informa ao usuário que identificou uma suposta atividade maliciosa na conta e que enviou um e-mail para que ele recadastre a dupla autenticação.

A vítima, de fato, recebe uma mensagem legítima do WhatsApp. Ela contém um link para a redefinição da verificação em duas etapas (Two-Step Verification Reset). Ao clicar nele, o usuário desabilita a proteção. O golpista, então, aproveita que a conta está desprotegida para seguir com o golpe.

4. Central de relacionamento bancária falsa

Nesta modalidade, o criminoso se aproveita do desconhecimento sobre as formas de cadastro das chaves Pix. Ele se passa por funcionário do banco em que a vítima tem conta e oferece ajuda para efetuar o cadastro ou informa que é preciso fazer um teste com o sistema de pagamentos para regularizar o registro. A vítima, então, é induzida a fazer uma transferência via Pix.

Segundo a Federação Brasileira de Bancos (Febraban), as instituições financeiras não solicitam dados pessoais de seus clientes ativamente e seus funcionários não ligam para fazer testes com o Pix. Por isso, não se deve passar informações por telefone e, em caso de dúvida, vale a pena procurar os canais oficiais da instituição bancária para confirmar a necessidade de atualização de dados, bem como antes de fazer movimentações.

5. Bug do Pix

Essa fraude começa em mensagens e vídeos divulgados em redes sociais. São fake news que afirmam que um bug no Pix permite que o usuário receba de volta um prêmio em dinheiro quando transfere valores para determinadas chaves.

A vítima acredita e envia dinheiro diretamente para o golpista (o dono da chave supostamente contemplada). Dinheiro fácil, anunciado em mensagens em redes sociais, deve ser um sinal de alerta para todos os usuários. E lembre-se: o sistema criado pelo Bacen é robusto, seguro e sem bugs.

6. QR Code adulterado

Os pagamentos pelo Pix podem ser feitos a partir de códigos QR. Atualmente, durante a pandemia, é comum que artistas façam lives em benefício de organizações não governamentais e recebam doações, muitas vezes, por QR code.

Alguns criminosos fazem o download dessas apresentações e criam uma transmissão nova em que colocam seu próprio código QR. Assim, recebem as doações de quem não tem muita experiência com a tecnologia.

Fique sempre alerta para não ser vítima de golpes com Pix

Em conversa com o Canaltech, Arthur Igreja, especialista em tecnologia e segurança digital, fez uma lista de dicas para você se proteger dos golpes que se aproveitam do Pix. Confira a seguir:

O Bacen também tem uma lista de sugestões importantes. Acompanhe:

22% dos PCs ainda rodam Windows 7 e podem estar em perigo; entenda - Canaltech

Um levantamento da Kaspersky, empresa especializada em segurança digital, revelou que 22% dos computadores do mundo ainda estão rodando o Windows 7. A popularidade do sistema operacional, principalmente entre o mercado corporativo, pode servir como uma boa porta de entrada para ataques, já que a plataforma foi descontinuada pela Microsoft em janeiro de 2020 e não recebe mais atualizações de segurança.

Números adicionais da pesquisa mostram que, além de quase um quarto dos computadores do mundo operam desta forma defasada, com outros quase 1% dos usuários ainda conectados a plataformas ainda mais antigas, como Windows XP e Vista. Em todos os casos, o perigo envolve a ausência de correções para falhas de segurança conhecidas, disponíveis somente no Windows 10.

A Kaspersky alerta ainda para o fato de muitos destes sistemas operacionais defasados estarem rodando em estruturas de micro, pequenas e médias empresas, que não têm departamentos de tecnologia dedicados ou plataformas robustas de proteção. São, apontam os especialistas, as organizações mais vulneráveis aos ataques, com uma atualização do inventário sendo a principal recomendação nesse sentido.

“Imagine que sua casa está velha e caindo aos pedaços; instalar uma porta nova não trará nenhum benefício”, explica Dmitry Bestuzhev, diretor da equipe de pesquisa e análise da Kaspersky na América Latina. Ele aponta a necessidade de updates como fator essencial, apesar dos custos envolvidos, da familiaridade dos colaboradores e da percebida estabilidade de sistemas antigos. “[Atualizar] é a atitude correta a ser adotada para garantir a segurança e a confiabilidade dos dados, já que o custo de um incidente pode ser substancialmente maior.”

Por outro lado, os pesquisadores apontam para o fato de que 74% dos computadores do mundo estão rodando o Windows 10, o que significa que podem receber as atualizações de segurança mais recentes. Essa, então, é a segunda recomendação, com a aplicação de updates voltados para proteção e solução de bugs sendo essencial para manter o parque tecnológico à salvo das ameaças mais comuns.

Mesmo para estes, a dica é manter sistemas de download e instalação automática de updates sempre habilitados e programados de acordo com a rotina de trabalho. Além disso, é importante manter sistemas de proteção, como antivírus e firewalls, sempre atualizados e ativos, já que eles também ajudam na proteção contra as ameaças mais comuns.

Fonte: Kaspersky

Todos nós somos a nova linha de frente da batalha pela segurança cibernética em um mundo cada vez mais ciber-físico.

Os golpes cibernéticos cresceram de forma preocupante o ano passado, é ou não é verdade? Infelizmente a notícia que trago não é animadora, lamento! A tendência é que esses ataques se tornem ainda mais comuns em 2021, na medida em que o modelo de home office está sendo uma rotina para a maioria dos usuários. As empresas e órgãos do governo seguem na mira dos cibercriminosos. Em paralelo temos as indústrias de cosméticos, saúde, operadoras de telefonia, e-commerce, hotéis, sistemas financeiros e nós, isso mesmo, nós! Os usuários “mortais” como o elo mais fraco dos ataques.

Com o aumento das ameaças cibernéticas, como ransomware, sequestro de mensagens, fraudes de e-mail, ataques direcionados, incluo eu e você, sofreremos cada vez mais ataques em 2021. As consequências da pandemia enfraqueceram a cadeia de segurança. O acesso remoto com suas vulnerabilidades, a redução de equipes de TI, entre outros fatores, contribuem significativamente para que os dados fiquem cada vez mais expostos. E digo mais, não só os dados das empresas, mas os nossos dados pessoais também. Precisamos ficar ligados! E cá entre nós, não é a primeira vez que passamos por aqui com esses alertas sobre segurança da informação. Vamos manter nosso RADAR sempre ligado!!!

Precisamos redobrar os cuidados com os equipamentos domésticos que estão conectados a web. Os cibercriminosos atacam esses dispositivos e, em seguida, conseguem acessar a rede profissional, se estivermos usando nossos aparelhos para o trabalho remoto. Esses ataques à rede doméstica são fatais, porque as pessoas que trabalham de forma remota geralmente não têm acesso aos recursos do departamento de TI para combater esses ataques.

Os ataques de ransomware continuarão sendo ameaças significativas

A tendência do ransomware se intensificará neste ano, pois se tornou uma ferramenta popular para os cibercriminosos. Os ataques de ransomware não é apenas confiscar dados, mas, acima de tudo, disseminá-los por aí sem qualquer tipo de controle, pois nem todos nós estamos preparados com todos os aparatos tecnológicos de proteção de dados. O ransomware resultou no desenvolvimento de atores criminosos especializados nesse tipo de ataque. Os então conhecidos malware, transmitidos por e-mails costumam ser os precursores de ataques de ransomware feitos por humanos.

Técnicas inovadoras levarão a sequestro de mensagens em 2021

Inovações destinadas a enganar os usuários e tornar os ataques menos identificáveis, como o método de phishing, por exemplo. O método mais inovador que observamos é o sequestro de e-mail e consiste em automatizar a criação de iscas, roubando dados de e-mail de sistemas infectados. Eles são então usados para responder a conversas, com mensagens contendo malware de uma forma muito convincente. Fique ligado(a)!!!

Para sair do isolamento, as pessoas compartilharam mais informações online, proporcionando diversas oportunidades para os cibercriminosos. O “medo” pode encorajar as pessoas a abrirem e-mails maliciosos

Na verdade, o medo pode encorajar as pessoas a abrir e-mails maliciosos, como por exemplo, lidar com vacinas contra COVID-19, dificuldades financeiras relacionadas à crise de saúde, ou a instabilidade política.

A saúde é um dos setores que correm mais risco em 2021. Toda a sociedade depende disso, mas as organizações do setor de saúde geralmente estão mal equipadas e muitas das vezes ficam para trás em termos de inovação. O setor de educação também, e pode muito bem ser outro alvo dos cibercriminosos.

Nos próximos meses, os cibercriminosos também se voltarão para outros alvos

Durante todo o ano de 2020, mostrou o quão essencial é o gerenciamento de uma infraestrutura altamente protegida e controlada. As empresas devem aceitar o fato de que o futuro será disperso. De equipamentos para funcionários remotos a dispositivos industriais de IoT, todos nós agora somos a nova linha de frente da batalha pela segurança cibernética em um mundo cada vez mais ciber-físico.

Ano passado só no Brasil, foram mais de 3,4 bilhões de tentativas de golpes. É um dos maiores índices da América Latina. É só o começo de uma história de multiplicação que deve seguir durante todo esse ano.

Embora há uma boa adaptação dos brasileiros às novas tendências de trabalho e consumo, mas também, há uma dificuldade em acompanhar a evolução destas tecnologias. O Brasil se adaptou bem ao home office, ao comércio eletrônico e aos aplicativos de serviços e isso acaba abrindo uma porta para os cibercriminosos. Os hackers estão cada vez mais de olho em dados como CPF, endereço e nomes completos, além de dados bancários. Fique atento(a)!!!

Nosso Radar está sempre ligado! E o seu? Se pintar dúvida por aí, envie sua mensagem que iremos fazer o possível para esclarecer.

Leia também:

Trabalho remoto: os sete erros mais comuns de segurança

Isolamento e home office levaram a aumento em ataques de ransomware no Brasil

 

Um arquivo de texto com 100 GB compartilhado em um fórum de hackers expôs mais de 8,4 bilhões de senha na internet. Esse vazamento é considerado o maior da história, de acordo com especialistas da área de segurança cibernética.

Quando vazou os dados, o responsável afirmou ter 8,2 bilhões de senhas disponíveis. Mas, acabou corrigindo o número para os 8,4 bilhões. O caso é chamado de ‘RockYou2021’, segundo o site especializado em cibersegurança Cyber News. O nome é uma referência ao ‘RockYou’ de 2009, que expôs ‘apenas’ 32 milhões de senhas.

Nem todos os dados, porém, são novos. Esses códigos foram reunidos nos últimos anos, reunindo dados de vazamento anteriores. As senhas expostas têm entre seis e 20 caracteres. Ainda de acordo com Cyber News, não há espaços em branco, nem ASCII, linguagem unificada de computadores.

Antes desse novo vazamento, o maior foi o Compilation of Many Breaches (COMB), em fevereiro deste ano, com 3,2 bilhões de senhas expostas. Suspeita-se que a lista atual sirva como um “dicionário” para facilitar ataques.

Nunca utilize datas de aniversário como senha. Imagem: iStock

O arquivo de senhas vazadas pode conter dados de todos os usuários do mundo, já que, do total da população do globo, 4,7 bilhões de pessoas usam a internet. Assim, a lista contém quase o dobro, sendo recomendado que os usuários se certifiquem de analisar suas senhas.

O ideal é que todas as senhas sejam atualizadas. Vale lembrar ainda as principais dicas na hora de escolher, como usar no mínimo oito caracteres, com combinações entre números, letras maiúsculas e minúsculas e caracteres especiais.

Evite sempre usar datas de aniversários, sua ou de parentes e amigos, além de nome das pessoas. Também é importante ativar a verificação em duas etapas nas contas que disponibilizam a configuração.

Leia também:

44 milhões de usuários da Microsoft utilizam senhas que já foram vazadas

Cofre de senhas: Os dados da sua empresa estão protegidos

As piores senhas de 2020: é hora de mudar a sua?

 

 

Segurança, Profissional, Segredo

O uso indevido de dados pessoais gera danos muitas vezes irreversíveis para uma organização e, como resultado, está cada vez mais crescente o número de leis e regulamentações.

No Brasil, podemos citar, por exemplo, a Lei Geral de Proteção de Dados (LGPD) que entrou em vigor em 2020.

A proteção de dados pessoais surgiu como uma maneira de regular a utilização da informação pessoal durante o seu tratamento. Ou seja, nos vários processos em que os dados são submetidos depois de colhidos.

Mas afinal, o que são dados pessoais?

Uma informação é considerada dado pessoal quando ela permite a identificação, direta ou indireta, da pessoa por trás do dado. Exemplos mais simples são: nome, data de nascimento, documentos pessoais, endereço, telefone, e-mail e entre outros.

Saiba quais são os países com maior proteção de dados pessoais do mundo

Muitos países ao redor do mundo se asseguraram de garantir esse cuidado porque sabem da importância de ter regulamentações específicas para proteger os dados pessoais.

Foi selecionado os principais exemplos de locais que estão tendo resultados a partir da proteção de dados para você compreender o que já está sendo feito fora do Brasil.

União Europeia

Após um ano e meio do General Data Protection Regulation (GDPR) entrar em vigor na União Europeia, esse já é considerado o maior conjunto de normas de proteção à privacidade online já criado. Os cidadãos europeus têm o direito de saber quais informações as empresas estão coletando sobre eles e para quais objetivos.

O GDPR influenciou legislações em todo o mundo devido ao alto padrão no processamento de dados pessoais, inclusive o Brasil.

Todo esse reconhecimento também pode ser explicado pela aplicação extraterritorial.

Com o GDPR, todos os países que lidam com informações pessoais de cidadãos europeus precisam processar os dados pessoais. Além disso, as autoridades da União Europeia também estão aptas a realizar investigações de conformidade, garantindo o nível adequado de proteção de dados pessoais.

Estados Unidos

A Lei de Privacidade dos Consumidores da Califórnia, intitulada Califórnia Consumer Privacy Act (CCPA), é a primeira lei abrangente de privacidade nos Estados Unidos.  A principal mudança que a lei traz é que os cidadãos da Califórnia têm mais direitos sobre os seus dados. Ou seja, a lei concede às pessoas os direitos de acessar dados, de saber como eles são usados e de proibir o uso deles.

As empresas regulamentadas pelo CCPA terão várias obrigações para esses consumidores. Entre elas, incluindo comunicados, regulamentação geral de proteção de dados (RGPD), como direitos de assunto de dados do cliente (DSRs) e também uma recusa para determinadas transferências de dados e um consentimento requisito para menores.

Japão

O Japão teve sua primeira lei de proteção de dados criada em 2003. A Act on the Protection of Personal Information (APPI) foi atualizada em 2015 e teve as novas regras aplicadas a partir de de 2017, um ano antes da GDPR.

A regulamentação é aplicada em dois tipos de dados, as informações pessoais e as informações que requerem cuidados especiais. Assim como na União Europeia, empresas que não tratarem os dados dos japoneses de forma adequada também podem sofrer sanções.

No país, os cidadãos têm o direito de pedir a revisão e a exclusão de seus dados se acharem necessário. Assim como também poderá ser possível no Brasil com a Lei Geral de Proteção de Dados (LGPD).

Argentina

A Argentina  possui leis específicas para proteção de dados pessoais desde 1994. Atualmente, está em vigor a Lei de proteção de dados pessoais 25.326 (LDPA). Além do Decreto regulamentar 1558/2001 e outras disposições da Diretoria Nacional de Proteção de Dados Pessoais.

A LDPA foi criada de acordo com o modelo legislativo europeu e fez com que a Argentina tenha sido o primeiro país da América Latina a alcançar uma qualificação de adequação para transferências de dados da UE.

A legislação atual protege os dados pessoais armazenados em todas as plataformas de processamento, públicas e privadas. E também os argentinos podem acessar suas informações em bancos de dados públicos.

Brasil teve a LGPD implementada em agosto

Em agosto de 2020, entrou em vigor a Lei Geral de Proteção de Dados (LGPD) no Brasil. A legislação estabelecerá regras mais claras sobre o tratamento de dados pessoais por aqui.

Apesar da ausência de uma lei específica para regulamentar a proteção de dados no país é importante destacar que existem leis setoriais que incluem algumas questões a respeito da proteção de dados pessoais. São elas:

Em todos os países que foram criadas leis e regulamentações específicas sobre o assunto o que permitiu que as organizações começassem a ter um olhar mais atento para a forma como armazenavam os dados pessoais.

Com isso, os investimentos em segurança foram redobrados e trouxeram um ótimo retorno para as empresas.

Compartilho um estudo realizado no mundo todo com os países que já implementaram leis e regulamentos específicos para a proteção de dados para que você compreenda as vantagens que a LGPD vai trazer para o nosso país.

Estudo mostra as vantagens das leis e regulamentos de proteção de dados 

Uma pesquisa publicada pela Cisco, chamada Data Privacy Benchmark Study 2020, mostrou as práticas de privacidade no mundo todo e as vantagens para as empresas que já adotaram práticas para redução de riscos relacionados a segurança dos dados.

O estudo foi realizado em 13 variados países com mais de 2.800 profissionais de segurança em organizações dos mais diversos portes e, a partir dele, trouxe alguns insights do resultado que esse investimento está trazendo:

Quais são as melhores práticas para a segurança da minha empresa?

Separei algumas dicas do que você pode fazer para proteger o seu negócio e que também estão diretamente relacionadas às exigências do Capítulo VII da LGPD, que fala sobre os requisitos mínimos Da Segurança e do Sigilo de Dados e também Das Boas Práticas e da Governança:

Seguindo esses processo continuamente, com certeza você terá mais condições de proteger os ativos importantes para a empresa e, consequentemente, estará mais próximo da proteção de dados que a LGPD exige que você tenha.

Como se proteger?

Através do estudo, percebemos como é inevitável realizar investimentos consideráveis para proteger os dados pessoais da empresa e entre os investimentos indispensáveis estão plataformas que fazem a gestão contínua e monitoramento das vulnerabilidades, como a CITIS SOAR.

Com a CITIS SOAR, é possível reduzir os riscos de vazamento de dados pessoais e violações de segurança através de um trabalho de prevenção assertiva.

Através da ferramenta, profissionais da área de tecnologia e segurança são capazes de identificar, analisar e também entregar informações vivas sobre as vulnerabilidades de segurança digital de uma empresa de qualquer tamanho.

Você já sabe quais são as vantagens das práticas de privacidade, então está na hora de começar a focar no seu negócio. Se você ficou interessado em saber mais sobre a plataforma CITIS SOAR ou se precisar de qualquer dica em relação ao assunto, vamos conversar.

Não existe bala de prata, porém existem muitas soluções no mercado. Uma delas é a CITIS SOAR que poderá ajudar você a reduzir os riscos cibernéticos e cuidar da saúde digital da sua empresa.

É fato que uma das melhores coisas em adquirir um software com backup de dados automáticos é a possibilidade de manter diversas informações em um só lugar. Além de ajudar a manter aquela organização que todos gostam, contribui para facilitar a gestão dos negócios da empresa, já que ninguém quer deixar as informações espalhadas em múltiplos computadores, né? A desorganização pode causar grandes problemas, ainda mais na hora que alguém precisar localizar algum dado. Sendo assim, os colaboradores não necessitarão mais lidar com vários arquivos e pastas para buscar os dados precisos para o cumprimento das suas atividades. Logo, todas as informações do sistema estarão ali arquivados na nuvem, demais né?

Uma forma de garantir a recuperação dos dados diante de algum problema é mantendo um backup. Entretanto, os processos realizados de forma manual podem gerar grandes erros e falhas. O que isso quer dizer? Não possuir tempo para salvar os arquivos em um determinado dia ou até mesmo esquecer de copiar alguma informação, como também apagar e substituir um arquivo acidentalmente são alguns exemplos do backup manual. Caso algum desses itens ocorra é bem provável que possa causar prejuízos à empresa. Mas, qual seria a solução? Automatizar o backup! Os arquivos e dados são essenciais para manter um bom fluxo de trabalho e evitar aqueles imprevistos. Logo, um software é programado para realizar cópias em uma frequência estabelecida, e que garanta eficiência no cumprimento dessa tarefa. E com isso, um backup regular dos dados em um servidor de segurança é capaz de eliminar os riscos de perda desses dados!

Vamos aderir agora mesmo!

Um dos segredos do sucesso de qualquer negócio é estar em dia com as suas obrigações, principalmente aquelas que podem gerar penalidades, como é o caso do software pirata.

Se você ainda não passou pelo processo de auditoria da Microsoft, então se prepare, porque em breve poderá ser o próximo. Isso porque a Microsoft está cada vez mais refinando o seu processo de auditoria para alcançar o maior número de empresas, independe do porte e segmento.

Como Acontece

Geralmente as empresas recebem um e-mail ou ligação da Microsoft (já houve contato por uma empresa de advocacia contratada pela Microsoft) solicitando informações da sua estrutura e softwares utilizados. Mas esse primeiro contato não vai te trazer problemas se seguir o processo corretamente, conforme etapas descritas abaixo:

Diante disso, compartilhamos algumas dicas:

Não esconda nada

Ao tentar esconder algo durante o processo a sua empresa pode ser prejudicada. Então, não esconda nada, siga tudo o que for solicitado pelo time de Compliance da Microsoft. O processo é uma oportunidade de resolver possíveis problemas. A sinceridade só vai demonstrar que você tem boa fé.

Fique disponível e atente-se aos prazos

No decorrer do processo, a Microsoft poderá contactá-lo. É importante manter o bom diálogo entre as partes, facilitando assim o andamento dessa auditoria.

Sempre cumpra os prazos acordados para entregar os documentos solicitados pela Microsoft. Caso precise de mais tempo para entregar os documentos, explique ao contato que está cuidando do processo, porque necessita de tempo adicional.

Atente-se aos seus limites

Durante o processo de auditoria, você já vai ter noção se a sua empresa tem algo irregular e se vai precisar regularizar os softwares. Caso durante o processo de levantamento, você identifica que o investimento necessário é superior ao que sua empresa tem disponível para desembolso financeiro, seja sincero com o responsável pela auditoria e tente negociar parcelamentos, melhor prazo, etc.

Envolva seu revendedor Microsoft desde o início

O processo de regularização é complexo. Por isso recomendamos que procure um parceiro Microsoft apto para auxilia-lo na escolha do melhor modelo de licenciamento e envolva-o no processo. O parceiro com bom conhecimento, saberá indicar formas mais baratas para se regularizar, intervir junto a Microsoft, conseguindo melhores prazos e condições.

Entre em contato conosco! A CITIS conta com profissionais capacitados e políticas pré-definidas (análise do cenário, contratos e softwares utilizados) para compreender a situação de Licenciamento Microsoft da sua empresa e apoiá-lo na legalização dos softwares de forma sigilosa, eficaz e acessível, garantindo melhores resultados para a sua empresa.

Esperamos que estas dicas possam ajudar você!

Cuidar da segurança das informações é essencial e estratégico e, fazer análise de vulnerabilidades é uma ação importante para se manter protegido dos riscos que as redes podem oferecer.

A análise de vulnerabilidades é um conjunto de processos que permitem que os gestores mapeiem problemas que afetam a infraestrutura e os sistemas de TI, dando informações para tomar medidas de segurança.

O que é análise de vulnerabilidades?

Antes de falarmos como esse processo é feito, é importante que você entenda mais sobre ele. A análise de vulnerabilidades é um processo preventivo, que encontra os focos de erros e diminuem suas chances de acontecer.

A análise é o processo de identificação de falhas e vulnerabilidades que podem expor seu sistema e dados a diversas ameaças. É uma avaliação ampla da segurança, indicando as fraquezas para eliminar ou reduzi-las.

As brechas na segurança podem acontecer de diversas formas, seja por falhas humanas, erros de programação ou má configuração dos sistemas.

As falhas humanas são comuns de acontecer, principalmente com colaboradores sem treinamento, que clicam em links suspeitos ou baixam documentos infectados, por exemplo.

Os erros de programação se dão por falhas nos desenvolvimentos de sistemas que mantêm brechas que podem atrair vulnerabilidades, enquanto a má configuração são os softwares sem devida manutenção, que não garantem uma segurança adequada.

A análise de vulnerabilidades tem diversos objetivos além de identificar e corrigir brechas nos sistemas, e podemos citar o desempenho e segurança, a melhoria da configuração dos softwares, implantação de novas soluções de segurança, garantir a melhoria contínua de infraestrutura da empresa, entre outros.

Para que a análise de vulnerabilidades aconteça, podemos citar quatro principais etapas, que são o escaneamento de vulnerabilidades, avaliação de vulnerabilidades, avaliação de riscos e tratamento do risco, falaremos em breve sobre cada uma delas.

Como fazer análise de vulnerabilidades? Confira 9 passos importantes!

Agora que você sabe mais sobre o processo de análise de vulnerabilidades, é importante saber como realizar esse processo, certo?

A aplicação da análise é composta por algumas rotinas básicas, que identificam as falhas da infraestrutura e classifica cada uma delas conforme seu perigo e necessidade de intervenção. Confira alguns passos importantes e comece já a sua análise!

1. Identifique todos os ativos de TI

Para começar o processo de análise de vulnerabilidades é preciso identificar todos os ativos de TI da empresa, isso diz sobre tudo o que compõe a infraestrutura como hardwares, softwares e peopleware.

Todos eles devem ser mapeados e registrados para passarem pelas próximas etapas. Por meio dessa etapa crucial é possível ter uma ideia sobre atividades críticas para serem tratadas posteriormente.

2. Faça um scan de vulnerabilidades

O escaneamento de vulnerabilidades é uma das principais etapas da análise. Para esse processo é essencial utilizar uma ferramenta de scan, que vai identificar as vulnerabilidades do ambiente.

O scan de vulnerabilidades realiza uma varredura em IP’s externos ou ativos na rede interna, categorizando as vulnerabilidades pelos seus riscos e identificando e classificando as possíveis brechas de segurança.

As verificações externas identificam as maiores ameaças imediatas, atualizações necessárias de software firmware, portas e protocolos, entre outros. Enquanto a varredura interna, aprimora as redes do próprio ambiente.

Seja interna ou externamente, é preciso contar com processos que mantenham segura as informações da empresa.

Essa solução de ser feita periodicamente, para realizar a gestão de ativos e aplicar as correções sempre que necessário.

3. Avalie as vulnerabilidades

Outro passo importante é a avaliação de vulnerabilidade. Nessa etapa, as ameaças são listadas e classificadas a partir dos riscos que oferecem para a infraestrutura.

Essa avaliação serve como um guia para a correção e solução que será aplicada em cada brecha encontrada no sistema.

Aqui, a equipe deve criar um modelos das principais ameaças em seus ativos e métodos como o STRIDE, da Microsoft, são muito utilizados.

O STRIDE diz sobre 6 tipos de ameaças, que são Spoofing of identity (roubo de identidade ou falsificação); Tampering with data (violação ou adulteração de dados); Repudiation of transaction (repúdio de transação); Information disclosure (divulgação não autorizada de informação); Denial of service (ataques de negação de serviço) e Elevation of privilege (elevação de privilégio).

É possível listar os ativos com as categorias do STRIDE ou criar as próprias ferramentas da empresa para fazer esse monitoramento.

4. Faça avaliação de riscos

A avaliação de riscos é outra parte essencial que compõem o processo de análise de vulnerabilidades e, para que ela seja feita, é preciso entender bem sobre o funcionamento de seus sistemas.

Nessa fase, é importante contar com diversos membros das equipes para entender todos os processos e infraestruturas fundamentais para a empresa, para então partir para a avaliação com informações concretas e reais.

Durante a avaliação de risco, se localizam e classificam os ativos da organização. Esse processo envolve relacionar servidores, estações de trabalho, dispositivos e qualquer mídia que pode ser alvo de ataque.

Após isso, é preciso classificar cada um quanto ao tipo de informação que carregam, é comum utilizar uma escala de 1 a 5, que diz sobre:

  1. Diz respeito às informações públicas sobre a organização;
  2. Os dados internos, mas que não são confidenciais;
  3. São as informações sensíveis, como planos de negócios;
  4. Dados que não podem ser vistos nem mesmo por todos os funcionários, como as planilhas de salários;
  5. Todas as informações confidenciais.

5. Trate os riscos

Depois de avaliar as vulnerabilidades e riscos é preciso fazer o tratamento de todos eles. Nesse momento, a organização precisa mitigar as vulnerabilidades detectadas nas etapas anteriores.

Sabendo o que está em risco e qual o perigo e importância de cada um deles, torna-se mais fácil enumerar as ameaças que devem ser atacadas primeiro e corrigidas o quanto antes para não prejudicar a segurança do ambiente.

6. Realize testes de invasão

Após aplicar o scan de vulnerabilidades, é importante fazer testes de invasão para testar a segurança dos sistemas e é por meio deles que se identificam outras falhas que podem não ter sido encontradas na empresa.

O teste de penetração é um conjunto de técnicas e ferramentas utilizadas para identificar falhas de segurança em sistemas e redes corporativas.

Essa ferramenta complementa o escaneamento de vulnerabilidades e utiliza softwares e ferramentas para tentar invadir os sistemas, simulando ações de hackers e criminosos para infiltrar a estrutura de TI.

Esses testes podem ser de três tipos, black box, o white box e o gray box. O black box, considera que o hacker não conhece previamente a infraestrutura da empresa, gastando tempo na análise e simulando um ataque tipicamente externo.

white box acontece quando o hacker já tem conhecimento da infraestrutura analisada, identificando atividades que são feitas de dentro da empresa ou por pessoas que conhecem os sistemas.

Já o grey box, é um teste intermediário, que mistura duas modalidades anteriores, ou seja, o hacker tem algumas informações, mas não sabem tudo sobre a infraestrutura. É como se fosse um usuário comum, com permissões limitadas.

Independente de qual tipo de teste for realizado, é importante contar com profissionais capacitados e éticos, que não utilizarão as informações para outros fins.

7. Faça que a análise seja uma prática constante

É preciso entender que atividades de segurança não são processos que se fazem uma vez e são esquecidos na empresa. A análise de vulnerabilidades é uma tarefa constante, para garantir a segurança da informação em qualquer momento.

É ideal colocar essa tarefa na rotina da organização e determinar períodos para que ela seja realizada. Também é relevante contar com sistemas específicos para realizar essas análises de forma automatizada.

8. Crie políticas de segurança

Não adianta fazer análise de vulnerabilidades e não ter boas práticas de gestão de TI, que garanta que a empresa minimize riscos.

Crie políticas de segurança, direcione práticas do setor que envolvam manutenção de equipamentos, monitoramento de sistemas, identificação de problemas, entre outros.

O importante é aumentar no máximo a performance da segurança e não ter que trabalhar apenas para corrigir erros, mas se adiantar frente às vulnerabilidades encontradas no ambiente.

9. Dê treinamentos e eduque os colaboradores

Mesmo que a maior parte da análise de vulnerabilidades sejam automatizadas, é preciso que os colaboradores entendam sua importância e se engajem nesse processo, afinal, eles são parte das origens de diversas falhas existentes.

Divulgue boas práticas, eduque os colaboradores com relação à segurança e busque já diminuir os riscos nesse ponto do processo. Como dissemos, falhas humanas dão aberturas para ataques e vulnerabilidades, portanto, é preciso trabalhar nessa remediação.

Ofereça treinamentos, ensine os processos e trabalhe com rotinas padronizadas de segurança.

Quais são os benefícios da análise de vulnerabilidades?

Realizar análise de vulnerabilidades pode levar uma série de vantagens para empresas e trata-se de uma ferramenta preventiva e corretiva, afinal, além de identificar brechas, acusa alterações dos sistemas e dá insumos para o tratamento dos riscos.

Aumento da segurança

Sem dúvida, a segurança é o principal fator para a análise de vulnerabilidades. Empresas que conhecem seus sistemas e suas falhas sofrem menos riscos de ataques de cibercriminosos.

Ataques podem vir de diversas formas, mas ao contar com sistemas desatualizados, contas inativas, falhas humanas e erros de software, torna-se muito mais fácil ele entrar no seu sistema e tudo isso pode ser identificado e tratado por tal análise.

Colocar a segurança em primeiro lugar é essencial para seus dados e de seus clientes. Além disso, estar em dia com a segurança ajuda com que as empresas entrem em conformidades com regras e leis sobre isso, como a Lei Geral de Proteção de Dados, a LGPD.

Agilidade da identificação de falhas

Como dissemos, é natural ocorrer falhas nas empresas e identificá-las rapidamente é um grande ganho para as organizações. 

A análise de vulnerabilidades permite que os gestores mantenham a visão do negócio e de seus ambiente, conhecendo rapidamente seus riscos e evitando que eles cresçam de forma prejudicial.

Além disso, garante que as falhas sejam tratadas de forma antecipada, visando continuidade das operações e minimizando as interrupções das equipes de TI em problemas futuros.

Aumento da integridade e confidencialidade dos dados

Manter os dados protegidos e confidenciais é um dos princípios da segurança da informação e muitas empresas têm sofrido com vazamentos e perdas importantes.

Para estar em conformidade com as regras estabelecidas, com o mercado e até mesmo com a ética entre empresa e cliente, é preciso manter essa integridade.

Com a análise de vulnerabilidade, os sistemas ficam mais protegidos, aumentando a confidencialidade das informações da empresa, evitando problemas para a imagem da organização.

Economia de tempo e dinheiro

Mapear, priorizar, entender e tratar as vulnerabilidades faz com que a empresa economize tempo e dinheiro. Agir de forma preventiva faz com que os serviços sejam mais eficazes e não seja preciso “apagar incêndios”.

Corrigir fraquezas antecipadamente diminuem ataques que dão muitos prejuízos financeiros e de imagem, por isso, a economia de tempo e de dinheiro é mais uma grande vantagem da análise de vulnerabilidades.

Competitividade no mercado

Empresas com boas práticas de segurança se destacam no mercado e tem mais chances de adquirir e manter clientes, afinal, a segurança é ponto decisivo na escolha de parceiros e fornecedores.

A proteção de dados fica ainda mais relevante com a LGPD e, por isso, ter práticas e rotinas de segurança certamente leva as organizações a níveis mais altos no mercado.

Agora que você sabe mais sobre o que é análise de vulnerabilidade e como fazê-la, coloque em prática esse processo e deixa seus informações ainda mais protegidas.

Aproveite que você está por dentro do tema análise de vulnerabilidade e saiba mais sobre a CITIS SOAR, outra importante técnica de segurança!