setembro 30, 2020

[Segurança] A segunda temporada da LGPD: "A Adequação"

Acabamos de assistir o fim da primeira temporada da LGPD, que podemos batizar de "LGPDrama - A data de início", encerrada com o tão aguardado e desesperador início de vigência da lei.

Agora partimos para a segunda temporada: "A Adequação", com as empresas desesperadas para se adaptarem a LGPD, mas ainda repleta de incertezas jurídicas.

Eu já palestrei algumas vezes sugerindo "5 passos para adequação a LGPD". Revisando esse material, acredito que podemos generalizar a jornada em, pelo menos, 7 macro-atividades fundamentais para adequação a LGPD, que incluem os seguintes passos:

  1. Estabelecer o DPO e um grupo de trabalho multidisciplinar (ex: Conselho ou Comitê de Privacidade)
    1. Definir o canal de comunicação com o DPO e publicar no site as informações de contato
  2. Ações de Cultura e Conscientização
    1. Treinamentos e campanhas de conscientização sobre importância da privacidade, a LGPD e boas práticas
  3. Mapeamento / Inventário de dados
    1. Identificar os cenários de uso e armazenamento de dados pessoais
    2. Identificar a necessidade dos dados pessoais e respectiva base legal
    3. Identificar fontes de coleta, necessidade e existência de consentimento
    4. Mapeamento com o ciclo de vida de tratamento dos dados (coleta, uso, guarda, exclusão)
    5. Rastreabilidade de Compartilhamento e transferência de dados (identificar fornecedores e parceiros)
  4. Adequação Jurídica
    1. Revisão dos Termos de Privacidade e termos de uso
    2. Revisão de políticas internas
    3. Revisão de contratos com fornecedores, terceiros, clientes e colaboradores
    4. Elaborar e publicar uma Política de Privacidade
    5. Publicar em seus canais de comunicação um Aviso de Privacidade e Proteção de Dados
    6. Notificar os colaboradores sobre atualizações das políticas internas e sobre o uso de dados pessoais. Solicitar o aceite
  5. Estabelecer canais de comunicação com os titulares de dados
    1. Portal de comunicação para os direitos dos titulares
    2. Disponibilizar informações no site e no Aplicativo
    3. Revisar procedimentos na Central de Atendimento
    4. Definir processo para atendimento de solicitações dos titulares de dados
  6. Adequação de softwares e sistemas corporativos
    1. Incluir os princípios de Privacy by Design e Privacy by Default na concepção de produtos e na esteira de desenvolvimento
    2. Ajustes nos controles de Segurança da Informação e de Compliance
    3. Ajustes em processos, produtos e aplicações
    4. Novas funcionalidades de Privacidade (ex: "Portal de privacidade" no app)
    5. Gestão do consentimento
    6. Revisão dos processos de backup e exclusão dos dados
    7. Identificar cenários em que os dados pessoais possam ser anonimizados
  7. Revisar procedimento de resposta e notificação de incidentes
    1. Cuidado extra no monitoramento de incidentes relacionados a dados pessoais
    2. Estabelecer estratégia de notificação envolvendo os titulares de dados e autoridades (ANPD)
    3. Estabelecer e treinar a estratégia de comunicação pública de incidentes
A lista acima resume, muito superficialmente, um trabalho grandioso de ajustes as exigências e garantias propostos pela LGPD. Esse é um esforço longo e desafiador para qualquer empresa. Portanto, quanto antes as empresas derem início às atividades para se adequarem a lei, melhor!

Não se esqueça:
  • Até que haja uma determinação em contrário, a LGPD se aplica praticamente a qualquer empresa, do salão de beleza a um grande banco. Isso porque ela se aplica a qualquer empresa que colete, receba ou processe dados pessoais, no meio físico ou digital;
  • Mesmo com as sanções só valendo a partir de Agosto de 2021, as empresas já devem se adequar a lei. Em caso de incidentes, o ministério público e clientes podem decidir processar a empresa com base na LGPD;
  • Embora existam muitos pontos de dúvida e incerteza que dependem de decisão e regulação da ANPD, as empresas ainda assim tem que adequar a lei, e muitas vezes recorrem a consultorias ou a experiências de empresas em outros países para ter uma solução provisória de adequação.

Para saber mais:


PS: Post atualizado em 01 e 02/10.
PS/2: Publiquei uma versão desse artigo no LinkedIn: LGPD season 2: "A Adequação"

setembro 29, 2020

[Segurança] Os golpes financeiros mais comuns na pandemia

A FEBRABAN divulgou recentemente uma notícia sobre as tentativas de golpes financeiros mais comuns na pandemia e como evitá-los. Segundo eles, atualmente, 70% das fraudes estão vinculadas à engenharia social, que consiste na manipulação psicológica do usuário para que ele lhe forneça informações confidenciais para os criminosos  como senhas e números de cartões. Esse contato mal intencionado pode acontecer por telefone, e-mail, redes sociais ou SMS.

Segundo a FEBRABAN, os golpes mais comuns são os seguintes:

  • Phishing: É uma fraude eletrônica cometida pelos engenheiros sociais que visa obter dados pessoais do usuário. A forma mais comum de um ataque de phishing são as mensagens falsas por e-mail e SMS que induzem o usuário a clicar em links suspeitos, que levam a páginas falsas na Internet que induzem a pessoa a revelar dados pessoais. Os casos mais comuns de phishing são e-mails e SMSs recebidos supostamente em nome dos bancos, alertando que a conta do cliente está irregular, ou o cartão ultrapassou o limite, ou que necessita revalidar seus pontos nos programas de fidelidade, atualizar token ou, ainda, que existe um novo software de segurança do banco que precisa ser instalado imediatamente pelo usuário. São mensagens falsas para enganar as vítimas!
  • Golpe do WhatsApp: Os golpistas descobrem o número do celular e o nome da vítima de quem pretendem clonar a conta de WhatsApp. Com essas informações em mãos, os criminosos tentam cadastrar o WhatsApp da vítima nos aparelhos deles. Mas, como o WhatsApp exige um código de segurança enviado por SMS sempre que é instalado em um novo dispositivo, os fraudadores ligam para a vítima para tentar obter esse código, normalmente fingindo ser do Serviço de Atendimento ao Cliente de algum site de vendas ou de alguma empresa em que a vítima tem cadastro. Eles solicitam o código de segurança, que já foi enviado por SMS pelo aplicativo. Quando a vítima informa esse código, os bandidos conseguem replicar a conta de WhatsApp em outro celular e, a partir daí, eles enviam mensagens para os contatos da pessoa, fazendo-se passar por ela, pedindo dinheiro emprestado;
  • Golpe do Falso Funcionário do banco: O fraudador entra em contato com a vítima se passando por um falso funcionário do banco. O criminoso informa que há irregularidades na conta ou que os dados cadastrados estão incorretos. A partir daí, solicita os dados pessoais e financeiros da vítima. Com os dados em mãos, o fraudador acessa a conta e realiza transações fraudulentas em nome do cliente;
  • Golpe do falso motoboy: O golpe começa com uma ligação ao cliente, de uma pessoa que se passa por funcionário do banco, e diz que o cartão foi clonado, informando que é preciso bloqueá-lo. Para isso, o golpista pede que a senha seja digitada no telefone, e fala que, por segurança, um motoboy do banco irá buscar o cartão para uma perícia. Assim, o criminoso consegue o cartão e a senha do cliente;
  • Golpe do extravio do cartão: No trâmite de entrega de um novo cartão até a vítima, fraudadores furtam a correspondência contendo este cartão. Depois, ligam para a vítima se passando por um funcionário do banco informando que houve problemas na entrega do cartão e solicitam a senha deste cartão para resolver o problema. Com os dados descobertos, fazem transações em nome da vítima;
  • Golpe do falso leilão: O fraudador envia um link à vítima que simula um site de leilão. Para que possa ser dado um lance, a vítima tem que preencher formulários com seus dados pessoais e financeiros ou depositar um valor na conta do fraudador. Com dados como senha, número do cartão e CPF, o fraudador consegue fazer transações fraudulentas em nome do cliente;
  • Golpe do delivery: O cliente faz seu pedido via aplicativo. No momento da entrega, o entregador apresenta uma maquininha com o visor danificado ou de uma forma que impossibilite a visualização do preço cobrado na tela, sendo um valor muito acima do real cobrado. Só depois de algum tempo, a vítima percebe que efetuou um pagamento elevado.

No side da FEBRABAN, eles também compartilham dicas de como evitar cada um desses golpes, vale a pena dar uma conferida e compartilhar com os amigos e parentes!

Segundo a FEBRABAN, durante o período de quarentena, as instituições financeiras registraram o aumento de mais de 80% nas tentativas de ataques de phishing, 70% no golpe do falso funcionário e o golpe do falso motoboy teve aumento de 65%. A FEBRABAN também identificou que no período da quarentena houve alta de 60% em tentativas de golpes financeiros contra idosos.

Veja algumas dicas básicas, sugeridas pela FEBRABAN:

  • O banco nunca liga para o cliente pedindo senha nem o número do cartão
  • O banco nunca vai mandar alguém para a casa do cliente para retirar o cartão
  • O banco nunca liga para pedir para realizar uma transferência ou qualquer tipo de pagamento
  • Ao receber uma ligação dizendo que o cartão foi clonado, o cliente deve desligar, pegar o número de telefone que está no cartão e ligar de outro telefone para o banco, para confirmar se de fato isso aconteceu
  • Recebeu um SMS ou e-mail do banco com um link? Ignore e apague a mensagem.

E lembre-se: nunca anote nem compartilhe as suas senhas com ninguém!!!

Para saber mais:

setembro 25, 2020

[Segurança] Dicas de segurança e prevenção a fraudes

 O pessoal da Febraban mantém uma página com várias dicas de segurança e para ajudar a prevenir contra fraudes financeiras.

Além de dicas básicas de uso de senhas, uso seguro da Internet e cuidados contra phishing, eles também compartilham algumas dicas sobre uso de cartões de crédito e débito, fraudes com boletos, uso do caixa eletrônico e até mesmo, pasme, o uso de cheques.



Esse é um ótimo recurso para ajudar a conscientizar usuários finais sobre os riscos de fraudes online e golpes mais comuns.

setembro 23, 2020

[Segurança] Golpe dos perfis falsos no Instagram

Um dos golpes mais comuns hoje em dia está acontecendo através de perfis falsos nas redes sociais, em especial no Instagram.

Nesse golpe, os ciber criminosos criam perfis falsos nas redes sociais que tentam se passar pelo por empresas ou por funcionários dessas empresas. Com esse perfil, eles entram em contato com clientes através de mensagens diretas (o tal do "direct") e trocam mensagens para tentar obter seus dados pessoais ou conseguir acesso ao WhatsApp das vítimas (eles pedem o código de ativação que é enviado quando tentam acessar o Whats da vítima no celular do fraudador). Com essas informações em mãos, eles conseguirão fazer fraudes financeiras.

Tudo indica que esse golpe está muito disseminado no país, como mostra essa reportagem de um jornal em Salvador (BA) sobre este assunto, relatando que ciber criminosos tem criado perfis falsos no Instagram em nome de restaurantes locais (e motéis também! #piadapronta). Segundo a reportagem....

"O golpe funciona assim: usando um perfil falso com a mesma foto e informações do perfil verdadeiro, os criminosos buscam por seguidores e enviam mensagens. Eles oferecem descontos ou cupons e pedem, para isso, que o cliente faça um cadastro com nome e número de telefone. De posse do número que o cliente usa no aplicativo de troca de mensagens WhatsApp, os criminosos roubam os dados e pedem dinheiro a pessoas da lista telefônica."

Outro golpe realizado no Instagram é a oferta de vouchers de desconto falsos, como descrito abaixo pela proprietária de um restaurante em Salvador:

"Há uma semana, a proprietária do Preta Restaurante, na Ilha dos Frades, foi informada de que havia outra página no Instagram com o nome do estabelecimento oferecendo uma promoção: a pessoa pagava R$ 100 para consumir R$ 150."

Recentemente, quando abri o meu app do McDonnalds para comprar um Big Mac com desconto, eu vi esse aviso na tela inicial do App:

Ou seja, os ciber criminosos não perdoam nem o Mc !!! #McFraude #McFake

Por isso, é importante sempre ficar atento e somente entrar em contato com as empresas pelos canais de atendimento oficiais ou, se for por redes sociais, através do perfil oficial da empresa. Verifique se o perfil na rede social tem o selo indicando que foi verificado, e também veja se parece autêntico: tem grande quantidade de seguidores, conteúdo postado frequentemente e se existe a bastante tempo (se for um perfil criado recentemente, é muito grande a chance de ser fake). Desconfie também de ofertas muito vantajosas!

Para saber mais:



PS: Post atualizado em 23/11/2020 e 12/05/2021.

setembro 22, 2020

[Segurança] Imagens sobre tecnologia e segurança

Rapidamente eu fiquei fã do site Unsplash  que disponibiliza gratuitamente e livre de copyright excelentes imagens, de alta qualidade. É super difícil encontrar fotos disponíveis gratuitamente e livre de copyright, ainda mais quando você procura por algum assunto específico. Por isso esse site é um item mandatório dos meus bookmarks.

Veja, por exemplo, essa foto linda da máquina Enigma, compartilhada pelo Mauro Sbicego no Unsplash.

OBS: mesmo sendo gratuitas, é de muito bom tom dar os créditos devidos para os autores das imagens #ficaadica

Recenteente eu descobri que o site possui "tópicos" para categorizar as imagens e, além disso, alguns usuários criaram "listas". Com isso, fiz uma coletânea com algumas listas de imagens específicas sobre tecnologia e segurança, que podemos utilizar livremente:

A propósito, eu criei uma lista de imagens que batizei "Hackers".

Veja, por exemplo, essa imagem sensacional publicada pelo Tarik Haiga no Unsplash (que, por sinal, tem algumas fotos legais sobre protestos):


setembro 21, 2020

[Segurança] Troco a minha privacidade por um chiclete

Agora com o início da vigência da LGPD, vamos ver aumentar muito a quantidade de debates sobre a importância da privacidade. Para dar uma boa pitada nesse assunto, há um estudo da Kaspersky que mostra como os brasileiros tem pouco cuidado com esse assunto, facilmente trocando seus dados pessoais em troca de benefícios ou vantagens - por menor que sejam.

Segundo um estudo da Kaspersky realizado com 10.500 pessoas em 20 países sobre o impacto do chamado "social rating", a maioria esmagadora dos brasileiros (80%) declara se sentir confortável ao compartilhar dados pessoais em troca de alguma vantagem.

As principais conclusões do estudo em relação aos brasileiros foram as seguintes:
  • 80% aceitariam expor seus perfis em redes sociais para encontrar velhos amigos
  • 70% aceitariam compartilhar os dados pessoais desde que fosse para obter descontos em compras online
  • 65% trocariam por experiências exclusivas
  • 55% compartilham se isso representar um bom imóvel para alugar
  • 50% aceitam caso isso represente monitoramento de segurança em viagens
  • 44% aceitariam em troca de monitoramento do cartão de crédito 
  • 49% aceitam para obter um visto de entrada em outro país
  • 37% estariam satisfeitos se fosse para um governo para manter os cidadãos seguros, rastreando atividades nas mídias sociais
  • Apenas um quarto (25%) dos respondentes no Brasil declarou que não compartilharia seus perfis com a finalidade de acelerar as verificações de histórico do cartão de crédito;
  • 21% não se sente confortável em compartilhar informação pessoal para garantir um lugar em uma ótima escola para uma criança
  • 16% não compartilhariam em troca de um apartamento melhor para alugar (16%).

Os sistemas de avaliação social (social rating) estão se tornando muito mais comuns, sendo usados frequentemente em muitas empresas e até mesmo por governos. O problema é que as pessoas não tem consciência disso e de seu impacto negativo. Segundo as constatações do relatório da Kaspersky, destacado pelo The Hack, 17% dos consumidores brasileiros já enfrentaram dificuldades para obter empréstimos ou financiamentos por conta de informações publicadas em suas redes sociais. 

setembro 18, 2020

[Segurança] A LGPD está valendoooo !!!!

É isso mesmo! Acabou a novela da LGPD!!!

No último minuto do último dia do final do prazo para sancionar a MP 959, a sanção foi dada! Com a publicação da MP 959 no Diário Oficial da União de hoje, transformada na lei n. 14.058, sem o artigo 4o que determinava o adiamento da Lei Geral de Proteção de Dados Pessoais (LGPD), voltou a valer o prazo de adequação definido anteriormente, de 24 meses após a sua publicação.

E assim a partir de hoje, 18/09, a LGPD começou a valer (retroativamente, na verdade).


A Lei Federal nº 13.709 de 14 de Agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), foi publicada em 14/08/2018 e está oficialmente em vigor a partir de 15 de agosto de 2020 (prazo dado pela  Lei nº 13.853, de 2019). As sanções aplicáveis pela lei entrarão em vigor somente em 01/08/2021, de acordo com a Lei 14.010/2020.

Para saber mais:
PS: Pequeno ajuste em 18/09.

setembro 15, 2020

[Segurança] Gerador de Política de Privacidade e Termos de Uso

A LGPD vai entrar em vigor a qualquer momento e só agora você descobriu agora que precisa criar uma política de privacidade para seu site ou sua empresa? Não se preocupe, você não está sozinho.... kkkk... 

Com uma busca rápida no Google eu achei um site que oferece um Gerador de Política de Privacidade e Termos de Uso, o https://politicaprivacidade.com.

O site gera, automaticamente, uma política de privacidade genérica, que pode opcionalmente incluir também um texto sobre o uso de cookies e Adsense.

Embora o site gere uma política de privacidade em poucos segundos, eu recomendo que você a revise com cuidado. Preferencialmente, consulte um advogado!

PS: Utilizei esse gerador para criar a política de privacidade aqui do blog.

setembro 14, 2020

[Segurança] Os 7 princípios fundamentais da Privacidade Por Design

Quando falamos na importância de aplicar cuidados de segurança e privacidade, um dos principais princípios é a "privacidade por design" ("privacy by design", em inglês). No conceito de "privacidade por design", os cuidados e controles de privacidade são incorporados à própria arquitetura dos sistemas e processos desde a sua especificação e seu desenvolvimento. Desta forma, visamos garantir, pela infraestrutura do serviço prestado, condições para que o usuário seja capaz de preservar e gerenciar sua privacidade e a coleta e tratamento de seus dados pessoais.

A norma européia General Data Protection Regulation (GDPR) estabelece a importância da privacidade por design em seu artigo 25, de seguinte forma:

"Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects."


A International Association of Privacy Professionals (IAPP) propõe 7 princípios fundamentais da Privacidade por Design:
  1. Proativo não reativo; Preventivo, não reparador: A abordagem de Privacy by Design (PbD) é caracterizada por medidas proativas, em vez de reativas. Ele antecipa e evita eventos invasivos de privacidade antes que eles aconteçam. O PbD não espera que os riscos de privacidade se materializem, nem oferece soluções para resolver infrações de privacidade uma vez que ocorram - tem como objetivo evitar que ocorram. Resumindo, a privacidade projetada vem antes do fato, não depois.
  2. Privacidade como configuração padrão: A Privacy by Design visa fornecer o máximo grau de privacidade, garantindo que os dados pessoais sejam protegidos automaticamente em qualquer sistema de TI ou prática comercial. Se um indivíduo não fizer nada, sua privacidade ainda permanecerá intacta. Nenhuma ação é necessária por parte do indivíduo para proteger sua privacidade - isso é integrado ao sistema, por padrão.
  3. Privacidade incorporada ao design: A privacidade está embutida no design e na arquitetura dos sistemas de TI e nas práticas de negócios. Não é adicionado como um add-on, após o fato. O resultado é que a privacidade se torna um componente essencial da funcionalidade central que está sendo entregue. A privacidade é parte integrante do sistema, sem diminuir a funcionalidade.
  4. Funcionalidade total - Soma positiva, não soma zero: A Privacy by Design busca acomodar todos os interesses e objetivos legítimos de uma maneira de soma positiva “ganha-ganha”, não por meio de uma abordagem datada e de soma zero, onde compensações desnecessárias são feitas. A Privacy by Design evita a pretensão de falsas dicotomias, como privacidade x segurança, demonstrando que é possível ter as duas.
  5. Segurança ponta a ponta - Proteção total do ciclo de vida: A privacidade desde o design, tendo sido incorporada ao sistema antes do primeiro elemento de informação ser coletado, se estende com segurança por todo o ciclo de vida dos dados envolvidos - fortes medidas de segurança são essenciais para a privacidade, do início ao fim. Isso garante que todos os dados sejam retidos com segurança e, em seguida, destruídos com segurança no final do processo, em tempo hábil. Assim, o Privacy by Design garante do início ao fim, o gerenciamento seguro do ciclo de vida das informações, de ponta a ponta.
  6. Visibilidade e transparência - mantenha aberto: A Privacy by Design visa garantir a todos os interessados ​​que, seja qual for a prática comercial ou tecnologia envolvida, ela está, de fato, operando de acordo com as promessas e objetivos declarados, sujeita a verificação independente. Suas partes componentes e operações permanecem visíveis e transparentes para usuários e provedores. Lembre-se, confie, mas verifique.
  7. Respeito pela privacidade do usuário - Mantenha-se centrado no usuário: Acima de tudo, o Privacy by Design exige que os arquitetos e operadores mantenham os interesses do indivíduo em primeiro lugar, oferecendo medidas como fortes padrões de privacidade, aviso apropriado e valorizando opções amigáveis ​​ao usuário. Mantenha-se centrado no usuário.

setembro 10, 2020

[Segurança] Os principais elementos da cultura de segurança

Uma notícia recente mostrou a todos a importância de ter funcionários alinhados com a empresa e ajudando a protegê-la contra ciber ataques: um funcionário da Tesla recusou uma oferta de 1 milhão de dólares, recebida de um espiÃo russo, para instalar um malware na rede da empresa, com um pen-drive.

Aproveitando esse tema, eu quero destacar um artigo interessante que li recentemente no portal TechTarget, que indicou "os 7 elementos de uma cultura de ciber segurança na empresa".

A criação de uma cultura de ciber segurança visa preparar os funcionários da corporação para se protegerem de ciber ataques. Quanto mais preparados forem os funcionários, menor a chance de serem explorados por alguma ameaça (na vida profissional e pessoal também). No mundo de segurança, isso ganhou uma buzzword:


Human Firewall

Cada funcionário acaba se tornando um aliado do time de segurança, apoiando as ações da empresa e rapidamente reportando qualquer potencial problema ou comportamento suspeito.

O artigo da TechTarget destaca uma lista com 7 elementos essenciais, a seguir:

  1. Liderança - sim, é fundamental que a liderança da empresa respeite, divulgue e dê o exemplo quando se trata das boas práticas de segurança. Não basta um texto na Intranet escrito pelo time de marketing e assinado pelo CEO. Os executivo e gestores tem que dar o exemplo diariamente, mostrando preocupação com a segurança da empresa, discutindo o assunto nos seus times e estimulando os funcionários a participar de treinamentos, entre outras coisas. A propósito, os executivos também devem participar dos treinamentos! Isso mostra para os demais funcionários, na prática, o comprometimento deles com o tema;
  2. Representantes em diversos times - um fator chave para espalhar a cultura de segurança em uma grande empresa é ter pessoas dentro dos demais times representando os interesses e preocupações de segurança no dia-a-dia de seu time. Eles podem ser chamados de vários nomes, tais como "embaixadores de segurança", "security champions", etc. Eles ajudam a identificar riscos e oportunidades de melhoria nas atividades do dia-a-dia, e fazer uma ponte entre os demais funcionários e o time de segurança;
  3. Educação constante - a empresa deve possuir uma estratégia de educação sobre os riscos e boas práticas de segurança, incluindo treinamentos, palestras, vídeos, artigos, notas, etc. Mecanismos de educação podem incluir exemplos reais, atualizados, guias práticos (como usar as ferramentas, como notificar incidentes, etc) e melhorias constantes, aproveitando o feedback dos colaboradores. Mas cuidado, pois educação constante não significa que devemos insistir no assunto com grande frequência: o desafio é manter os funcionários interessados pelo assunto, sem excessos;
  4. Relevância para os funcionários - a conscientização deve ser personalizada, direcionada as responsabilidades e necessidades de cada grupo de funcionários e integrado com seu trabalho.  O esforço de educação também deve levar em consideração a realidade de cada público (o tipo de mensagem, o meio, a linguagem utilizada, etc);
  5. Atitudes e comportamentos - As pessoas devem ser motivadas a encarar a segurança de uma forma positiva, como aliada. Os funcionários devem se sentir parte da solução, e não do problema. Quando conseguimos influenciar positivamente as atitudes e comportamentos, as boas práticas de segurança são exercidas naturalmente pelos funcionários;
  6. Ecossistema - Um fator importante é levar em consideração todo o ambiente interno e externo, incluindo o cenário externo de ameaças;
  7. Métricas - Um fator de sucesso é construir um programa robusto de métricas, para identificar os esforços realizados e seu impacto na postura de segurança das pessoas e organizações. Nesse momento, a gamificação é sempre lembrado, pois além de motivar, cria algumas métricas naturalmente durante o processo educacional. Pegando um exemplo bem simples e recorrente, é interessante avaliar a porcentagem de colaboradores que clicam em uma simulação de phishing antes e depois de terem realizados um treinamento sobre o assunto.
A lista está de acordo com a realidade de mercado. Muito do que foi citado acima também pode ser encontrado nessa pequena lista de 3 dicas para criar uma cultura de segurança elaborado por pesquisadores do MIT. O diagrama abaixo, também da TechTarget, também sumariza um pouco os pontos acima.



Mesmo nos tempos de pandemia, quarentena e home office, a cultura de segurança continua sendo um fator muito importante dentro da estratégia de segurança. Afinal, os colaboradores tem que manter seus hábitos de proteção mesmo longe da empresa e sem o contato diário com seus colegas e com o time de segurança.

Para saber mais:

setembro 09, 2020

[Segurança] Exemplos para relembrar a importância do fator humano

 Dois casos recentes viraram noticias no mercado de segurança, e destacam a grande importância do elemento humano na segurança corporativa (para o bem e para o mal):

  • Tesla: Um funcionário da Tesla foi abordado por um espião russo e recusou uma oferta de 1 milhão de dólares para instalar um malware na rede da empresa, provavelmente um ransomware;
  • BancoEstado: enquanto os brasileiros aproveitavam o feriado de 07 de setembro, o banco chileno BancoEstado sofreu um ataque de ransomware que o forçou a fechar seus escritórios e agências. Segundo uma reportagem na ZDNet, "O incidente está sendo investigado como tendo origem em um documento malicioso do Office recebido e aberto por um funcionário. Acredita-se que o arquivo malicioso do Office tenha instalado um backdoor na rede do banco."
Enquanto na Tesla o funcionário salvou a empresa de uma invasão, roubo de informação e chantagem, o BancoEstado foi vítima de um funcionário distraído que abriu um arquivo malicioso.

Aproveitando para comentar um pouco sobre o ataque ao BancoEstado, eles foram vítima do ransomware REvil (Sodinokibi) durante o final de semana. Ainda segundo a ZDNet, após um funcionário abrir um arquivo malicioso, foi instalado um backdoor na rede do banco durante o final de semana. Os criminosos usaram esse backdoor para acessar a rede do banco e instalar o ransomware. A reportagem destaca que "os danos foram extensos, com o ransomware criptografando a grande maioria dos servidores internos e estações de trabalho dos funcionários." Mas a segmentação de rede limitou o alcance do ransomware, o que salvou o site, portal bancário, aplicativos móveis e caixas eletrônicos do banco.

Para saber mais:

setembro 08, 2020

[Segurança] Quanto tempo leva para identificar um ataque?

Quanto mais rápido uma empresa identificar uma invasão, provavelmente o impacto deste incidente será menor. Por isso, é importantíssimo que as empresas tenham capacidade de detecção e resposta a ataques. Essa estimativa de tempo é chamada de... 


Dwell Time

O relatório M-Trends, da FireEye Mandiant, há vários anos estima quanto tempo as empresas demoram para identificar uma intrusão. Os resultados acumulados nesses últimos anos mostra uma tendência de queda desse prazo.

Em 2011, a média do número de dias que um atacante permanecia em uma rede sem ser identificado era de 416 dias (mais de 1 ano). Essa média caiu para apenas 56 dias em 2019. O relatório M-Trends 2020 trouxe a comparação histórica, sendo que desde 2015 eles também estimam o tempo médio de detecção quando o incidente é identificado pela própria empresa ou por pessoas externas a ela.


Em 2019, as empresas que identificaram um ataque em seu ambiente demoraram, em média, 30 dias desde o início da intrusão. Se o ataque passou desapercebido pela empresa, a ponto dela tomar conhecimento do incidente por fontes externas, então nesses casos em média o atacante permaneceu na empresa por 141 dias. Sem considerar a forma de detecção, essa média em 2019 foi de 56 dias. No continente americano, essa média foi de 60 dias, versus 54 dias nas empresas na região da Europa, Oriente Médio e África (EMEA). Além disso, 41% das empresas investigadas pela FireEye tiveram o Dwell time abaixo de 30 dias. Mas 12% das empresas demoraram mais de 700 dias para identificar a invasão. 

Segundo o relatório, existem duas causas pata essa maior velocidade na detecção de ataques:

  • Crescimento de ataques "destrutivos", que rapidamente impactam as empresas e, por isso, são facilmente identificados. Ou seja, estamos falando dos ataques como os Ransomwares, que se manifestam no momento da infecção, e são uma das maiores pragas hoje em dia. O aumento dos ataques de ransomware significa uma queda no tempo médio para identificar ataques (o dwell time);
  • Aumento da adoção de serviços de gerenciamento de segurança, trazendo maior agilidade para os times de resposta a incidentes.

Outro relatório da FireEye Mandiant também mostra a dificuldade das empresas em detectarem quando foram invadidos. Segundo ele, 91% dos ciber ataques que conseguem se infiltrar nas empresas não geram alertas, e 53% dos ataques não são detectados pelas ferramentas de segurança existentes.

setembro 04, 2020

[Segurança] Nova modalidade de golpe do WhatsApp

Recentemente surgiram relatos de uma nova modalidade de golpe do WhatsApp, aquela fraude (muitíssimo comum no Brasil), em que algum conhecido tem a conta roubada e o fraudador pede dinheiro “emprestado” para os contatos no WhatsApp.

Uma reportagem do Jornal Nacional de 29/08 e uma similar no G1 em 29/07 já descrevem esse novo golpe. Embora a reportagem indique que o novo golpe está focado em médicos e dentistas, eu já ouvi relato desse golpe aplicado a executivos de uma empresa.

Nessa nova modalidade, em vez de roubar a conta de uma pessoa, os fraudadores criam um perfil falso no WhatsApp, usando um novo número telefônico, mas com a foto de perfil original da vítima. Assim, os criminosos entram em contado com os conhecidos da vítima, dizendo que estão com um celular novo. Após conseguir a atenção e a conquistar a confiança, eles pedem dinheiro emprestado ou pedem que a pessoa pague uma conta pendente, enviando um boleto para seu contato. Normalmente alegam que precisam de ajuda para pagar as despesas pois o limite de pagamentos de seu banco foi excedido.

Apesar das notícias no G1 falarem explicitamente do golpe contra médicos e dentistas, eu acredito que essa variação do golpe pode ser direcionada a qualquer pessoa ou categoria profissional: eles escolhem alguma vítima que mapearam anteriormente e colocam a foto dela em um whats novo. Isso é muito fácil fazer: se você clonar o WhatsApp de uma vítima “A”, o fraudador pode mapear um grupo com muitos integrantes e escolher uma vítima “B” desse grupo. A seguir, continuam a fraude impersonando o sujeito “B”, sem precisar clonar a linha dessa pessoa.

O golpe do WhatsApp é uma verdadeira praga no Brasil, e muito lucrativo para os criminosos. Há relatos, por exemplo, de que criminosos conseguem ganhar até 6 mil reais em 2 dias. Segundo estimativas da Psafe divulgadas no mês passado, os golpes de clonagem do WhatsApp fizeram mais de 3 milhões de vítimas em 2020.


Fique atento: sempre desconfie de novos contatos no WhatsApp e tenha cuidado redobrado se algum conhecido pedir dinheiro emprestado, não importa qual seja o motivo. Tente entrar em contato com a pessoa, via chamada de voz ou vídeo, para confirmar a sua identidade antes de transferir qualquer valor ou fazer um pagamento.

Hoje, 04/09, a Polícia Civil realizou a Operação Data Broker, que identificou e prendeu uma quadrilha especializada nesse tipo de golpe utilizando o WhatsApp. Segundo as investigações, os criminosos criavam perfis fakes no WhatsApp, usando fotos e a identificação de médicos, dentistas, promotores de justiça e juízes, e enviavam mensagens para os seus familiares próximos. Após a troca de algumas mensagens amistosas, o criminoso solicitava o depósito de valores em contas de terceiros. O acesso às informações dos parentes da vítima era realizado por meio de bancos de dados ilegais disponibilizados na Internet e sites de venda ilegal de dados por meio dos quais buscavam os números telefônicos de pessoas próximas da vítima. A juíza responsável pelo caso determinou o bloqueio e exclusão de 8 sites de venda ilegal de dados. Os criminosos conseguiram arrecadar R$ 500 mil com esses golpes.

Para saber mais:

setembro 02, 2020

[Segurança] Ataques DDoS: extorsão no Brasil e na Nova Zelândia

 Duas notícias recentes dão exemplo de como os ataques distribuídos de negação de serviço (DDoS) podem ser utilizados para fins criminosos - embora isso não seja novidade e essa técnica exista há vários anos.

Aqui no Brasil, a Polícia Civil do estado de Goiás realizou uma operação, batizada de "Attack Mestre", para prender um grupo criminoso em Goiás que realizava ataques DDoS como forma de extorsão, exigindo dinheiro para cessar os ataques. Pelo menos 4 empresas foram vítimas. Uma delas, um provedor de internet local, pagou aproximadamente R$ 150 mil.


A Bolsa de Valores da Nova Zelândia (NZX) vem sofrendo uma série intensa de ataques DDoS que durou pelo menos 5 dias. Os ataques DDoS começaram no dia 25 de Agosto e derrubaram suas operações online. Segundo notícias, somente no 5o dia de ataques eles conseguiram manter suas operações, apesar dos ataques. A bolsa anunciou que começou a utilizar os serviços da Akamai para tentar mitigar o ataque. As notícias que encontrei indicam que as autoridades locais e serviços de inteligência estão investigando os ataques para descobrir os responsáveis. As motivações também não estão claras, se o ataque está acontecendo associado a alguma extorsão, se está associado a algum esquema de fraude, se é alguma forma de protesto político ou como uma forma de ataque governamental. Nesse artigo de um portal local, há uma linha no final que cita uma possível extorsão: "The attack is understood to have been an extortion attempt." Esse outro artigo local, indica que outras empresas na Nova Zelândia também sofreram tentativas de extorsão e ataques DDoS na sequência.

PS: Hoje eu tentei acessar o site da NZX e não consegui - pelo jeito eles ainda estão sofrendo ataque DDoS :(

Esse artigo descreve resumidamente o modus operandi dos ataques de DDoS usados para extorsão pelo grupo russo Fancy Bear, um dos mais famosos nesse ramo: os atacantes exigem um pagamento em bitcoin antes de iniciar o ataque. Em seguida começam com um ataque pequeno, variando entre 40 e 60 Gbit/s por meia hora. Se o resgate não for pago, o valor exigido e o volume do ataque aumentam.

Mais algumas informações:

setembro 01, 2020

[Segurança] O aplicativo do crime

Não devia ser novidade para ninguém que o crime tradicional está digitalizado. Mas uma reportagem recente do portal G1 sobre uma investigação da Polícia Federal trouxe a luz que as organizações criminosas estão usando um app para facilitar o recrutamento de seus membros.

Segundo a reportagem, sumarizada pelo site telegrama.ph, a PF identificou que, nos seus esforços para expandir para o Rio de Janeiro, o grupo paulista Primeiro Comando da Capital (PCC) utilizava o WhatsApp para comunicação entre os seus líderes e possui um aplicativo para fazer o cadastro de novos integrantes.

Segundo investigações da Polícia Federal, o PCC fazia cadastro de novos integrantes da facção pelo aplicativo, e no âmbito da investigação, o utilizava para pressionar os recrutamentos em presídios do Rio de Janeiro. Os novos integrantes eram cadastrados, com dados detalhados, a partir de um grupo no WhatsApp chamado “Alteração RJ Fechamento”. Para fazer parte, os novos membros do PCC no Rio precisavam informar o apelido, número de matrícula, data e local do “batismo”, “quebrada de origem” e “quebrada de origem”, e nome dos “padrinhos”, entre outros dados.

Para usar o WhatsApp, segundo as investigações, os suspeitos conversavam através de perfis sem foto e constantemente trocavam de chip de celular, a fim de mudar a linha telefônica e despistar as autoridades. Também realizam conferências que reúnem integrantes de diversos estados pertencentes à cúpula do grupo.

Para saber mais:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.