dezembro 30, 2022

[Segurança] Ciber Retrospectiva 2022

Se eu fosse resumir em poucas palavras como foi o cenário de ciber segurança em 2022, eu escolheria 2 fatos: ransomware e guerra cibernética.

É impossível fazer uma retrospectiva de 2022 sem falar na "pandemia de ransonware" que estamos vivendo nesses últimos anos. Esse é, sem dúvida, a causa dos pesadelos e noites mal dormidas de 10 em cada 10 CISOs. E o risco dos ataques de ransomware causa grande influência no mercado, direta e indiretamente: eles são uma das causas do burnout entre os profissionais da área, são o principal motivador na contratação de seguros cibernéticos e no investimento em tecnologias de segurança e, até mesmo, trouxeram para a pauta dos executivos a necessidade de conscientização dos usuários!

Os ciber ataques fizeram grandes vítimas em 2022, entre empresas e órgãos de governo, tornando isso uma preocupação cada vez mais constante para os executivos.

A lista ciber ataques e de vítimas dos ataques de ransomware neste ano é enorme, incluindo grandes empresas no Brasil e no mundo, e até o jornal britânico The Guardian não passou ileso, e sofreu um ataque de ransomware dias antes do Natal. Os ataques de Ransomware em 2022 forçaram o Lincoln College, nos EUA, uma instituição educacional de 157 anos, a fechar suas portas, fizeram toda a nação da Costa Rica a declarar uma emergência, obrigaram a montadora Toyota a fechar suas operações em 14 fábricas no Japão. por um dia inteiro, roubaram dados da Ferrari, interromperam os trabalhos do corpo de bombeiros na Australia e do porto de Lisboa - além de vários casos de hospitais impactados por incidentes de ransomware (como no caso de 270 mil pacientes de um hospital em Louisiana. Aqui no Brasil, a lista de vítimas inclui a Rede Record, o Banco PAN e o Banco de Brasília (BRB), que sofreu um ataque do ransomware LockBit e foi feito um pedido de resgate de cerca de 50 Bitcoins (BTC) (equivalente a cerca de R$ 5,2 milhões).

Com a pandemia de ransomware assustando executivos em todo o mundo, podemos facilmente ver impactos diretos e indiretos no mercado. O seguro cibernético se consolidou no mercado, inclusive no Brasil, e é visto como a "tábua de salvação" para as empresas. Mas não se iludam... além de não ser barato, os seguros tem cláusulas específicas que devem ser analisadas com cuidado no momento da contratação. Por exemplo, confirme se o seguro cobre o pagamento de resgate (tema muito polêmico atualmente) e se a cobertura pode ser reduzida se o incidente for causado por um erro ou falha na empresa (vale lembrar que a grande maioria dos incidentes são causados por falha humana).

Vamos ver então alguns dos principais fatos que marcaram o mercado de segurança da informação neste ano.

No mundo:

  • Guerra cibernética na Ucrânia: Vamos ser sinceros... ninguém nunca, jamais, previu que teríamos uma guerra e uma ciberguerra em andamento - muito menos que ela fosse durar tanto tempo, com a Ucrânia resistindo bravamente aos ataques russos e, infelizmente, sem previsão de cessar-fogo tão cedo :(
  • Por tabela, a guerra entre a Rússia e Ucrânia despertou o Hacktivismo, com diversos grupos ativistas e ciber criminosos tomando partido por um dos lados do conflito;
  • Pandemia de ransonware: Como eu comentei acima, os ataques de Ransomware foram a principal preocupação das empresas em todo o mundo, com diversas empresas conhecidas sendo impactadas;
  • Busca desesperada por seguro cibernético: Os ataques de ransomware tem aquecido no mercado de seguro cibernético nos últimos anos - até demais! As empresas estão vendo o seguro cibernético como tábua de salvação, já que a lista de vítimas dos ransomwares só aumenta (mas vou falar sobre isso nas minhas previsões para 2023);
  • Nunca se falou tanto sobre ataques a cadeia de suprimentos (supply chain attacks). Eu não sei exatamente porque o mercado insiste tanto em promover essa buzzword, mas o fato é que se fala muito disso. Não é novidade nenhuma, mas tá na agenda da galera;
  • As tecnologias de autenticação estão na mira dos atacantes. A OKTA e a LastPass foram invadidas, o que pode fornecer meios que podem facilitar a invasão futura a seus clientes. Além disso, vimos o comprometimento das tecnologias de MFA com o surgimento e popularização dos ataques de Fadiga de MFA (MFA Fatigue) - que estão em voga e fizeram várias empresas grandes de vítima, como no caso da Uber;
  • Burnout: a popularização dos ataques trouxe grande atração e pressão para a figura do CISO e das equipes de segurança, mas infelizmente a custa de muito stress e burnout. Junte a isso a dificuldade de contratar pessoal (que torna as equipes menores do que o ideal e os profissionais mais sobrecarregados), os stress específicos que surgiram durante o período da pandemia, etc;
  • Tivemos muitos ataques a empresas de criptomoedas e NFTs neste ano, aonde os criminosos conseguem obter valores milionários! Em um ciber ataque na Horizon Bridge da Harmony, em junho deste ano, os criminosos obtiveram cerca de 100 milhões de dólares. Este foi apenas um dos diversos ataques ocorridos nestas plataformas durante o ano;
  • Muito se falou sobre o Metaverso, e até sobre sua suposta "versão do mal", o "Darkverso". Mas não vi grande adoção e uso no decorrer desse ano, muito pelo contrário: já podemos ver notícias que indicam que essa onda pode não ser tão forte quanto imaginada inicialmente;
  • A Austrália foi vítima de grandes vazamentos e ciber ataques neste ano, eu nunca eu havia visto tantos casos por lá. O principal vazamento de dados aconteceu em Outubro com a empresa de planos de saúde Medibank, e agora em Dezembro até mesmo o corpo de bombeiros do estado de Victoria foi vítima de um ciberataque!

Aqui no Brasil:

  • Estamos vivenciando um grande aumento da criminalidade voltada a fraude bancária, com roubo de celulares, sequestros relâmpagos e golpes do Pix, muito motivado pela agilidade trazida pelo Pix e pela rápida bancarização e uso de mobile ranking na população (fruto do período de lockdown na pandemia e da popularidade do Pix);
  • Vejo o início da popularização dos programas de bug bounty no mercado brasileiro, com provavelmente mais de 50 empresas já possuindo programas de notificação e recompensas por bugs;
  • Quando falamos nos ataques a tecnologias de autenticação, a popularização do mobile ranking no Brasil fez com que os criminosos voltassem seus esforços para burlar as tecnologias de autenticação biométrica usada pelos bancos digitais, inclusive usando ferramentas de deep fake para tentar burlar a autenticação facial de clientes;
  • A área de conscientização começa a ganhar atenção dentro das empresas. Os profissionais dedicados a conscientização ainda são poucos, pois é raro ver empresas com estratégia, orçamento e pessoal dedicado a conscientização de usuários. Mas isso está aumentando, provavelmente por conta do alto risco do fator humano associado aos ataques de ransomware. Ganharam muito destaque as campanhas bem feitas e caprichadas do Itaú e do Nubank;
  • Eu tenho visto também um grande aumento de perfis no Instagram sobre segurança da informação, usado por profissionais da área para compartilhar notícias e, principalmente, educar os usuários finais;
  • Não posso deixar de citar as fake news distribuídas e compartilhadas aos montes no período das eleições.

Os golpes mais comuns no Brasil em 2022:

  • golpe do Whatsapp;
  • sequestro de perfis no Instagram para divulgar falsas promoções em redes sociais (principalmente no Instagram)
  • roubos de celulares para invadir as contas bancárias;
  • golpe da Mão Fantasma: o usuário é convencido a baixar um app em seu celular que dá acesso remoto ao criminoso, que por sua vez vai acessar os apps bancários da vítima e limpar suas contas;
  • golpe do Tinder: os criminosos estão usando perfis falsos em redes de relacionamento para atrair vítimas para encontros, aonde são sequestradas e mantidas em cativeiro enquanto tem suas contas bancárias esvaziadas.

Coisas que acontecem todos os anos e não foi novidade:

  • tivemos novos volumes recordes nos ataques DDoS, chegando a 26 milhões de requisições por segundo;
  • os ataques de ransomware continuam crescendo em complexidade, quantidade de vítimas e valor arrecadado pelos criminosos;
  • aumento das estatísticas de fraudes e ciber ataques.

Os ataques mais bizarros do ano:

Elas sofreram 2 ataques nesse ano, e quase podem pedir música no Fantástico:

  • Uber
  • Lastpass
  • Jakks Pacific: Fabricante de brinquedos americana que foi atacada com menos de 10 dias de diferença pelos grupos Hive e BlackCat
Algumas estatísticas de 2022:
  • Segundo a Akamai, entre 2021 e 2022 os ciberataques relacionados a serviços financeiros na América Latina aumentaram 419%, ultrapassando em números absolutos, durante este ano, a casa dos 20 milhões;
  • O Panorama de Ameaças da Kaspersky indica que 2.366 ataques de malware e 110 mensagens fraudulentas oriundas de phishing foram bloqueados por minuto na América Latina em 2022, com mais de 1,5 mil somente no Brasil. Por aqui, são nada menos do que 1.554 tentativas por minuto ou 65% de todos os bloqueios na América Latina;
  • Segundo a (ISC)² o gap global de mão de obra qualificada na área segurança cibernética aumentou 26,2% neste ano, na comparação com 2021, elevando em 3,4 milhões o número de profissionais necessários para atender as necessidades do mercado.

Para saber mais:

PS: Pequena atualização em 30/12 e em 03, 06, 09 e 12/01/2023. Atualizado em 20/01 para incluir mais algumas notícias e referências. Pequena atualização em 08, 15 e 22/05, e em 02/06.

PS/2: Esse post foi reproduzido no portal CryptoID: Segurança – Ciber Retrospectiva 2022. Por Anchises Moraes.

PS3 (02/06): Por algum motivo bizarro e sem noção, esse post foi suspenso temporariamente pela Google em 29/05, sub suspeita de violar as regras de comunidade referente a Malware e Vírus.

PS4 (17/10): O CEO da Mandiant, Kevin Mandia, fez uma apresentação na RSA Conference com uma revisão dos acontecimentos em 2022 - The State of Cybersecurity – Year in Review:



dezembro 28, 2022

[Cidadania] Retrospectiva: Voltamos melhor após a pandemia?

 Não.

[Carreira] Retrospectiva: Não podemos esquecer dos benefícios do Home Office

Neste ano, 2022, estamos vivendo o fim da pandemia do Coronavírus, e vale a pena refletir sobre as mudanças que poderiam ter ocorrido graças a ela. Nesses dois anos de pandemia, uma parte da força de trabalho foi colocada em home office. E agora, com o retorno a "vida normal", como será o futuro do trabalho remoto? Ou melhor... será que há futuro?

Com o fim da pandemia, eu vejo um movimento grande de retorno aos escritórios, colocando à prova o sonho do trabalho remoto. Mas o trabalho remoto, ou mesmo o modelo de trabalho híbrido, traz muitas vantagens, que não poderiam ser ignoradas.

Durante a pandemia do novo coronavírus, desde o início de 2020 diversas empresas foram obrigadas a adotar o trabalho remoto em função da exigência de quarentena e isolamento social imposta pelas autoridades sanitárias no Brasil e em diversos países ao redor do mundo. Do dia para a noite, literalmente, muitos executivos que eram reticentes a adoção do trabalho remoto tiveram que adotar esse regime a força. E, assim, diversas empresas experimentaram o trabalho remoto pela primeira vez, em praticamente todas as suas áreas de negócio. Em alguns casos, as áreas de tecnologia já praticavam o regime de trabalho remoto, mesmo que extra-oficialmente, mas sua adoção era muito mais rara nos demais times das empresas.

Olha que interessante esse gráfico da Reuters sobre a adoção de isolamento social e restrição de comércio no Brasil durante o período da pandemia:


Apesar da tragédia humana que a pandemia representou, ela também nos deu a oportunidade de refletir sobre nosso modo de vida. Especialmente no caso do trabalho remoto. Eu acredito que o resultado desse período de adoção do home office acabou sendo muito positivo para todo mundo, empresas e funcionários. Eu vejo que, na prática, muitas empresas conseguiram manter o seu nível de produtividade e entregar os resultados esperados mesmo com parte ou totalidade dos seus empregados trabalhando em casa, longe dos escritórios.

É claro que nem tudo foi flores nesses últimos dois anos: já se falou muito sobre o grande crescimento de casos de stress e burnout nesse período, tanto é que a saúde mental entrou na pauta de todas as empresas. Mas eu acredito que eles foram causados pela pressão do confinamento durante o período de isolamento social, e não pelo regime de trabalho remoto em si. Além disso, muitas empresas, executivos, gestores e funcionários não estavam preparados adequadamente para o trabalho remoto, em termos de tecnologia, processos, gestão e cultura corporativa, e foram obrigados a se adaptar rapidamente - e não necessariamente de forma adequada. Por exemplo, muitos profissionais foram obrigados a adaptar algum cômodo de sua casa para o trabalho, sem necessariamente ter condições adequadas de infraestrutura e nem mesmo de ergonomia.

Ou seja, não podemos nos esquecer desse ensinamento precioso que a pandemia nos trouxe, apesar de tanta tragédia humana: o trabalho remoto é viável e é funciona!

Infelizmente, eu vejo um número relevante de empresas voltando totalmente ao trabalho presencial, reocupando os espaços de escritório. Aqui no Brasil e no mundo, enquanto algumas empresas adotaram definitivamente o trabalho remoto ou híbrido (com alguns dias no escritório e outros em casa), outras querem voltar ao regime de trabalho pré-pandemia, com todos os funcionários de volta aos escritórios.


Eu já escrevi sobre isso aqui e diversas vezes no meu blog sobre Home Office, mas vou continuar repetindo: existem diversas vantagens para os trabalhadores e para as empresas na adoção do regime de trabalho remoto. É lógico que existem diversas áreas e atividades em que é necessário o trabalho presencial, como por exemplo em diversas funções nas indústrias de manufatura, agricultura, transportes, segurança pública, serviços hospitalares e de saúde, etc. Mas, quando o trabalho remoto é possível, ele também é viável e vantajoso.

Então, vale muito a pena relembrar quais são os benefícios quando a empresa adota o trabalho remoto ou o híbrido. Eu acredito que os pontos abaixo são os principais:
  • Melhor equilíbrio entre a vida pessoal e profissional. Uma das primeiras vantagens citadas é o aumento da qualidade de vida, por conta do maior distanciamento do escritório e maior proximidade com o lar. O fim da necessidade de deslocamento entre a casa e o escritório permite o melhor aproveitamento, de forma mais produtiva, desse tempo (em uma cidade como São Paulo facilmente varia entre 30 minutos e 2 horas desperdiçadas por dia). Para os trabalhadores remotos, esse tempo extra pode ser aproveitado para uso pessoal (lazer, descanso, exercícios, cuidados com a família e saúde, etc) ou profissional (por exemplo, extender o horário de trabalho ou aproveitar esse tempo para o estudo). O trabalho remoto também permite uma maior proximidade com a família, participando mais próximo da rotina de casa e dos filhos. Se bem administrado, o home office permite construir um melhor equilíbrio entre a vida pessoal e profissional;
  • Aumento da produtividade e eficiência do trabalho. Mesmo remotamente, os funcionários acabam produzindo mais e melhor, com mais eficiência, por diversos motivos:
    • É muito comum ouvir relatos de pessoas que acabam trabalhando por muito mais horas quando estão em casa do que no escritório, pois nem sempre tem o mesmo controle do tempo. É comum ver funcionários remotos começando a trabalhar mais cedo e terminando as tarefas muito mais tarde do que no período em que estavam nos escritórios. Isso tem muito a ver, na minha opinião, com a dificuldade que algumas pessoas encontram ao gerenciar o seu tempo e definir limites, além de ser demandados fora do horário tradicional por outros colegas e por seus superiores;
    • Ao trabalhar de casa, os funcionários conseguem se concentrar mais em seu trabalho, uma vez que não acontece interrupções e distrações tão frequentes quanto no ambiente de escritório, onde sempre tem algum colega que passa pela sua mesa para bater um papo rápido ou para convidar para o cafezinho. Eu tenho diversos colegas que trabalham com desenvolvimento de software, um trabalho que exige muita concentração, e relatam a dificuldade de trabalhar no escritório por causa dessas interrupções;
    • As reuniões de trabalho ficam muito mais produtivas. As reuniões on-line, por vídeo conferência, acabam sendo muito mais objetivas e produtivas do que as reuniões presenciais. O primeiro motivo é que elas normalmente começam e terminam no horário marcado, sem atrasos, pois não há necessidade de deslocamento nem de disputar salas de reunião. É muito comum, no ambiente de escritório, você chegar na sala de reunião que você reservou e, no horário da sua reunião, a sala ainda estar ocupada porque a reunião anterior atrasou. E, por tabela, a sua reunião vai atrasar também. Essa situação não existe nas reuniões on-line. Além disso, as reuniões on-line não permitem as conversas em paralelo e distrações que normalmente minam as reuniões presenciais. Só uma pessoa consegue falar e ser ouvida por vez, logo, todos acabam respeitando o direito à palavra de cada um;
  • Economia nos gastos com escritório, graças a menor necessidade de uso e de ocupação de espaço para o escritório. Isso significa redução nas despesas com aluguel, água, luz e despesas em geral com o escritório (incluindo móveis, segurança física e patrimonial, condomínio, etc). Com o regime de trabalho remoto ou híbrido, a empresa pode utilizar um espaço muito menor de escritório, e muitas vezes focado principalmente em ser um local de integração entre os times remotos, em vez de espaço de trabalho. A empresa pode ter grande economia se mantiver um espaço com posições equivalente à metade da sua força de trabalho, ou muito menos até - dependendo da porcentagem de profissionais remotos ou em trabalho híbrido;
  • Descentralização do trabalho e impacto positivo no cenário macro-econômico: a partir do momento em que o trabalho remoto permite que os funcionários estejam em qualquer lugar, temos a oportunidade de expandir a força de trabalho para além dos grandes centros. Com uma parcela significativa da economia nacional e das empresas centralizadas em São Paulo, o regime de trabalho remoto possibilita a contratação de profissionais qualificados em qualquer cidade ou estado, expandindo o mercado de trabalho para além das capitais e pólos específicos. Isso representa uma possibilidade de mudança do eixo econômico brasileiro, desafogando os grandes centros urbanos e promovendo o crescimento das demais cidades. Eu mesmo conheço vários colegas que saíram de São Paulo para buscar melhor qualidade de vida em cidades menores ou que voltaram para suas cidades de origem, de volta ao convívio mais próximo a família;
  • Impacto positivo nas cidades e no clima, graças a diminuição do trânsito devido a menor necessidade de deslocamento das pessoas. Um trabalhador em home office é uma pessoa a menos para se deslocar para o trabalho - um carro a menos nas ruas, nos horários de pico;
  • Ambiente mais aberto a inclusão e diversidade. Trabalhando longe do ambiente tóxico de muitos escritórios, profissionais de diversas minorias podem realizar seu trabalho, e ser avaliado pelos seus resultados, sem ter que lidar com o preconceito explícito e implícito que muitas vezes encontramos em alguns ambientes de trabalho, carreiras ou setores específicos.
Foi intencional eu ter deixado por último o ponto sobre o trabalho remoto ser propício a afastar as pessoas de um ambiente tóxico. Isso porque este é um tema que se discute muito pouco, mas que é relevante - principalmente se falamos em áreas com problemas de diversidade - como a área de tecnologia e de segurança, predominantemente machistas.

Além disso, tem uma outra vantagem para o empresário, só que muito pouco falada: no trabalho remoto, em muitos casos o funcionário continua trabalhando mesmo quando está doente. Isso aconteceu com muita frequência durante pandemia do coronavírus, aonde mesmo as pessoas testadas positivamente e com sintomas leves, que deveriam ficar de licença afastadas do ambiente de trabalho, continuaram trabalhando remotamente, de suas casas. Se elas estivessem em um regime de trabalho presencial, receberiam um atestado e seriam afastadas do seu trabalho por um período de pelo menos cinco dias. No trabalho remoto, isso não acontece. Elas continuam trabalhando mesmo doentes. Eu mesmo cheguei a assistir uma palestra on-line de um colega que estava com COVID - ele não deixou de palestrar no horário marcado para aquela live. Se fosse uma palestra presencial, a situação seria diferente e a palestra teria sido cancelada.

Justamente por esses motivos citados acima eu acredito que os executivos tiveram a oportunidade de vivenciar na prática os benefícios do trabalho remoto. As empresas continuaram produtivas, mesmo com a força de trabalho longe dos escritórios de tijolo e cimento.

Eu gostaria muito de acreditar que, após o final da pandemia, teríamos aprendido essa valiosa lição e continuaríamos adotando esse regime de trabalho. Mas, infelizmente, o que eu vejo são empresários e gestores antiquados, que não souberam se adaptar e mudar sua forma de gerenciar suas equipes. Esses empresários, na primeira oportunidade, chamaram seus trabalhadores de volta aos escritórios.

A propósito, conheço alguns casos aonde a pessoa, obrigada a retornar ao escritório, acabou sendo infectada pelo COVID. Apesar da grande diminuição dos casos e mortes em 2022, em alguns momentos vimos um crescimento de casos (principalmente no início e no final de 2022), e mesmo assim as empresas mantiveram seus funcionários nos escritórios.

Acredito que o regime de trabalho ideal, nos tempos atuais, é o modelo híbrido e flexível, quando permite que os trabalhadores tenham a liberdade de optar pelo home office, pelo escritório ou pelos dois, de acordo com a necessidade e preferência de cada um. Os empresários e colaboradores só tem a ganhar a partir do momento em que as pessoas tem a oportunidade de trabalhar da forma que se sintam mais confortáveis e produtivas.

PS: Publiquei uma versão resumida desse artigo no meu perfil no LinkedIn: Não podemos esquecer dos benefícios do Home Office.

Para saber mais:

PS/2 (Adicionado em 10/01/2024): Olha que legal essa lista de benefícios do trabalho remoto/híbrido preparada pela Você RH:



dezembro 26, 2022

[Segurança] Retrospectiva: CISOs em alerta!

Para os gestores de segurança, nenhuma notícia foi tão impactante neste ano quanto a condenação do CISO da UBER por ter escondido um ciber ataque que causou o roubo de dados.

Em outubro deste ano o júri do tribunal federal dos EUA na Califórnia considerou o ex-diretor de segurança da Uber, Joseph Sullivan, culpado por não divulgar aos reguladores a invasão e roubo de dados de clientes e motoristas ocorrida em 2016, além de tentar encobrir o incidente. Ele enfrenta um máximo de oito anos de prisão. O ataque a Uber, em 2016, aconteceu quando dois hackers obtiveram acesso não autorizado aos backups de banco de dados da empresa, o que levou a empresa a pagar secretamente um resgate de US$ 100.000 em troca da exclusão das informações roubadas. Para mascarar o pagamento do "resgate", foi realizado um pagamento de prêmio através do programa de Bug Bounty da Uber com a plataforma HackerOne. A Uber já pagou cerca de 160 milhões em multas por causa deste incidente.

Por mais incorreta que tenha sido a atitude do executivo, o fato dele ser condenado despertou a preocupação sobre a responsabilidade que as pessoas físicas tem ao assumir um cargo de direção.

Agora junte isso ao stress inerente de quem trabalha na área de segurança. Os profissionais de segurança normalmente trabalham sob grande stress, causado pela junção de vários fatores, tais como:

  • Constante risco de sofrer um ciber ataque;
  • medo do grande impacto que pode ser causado por um eventual ataque de Ransomware a empresa;
  • orçamento insuficiente para investir nas ferramentas necessárias de proteção (além do alto custo dessas ferramentas);
  • grande sofisticação dos ciber ataques e grande variedade de métodos, capazes de invadir até empresas bem preparadas;
  • falta de mão de obra qualificada (devido ao apagão de talentos na área), fazendo com que os profissionais existentes tenham que ter um esforço extra para realizar o trabalho acumulado pela falta de pessoas no time.

Pior do que trabalhar sob stress, é estar em uma empresa que não te dá o apoio necessário para realizar o seu trabalho.

Veja alguns sinais de alerta de que o gestor de segurança pode estar em uma empresa que não lhe dá o apoio necessário para realizar suas funções (baseado nesse artigo do Identity Management Institute):

  • A função do CISO não é uma função executiva, não se reporta a um executivo de alto nível ou reporta a uma função que crie conflito de interesses. Por exemplo, ainda é muito comum ver a área de segurança se reportando a gerentes de TI;
  • seu gestor direto não tem influência na organização e muitas vezes não é levado a sério por outros executivos;
  • a alta gestão da empresa, incluindo o CEO, não estão interessados ​​em riscos de segurança e não apoiam as iniciativas de segurança;
  • a função de DPO, ou Encarregado de Proteção de Dados, não está bem definida e atribuída. Quando isso acontece, é comum que o CISO acabe sendo responsabilizado também pelas questões relacionadas a privacidade, que podem gerar demandas de alto risco - que ele será responsabilizado, mas terá pouca capacidade de resolver;
  • recursos financeiros insuficientes, incluindo para montar uma equipe com o número de funcionários necessários, implementar as soluções técnicas de segurança necessárias e contratar seguro de segurança cibernética. Nesse cenário, seu gestor (e/ou o CFO) provavelmente ignora os pedidos de recursos e não dá valor aos riscos de segurança apresentados;
  • a alta gesto solicita que o CISO esconda informações, conte mentiras ou fique calado no interesse da organização durante reports de incidentes ou em auditorias realizadas por terceiros;
  • o CISO é colocado sozinho, sob grande pressão e sem o suporte necessário durante momentos difíceis, como incidentes de segurança;
  • por fim, se o salário do CISO estiver bem abaixo da média de mercado, esta é mais uma indicação de que o papel do CISO não é levado a sério na empresa.

E, o que fazer nesses casos? Eu pensei em algumas dicas:

  • Para os gestores:
    • seja sempre ético e transparente;
    • mantenha comunicação aberta, direta e frequente com seu time e com os seus pares na alta gestão;
    • estabeleça processos bem definidos (e playbooks) que, uma vez documentados, vão orientar a atuação do time e, ao mesmo tempo, servir de evidência do seu trabalho;
    • formalize e documente todas as decisões importantes;
    • se discordar de uma decisão relevante, documente a sua opinião e, dependendo da severidade, faça uma cópia das mensagens para se resguardar no futuro;
    • sempre, sempre e sempre reconheça o trabalho de sua equipe nos momentos difíceis e sob pressão;
    • sua equipe está com uma grande dificuldade e sob pressão? Ter o gestor ao lado, para apoiar e ajudar em vez de cobrar, é importantíssimo para manter a moral do time;
    • nunca, jamais esconda informações em auditorias e em relatórios a órgãos reguladores;
  • Dicas em geral:
    • adote hábitos saudáveis para combater o stress, como praticar exercícios, ter momentos de lazer, melhorar sua alimentação, ter uma quantidade apropriada de horas de sono, etc;
    • "work hard, play hard" é um ditado muito popular na área, mas que deve ser seguido com moderação. É saudável celebrar os sucessos e descontrair após momentos de grande pressão ou stress, mas cuidado com os exageros;
    • mantenha seu ambiente de trabalho confortável, limpo, organizado e bem iluminado;
    • separe os momentos de trabalho e de descanso, respeite as pausas de férias (suas e da equipe) e desconecte-se: evite usar o celular para trabalho fora do horário de expediente;
    • reconheça e respeite os seus limites, buscando por sinais de esgotamento e agindo antes que seja tarde demais.

Para saber mais:


dezembro 23, 2022

Boas Festas! (com memes)

 Chegamos ao final de ano, prontos para curtir o Natal e fazer os planos para o revellion. Essa é uma época de comemorar junto com os familiares e amigos, e de reflexão.

2022 foi um ano de reencontro em que, dentre outras coisas, conseguimos superar a pandemia do coronavírus e começar a volta a vida "normal". Portanto, nada melhor do que aproveitar essa época para refletirmos sobre como foi nossa jornada até o momento e como queremos prosseguir daqui para a frente. Por isso mesmo, eu quero sugerir uma reflexão: "quais as lições aprendidas nesses 2 anos de pandemia e como podemos usar isso para influenciar positivamente nossas vidas daqui para frente"?

No início da pandemia eu tive uma troca de mensagens com um amigo, que acreditava que voltaríamos da pandemia renovados, com novos valores, com uma grande mudança para melhor. Eu contestei, pois acreditava (e continuo acreditando) que voltaríamos iguais, que as lições aprendidas rapidamente seriam esquecidas e voltaríamos ao mesmo estado como estávamos antes. Passamos 2 anos vivendo em regime de quarentena, com vários dos nossos hábitos alterados durante esse período, com várias reflexões sobre nossos relacionamentos pessoais, nosso impacto no ambiente, blá, blá, blá, vamos voltar ao que tinha antes. Sim, não acredito que vamos melhorar, como sociedade.

Afinal, como diria o He-Man, precisamos aprender com nosso passado...

No meu caso, bem particular, nesse período eu aprendi a valorizar mais o contato com as pessoas mais próximas (amigos e parentes), os aspectos simples da vida, os nossos hobbies e atividades que nos tornam mais felizes. Também passei a creditar que devemos aproveitar mais o "agora" e, principalmente, nos preocupar e respeitar nossa felicidade e nossos valores. Milhares de pessoas sucumbiram ao Coronavírus, de repente e de forma inesperada, deixando planos, sonhos e outras pessoas para trás. Não vamos desperdiçar nossos sonhos, deixar para depois, pois o "depois" pode nunca chegar.

E vamos aproveitar esse momento para planejar bem o nosso futuro...

Ah, não se esqueça de tomar cuidado com as fraudes e golpes online nesse período de Natal e Ano Novo. As dicas são praticamente as mesmas que valem para a Black Friday e para o ano todo, e podemos resumir em "desconfie, desconfie e continue desconfiando".

Veja esses artigos com dicas:


Outra dica do He-Man muito importante para esse período de festas: beba cerveja, não beba chá!

Por último, mas não menos importante, vamos torcer para que em algum ano não apareça incidentes e 0-days na véspera do Natal. Neste ano já estamos perdidos, pois surgiram algumas tretas só nessa semana:

Na medida do possível... kkkk... Boas festas e um excelente 2023 para todos nós !!!

PS: Pequena atualização em 26/12.

[Segurança] Retrospectiva: As Buzzwords do ano

No decorrer de 2022, o mercado de segurança se movimentou em torno de várias buzzwords, geralmente relacionadas a ciber ataques ou tecnologias de proteção. Essas buzzwords, algumas novas e outras já conhecidas, ajudam a manter o mercado aquecido, graça ao medo das empresas e.a sede de vendas dos fornecedores e fabricantes.

Dentre as várias buzzwords que circularam em 2022, eu destaco algumas, por serem algum tipo de novidade (ou tentativa de emplacar algo) ou por serem insistentemente abordadas no mercado:

Das buzzwords acima, falar em burnout e "supply chain attack" não é novidade (tanto é que já citei ela no ano passado). Mas o fato é que o mercado chama muita coisa de "supply chain attack", mesmo que não seja isso exatamente. Por exemplo, um recente ciber ataque contra o governo da Ucrânia, usando uma versão infectada com trojan do instalador do Windows 10 disponível em um site local, foi considerado como um "supply chain attack". Fora isso, neste ano o mercado falou muito sobre ciber resiliência, ou seja, a capacidade das empresas resistirem e se recuperarem de um ciber ataque.

O mercado tentou emplacar o "darkverso", como se fosse a versão maligna do "metatarso", mas esqueceu que nem o metatarso em si está indo para a frente. Para tentar trazer a segurança mais perto do negócio, também criaram a figura do BISO, um CISO que também fala de "business". e estaria mais próximo e alinhado aos times de negócio. Mas a verdade é que os boards das empresas ainda dão pouco valor as necessidades de segurança e aos investimentos necessários (que, diga-se de passagem, são muito altos). Com tantos ataques e com a infra de tecnologia espalhada no escritório, datacenter, home office e na nuvem, o mercado aposta nas soluções de EDR, XDR e MDR, que talvez sejam o futuro dos SIEMs.

Em meio a isso tudo, surge o Flipper Zero, um pequeno dispositivo portátil com diversas ferramentas de hacking wireless, que virou sinônimo de "hacker". Se você se considera um hacker ou um pentester, tem que ter o seu. É um "Tamagochi para hackers" (kkkkkkkk).

O resultado não poderia ser diferente: a galera sofrendo de burnout. Esse é um problema antigo, graças ao stres da profissão, mas que se popularizou durante a pandemia.


PS: Post atualizado em 27/12 para incluir a "Guerra Cibernética" e o "Zero Trust" na lista de buzzwords. Falha imperdoável!

dezembro 22, 2022

[Cidadania] Mini Retrospectiva 2022 (com memes)

Aproveitando o final do ano, nesses próximos dias eu vou publicar uma sequencia de posts sobre os principais temas relacionados ao mercado de segurança que marcaram o ano de 2022.

Para inaugurar essa série, eu quero compartilhar uma pequena retrospectiva com alguns dos principais fatos que marcaram este ano. Dentre as milhares de coisas que aconteceram em 2022, eu escolhi algumas que acho mais relevantes e merecem um pouco de destaque, na minha humilde opinião:
  • Vivemos o "quase fim" da pandemia do novo Coronavírus:  finalmente nós presenciamos a queda significativa nos casos de COVID-19 e pudemos retornar a vida "normal", após ficarmos trancados em casa nesses 2 anos intensos de pandemia, que matou mais de 692 mil brasileiros (e 6,6 milhões de pessoas no mundo)- fomos o 2o país do mundo com mais mortes causadas pelo Coronavírus. Foi um alívio, mesmo com a variante ômicron tocando o terror nos primeiros meses deste ano e com o pequeno aumento dos casos que aconteceu nessas últimas semanas de 2022. Mas nada disso conseguiu tirar esse gostinho de felicidade. Fica aqui registrado os meus sentimentos a todos que perderam amigos e parentes nesse triste período, e meu agradecimento e admiração por todos os profissionais de saúde e cientistas que se emprenharam incansavelmente em nos ajudar a combater essa pandemia. Ninguém poderia imaginar que passaríamos tanto tempo, mais de 2 anos, enfrentando as consequências de uma pandemia em escala global. De fato, até 2018 o fórum econômico mundial dava pouca probabilidade de ocorrência de pandemia na sua tradicional lista de riscos;

  • Volta ao escritório ou trabalho híbrido? Aproveitando o gancho do final da pandemia do Coronavírus, ainda vivemos na incerteza entre a volta compulsória aos escritórios ou a adoção do home office. Na minha opinião, a maioria do empresariado em geral está forçando a volta aos escritórios, apesar do modelo de trabalho remoto ter se mostrado viável e eficiente durante esse período de pandemia. Alguns grupos, principalmente os trabalhadores da área de tecnologia, resistem a esse movimento e tentam manter o regime remoto ou híbrido. Diferente da maioria dos demais segmentos de mercado, os trabalhadores de tecnologia tem poder de barganha frente ao empresariado, graças ao mercado aquecido - assim, eles podem escolher as empresas que desejam trabalhar e, se necessário, estão dispostos a mudar de emprego para buscar empresas que praticam o trabalho remoto. Existe também uma grande parcela das profissões que não permitem o trabalho remoto por sua natureza (como trabalhadores na área de saúde, construção civil e trabalhos braçais em geral). Mas, dentre as profissões que permitiriam o trabalho remoto, como empresas no ramo de serviços, infelizmente elas estão nas mãos dos empresários arcaicos, que não conseguem se adaptar aos tempos modernos e não sabem como gerir suas equipes com base em produtividade;
  • A guerra na Ucrânia (e a ciber guerra que aconteceu em paralelo): Totalmente desnecessária, essa guerra se arrastou durante todo o ano, causando milhares de mortes e milhões de desabrigados, e não há previsão de que possa terminar. A bravura do povo Ucraniano, somado a diversas formas de apoio indireto de vários países, fez com que a pequena Ucrânia conseguisse resistir a tentativa de invasão do gigante país vizinho. Em tempos de hiperconectividade e grandes avanços tecnológicos, a guerra tem se desenvolvido também no aspecto cibernético e trouxe novas formas e estratégias de ataque para o conflito;
  • Copa do mundo totalmente fora do eixo, realizada em um país diferente, o Quatar, aonde presenciamos algumas diferenças culturais, como a proibição do consumo de bebidas alcoólicas e de protestos. Uma copa realizada em um período atípico (em novembro, para zoar o calendário de final de ano), no horário noturno (para fugir do calor da região). Mas foi coroada com uma final eletrizante, possivelmente a melhor partida da história das copas do mundo!

  • PIX: Aqui no Brasil, o Pix se consolidou como meio de pagamento mais usado e já faz parte do nosso dia-a-dia. Muita gente parou de andar com dinheiro na carteira e o celular, com o mobile ranking, virou item obrigatório no bolso e bolsa de todos. Infelizmente, os criminosos também se adaptaram rapidamente e desenvolveram novos golpes, além de conseguir dar muito mais agilidade nos golpes já existentes. Vimos também a volta dos sequestros relâmpagos e um grande aumento no furto do celular (afinal de contas, com o PIX, todos nós acabamos usando o Mobile Banking o tempo todo, em nossos bolsos;
  • Discussões políticas e fake news sem fim: Passamos por mais um ano caótico, por causa da polarização política em nosso país, alimentada pelas fake news, pelo calor das eleições presidenciais e, após a apuração dos votos, ainda estamos enfrentando a onda de "protestos antidemocráticos" dos "patriotas".

Não podemos esquecer também do tapa que o ator Will Smith deu no Chris Rock na cerimônia de entrega do Oscar, em março desse ano. A cena virou um dos principais memes de 2022!


Dentre as personalidades que morreram em 2022, acho que poucas pessoas mundo merecem tanto destaque quanto a Rainha Elizabeth, que morreu aos 96 anos, após 70 anos de reinado na Inglaterra.


No mundo de tecnologia, também tem alguns conhecimentos deste ano que também vale a pena destacar:
  • Zona que o Elon Musk está tocando no Twitter. Desde o momento em que fez a oferta de compra pela empresa, não pararam de surgir notícias bizarras sobre esse assunto, que não pararam após o Elon Musk assumir o controle da empresa. Por exemplo, recentemente o Twitter tentou mudar seus termos para não permitir posts com links para outras redes sociais - algo que teve muitos protestos e foi desfeito rapidamente;
  

  • Demissões! Se no ano passado falávamos muito sobre o “great resignation” (a onda de pessoas abandonando seus empregos), este ano foi marcado pela grande onda de demissões, principalmente nas emrpesas de tecnologia;
  • IA nas holofotes: O lançamento e a rápida popularização do ChatGPT, uma ferramenta online de inteligência artificial que interage com os internautas, deu grande destaque ao tema da IA e deve fomentar novos interesses e usos para essa tecnologia.
Atualizado em 28/12: Veja esse video super divertido do Afonso Padilha, com um resumo de 2022:


Atualizado em 06/01/23: No final das contas, em 2022 o mundo perdeu uma Rainha, um Rei e um Papa.


Para saber mais:
PS: Pequena atualização em 06/01/2023.

dezembro 21, 2022

[Segurança] Dark Web Price Index 2022

Periodicamente vemos estatísticas sobre os preços em que informações e ferramentas utilizadas para ciber ataques e fraudes online são comercializadas em fóruns criminosos.

Um desses indicadores é o Dark Web Price Index 2022, da Privacy Affairs. Os indicadores deste ano, divulgados em setembro, traz alguns dados sobre os preços médios praticados nos grupos criminosos. Veja alguns exemplos que eu destaquei, com valores praticados em dólares americanos (US$):

  • Dados de carrão de crédito: de $15 a $120
  • Login em online banking: $35 a $65
  • Conta na Paypal: $10 a $45
  • Binance verified account: $260
  • Conta no Netflix (assinatura de 1 ano): $25
  • Conta de motorista de Uber: $35
  • Nas redes sociais:
    • Conta no Facebook: $45
    • Conta no  Instagram: $40
    • Conta no Twitter: $25
    • Conta no Gmail: $65
    • 1.000 seguidores no Instagram: $4
    • 1.000 likes no Instagram: $5
  • Ataque DDoS (Unprotected website, 10-50k requests per second, 1 hour): $10

Os valores acima podem variar muito dependendo das características da conta acessada, como o saldo (ou limite), o país e a quantidade de dados disponível.


O relatório também faz um comparativo dos preços praticados em 2021 e neste ano.

Para saber mais:

dezembro 16, 2022

[Cyber Cultura] Como criar um código de conduta

Spoiler: o jeito mais fácil é aproveitar o site "Conference Code of Conduct", que tem um template simples, objetivo e genérico para um código de conduta, também com uma versão em Português. Já vi site de evento que simplesmente apontou a referência para eles no próprio site do evento ;)

Há diversas formas de criar um código de conduta para a sua comunidade ou seu evento: desde as mais simples até as mais burocráticas e detalhadas. Uma abordagem muito comum é ler o código de conduta de algum evento ou entidade que você conhece e adaptar a sua necessidade. Mas também há iniciativas para criar um texto padronizado, que possa ser usado por todos.

No quesito simplicidade e objetividade, acredito que ninguém supera o "Conference Code of Conduct" (com direito a uma versão em Português). A "versão longa" do código de conduta proposto (que eles chamam de "Less Quick Version") tem apenas 7 parágrafos bem curtos, e a "versão curta" ("Quick Version") é bem mais objetiva:
"Nossa conferência é dedicada a fornecer uma experiência livre de assédio para todas as pessoas, independentemente do sexo, identidade de gênero e expressão, idade, orientação sexual, deficiência, aparência física, tamanho corporal, cor de pele, etnia, religião (ou falta dela) ou escolhas de tecnologias. Não toleramos o assédio a participantes da conferência, sob qualquer forma. Linguagem e imagens sexuais não são apropriadas em nenhum local, incluindo palestras, workshops, festas, Twitter e outras mídias on-line. Violações destas regras poderão causar expulsão da conferência, sem restituição, a critério da equipe organizadora."
Na versão original do site, em inglês, eles colocam um aviso que esse template deve ser adaptado para uso em algum evento, e que ele por si só não constitui um código de conduta: "This code of conduct page is a template and should not be considered as enforceable. If an event has linked to this page, please ask them to publish their own code of conduct including details on how to report issues and where to find support." Mas esse aviso não existe no site em Português.

Também existe o Berlin Code of Conduct, que traduzimos para o Português lá no site do Garoa. Ele é um pouco mais estruturado e detalhado.


dezembro 15, 2022

[Segurança] A (in)segurança nas empresas

Alguns estudos divulgados recentemente deixam claro que as empresas precisam investir ainda mais em segurança. Esse é um problema global, mas que também se faz muito presente no Brasil. Além do alto preço das ferramentas de segurança e da mão de obra especializada ser pouca e relativamente cara para o empresário de pequeno e médio porte, o mercado brasileiro ainda precisa amadurecer muito em questão de segurança.

A “Pesquisa de Maturidade da Indústria e Cenário de Prejuízo causado por Ataques Cibernéticos”, da Fiesp (Federação das Indústrias do Estado de São Paulo) traz um panorama sobre o nível de maturidade em termos de segurança cibernética e Lei Geral de Proteção de Dados (LGPD), além dos principais fatores de incidentes cibernéticos nas empresas. Veja alguns destaques colhidos das 261 empresas que participaram do levantamento:
  • 152 indicaram não ter sofrido nenhum tipo de ataque cibernético
  • 14 afirmaram não saber responder
  • 26 dos ataques bem sucedidos tiveram como objetivo a indisponibilização da operação da empresa
  • 24 dos casos houve tentativa de extorsão, sendo que em 6 deles houve pagamento de resgate, enquanto 18 não realizaram o pagamento;
  • apenas em um dos casos em que houve pagamento de resgate não houve o restabelecimento da operação.
O gráfico abaixo indica os maiores desafios encontrados pelas empresas entrevistadas para garantir o cumprimento da LGPD:


Ainda falando do mercado brasileiro, uma pesquisa da Proofpoint junto com o Cybersecurity at MIT Sloan (CAMS) junto a 600 membros de conselhos globais em doze países (incluindo o Brasil) apontou que...
  • 52% dos executivos brasileiros avaliam que suas organizações estão despreparadas para lidar com um ataque cibernético nos próximos 12 meses;
  • 58% dos entrevistados acreditam que sua organização está sob risco de sofrer um ataque cibernético nos próximos 12 meses;
  • apenas 57% dos executivos de conselhos no Brasil relatam ter reuniões diretas com seu CISO;
  • 88% dos membros do conselho afirmaram que a segurança digital é discutida mensalmente nas empresas;
  • 92% acreditam que fizeram os investimentos necessários para proteger suas empresas;
  • 72% veem o erro humano como sua maior vulnerabilidade cibernética.

O Relatório Anual de Segurança Cibernética do Sistema de Controle da KPMG traz informações sobre o nível de maturidade das empresas:
  • Quase metade (44%) das empresas no mundo operam com baixo nível de maturidade com relação às boas práticas de segurança cibernética;
  • 16% das organizações analisadas registram processos desorganizados e com documentação insuficiente;
  • 27,7% estão iniciando o caminho da maturidade, por seguir práticas básicas de gerenciamento de projetos;
  • 31,6% das empresas registram nível médio de maturidade, com procedimentos documentados, alocando recursos adequados ao longo do processo. Uma etapa adiante, 16% das organizações possuem programa de segurança cibernética que usa, coleta e analisa dados para melhorar resultados, com atividades guiadas por diretrizes bem documentadas e profissionais experientes.
  • Apenas 8,9% das companhias analisadas atingiram o nível máximo de maturidade.
  • 96% dos executivos entrevistados afirmam que a resiliência de segurança é uma prioridade para eles;
  • As organizações que relataram um fraco apoio dos executivos C-Levels para a segurança tiveram uma pontuação 39% mais baixa do que aquelas com forte apoio;
  • As empresas que relataram uma excelente cultura de segurança tiveram uma pontuação média 46% maior do que as que não têm.
Os dados acima mostram a importância dos investimentos em segurança (em tecnologia, processos e conscientização) e da participação dos altos executivos para aumentar a maturidade das empresas.

Para saber mais:
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.