fevereiro 23, 2021

[Segurança] Dicas para usar o Pix de forma segura

Eu já publiquei aqui no Blog um post com dicas de segurança para usar o Pix, o sistema brasileiro de pagamentos instantâneos, bem quando o sistema começou a entrar em operação. Agora que já estamos mais acostumados com o uso do Pix no dia-a-dia, eu decidi criar um post novo e atualizado sobre o assunto.

A cada inovação tecnológica, os ciber criminosos buscam novas falhas de segurança e se aproveitam delas para cometer crimes. O surgimento do PIX e sua rápida adoção pela população também chamou a atenção dos fraudadores brasileiros. Desde então, eles estão testando os sistemas o tempo todo, tentando descobrir os limites e buscando falhas, com o objetivo de ganhar dinheiro fácil.

Do ponto de vista sistêmico, o Pix possui as mesmas medidas de segurança e prevenção a fraudes que já são utilizadas pelos bancos brasileiros para as demais transações financeiras através do Sistema de Pagamentos Brasileiro (SPB), que interconecta os bancos brasileiros e é responsável por processar todas as transações eletrônicas que realizamos, como TEDs, DOCs e pagamentos. Entretanto, a rápida adoção do Pix fez com que os bancos acelerarem o seu desenvolvimento, abrindo oportunidade para eventuais bugs na sua implementação (mas que são raros!).

A maioria dos golpes conhecidos relacionados ao Pix usam engenharia social, aonde os criminosos tentam se passar pelos funcionários do banco, de outras empresas ou de conhecidos para enganar suas vítimas e convencê-las a cadastrar a sua chave em um site falso ou transferir dinheiro para a conta corrente do próprio fraudador. Muitos dos golpes já são conhecidos (phishing, SMS falso, uso de sites falsos, etc), mas mudou o foco para o Pix. Mas também já foi identificada uma quadrilha que fazia sequestro relâmpago e exigia que as vítimas transferissem todo o seu dinheiro via Pix - isso dá muita agilidade para o criminoso.


Do ponto de vista dos usuários finais, a maioria dos cuidados no uso do Pix são os mesmos que já deveriam existir ao fazer qualquer transação financeira, seja para uma pessoa física ou para um estabelecimento.

Confira algumas dicas para utilizar o Pix de forma segura:
  • Antes de mais nada: o Pix só funciona através do aplicativo móvel (app) ou no Internet Banking do seu banco. Cuidado, pois não existem outros sites nem aplicativos para fazer o cadastro de sua chave, nem para realizar transações com esse método de pagamento instantâneo;
    • Lembre-se: Ao acessar o site do seu banco, confira cuidadosamente o endereço do site em que você está inserindo os seus dados. Os aplicativos móveis devem ser instalados a partir das lojas oficiais da Apple (Apple Store) e do Google (Play Store);
  • Cuidado com ligações de supostos funcionários de bancos e com mensagens via e-mail, SMS ou WhatsApp oferecendo um link para cadastramento de suas chaves do PIX. Somente faça o cadastro de sua chave e transações pelo Pix pelos canais oficiais do seu banco, pelo Internet Banking ou pelo app bancário (Mobile Banking);
  • Antes de realizar uma transação com o Pix, certifique-se que a chave da conta de destino pertence a pessoa com quem você deseja transacionar. Verifique com atenção nos dados do destinatário antes de confirmar a transação;
  • Cuidado ao receber imagens QR Code para fazer um pagamento pelo Pix. Antes de confirmar, valide os dados da conta recebedora e o valor da transação; 
  • Nunca confirme uma transferência para uma chave Pix de um destinatário que você não conhece;
  • Cuidado com os golpes pelo WhatsApp com pedidos de transferências e de empréstimos. Não faça o Pix até falar com a pessoa que está solicitando o dinheiro, para confirmar a sua identidade;
  • Não acredite em mensagens prometendo receber dinheiro em dobro devido a algum suposto defeito (bug) no Pix. Não acredite em promessas de dinheiro fácil, pois na verdade, a transferência será feita para a conta dos golpistas.
Para saber mais:
#SegurançaDigital
#SemanadaSegurançaDigital
#CompartilheSegurançaDigital

fevereiro 22, 2021

[Segurança] Semana da Segurança Digital

Neste ano a Febraban lançou a "Semana da Segurança Digital", uma ação de conscientização conjunta com todos os bancos que acontecerá pela primeira vez, de 22/02 a 26/02.

Durante esta semana, a Febraban e os bancos que se uniram nesta ação estarão postando diversas dicas de prevenção a fraudes online no Portal Antifraudes da Febraban e nas redes sociais e utilizando as hashtags da campanha: #SegurançaDigital (Principal), #SemanadaSegurançaDigital e #CompartilheSegurançaDigital.

Segundo uma pesquisa realizada pelo Serasa e o Instituto Locomotiva, mais de 60 milhões de brasileiros já sofreram algum tipo de fraude financeira na Internet. O levantamento também indicou que apenas 35% das vítimas conseguem recuperar o valor fraudado.

Lembre-se de algumas das principais dicas de segurança:
  1. Cuidado com os golpes via Phishing
    • Desconfie de mensagens inesperadas e promoções imperdíveis;
    • Mensagens desse tipo normalmente tem um senso de urgência;
    • Verifique se o endereço de e-mail de origem da mensagem corresponde a empresa real;
    • O endereço do site (URL) está correto?
    • Procure por erros ortográficos e gramaticais;
    • Confira se o logotipo e imagens na mensagem estão desfocados ou deformados;
    • Jamais forneça informações pessoais, dados confidenciais e senhas;
    • Cuidado também com mensagens recebidas por SMS e WhatsApp;
  2. Cuide da sua privacidade nas Redes sociais
    • Evite expor exageradamente informações pessoais, financeiras e corporativas nas redes sociais, principalmente que possam passar a impressão de ostentação;
    • Configure a privacidade das suas postagens;
    • Nunca adicione como amigo uma pessoa que você não conhece;
  3. Proteja a sua Senha com unhas e dentes!
    • Jamais compartilhe senhas;
    • Não use a mesma senha para mais de um serviço;
    • Não salve senhas em cadernos, arquivos, no celular ou navegador;
    • Crie senhas complexas, com letras, números e caracteres especiais;
    • Use sempre a autenticação de dois fatores (ou verificação em duas etapas);
    • Bloqueie o seu celular com senha;
  4. Segurança do Pix
    • Somente cadastre sua chave Pix e realize transações no ambiente seguro do seu banco através do Internet Banking ou pelo aplicativo móvel do seu banco;
    • Cuidado com mensagens e ligações de “supostos funcionários” de bancos oferecendo o cadastramento do Pix - "é cilada, Bino!!!"
    • Sempre confira os dados do “destinatário” da transação Pix (pagamento ou transferência);
    • Nunca realize uma transferência para um destinatário que você não conhece;
    • Não acesse links encaminhados por e-mails, postagens em mídias sociais ou SMS;
  5. Cuidado ao fazer compras online
    • Nunca clique em links de ofertas tentadoras, com preços muito baixos;
    • Sempre verifiquese a loja possui CNPJ, matriz ou endereço físico de escritório;
    • Pesquise a reputação da loja antes de realizar a compra, além de avaliações de quem já comprou;
    • Utilize o cartão virtual ou outros meios seguros de pagamento.
OBS: (adicionado em 22/02) A Febraban publicou uma notícia no portal deles sobre a campanha, com 30 dicas sobre prevenção a fraudes: FEBRABAN e bancos promovem Semana da Segurança Digital.

Veja também aqui no blog:
Veja também:
PS: Post atualizado em 22/02.

#SegurançaDigital
#SemanadaSegurançaDigital
#CompartilheSegurançaDigital

fevereiro 19, 2021

[Segurança] Acteón e a mitologia da privacidade

A mitologia grega, sempre muito sábia, tem uma passagem que ilustra a preocupação que já existia naquela época sobre o direito a privacidade: o mito de Acteón, que foi castigado pela deusa Ártemis por tê-la visto nua (portanto, violando a sua privacidade). Após ser transformado em um cervo (para que não contasse a ninguém que viu a deusa despida), Acteón foi morto pelos seus próprios cães de caça.


Acteón era um jovem herói de Tebas, exímio caçador, filho de Aristeu (protetor dos caçadores, pastores e dos rebanhos, além de ser o pioneiro da apicultura e da plantação de oliveiras), e que fora criado pelo Centauro Quíron. Um dia, Acteón estava caçando na floresta quando acidentalmente se deparou com a deusa Ártemis (Diana, na mitologia Romana) nua, tomando um banho acompanhada de suas ninfas. Famosa por sua castidade, Ártemis ficou indignada e o proibiu de falar - se o fizesse, seria transformado em um cervo. Ao tentar gritar, assumiu a forma de cervo e, ao atrair a atenção dos seus próprios cães de caça acabou morto por eles, que não o reconheceram.

Mesmo sento um tema tão atual, esse mito mostra como o debate sobre a privacidade assombra as pessoas há séculos !!!

Para saber mais:

fevereiro 18, 2021

[Segurança] Tempo de guarda de documentos de funcionários

Embora a LGPD preveja que qualquer pessoa pode pedir que determinada empresa exclua os dados pessoais em seu poder, essa exclusão de dados deve respeitar as demais leis e regulamentações existentes referentes a retenção de dados.

No caso de dados pessoais de funcionários, há informações que as empresas são obrigadas a armazenar por 5 anos, 10 anos, 30 anos e até mesmo por prazo indeterminado (ou seja, para sempre!). Os dados de contrato de trabalho e ficha de registro dos empregados, por exemplo, devem ser armazenados por prazo indeterminado!

O pessoal da Fecomércio fez um pequeno infográfico mostrando quais informações trabalhistas e previdenciárias devem ser armazenadas por quanto tempo:


Esses sites tem essas informações mais detalhadas:

fevereiro 12, 2021

[Segurança] O desafio de criar uma base global com vazamentos de dados

Recentemente a ACM publicou um artigo sobre os desafios de criar uma base de dados com todos os vazamentos de informações que acontecem no mundo todo. Esse  trabalho acadêmico foi fruto de uma parceria do C6 Bank com o pessoal do MIT CAMS, aonde eu trabalhei junto com o professor Stuart Madnick e os colegas Nelson Novaes Neto e a Natasha Malara Borges.

No paper Developing a Global Data Breach Database and the Challenges Encountered nós descrevemos os desafios que sofremos ao levantar os incidentes de vazamentos de dados que aconteceram durante os anos de 2018 e 2019. Ao todo, identificamos várias centenas de incidentes relevantes, e criamos uma base online com todos os incidentes que comprometeram pelo menos 30 mil pessoas (criamos uma quantidade mínima para que a base não ficasse gigante): www.databreachdb.com.

É interessante notar que identificamos 269 incidentes relevantes em 2019 na nossa base de dados (isto é, incidentes em que vazaram pelo menos 30 mil registros), que totalizaram mais de 22 bilhões de dados vazados apenas em 2019.


Comparando com outros estudos disponíveis no mercado, esse número é muito maior do que a melhor estimativa disponível:
Nós detalhamos no paper como foi o processo e quais os desafios. Resumindo, os principais desafios foram:
  • Demora em identificar os incidentes: como as empresas podem demorar alguns meses para identificar e reportar os incidentes de segurança, só é possível ter uma visão da quantidade de incidentes por ano na metade do ano seguinte. Assim, certamente qualquer estudo que surja no início do ano será impreciso;
  • Falta de visibilidade global, pois em geral a imprensa só destaca os incidentes que acontecem em grandes empresas e, principalmente, em empresas nos EUA e na Europa. Assim, incidentes de vazamento de dados em países menos importantes não viram notícia na imprensa global, e acabam não entrando nas estatísticas;
  • O excesso de incidentes faz com que a imprensa divulgue apenas incidentes em grandes empresas e de maior relevância, caso contrário, o excesso de notícias faria a audiência perter interesse no assunto.;
  • Falta de padrões globais para divulgação de incidentes, o que faz com que as informações e detalhes sobre os incidentes não sejam compartilhadas com frequência, dificultando o mapeamento dos incidentes.
Veja a transcrição do Abstract do paper:
"If the mantra “data is the new oil” of our digital economy is correct, then data leak incidents are the critical disasters in the online society. The initial goal of our research was to present a comprehensive database of data breaches of personal information that took place in 2018 and 2019. This information was to be drawn from press reports, industry studies, and reports from regulatory agencies across the world. This article identified the top 430 largest data breach incidents among more than 10,000 data breach incidents. In the process, we encountered many complications, especially regarding the lack of standardization of reporting. This article should be especially interesting to the readers of JDIQ because it describes both the range of data quality and consistency issues found as well as what was learned from the database created. The database that was created, available at https://www.databreachdb.com, shows that the number of data records breached in those top 430 incidents increased from around 4B in 2018 to more than 22B in 2019. This increase occurred despite the strong efforts from regulatory agencies across the world to enforce strict rules on data protection and privacy, such as the General Data Protection Regulation (GDPR) that went into effect in Europe in May 2018. Such regulatory effort could explain the reason why there is such a large number of data breach cases reported in the European Union when compared to the U.S. (more than 10,000 data breaches publicly reported in the U.S. since 2018, while the EU reported more than 160,0001 data breaches since May 2018). However, we still face the problem of an excessive number of breach incidents around the world. This research helps to understand the challenges of proper visibility of such incidents on a global scale. The results of this research can help government entities, regulatory bodies, security and data quality researchers, companies, and managers to improve the data quality of data breach reporting and increase the visibility of the data breach landscape around the world in the future."
A propósito, fui eu quem criou e inseriu a primeira frase do Abstract, para criar um pequeno impacto na chamada do paper:
"If the mantra “data is the new oil” of our digital economy is correct, then data leak incidents are the critical disasters in the online society."

Para saber mais:

fevereiro 09, 2021

[Segurança] Dia da Internet Segura

Hoje, 09/02, estamos comemorando o Dia da Internet Segura, uma data que acontece há vários anos para ajudar a conscientizar os usuários finais sobre os riscos e boas praticas de segurança no mundo online.


O site do evento tem muito material de apoio bem legal para ajudar em ações de conscientização, como apostilas, posters, roteiros, vídeos, etc, sobre os mais diversos temas. Vale muito a pea dar uma olhada e uma fuçada nesse material. O evento também tem uma grade de palestras bem interessante, que podem ser vistas online na página da SaferNet no Facebook e no canal do NIC.br no Youtube.

A propósito, o pessoal do Grupo New Space resolveu aproveitar a ocasião para promover uma "Semana da Internet Segura", compartilhando vídeos curtos em seu canal no YouTube com dicas simples e rápidas que podem ser úteis no lado pessoal e no profissional. O primeiro vídeo da série fala sobre como garantir a segurança no Whatsapp e em aplicativos de comunicação.


Aproveite também que no dia 11/02 a RNP vai fazer o Dia Internacional de Segurança em Informática (DISI), um evento que costuma ser bem legal e que será transmitido online no canal da RNP no YouTube, e neste ano eles vem com tema da educação de jovens e adolescentes.

PS (adicionado em 09/02): Aproveitando as celebrações do Dia da Internet Segura, o pessoal da Daryus criou um infográfico com "10 dicas para proteger você e sua empresa na era digital", disponível para download gratuito em http://dary.us/infografico-internet-segura.

fevereiro 05, 2021

[Segurança] Eventos de Segurança no primeiro semestre de 2021

Aviso importante: devido a pandemia do Coronavírus (COVID-19), os eventos tradicionais de segurança viraram online, foram cancelados ou adiados. Sempre verifique o site do evento que você tem interesse.
Estamos no Ano II da pandemia do novo Coronavírus, com lockdown e sem a previsão de quando voltaremos. ter  eventos presenciais. Mesmo assim, apesar dessa pandemia que bagunçou a agenda de eventos em todo o mundo, eu vou manter essa tradicional lista com os melhores eventos nacionais de segurança que acontecem no primeiro semestre desse ano.

A lista está muito mais magrinha do que o usual, principalmente por conta da incerteza se os eventos vão continuar e qual data serão realizados. Como sempre, eu listo aqui apenas os eventos que eu considero serem interessantes e/ou importantes no mercado, e que, na minha opinião, trazem conteúdo de qualidade.

Exceto quando indicado o contrário, o evento será realizado online.

Anote aí na sua agenda:
  • Janeiro/2021
    • Roadsec@Home (@roadsec) - O pessoal do Roadsec começou o ano cedo, com o Roadsec@Home acontecendo todas as quartas-feiras as 19h. Nesse início do ano eles estão fazendo o evento com uma entrevista, uma palestra e um painel de perguntas e respostas ao final, tudo online e gratuito, através do canal no YouTube
    Fevereiro/2021

  • Março/2021
    • 16/03: Security Leaders Regional Distrito Federal e Centro-Oeste - O Security Leaders inicia o ano com a sua versão regional - desta vez, em vez de focar em uma cidade, eles estão com foco em regiões geográficas. Essa primeira edição, de Brasília, Mato Grosso, Mato Grosso Do Sul e Goiás, segue a fórmula de painéis de debate - como eu sempre digo, discussões superficiais, com muitos expositores, não necessariamente especialistas no tema;
    • 23 a 25/03: TDC Innovation (@TheDevConf)  - Neste ano, em vez de realizar edições regionais, o The Developers Conference (TDC) vai fazer 4 ventos temáticos. O TDC é um evento tradicional e enorme sobre desenvolvimento de software, com várias trilhas de conteúdo, mas costumam ter uma relacionada a segurança;
  • Abril/2021
    • 10/04: MBConf v4 @ Home - evento online e gratuito do portal Mente Binária, com excelentes palestrantes;
    • 17/04: Roadsec São Paulo (@roadsec) - O Roadsec São Paulo foi adiado de Novembro para Abril deste ano, e promete ser realizado online;
  • Maio/2021
  • Junho/2021
Aproveite também para assistir alguns eventos internacionais neste ano, aj que a maioria promete ser online. Os principais e mais interessantes eventos são os seguintes:
Normalmente o segundo semestre é bem lotado de eventos aqui no Brasil, e alguns deles já divulgaram suas datas:
Aproveite agora para já reservar sua agenda, planejar viagens, etc.

Se eu esqueci de algum evento brasileiro importante, me avisem.

OBS:
  1. Muitos eventos ainda não divulgaram a data. Vou atualizar esse post assim que tiver novidades.
  2. O site Infosec Conferences tem uma lista de eventos em todo o mundo (não é muito completa, mas ajuda bastante): https://infosec-conferences.com
  3. Veja também meu post com a minha opinião pessoal sobre como foram os eventos de segurança em 2019.
  4. Post atualizado com um pequeno ajuste no texto em 08 e 11/02.

fevereiro 04, 2021

[Segurança] OEA Cyberwomen Challenge

Nos dias 10 e 11/02 a Organização dos Estados Americanos (OEA) em parceria com a Trend Micro e o governo do Reino Unido, realizam mais uma edição da competição OEA Cyberwomen Challenge, um evento e competição de Capture The Flag (CTF) com objetivo de incentivar a participação de mulheres no mercado de Segurança. O evento tem o apoio da WOMCY (LATAM Women in Cybersecurity).


O evento começa com um Painel de Tecnologia no dia 10/02, das 10h as 12h, com uma palestra e um painel com a participação de diversas mulheres influentes no mercado, que participam de organizações como WOMCY, OEA e Instituto Butantan. No dia 11/02, das 13:30 as 17:30 acontece o desafio.

Para se inscrever no evento, as interessadas devem preencher um formulário aqui.

fevereiro 02, 2021

[Segurança] O maior vazamento de dados brazucas de todos os tempos - da última semana

Muito se fala sobre um vazamento recente de dados, que expôs informações pessoais de mais de 220 milhões de brasileiros, incluindo nomes completos, datas de nascimento, CPF, diversos dados financeiros e de crédito, além de dados de 104 milhões de veículos e de 40 milhões de empresas. Os dados de 223.739.215 CPFs anunciados para venda em um fórum online incluíam até 37 tipos de registro (informações diferentes). Pelo tipo de informação vazada, especulou-se que a origem teria sido a Serasa, mas a empresa nega.

A imprensa tradicional e a especializada tem noticiado esse vazamento com destaque. Hoje, 02/02, foi até discutido no programa da Fátima Bernardes!


Além disso, a imprensa não cansa de nos surpreender: o portal migalhas publicou uma noticia infeliz, dando destaque que o vazamento contém dados dos ministros do STF, simplesmente ignorando os demais 220 milhões de brasileiros. E o portal Poder 360 chamou o incidente de "vazamento do fim do mundo".

Rapidamente, já surgiu um site que se propõe a dizer se o seu CPF está na base vazada (é óbvio que sim!), e qual conjunto de dados foi vazado: FuiVazado.com.br. Mas muita gente está questionando se esse site (ou similares) são confiáveis. O autor do site FuiVazado publicou o código no GitHub, e assim, ajudar a garantir a sua transparência.

O pessoal do Rio Hacker Maker Space também criou uma página para verificar se os dados de um determinado CPF vazaram: https://news.riohms.com.br/vazou/.


OBS: Os dois sites acima estão fora do ar.

Mas cuidado, o pessoal do Coding Rights deu uma dica muito importante:



Mas apesar do grande destaque que esse caso recebeu, e de sua severidade, esse não é o primeiro mega-vazamento de dados de Brasileiros e não será o último. O Ministério da Saúde e os Detrans que o digam. Há dois meses atrás, pesquisadores descobriram como acessar os dados médicos de 243 milhões de brasileiros no site do Ministério da Saúde- ou seja, mais gente do que nesse vazamento deste mês. Vale a pena lembrar alguns casos bem recentes:
Esses casos acima são casos recentes de vazamentos ou exposição de dados online. Mas já sabemos, há décadas, que criminosos vendem CDs com bases de dados vazados - em São Paulo, isso pode ser encontrado a venda nos camelôs da rua Santa Ifigênia, no centro da cidade. Isso sem falar que há anos ciber criminosos e fraudadores tem conseguido acesso ao INFOSEG, o grande banco de dados da secretaria de segurança pública que centraliza informações detalhadas de todos os brasileiros.

Apenas como comparação, os 430 maiores incidentes de vazamento de dados em 2019 somaram mais de 22 bilhões de credenciais vazadas - mais do que 3 vezes a população da Terra, segundo um estudo do qual participei.

Ou seja: apesar de toda a discussão que está acontecendo agora, apesar de ter quem anuncie uma "catástrofe digital'" já faz muito tempo que os nossos dados pessoais estão nas mãos dos criminosos.

E o que isso significa? Esses vazamentos podem ser utilizados pelos criminosos para roubar a identidade de suas vítimas e realizar vários tipos de golpes, como abrir conta corrente em nome de outras pessoas, pegar empréstimos, etc. De fato, segundo uma pesquisa realizada em 2020 pela PSafe, 1 em cada 5 brasileiros já foi vítima de roubo de identidade na Internet.

Infelizmente, há muito pouco o que possamos fazer depois que os nossos dados pessoais vazaram e já estão nas mãos de ciber criminosos. Como diria um velho ditado, revisado para os tempos atuais: "não adianta chorar sobre os dados vazados" :(

Isso merece um meme:


Imagem original: Foto de Jagoda Kondratiuk no Unsplash.


Para saber mais:
PS: Gostou do meme acima, que eu criei sobre "não adianta chorar sobre os dados vazados"? Eu criei uma 2a versão dele, com outra imagem (uma foto da Daniela Díaz no Unsplash):



PS/2: Pequena atualização em 02/02. Post atualizado duas vezes em 03/02 para incluir a notícia do vazamento de 270 milhões de registros da Dataprev - veja também a nota oficial da Dataprev. Post atualizado em 04, 05, 10 e 12/02.

PS 3: Criei uma versão desse post em forma de artigo, no LinkedIn: Fomos vazados. E agora, quem poderá nos ajudar!?

PS 4: (adicionado em 17/02) Também criei um artigo no portal Mente Binária com uma versão desse post: O que fazer se você for vítima de vazamento de dados?

janeiro 29, 2021

[Cidadania] Dia da Visibilidade Trans

Hoje, 29/01, é o Dia da Visibilidade Trans, uma data criada em 2004 para promover a cidadania e o respeito aos homens e mulheres transexuais e travestis.

Eu considero muito importante destacar essa data, pois acredito que a população trans é uma das que mais sofrem de preconceito e que mais tem dificuldade de ser respeitada e aceita pela nossa sociedade. Isso envolve não só a dificuldade de auto aceitação e acolhimento pela família, mas também uma grande dificuldade de inclusão no mercado de trabalho. As pessoas transexuais são tão marginalizadas que, infelizmente, sua expectativa de vida é de 35 anos, apenas.

Felizmente, algumas pessoas trans conseguem emprego formal e progredir na carreira, mas os casos de sucesso são tão poucos que fica até difícil listar alguns exemplos. No mercado de segurança, que infelizmente ainda é muito machista, eu conheço apenas um caso de trans que atingiu um status importante no mercado global, e aqui no Brasil, eu sei de apenas 3 pessoas trans que trabalha em nosso mercado :(

Aqui no Brasil, um exemplo muito legal de pessoa trans que é amada e respeitada pelo seu excelente trabalho é a cartunista Laerte.


Vale a pena ler e conhecer:

janeiro 28, 2021

[Segurança] A ANPD no Dia Internacional de Privacidade de Dados

Hoje, 28 de Janeiro, quando comemoramos o Dia Internacional da Privacidade de Dados, a nossa Autoridade Nacional de Proteção de Dados (ANPD) publicou seu primeiro vídeo no novo canal da agência no YouTube.


No vídeo, que a ANPD chamou de Dia Internacional da Proteção de Dados, eles destacam que essa data reforça a importância da proteção de direitos fundamentais de liberdade e privacidade, relacionados ao uso de dados pessoais. Também lembram que este é o nosso primeiro ano em que comemoramos a data com a plena vigência da Lei Geral de Proteção de Dados Pessoais (LGPD) e com a atuação da ANPD.

Aproveitando essa data, a ANPD também publicou a Portaria nº 11 de 2021, com a agenda regulatória da entidade, que elenca 10 temas prioritários para os próximos dois anos (2021 e 2022), estabelecendo se serão regulados por portaria, resolução ou eventual orientação por guia de boas práticas - estabelecendo prazos de acordo com três fases distintas.

#DataPrivacyDay #DiadaPrivacidadeDeDados

[Segurança] Dia Internacional da Privacidade de Dados

Hoje, 28/01, é o dia Internacional da Privacidade de Dados (o "Data Privacy Day", em inglês). Que tal aproveitar esta oportunidade para revisar como está a sua exposição na Internet e cuidar um pouco mais da sua privacidade pessoal?


Eu separei algumas dicas e coloquei logo abaixo:
  1. Cuidado com o que você compartilha nas redes sociais!
    1. De uma revisada no seus posts e publicações nas redes sociais, verifique se você não está expondo muitas informações desnecessárias sobre você mesmo, sua família ou informações e opiniões polêmicas, que você possa se arrepender futuramente;
    2. Jamais compartilhe fotos e dados de transações bancárias e financeiras;
    3. Lembre-se que alguns hábitos e opiniões pessoais podem não ser bem vistas em um ambiente profissional, e é muito comum as empresas procurarem informações sobre candidatos na Internet, durante processos seletivos. Se você achar necessário, crie um perfil profissional separado do pessoal - principalmente se você for um autônomo ou microempresário (pois, nesses casos, a sua imagem pessoal está muito mais próximos do seu dia-a-dia profissional);
    4. Muitas redes sociais tem recursos para limitar quem pode ver seus posts (por exemplo, selecionar todo mundo, só os amigos ou um grupo restrito), e vale a pena sempre pensar bem antes de publicar informações sobre você nas redes sociais;


  2. No seu celular:
    1. Como estão as configurações de privacidade das suas contas nos seus aplicativos do seu celular? Dê uma revisada e aproveite para limitar o acesso a suas publicações, alertas e, principalmente, as suas informações pessoais somente para quem realmente precisa visualizá-las;
    2. Cuidado redobrado com o compartilhamento de sua localização: evite indicar sua localização em fotos e posts em redes sociais;
    3. Periodicamente revise as suas mensagens no celular e apague o que não for necessário. Suas mensagens de texto (SMS) e nos apps de comunicação (como o WhatsApp) podem incluir informações privadas, então é recomendado apagá-las para evitar que alguém veja, se conseguir acesso ao seu celular;
    4. Revise as configurações de alertas e notificações do seu celular, para que informações e mensagens privadas não apareçam na tela do seu aparelho, mesmo quando bloqueado;
  3. Aproveitando... nudes? Evite tirar e mantê-los em seu celular;
  4. Abra o seu navegador com uma aba anônima e faça uma busca no Google pelo seu nome e seu e-mail. Assim você pode ver o que existe publicado e compartilhados sobre você na Internet;
  5. Verifique as suas senhas para que nenhuma delas contenha seus dados pessoais. Não use, por exemplo, datas de nascimento e datas comemorativas nas suas senhas numéricas. Também evite usar palavras relacionadas a você, seus gostos, e seus hobbies. Sempre que possível, use segundo fator de autenticação.
Atualizado em 28/01:

O pessoal da TrendMicro compartilhou um infográfico bem objetivo sobre o assunto:


Achei esse vídeo bem legal, simples e objetivo: "Privacidade é dia a dia | Dia Internacional da Privacidade | 28.01.2021":



Veja também essas 6 dicas que o C6 Bank compartilhou no LinkedIn (atualizado em 03/02).

#DataPrivacyDay #DiadaPrivacidadeDeDados

janeiro 27, 2021

[Cidadana] Dia Internacional da Lembrança do Holocausto

Hoje, 27/01, é o Dia Internacional da Lembrança do Holocausto, ou Dia Internacional em Memória das Vítimas do Holocausto. Essa é uma data criada para lembrarmos das vítimas do Holocausto e o terrível marco que isso representa na história da humanidade.

Esse genocídio cometido pelos nazistas durante a II Guerra Mundial levou a prisão e morte de milhões de pessoas em campos de concentração, incluindo não só o povo judeu, mas também presos políticos, ciganos, poloneses, soviéticos, comunistas, homossexuais, testemunhas de Jeová, pessoas portadoras de deficiência física e mental, entre outras. Tudo fruto de um regime baseado na intolerância e na segregação. 

Esse dia foi escolhido por marcar a liberação do maior campo de extermínio nazista, o famoso campo de Auschwitz-Birkenau, pelas tropas soviéticas em 27 de janeiro de 1945.


É importantíssimo aproveitar essa data para lembrar o que pode acontecer quando uma sociedade se rende ao discurso da intolerância e extremismo.

Recentemente, o ator Arnold Schwarzenegger publicou um vídeo aonde comparou invasão ao Capitólio, sede do congresso dos EUA, à violência nazista. Como ele mesmo diz, ele nasceu na Austria (aliada ao regime nazista) no início do pós-guerra, e sua infância foi marcada pelas marcas causadas por esse regime. Esse vídeo viralizou e teve alguns trechos que me chamaram a atenção, incluindo quando falousobre uma lembrança “nunca compartilhada tão publicamente antes”:

"Ao crescer, eu era rodeado por homens destroçados, que se embriagavam por causa da culpa de sua participação no regime mais  maligno da história."
"Meu pai chegava em casa bêbado, uma ou duas vezes por semana, e gritava e batia em nós, e assustava a minha mãe. Eu não o culpo totalmente, porque o nosso vizinho estava fazendo a mesma coisa com a família dele, assim como o próximo vizinho. Eu ouvia com meus ouvidos e vi isso com meus próprios olhos. Eles sofriam dores físicas devido aos fragmentos em seus corpos e sofriam dores psicológicas devido ao que viram ou fizeram.”
Ele segue com uma frase, que se aplica muito bem aos dias atuais, infelizmente:
"Tudo começou com mentiras e mentiras e mentiras e intolerância. Sendo da Europa, eu vi em primeira mão como as coisas podem sair do controle."


Eu já tive a oportunidade de visitar dois museus sobre o Holocausto, uma vez em Washington (EUA) e também em Londres (UK), e é terrível ver as atrocidades realizadas por homens descontrolados, contaminados pelo discurso de ódio e que perderam o respeito ao próximo. Pessoas foram mortas aos milhões, pelo simples fato de não pertencerem ao padrão ideal estabelecido arbitrariamente pelo regime dominante.

janeiro 25, 2021

[Segurança] Cuidado com o golpe que promete Pix em dobro

Um novo tipo de golpe se popularizou rapidamente entre diversos fraudadores brasileiros: a promessa de que um bug no PIX faria com que a pessoa recebesse em sua conta o dobro do valor transferido para uma conta via PIX.

Tudo começou no final de semana do dia 16/01, quando surgiram comentários em fóruns criminosos de que um bug no aplicativo bancário do SuperDigital, do Santander, faria com que qualquer tentativa de transferência via PIX para contas com a chave PIX bloqueada não seria realizada, e por isso o cliente receberia o estorno da transação duas vezes. Tudo indica que o bug era real, pois o app do SuperDigital ficou indisponível, em manutenção, por alguns dias.


Essa reportagem do Tecmundo resume a treta que aconteceu com o Santander. Segundo relatos, os ciber criminosos conseguiram fraudar muito dinheiro graças a esse bug.

Depois que surgiu a notícia desse bug específico no app bancário SuperDigital, isso deu origem a uma sequência de boatos que começou a ganhar maiores proporções. Surgiram golpistas espertinhos que começaram a divulgar vídeos fakes (editados) e mensagens em redes sociais dizendo que se você mandasse dinheiro para uma determinada chave PIX (a chave deles, claro), você receberia de volta esse valor em dobro. E muita gente acabou caindo nesse golpe, mandando dinheiro diretamente para a chave PIX do fraudador.

Esses vídeos prometendo dobrar o saldo de quem fizer transferências via PIX, em geral, não são verdade! São apenas um novo golpe que surgiu recentemente. Lembre-se: Sempre desconfie de mensagens prometendo ganho de dinheiro fácil.

Rapidamente, o pessoal do Nubank correu e publicou um post no blog deles alertando para esse golpe. O post destaca que os fraudadores editam os vídeos para enganar suas vítimas:
"Os vídeos que costumam acompanhar esse tipo de mensagem são editados ou contém truques. Para mostrar a transferência “em dobro” funcionando, por exemplo, basta que os próprios golpistas realizem duas transferências – mas mostrem apenas uma na hora de filmar."
Vale reforçar que, claro, qualquer software ou transação é sujeito a bugs. Como o PIX foi implementado pelos bancos brasileiros a toque de caixa, seguindo prazos determinados pelo Banco Central, pode realmente acontecer que ainda existam bugs em alguns bancos. Por exemplo, essa reportagem mostra que o Itaú teve uma falha grave na sua implementação do Pix, no passado, que fez com que ele transferisse por engano quase R$ 1 milhão para contas em outros bancos.

janeiro 13, 2021

[Segurança] Guias Operacionais para adequação à LGPD

O portal do governo brasileiro publicou um conjunto bem legal de materiais para adequação a LGPD, disponíveis gratuitamente online. Além de um "Guia de Boas Práticas - Lei Geral de Proteção de Dados (LGPD)", publicado em Abril de 2020 e atualizado recentemente, o portal de Governança de Dados do Governo Digital oferece diversos "Guias Operacionais" que incluem guias de boas práticas, apresentações, templates e estudos de caso relacionados a etapas da conformidade com a LGPD:
  • Programa de Governança em Privacidade
  • Inventário de Dados Pessoais:
  • Termo de Uso
  • Avaliação de Riscos
  • Adequação de Contratos
  • Relatório de Impacto de proteção de dados - RIPD
  • Resposta à Incidentes
Esse é um ótimo material para consulta, mas não podemos nos esquecer que é voltado para a administração pública federal - logo, merece uma lida criteriosa e cuidadosa para quem desejar usar esse material em uma empresa privada.



janeiro 11, 2021

[Carreira] Como turbinar o seu perfil no LinkedIn

O perfil dos DevCansados no Twitter publicou uma sequência bem legal com algumas dicas de como melhorar o seu perfil no LinkedIn e, assim, ajudar na busca por oportunidades de carreira. Afinal, o LinkedIn é uma rede social profissional muito utilizada no mercado de tecnologia, e que serve tanto para se conectar com colegas como para você se destacar no mercado. Ele é a sua "vitrine profissional", e deve transmitir seriedade na medida certa (mas também não precisa ser super formal).

Sem exageros, podemos dizer que atualmente o LinkedIn já substituiu o tradicional "Curriculum vitae" (CV).



Veja abaixo uma transcrição das dicas deles, com alguns comentários extras meus:
  • Nome: Coloque seu nome e sobrenome reais, com a primeira letra em maiúscula, por favor. Não coloque nomes zoeira, nem apelidos. Certo: Devs Cansados Errado: devscansados / Sommelier de Bugs;
    • É "cafona" colocar suas certificações ao lado do nome. Não seja esse tipo de pessoa - a menos que você tenha feito um doutorado ou PHD foda, em uma Universidade mega-foda. Mesmo assim, não faria mal mostrar humildade;
  • Foto: Coloque uma foto de perfil legal, mas que pareça mais sério, sem efeitos. Não precisa ser uma foto de terno e gravata, basta uma foto normal, com aspecto neutro, e de preferência, centralizada. Bem iluminada, sério ou levemente descontraído;
  • Perfil: Esse é o coração do que deve destacar em seu perfil. É muito importante oferecer o máximo de informações relevantes sobre a sua carreira e educação. Cuide direitinho da sessão "Experiência Profissional", a mais importante de todas!! Aqui, você vai colocar todas as suas experiências profissionais relevantes - aqui o DevCansados sugere incluir "mesmo que tenha alguma que não seja na área", mas isso fica a seu critério. Eu só incluiria se fosse para demostrar que tenho mais tempo de experiência profissional além do tempo que atuo na área, ou se for algo que complemente ou valorize a minha experiência atual. É importante detalhar toda a experiência sua, colocando ferramentas, linguagens, metodologias usadas e etc… Dessa forma, por exemplo, se você for um dev Java, você evita uma oferta de QA, por exemplo, e ajuda os recrutadores de cada área;
  • Educação: Nessa seção, coloque somente educação de nível técnico para cima. Cursos e certificações possuem outra sessão. Se você passou por diferentes áreas (ex: biomedicina e TI), não coloque o curso de biomedicina, pois é uma informação irrelevante para vagas de TI;
  • Competências: Coloque todas relevantes para sua profissão, e 3 das mais fortes para ficar em destaque. Elas vão ser exibidas em todas as visitas do seu perfil. Coloque apenas as competências de sua área. Se você é dev, não faz sentido colocar “cozinheiro”. Você também pode conquistar uma medalha do Linkedin dessa competência. Na nossa área, tem diversas medalhas, java, node, agile… É uma prova de 15 questões, e se você passar, esse emblema é mostrado no seu perfil. Se vc errar, não mostra e você pode tentar novamente;
  • Licenças e Certificações: Aqui é sua hora de brilhar! Coloque todos os cursos e certificações relevantes que tiver. Se tiver credencial, se tiver link, coloca também. São suas informações complementares, mas também são oportunidade para se destacar!
  • Idiomas: Fala mais de uma língua? Você pode adicionar essa informação na sessão de conquistas, além de poder criar seu perfil do Linkedin nessa língua também. Ou seja, se você configurou em Português e Inglês, um recrutador com o Linkedin em Inglês, vai ver seu perfil em Inglês;
    • Escrever o perfil em Português ou Inglês? Na verdade, use a língua que você domina. Preferencialmente, escreva sua bio e suas informações em inglês (se você domina a língua), assim mais gente vai poder visualizar o seu perfil. Mas, se você não é fluente, tudo bem em deixar tudo em Português. O importante é que não tenha erros gramaticais!
  • URL do perfil: pode configurar a URL também, para não ficar aquela URL gigante e você mesmo pode criar uma personalizada. É uma boa dica;
  • Recomendações: É bom ter algumas recomendações de colegas e antigos gestores em seu perfil, mas sem exageros. Peça recomendação somente para pessoas com quem você trabalhou e teve uma experiência positiva. É melhor ter poucas recomendações sinceras do que muitas que não dizem nada com nada;
  • Participação em eventos: Se você assistiu um evento, não coloque, pois isso não é relevante. Na minha opinião, esse é um erro muito comum. Só inclua informações sobre isso se você palestrou ou organizou um evento;
  • Aproveite para publicar posts e, até mesmo, artigos em seu perfil no LinkedIn. Compartilhe informações relevantes, que mostrem seus conhecimentos e que você está antenado no mercado.
Mesmo sendo uma rede social profissional, o mais importante é que seu perfil reflita quem você é e também a sua personalidade. Não deixe isso escapar por conta de regras ditadas por outras pessoas.




janeiro 07, 2021

[Segurança] WOMCY em 2020

A Andréa Thomé, líder do capítulo brasileiro da WOMCY (LATAM Women in Cybersecurity), publicou um post em seu perfil no LinkedIn aonde apresentou números que mostram como a WOMCY foi super ativa em 2020, com diversas atividades realizadas, sempre promovendo a participação de mulheres maravilhosas no mercado de segurança.

Os números mostram o sucesso da WOMCY:
  • +6000 participantes alcançados
  • +400 voluntários e membros
  • +100 mentorias entregues (através de evento próprio e com a FESA Group)
  • +69 eventos e lives próprias
  • +62 participações em painéis, lives, podcasts e entrevistas como convidados
  • +60 líderes para programas e equipe
  • +17 palestras em universidades
  • +15 programas executados
  • +15 apoiadores
  • +8 patrocinadores
  • +6 painéis no aniversário de um ano comemorado com as parceiras CyberSecurityGirls BR
  • +3 ações educacionais - (i) Academia CISCO, com +700 inscritos, (ii) curso de Linux com +30 inscritos


Atuando no Brasil há pouco mais de um ano, o capítulo Brasileiro está bem ativo graças a liderança inspiradora da Andréa e da ajuda de diversas voluntárias, membros, apoiadores e patrocinadores.

Parabéns a todas as pessoas envolvidas nessa iniciativa!!!

Conheça mais sobre o projeto no site www.womcy.org.

janeiro 06, 2021

[Carreira] Júnior, Pleno, Sênior ou Zumbi?

O Igor Rincon publicou recentemente um vídeo muito legal em seu story no Instagram aonde ele explica a diferença entre níveis Júnior, Pleno e Sênior na carreira, e dá um exemplo bem criativo: como cada um reagiria se tivesse uma arma com 1 bala e 3 Zumbis em sua direção.

Júnior, Pleno e Sênior são três nomenclaturas muito usadas em todo o mercado para definir o nível de uma pessoa em uma determinado ponto da carreira. Normalmente, Júnior é aquele profissional em início da carreira, que ainda tem muito o que aprender. O Pleno é o profissional no meio da carreira enquanto o Sênior representa o profissional experiente, com ótimo nivel de conhecimento e que, em poucas palavras, "se vira sozinho".

Na verdade, existem mais níveis em um plano mais completo de carreira, além de existirem vários caminhos alternativos, como as famosas "carreiras em Y" e a mais moderna e não tão famosa ainda, "carreira em W". As nomenclaturas e requisitos podem variar um pouco em cada empresa ou segmento de trabalho, mas a grosso modo, o mercado costuma considerar pelo menos os níveis abaixo:
  • Estagiário ou Trainee
  • Júnior (Jr.)
  • Pleno (Pl.)
  • Sênior (Sr.)
  • Especialista
  • Coordenador
  • Gerente
  • Diretor
Quando falamos em "Carreira em Y", a empresa considera que o funcionário pode se desenvolver tecnicamente sem obrigação de assumir um cargo de gestão - o que é ótimo, pois existe muita gente que não tem interesse ou skills para ser um bom gestor, e prefere seguir uma carreira mais operacional. Então, o cargo de Coordenador (normalmente já é uma função de gestão) tem o equivalente ao "Líder Técnico", e o "Principal Engineer" pode ser o equivalente ao Gerente ou Diretor, dependendo de como a empresa estabelece seu plano de carreira.

É comum encontrar empresas que possuem um plano de carreira em que cada nível acima é dividido em 3 subníveis, I, II e III (ou seja, tem o Júnior I, Júnior II, Junior III, etc). Algumas empresas subdividem a carreira de Especialista em Jr, Pl e Sênior.

Os requisitos para você passar de nível em sua carreira variam muito de empresa para empresa. Basicamente o nível depende de quanto maior forem as suas competências específicas ("hard skill", ou conhecimento técnico) e suas competências profissionais ("soft skills", como por exemplo, trabalho em equipe, liderança, independência, quociente emocional, etc).

Como uma regra geral, até alguns anos atrás considerava-se que um profissional poderia demorar uns 3 anos em cada nível (antigamente, esse número mágico poderia ser de 5 anos até estar apto a mudar para o próximo nível). No mercado de tecnologia essa regra de tempo de trabalho não funciona, entretanto, devido principalmente a característica de auto-didatismo e foco na entrega, além da pressão do mercado causada pela falta de profissionais e alta competitividade. Assim, é comum encontrar profissionais que conseguem galgar rapidamente postos na carreira.

Mas não podemos nos esquecer que, quanto maior o nível de senioridade na carreira, também maior será a pressão por resultados e espera-se uma maturidade pessoal e profissional correspondente. Ou seja, uma pessoa com pouca experiência no mercado, mesmo que consiga um cargo de "sênior", terá dificuldade em seu dia-a-dia, pois não terá a maturidade que a empresa e colegas esperam dela.

Voltando ao exemplo do Igor Rincon, como um profissional reagiria se fosse atacado por três zumbis e só tivesse uma bala na arma? #WalkingDeadFeelings


Na minha opinião (parecida com a do Igor), o cenário seria mais ou menos o seguinte:
  • O Estagiário entraria em desespero e sairia correndo, gritando e pedindo ajuda (ops, com os gritos, ele iria atrair mais zumbis, aumentando o tamanho do problema!);
  • O Analista Júnior não saberia usar a arma. No desespero, ele ira tentar atirar e, possivelmente, erraria o tiro e desperdiçaria a bala. Com sorte, acertaria um zumbi. Se tiver azar, acertou o tiro no próprio pé e, assim, não conseguiria nem fugir;
  • O Analista Pleno iria atirar nos Zumbis. Provavelmente acertaria um deles, mas ainda teria que se virar com os outros 2 restantes;
  • O Analista Sênior iria analisar a situação, avaliar as possibilidades de fuga e de pedir ajuda. Se possível, ele pediria ajuda para, com trabalho em equipe, conseguir matar os três zumbis. Se isso não fosse possível, ele iria atirar e matar o Zumbi que apresenta maior risco (o mais ágil e/ou o mais perto) e fugiria dos outros 2, ou mataria eles de outra forma;
  • O Especialista iria preparar uma armadilha para os três Zumbis, matar um com uma bala e os demais com alguma outra arma ou com um simples cabo de vassoura, e sairia ileso, calmamente;
  • O "Principal Engineer" daria um único tiro, sem olhar, e com apenas uma bala mataria os três Zumbis.


janeiro 05, 2021

[Segurança] Previsões para 2021 (com memes)

Depois de um ano m* como foi 2020, qualquer previsão para 2021 pode se resumir em "espero que não piore".

   

OBS (adicionado em 08/01): Xi, já tem gente pedindo o rollback! Parece que 2021 é, na verdade, a Temporada 2 de 2020 !!!

   



A expectativa otimista de todos é que a pandemia possa ser controlada com o avanço da vacinação contra o COVID-19 ao redor do mundo. Talvez em meados de 2021 possamos voltar a uma vida mais próxima ao normal.


Mas, falando sobre o nosso mercado de segurança, eu passo abaixo as minhas previsões para o ano de 2021, baseado nas tendências atuais, um pouco de achismo, uma pitada de chutômetro e anos de experiência acumulada de muita procrastinação:
  • Os impactos da Pandemia
    • Consolidação do trabalho remoto como prática dominante no mercado - mas pode ser possível que daqui a alguns meses e nos próximos 1 ou 2 anos comecemos a ver as pessoas querendo voltar para o escritório. Eu acredito que a maioria das empresas vão assumir um modelo de trabalho híbrido, com os times revezando entre alguns dias no escritório e outros dias em casa, trabalhando remotamente. Isso permite reduzir o tamanho dos escritórios atuais, economizando recursos. Também deve ampliar o escopo de contratação de profissionais para além das cidades aonde as empresas mantém suas operações, permitindo o crescimento do mercado de tecnologia e de segurança para além dos grandes centros urbanos;
    • Maior foco em proteção do Endpoint, devido a proliferação do trabalho remoto durante e após a pandemia do novo Coronavírus. No cenário de trabalho remoto e longe das redes corporativas, a proteção dos end points (computadores dos usuários finais) tornou-se fundamental, uma vez que agora nossos funcionários podem (e precisam) trabalhar a partir de qualquer lugar - inclusive a partir de redes locais inseguras. Além do uso obrigatório de tecnologias de autenticação de dois (ou mais) fatores (2FA e MFA), o Zero Trust é um conceito fundamental nesse "novo normal";
    • Ainda teremos muitos golpes e ciber ataques relacionados a COVID-19, pois a pandemia ainda vai dominar a vida de todos nós até, pelo menos, metade do ano. Já estamos vendo surgir, por exemplo, golpes de phishing oferecendo acesso a vacina contra o Coronavírus, além de ciber ataques aos laboratórios e, até mesmo, venda online de vacina falsa;
  • Ransomware corporativo bombando!
    • Os ataques de Ransomware com foco corporativo continuarão bombando e extorquindo milhões de dólares de grandes empresas, graças as técnicas de double e triple extorsion (criptografia e roubo de dados, além de DDoS). Além de aumentar a tendência de ataques direcionados, acredita-se que, graças aos ganhos milionários com resgates exigidos de empresas, os ciber criminosos também possam focar em corromper ou extorquir funcionários para implantarem ransomware na empresa aonde trabalham;
    • Deve ganhar força ações governamentais para criminalizar o pagamento de resgates de ransomwares, fruto da explosão dos ataques de ransomwares aos ambientes corporativos. Na incapacidade de prevenir e combater esse tipo de ciber crime de forma efetiva, o caminho mais fácil para as autoridades é criminalizar o pagamento dos resgates. É possível, por exemplo, surgir esforços para enquadrar tais pagamentos em regulamentações contra a lavagem de dinheiro e financiamento ao crime e terrorismo. Consequentemente, vão surgir empresas de consultoria especializadas em "mascarar" esses pagamentos;
  • A saga da LGPD continua!
    • 2021 será, com certeza, o Ano do LGPD no Brasil (ok, eu disse a mesma coisa no ano passado!), forçando as empresas a se adaptarem a lei, com a consolidação assim que a Autoridade Nacional de Proteção de Dados (ANPD) começar a funcionar realmente. Em Agosto de 2021 também teremos um novo "boom" da LGPD, com o início da aplicação das sanções administrativas. De qualquer forma, começaremos a ver as empresas tratando os dados pessoais com mais cuidados e com mais respeito aos direitos dos titulares;
    • Proliferação, no Brasil, de empresas oferecendo "DPO as a Service" e, por tabela, "CISO as a Service", graças a baixa quantidade de profissionais para suprir a demanda de mercado. Além disso, como A LGPD é aplicada a todos os setores da economia, as empresas de pequeno e médio porte não tem capacidade de manter profissionais dedicados, sendo obrigados a buscar a terceirização dessa função em formato de consultoria;
    • Há quem acredite no surgimento de chantagem pelo sequestro de dados pessoais, por causa das multas da LGPD. Mas eu sou do contra, duvido que isso ocorra. Há uma grande especulação no mercado e segurança de que a entrada da LGPD e suas multas por vazamento de dados vai estimular o mercado criminoso de roubo de dados e extorsão em troca da não divulgação. Isso pode acontecer, claro, pois a criatividade dos criminosos não tem limites, e considera-se que o valor exigido pelos criminosos seria menor do que a potencial multa que a empresa pagaria. Mas eu não acredito que isso realmente vá acontecer em grande escala e que vai ter relevância (embora nunca possamos duvidar da criatividade dos criminosos brazucas), pois até aonde eu sei o mesmo fenômeno não aconteceu na Europa, com a entrada da GDPR há 2 anos atrás;
  • Gestão de acessos a ambientes em Cloud vai ser um tópico quente em 2021 e talvez nos próximos anos, principalmente graças a grande quantidade de dados vazados diariamente - muitos vindos de repositórios em nuvem, sem a devida proteção. CASB vai virar uma buzzword frequente!
  • Novos modelos de eventos, overdose dos eventos online e foco nos eventos presenciais pós-pandemia - As pessoas já estão ficando exaustas dos eventos online, das frequentes lives, webinars e cursos online. O boom de 2020 não vai se sustentar em 2021, pois as pessoas vão ficar cansadas desse modelo, principalmente por causa da quantidade exagerada de lives que vimos em 2020. A flexibilização (e eventual fim) das medidas de isolamento social vai trazer de volta os eventos presenciais, e as pessoas terão a oportunidade de retomar essa interação. O mercado e eventos vai se adaptar, com eventos online mais focados em conteúdo e eventos presenciais focados em networking, com surgimento dos eventos mistos (parte do conteúdo online e parte presencial), juntando o melhor de cada um dos cenários;
  • Mercado Brasileiro
    • Em termos do ciber crime brasileiro, acredito que em breve veremos surgir golpes usando os cartões com aproximação (contactless), que estão se popularizando no Brasil, e também teremos o aumento nas fraudes relacionadas ao uso do PIX, o sistema de pagamentos instantâneo que começou a operar no Brasil no final de 2020. Conforme o PIX se populariza e cai no gosto da população, mais ele também será utilizado por criminosos, de diversas formas: como tema em esquemas de fraude (ex, sites falsos e phishing para acessar credenciais bancárias), como forma de transferência rápida de dinheiro entre contas, etc
    • Eu acredito que vamos ver o mercado de Bug Bounty crescer no Brasil em 2021. Aos poucos, bem aos poucos, as empresas nacionais estão acreditando no bug bounty como uma forma de ajudar a identificar vulnerabilidades. Já temos muitos pesquisadores brasileiros participando de programas de BB mundo a fora, mas ainda falta ver a adesão das nossas empresas.

Para saber mais:

Adicionado em 08/01: Dê uma olhada nesse artigo também: 10 fastest-growing cybersecurity skills to learn in 2021.

Adicionado em 28/01: Vale a pena dar uma lida rápida nesse artigo da Kaspersky: A privacidade digital no futuro: previsões dos especialistas para a próxima década.

Adicionado em 19/02: A HackerOne tem um relatório curto e interessante: Hacker Trends & Security In 2021.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.