Vamos dar um olhar ao que a série de normas ISO 27000 tem a respeito da gestão dos sistemas de comunicação e o estabelecimento de procedimentos de operação além de opções para implementar os controles sugeridos.

Precisamente um dos 10 pilares básicos da norma ISO 27001 enfoca-se nos mecanismos que deveria adotar uma organização para assegurar a operação correta e segura dos recursos sobre os quais manipula-se a informação corporativa. Por sua vez devem ficar claras as responsabilidades e os procedimentos para a gestão e operação destes recursos. Cabe dentro da gestão, os procedimentos para a resposta ante incidentes e os procedimentos de configuração e operação segura de aplicações.

Na página da Agência Nacional de Segurança (NSA) dos Estados Unidos há um parágrafo onde proveem uma série de guias de configuração segura para uma série de aplicações de código aberto e licenciadas. Além disso podem-se encontrar outra série de guias para manejar de forma segura a informação, inclusive até como destruí-la de forma segura. Deveriam-se documentar e manter os procedimentos de operação e colocá-los à disposição de todos os usuários que o necessitem.

Contudo a correta configuração dos sistemas é importante que as tarefas e as áreas vinculadas nestes temas tenham uma adequada segregação de funções, com o objetivo de diminuir a possibilidade de que apresente um uso mal intencionado ou não autorizado dos ativos de informação da organização.

Dentro deste domínio de controle, também sugere-se estabelecer procedimentos periódicos para garantir um adequado respaldo da informação em cópias de segurança, incluindo as provas que garantem seu correto funcionamento. Estas implementações  de backup devem satisfazer todos os requerimentos legais. Por exemplo, para o setor financeiro, tem implementções específicas e as expectativas próprias do negócio no qual opera a empresa. Isto consegue-se com uma adequada análise de riscos, que permita focar os esforços nos ativos de informação mais relevantes para o negócio.

Com respeito a infraestrutura de comunicação, deve-se manter a segurança da informação não somente que troca-se dentro da empresa como também daquela que saia de uma entidade externa. Esta segurança deve partir de uma política onde fiquem estipulados os acordos de intercambio de qualquer informação, sejam física ou eletronicamente. Isto inclui os canais alternativos que devam utilizar-se no caso de uma contingência. Pontualmente a norma ISO/IEC 27010, proporciona controles específicos para implementar, manter e melhorar a segurança da informação nas comunicações dentro da organização e feita ao exterior.

Para a proteção da integridade do software e portanto da informação que maneja-se é necessário prevenir que os sistemas sejam atacados por algum código malicioso, ja sejam nos equipamentos de escritório, equipamentos portáteis ou móveis. Para este caso os controles tecnológicos de uma solução de segurança como ESET Endpoint Security devem permitir a detecção, prevenção e recuperação contra malware. Estas medidas tecnológicas devem combinar-se com medidas que incluem a educação e formação dos usuários. Desde ESET Latinoamérica contamos com recursos gratuitos que neste ponto podem ajudar as empresas com a Plataforma Educativa ESET.

Destaca ainda neste domínio de controle, a recomendação da norma de cuidar da informação que inclui-se nas mensagens de e-mail. Pontualmente ter muito cuidado com a informação que deixa-se nos metadados, já que muitas vezes este tipo de informação podem conter dados frágeis como por exemplo nomes de usuários ou rotas nos servidores. É conveniente utilizar ferramentas para eliminar os metadados antes de compartilhar ou publicar documentos.

Lembre-se que  a segurança da informação tem êxito através da integração de diferentes medidas de segurança. Não serve muito ter unicamente o último em tecnologia, é necessário complementar com a educação dos usuários e adoção das medidas de gestão mais indicados segundo o negócio.

H.Camilo Gutiérrez Amaya

Especialista de Awareness & Research

Categories: Corporativo, Curiosidades
No Comments »

O post abaixo tem como finalidade, ensinar os usuários do Facebook a bloquear e denunciar àquelas pessoas e publicações que sejam ofensivas.

É sabido que as redes sociais como o Facebook e o Twitter tem-se convertido em espaços muito populares , sejam para compartilhar notícias, comentários, ou simplesmente como forma de passar o tempo. Ainda que estes serviços possam resultar em benefícios tanto em termos pessoais quanto de trabalho, existem alguns usuários que publicam conteúdos inadequados, sobem fotografias sem o consentimento correspondente, ou no caso de menores de idade, estas plataformas podem ser utilizadas para ciberbulling, ou por adultos inescrupulosos para realizar grooming, perseguição,etc. Com o objetivo de evitar tais situações, é possível realizar as seguintes três ações.

1- Bloqueio de usuários: Através desta opção, a vítima pode bloquear o acesso total de terceiros para que estes não possam visualizar seu perfil e nem interagir com a pessoa. Para acessar a esta opção deve-se fazer um clique no ícone de cadeado e logo no menu clicar em “Como faço para impedir alguém de me incomodar?” Tal qual aparece na imagem abaixo:

2- Relatar publicações ofensivas ou spam: No caso do usuário observar que outra pessoa publica conteúdo inadequado ou publicidade indesejada (spam), pode reportar ao Facebook para que seja feita uma análise do caso. Para isto, é necessário situar o cursos sobre a publicação a ser denunciada. Posteriormente, fazer um clique no canto direito superior e logo pressionar o item “Relatar publicação ou spam” tal como mostra-se na imagem:

3- Denunciar outro usuário por sua conta ou conteúdos publicados: Se existe uma pessoa com um perfil falso, que tem publicado informação protegida por direitos de autoria, é possível relatá-la diretamente ao Facebook para que se possa adotar as medidas necessárias. Para acessar a esta função, deve-se abrir o perfil do usuário a ser reportado. Logo, faz-se um clique na roda dentada que aparece ao lado do botão Mensagem.

Posteriormente, faça um clique em “Relatar/bloquear…” . Ali aparecem várias opções como a possibilidade de deletar o usuário sem bloqueá-lo, bloquear o usuário completamente, e denunciá-lo por sua conta ou conteúdo publicado.

Existem mecanismos distintos destinados a freiar perseguidores, ofensar e outras situações que poderiam afetar o correto uso do Facebook. No caso dos menores de idade, estas opções serão válidas sempre e quando um adulto encontra-se presente no uso deste tipo de serviço. O Guia de Segurança e Proteção Infantil e o Guia de Segurança nas Redes Sociais são recursos úteis para pais e usuários que queiram adotar os passos necessários para poder fazer um uso mais seguro das redes sociais.

Por outro lado conhecer o novo menu implementado pelo Facebook para gerir facilmente a privacidade do usuário também contribui com o uso mais seguro destas tecnologias. Finalmente lembramos aos usuários que a recém -lançada versão 6.0 dos produtos da ESET, possuem um novo módulo denominado ESET Social Media Scanner. Através desta ferramenta, as pessoas contam com uma nova capa de proteção destinada a detectar aqueles links e conteúdos que possam representar algum risco para a segurança.

André Goujon

Especialista de Awareness & Research

Categories: Corporativo, Vulnerabilidades
No Comments »

Com a chegada do Windows 8, muitos de nossos usuários já surgem com dúvidas a respeito da compatibilidade dos produtos ESET com a nova versão do sistema operacional da Microsoft. Portanto, vamos esclarecer essas questões:

A versão 5.2.9.1 dos softwares ESET NOD32 Antivirus e ESET Smart Security tem suporte a Windows 8, com algumas ressalvas conhecidas que listamos neste artigo de nossa Base de Conhecimento. Recomendamos que utilizem esta versão até o lançamento comercial da versão 6.

Caso você já possua a versão 5.2.9.1, não será necessário baixar novamente. Assim que fizer a migração do Windows 8, o produto será atualizado de forma automática para garantir o suporte ao novo sistema operacional da Microsoft.

Os softwares ESET versão 6, que devem chegar dentro de poucos meses ao mercado, estão passando pelos últimos testes necessários para garantir total suporte a Windows 8. No momento, usuários já podem fazer download gratuito dos softwares ESET versão 6 Release Candidate (uma prévia da versão que chegará ao mercado) neste link.

Equipe ESET Brasil

Categories: Corporativo
No Comments »

Dois brasileiros venceram a quinta edição do Concurso de Jornalismo em Segurança da Informação da ESET América Latina. O concurso destacou as melhores reportagens sobre o tema segurança publicadas pela imprensa latino-americana. Os vencedores do Brasil foram: Altieres Rohr, Colunista do G1/Globo.com, e Shirley Pacelli Souza Silva, repórter do Caderno de Informática do jornal O Estado de Minas.

Altieres Rohr foi o ganhador da categoria Imprensa Digital com a reportagem Fabricantes de modem anunciam correção de falha que permite fraudes, enquanto Shirley Pacelli Sousa Silva recebeu o prêmio na categoria de menção especial Região Brasil pela reportagem Siga o Mestre?.

O Concurso de Jornalismo em Segurança da Informação da ESET América Latina foi criado com o intuito de reconhecer o trabalho e a dedicação dos jornalistas que têm contribuído para a divulgação de informações que ajudem na capacitação e no conhecimento da sociedade para prevenir ataques virtuais que comprometam a segurança dos usuários finais e das empresas.

“A ESET tem a preocupação de conscientizar os usuários em relação aos riscos da internet e aos cuidados para evitá-los. E esse concurso para jornalistas está diretamente alinhado a essa postura da ESET, uma vez em que estimula a divulgação de reportagens que ajudem a disseminar informações sobre segurança para usuários finais e empresas”, afirma Camillo Di Jorge, Country Manager da ESET Brasil.

Os vencedores das dez categorias do Concurso deste ano são:

Melhor Trabalho de Jornalismo em Segurança da Informação
Vencedor: Alejandra Soto, do Noticiero Guatevisión (Guatemala)

Imprensa Escrita
Vencedor: Andrés Fiorotto, da revista Users (Argentina)

Imprensa Digital
Vencedor: Altieres Rohr, do G1 (Brasil)

Imprensa Multimídia
Vencedor: Equipe da Frequência Tecnológica, da Radio Tecnológica (Costa Rica)

Região Brasil
Vencedor: Shirley Pacelli Sousa Silva, do O Estado de Minas (Brasil)

Região México
Vencedor: José Luis Castillejos Ambrosio, Portal El diario Ya! (México)

Região Andina
Vencedor: Carolina Alban, Teleamazonas (Equador)

Região Rioplatense
Vencedor: María Inés Nogueiras, do Portal Montevideo (Uruguai)

Região Caribe
Vencedor: Rosa Martínez, da Revista TechLife (Costa Rica)

Menção Honrosa
Cristina Amortegui, do programa A las 11 (Colômbia)

Informações sobre o Concurso

A 5ª edição do Concurso de Jornalismo em Segurança da Informação recebeu inscrições de jornalistas de toda a América Latina. Os critérios para participação eram ter publicado qualquer tipo de trabalho jornalístico (matéria, entrevista, análise, comparativo, entre outros) sobre o tema segurança da informação, entre 15 de outubro de 2011 e 20 de setembro de 2012.

As matérias foram escolhidas por um júri formado por especialistas em TI e importantes jornalistas de diversos países da América Latina.

Pela primeira vez, o Concurso de Jornalismo em Segurança da Informação também teve premiações especiais por região: Brasil, México, Região Andina, Região do Rio da Plata e Região Caribe.

Equipe ESET Brasil

Categories: Corporativo
No Comments »

A realidade do mercado atual exige que as empresas realizem a avaliação de segurança de seus sistemas. Dessa forma, é possível avaliar qual é o nível de segurança da organização. Esse tipo de avaliação é denominado Penetration Test (teste de penetração).

O que é um Penetration Test?

Um teste de penetração consiste em provas de ataque contra os mecanismos de defesa existentes no ambiente que está sendo analisado. Essas provas compreendem desde a análise de dispositivos físicos e digitais, até a análise do fator humano utilizando engenharia social. O objetivo desses testes é verificar sob situações extremas qual é o comportamento dos mecanismos de defesa, especificamente, buscando encontrar vulnerabilidades. Além disso, são identificadas as faltas de controle e as brechas que podem existir entre a informação crítica e os controles existentes.

Por que é necessário realizar um Penetration Test?

Há muitos casos em que as organizações sofrem incidentes que poderiam ter evitado se os mecanismos de proteção fossem reforçados no devido momento. Os incidentes compreendem casos tais como fuga de informação, acessos não autorizados, perda de dados, entre muitos outros. A análise dos mecanismos de proteção deve ser uma tarefa proativa permitindo ao pentester (pessoa que realiza a auditoria) encontrar as vulnerabilidades e oferecer uma solução antes que um cibercriminoso se aproveite da deficiência.

Quais atividades fazem parte de um Penetration Test?

Um Penetration Test compreende múltiplas etapas com diferentes tipos de atividades em diferentes ambientes. A profundidade com que são feitas as atividades irá depender de certos fatores, dentre os quais se destaca os riscos que os métodos usados durante a avaliação podem gerar ao cliente.

É estabelecido um acordo prévio com o cliente para realizar as diferentes fases da análise, que são descritas a seguir:

• Fase de reconhecimento: Possivelmente, esta é uma das etapas que demanda mais tempo. Ainda assim, são definidos objetivos e são coletadas todas as informações possíveis que logo serão utilizadas ao longo das fases seguintes. A informação pela qual se busca abrange desde nomes e endereços de e-mail dos empregados da organização, até a topologia da rede, endereços IP, dentre outros. Vale destacar que o tipo de informação ou a profundidade da pesquisa irão depender dos objetivos definidos na auditoria.
• Fase de rastreamento: Utilizando a informação obtida no passo anterior, buscamos possíveis vetores de ataque. Essa etapa envolve o rastreamento de portas e serviços. Em seguida, é realizado o rastreamento de vulnerabilidades que permitirá definir os vetores de ataque.
• Fase de enumeração: O objetivo desta etapa é a obtenção dos dados referentes aos usuários, nomes dos computadores, serviços de rede, dentre outros. A esta altura da auditoria, são feitas conexões ativas com o sistema e executadas consultas dentro dele.
• Fase de acesso: Nesta etapa finalmente é feito o acesso ao sistema. Esta tarefa é feita a partir da exploração das vulnerabilidades detectadas que foram aproveitadas pelo auditor para comprometer o sistema.
• Fase de manutenção de acesso: Após ter obtido o acesso ao sistema, se busca uma maneira de manter o sistema comprometido à disposição de quem o tenha atacado. O objetivo é manter o acesso ao sistema durante a operação.

Ainda que as fases que compõem um Penetration Test sejam as mencionadas anteriormente, cabe destacar que a partir dos resultados obtidos é gerada a documentação correspondente com os detalhes que compreendem a auditoria. Esta documentação é a que o cliente irá ver, e a que servirá como guia para tomar futuras decisões pertinentes.

Finalmente, é importante tomar os cuidados necessários para evitar sofrer ataques e incidentes na organização. Ainda assim, a segurança deve ser gerenciada contemplando a necessidade de se fazer auditorias periodicamente. O mais aconselhável é contratar empresas especializadas em serviços de auditoria de segurança, para que identifiquem vulnerabilidades na infraestrutura da rede, para poder trabalhar com direção à melhoria da proteção das informações corporativas.

Fernando Catoira
Analista de Segurança

Categories: Corporativo, Vulnerabilidades
No Comments »