Desenvolvimento Web

Computerworld - Fornecedores de tecnologia Java estão frustrados com a Oracle - Segurança

2012-01-25T05:16:00.003-03:00

SegurançaFornecedores de tecnologia Java estão frustrados com a Oracle
Planos para tornar mais modular a plataforma, além do seu esquema de licenciamento, têm gerado preocupações entre várias entidades de mercado.
Computerworld (Portugal)
11 de janeiro de 2012 - 17h22
página 1 de 1
Tweet
A Oracle assumiu oficialmente a responsabilidade sobre os destinos da linguagem Java há cerca de dois anos e tem percorrido recentemente caminhos difíceis: os seus planos de licenciamento para uso da tecnologia e para tornar mais modular a plataforma levantam algumas preocupações entre fornecedores e usuários. As implicações de segurança associadas são um dos principais fatores para esta atitude.

Os planos do fabricante sobre a versão 8 da Java Platform Standard Edition, com lançamento previsto para o próximo ano, envolvem a inclusão do Jigsaw Project, conferindo modularidade à Java. Mas algumas organizações estão preocupadas com a forma como os planos da Oracle podem entrar em conflito com o sistema de módulos OSGi já orientada para Java.

No campo do licenciamento, a Canonical, fabricante do sistema operativo Ubuntu (Linux), queixa-se da nova atitude da Oracle. Considera que o fabricante já não permitirá aos fornecedores de sistemas baseados em Linux redistribuir as suas versões comerciais de Java, causando-lhes dificuldades.

Entretanto, o fabricante de tecnologia de segurança F-Secure considera que o Java traz dificuldades de segurança. A Oracle, no entanto, recusou-se a comentar essas questões à reportagem.

Inclusão do Jigsaw causa irritação
Com a incorporação do Jigsaw, a Oracle pretende oferecer um sistema de módulos acessível e escalável para grandes sistemas de software legados em geral e para o Java Development Kit (JDK), em particular, disse Mark Reinhold, arquiteto-chefe da Oracle, em post recente em seu blog.

Mas alguns avaliam que existe um potencial conflito entre o esforço da Oracle com o Jigsaw e o OSGi, um sistema já existente de módulos dinâmicos para Java, adotado por organizações como a Eclipse Foundation (da qual a Oracle é membro), para ferramentas de código aberto. “O principal risco inerente ao projecto Jigsaw é ser posicionado para suportar um sistema de modularidade bem-sucedido“, diz Ian Skerrett, representante da Eclipse.

“O OSGi é amplamente utilizado em todo o ecossistema Java nas implementações de IDE, canais de serviços empresariais e servidores de aplicações. O projecto Jigsaw terá de suportar a ‘modularização’ da plataforma Java, mas também deve oferecer uma perfeita integração com o ecossistema OSGi”, completa.

Em vez de beneficiar a utilização de Java, o Jigsaw só vem complicar a situação, diz Peter Kriens, diretor técnico da OSGi Alliance. “O Jigsaw está inventando algo que não se encaixa muito bem no Java”.

Uma possível solução na proposta Penrose
Em um grupo discussão on-line chamado OpenJDK está uma proposta chamada Penrose, visando implementação de interoperacionalidade entre o Jigsaw e o OSGi. Esse projeto pretende suportar a cooperação entre o Jigsaw e a OSGi: explicará como as implementações OSGi podem ser executadas segundo o “runtime” OSGi, e como poderá carregar módulos de Jigsaw, em matrizes OSGi.

Tanto Skerrett e Kriens identificam grandes benefícios nos objetivos da Oracle, com a de modularidade para Java. “Melhora significativamente a robustez e flexibilidade dos sistemas de software, em especial nos maiores. Ao reduzir a complexidade do software, a modularidade permite maior reutilização e facilidade de implementação, permitindo aos sistemas uma adatação à mudança, de forma mais fácil e segura”, explica Skerrett.

Menos liberdade para distribuidores
Na visão da Canonical, com a sua nova abordagem de licenciamento, a Oracle apenas permitirá que os usuários realizem o download do Java diretamente do seu site. “Isso nos deixa em apuros, porque a versão atual do Java que distribuímos tem problemas de segurança conhecidos e explorados”, diz a CEO da Canonical, Jane Silber. Os problemas no Java 6 envolvem a exploração remota de vulnerabilidades por meio do plug-in dos browsers, explica.

Para abordar a questão da segurança, embora sem resolvê-la, a Canonical lançou uma atualização para desativar parte da versão Java nas máquinas dos usuários. A Canonical ainda pode distribuir o código-fonte aberto da versão OpenJDK do Java, mas ela não é equivalente às implementações comerciais da Oracle, diz Silber.

Os problemas da Canonical remontam ao anúncio feito pela Oracle de que a OpenJDK seria a implementação de referência do Java. Isso resultou na suspensão da licença de distribuidor de Java gratuita concedida à Canonical.
No fim de contas, a Oracle quer que as distribuições Linux migrem para o OpenJDK, mesmo se um distribuidor selecionar uma versão comercial como a melhor para os seus clientes.

Rhino Java ilustra riscos de segurança
O laboratório da F-Secure considerou o Java nocivo para a segurança dos sistemas e aconselhou as pessoas a removerem o plug-in em seus browsers. “Os riscos de Java são bem ilustrados pela vulnerabilidade recente associada ao Rhino Java (CVE-2011-3544). Se alguém estiver usando Java, mas não a versão mais recente, pode estar vulnerável. Portanto, verifique constamente se você usa a última versão do Java – ou é preciso livrar-se dela por completo”, defende a F-Secure. Manter o Java seguro não é tarefa fácil, pois é um “destino” para os hackers.

“O Java é atualmente como a ‘fruta mais baixa na árvore’ do conjunto de software de terceiros”, diz Sean Sullivan, consultor de segurança na F-Secure. Enquanto o Java é uma grande plataforma de sistemas de back-end, em PC com Windows facilita a execução de código indesejável, sustenta.

Tarefa ingrata da Oracle
A Oracle tem inúmeros projetos Java para gerir e atualizar, como o lançamento da NetBeans 7.1 IDE equipado com suporte para o JavaFX 2.0, uma plataforma de aplicações web. Sendo o Java uma tecnologia tão onipresente, 16 anos ou mais depois do lançamento, quem está ao comando do seus destinos não consegue evitar a irritação de algumas pessoas, quando decide como a plataforma deve evoluir.

Na verdade, as divergências sobre Java não são novas: os esforços da Apache Software Foundation para obter a certificação apropriada para a implementação Apache Harmony prolongam-se desde o “reinado” da Sun até ao da Oracle, por exemplo.

Mas talvez a Oracle tenha de moderar a sua atitude, se quiser preservar e maximizar o seu investimento substancial em Java. Caso contrário, corre o risco que usuários procurem alternativas.
Tweet

Computerworld - Fornecedores de tecnologia Java estão frustrados com a Oracle - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1bbb305d/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F5260A955753f2e93d20A29737b50A3a980A40Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A120C0A10C110Cfornecedores0Ede0Etecnologia0Ejava0Eestao0Efrustrados0Ecom0Ea0Eoracle0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1bbb305d/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F5260A955753f2e93d20A29737b50A3a980A40Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A120C0A10C110Cfornecedores0Ede0Etecnologia0Ejava0Eestao0Efrustrados0Ecom0Ea0Eoracle0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Provedores de infraestrutura não estão alinhados aos programas de governo - Segurança

2012-01-25T05:16:00.001-03:00

SegurançaProvedores de infraestrutura não estão alinhados aos programas de governo
Essa é a conclusão do estudo da Symantec com mais de 3 mil organizações de 37 países, incluindo Argentina, Brasil, Colômbia e outros da América Latina.
Da Redação
17 de janeiro de 2012 - 14h00
página 1 de 1
Tweet
Pesquisa da Symantec sobre Proteção de Infraestruturas Críticas 2001 (Critical Infrastructure Protection - CIP) revela queda na informação e no engajamento em nível global de provedores de infraestrutura, de acordo com o Índice de Participação CIP. O estudo foi realizado em agosto e setembro de 2011 pela Applied Research, que entrevistou profissionais de TI e C-Level em pequenas e médias empresas e grandes companhias de 14 setores especificamente designados como de infraestrutura crítica.
O relatório foi desenvolvido para examinar a informação, o engajamento e a preparação sobre programas CIP dos governos. A pesquisa totaliza 3.475 organizações de 37 países na América do Norte, EMEA (Europa, Oriente Médio e África), Ásia-Pacífico e América Latina, incluindo países como Argentina, Brasil, Colômbia e México.
De acordo com a Symantec, em comparação com 2010, as empresas pesquisadas em 2011 registraram índice de 82% em programas governamentais de proteção, o que representa queda significativa de 18 pontos em relação à edição anterior. Na América Latina, o Índice de Participação é um pouco mais alto, 88%. Os provedores de infraestruturas críticas vêm de setores com tanta importância que, se suas redes fossem atacadas e desativadas, isso resultaria em uma real ameaça à segurança nacional.
"Os resultados dessa pesquisa são um pouco preocupantes, tendo em conta os recentes ataques como o Nitro e o Duqu que tiveram como alvos alguns provedores de infraestruturas críticas”, afirma Dean Turner, diretor da Rede Global de Inteligência da Symantec. “Levando isso em consideração, as limitações de recursos e outros ativos como mencionadas pelos respondentes ajudam a explicar por que os provedores de infraestruturas críticas tiveram de priorizar e concentrar seus esforços em mais ciberameaças no dia a dia”, diz.
No entanto, prossegue o executivo, os ataques direcionados a provedores de infraestruturas críticas sob a forma do Stuxnet, Nitro e Duqu vão continuar. Segundo ele, empresas e governos em todo o mundo devem ser muito agressivos em seus esforços para promover e coordenar a proteção das redes essenciais. “Esses ataques mais recentes provavelmente são apenas o começo de mais ataques dirigidos a infraestruturas críticas”, completa.
O estudo destaca que neste ano as empresas, de modo geral, mostraram-se menos informadas em relação aos programas CIP do governo. Em 2011, 36% dos entrevistados estavam um pouco ou completamente a par dos planos para infraestruturas críticas do governo que estão sendo discutidos em seu país em comparação com a parcela de 55% registrada em 2010.
Os resultados de América Latina foram ligeiramente superiores, 39% das organizações indicaram ter algum ou total conhecimento sobre CIP. Por outro lado, em 2011, 37% das empresas tanto em nível global como na América Latina estão completamente ou significativamente engajadas, contra 56% registrados em 2010 (53% para América Latina).
A pesquisa também revelou que as empresas estão mais ambivalentes em 2011 do que foram em 2010 em relação aos programas CIP do governo. Por exemplo, tanto em nível global quanto na América Latina, quando solicitados para expressar uma opinião sobre tais programas, 42% não apresentaram nenhum parecer ou ficaram neutros. Além disso, as companhias estão agora um pouco menos dispostas a cooperar com os programas CIP do que estavam em 2010 (57% contra 66%, 59% na América Latina).
De acordo com o estudo, à medida que cai a avaliação de uma organização em relação às ameaças, cai também seu nível de preparação. Esta, em escala global, registrou queda média de oito pontos (de 60% a 63 por cento em 2011, em comparação com 68% a 70% em 2010).

Tweet

Computerworld - Provedores de infraestrutura não estão alinhados aos programas de governo - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1be6032c/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F8aae346ae987ca442272fb719a54cb990Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A120C0A10C170Cprovedores0Ede0Einfraestrutura0Enao0Eestao0Ealinhados0Eaos0Eprogramas0Ede0Egoverno0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1be6032c/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F8aae346ae987ca442272fb719a54cb990Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A120C0A10C170Cprovedores0Ede0Einfraestrutura0Enao0Eestao0Ealinhados0Eaos0Eprogramas0Ede0Egoverno0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Ciberataques devem aumentar em 2012, dizem especialistas - Segurança

2012-01-13T05:14:00.005-03:00

SegurançaCiberataques devem aumentar em 2012, dizem especialistas
Experts em segurança apostam que malwares derivados do Duqu e Stuxnet ganhem mais espaço e fiquem ainda mais sofisticados no próximo ano.
IDG News Service / EUA
27 de dezembro de 2011 - 19h15
página 1 de 1
Tweet
A indústria de segurança em computação espera que o número de ataques de ciberespionagem aumente em 2012 e que os malwares usados para esses propósitos tornem-se cada vez mais sofisticados.
Nos últimos dois anos, houve um aumento no número de ataques baseados em malware que resultaram no roubo de dados sensíveis de agências governamentais, companhias de defesa, grandes empresas da lista das “500 maiores” da revista Fortune, organizações pelos direitos humanos e outras instituições.
“Eu espero absolutamente que essa tendência continue ao longo de 2012 e adiante”, disse o diretor de segurança e comunicação na companhia especializada Trend Micro, Rik Ferguson. “As atividades de espionagem se aproveitaram, por centenas de anos, de tecnologias de ponta para realizar operações secretas; 2011 não foi o início da espionagem facilitada pela Internet, nem será o final disso”, completou.
Ameaças como o Stuxnet, que teria atrasado em vários anos o programa nuclear do Irã, ou seu sucessor, o Duqu, chocaram a indústria de segurança com seu nível de sofisticação. Os especialistas acreditam que eles são apenas o início e que mais malwares altamente avançados serão lançados em 2012.
“É bastante possível que veremos outras dessas ameaças em um futuro próximo”, disse o diretor de segurança da Symantec, Gerry Egan. O Duqu foi usado para conseguir acesso a documentos de desenvolvimento de companhias que fabricam sistemas de controle industriais e poderia ser um precursor de futuros ataques industriais no estilo do Stuxnet, explicou Egan.
“É provável que novas variações do Duqu farão estrago no início de 2012”, Jeff Hudson, CEO da Venafi, uma provedora de soluções de gerenciamento de certificados e chaves. “Precisamos estar em um novo estado de alerta para proteger nossos recursos e estar mais bem preparados para responder quando as ameaças chegarem.”
No entanto, apesar do surgimento do Stuxnet e do Duqu, os especialistas em segurança não acreditam que o mundo esteja assistindo a uma ciberguerra em progresso. “Para que qualquer ação de oposição receba o título de 'guerra', é preciso haver um estado declaro de conflito, e pelo que me lembro, isso nunca aconteceu no caso de CiberGuerra”, disse o professor John Walker, um membro do Security Advisory Group na organização de certificação ISACA.
Países como EUA, Reino Unido, Alemanha, China e Índia estabeleceram equipes e centros especializados para defender recursos do governo contra ciberataques e até mesmo para retaliar, se necessários. No entanto, determinar quem está por trás das operações hostis na web com certeza é algo impossível na maioria das vezes e esse é apenas um dos problemas.
“Todos os países estão se debatendo com a questão da retaliação”, disse Gerry Egan. “Se um ato ostensivo de ciberguerra aconteceu, como um país pode responder a isso e qual o limite? Qual é uma resposta proporcional?”
Ameaças como o Stuxnet e o Duqu podem muito bem levar a grandes ciberconflitos internacionais no futuro, mas por enquanto as companhias e governos deveriam estar mais preocupadas com ataques de ciberespionagem que usam ferramentas de exfiltração mais simples.
Esses pedaços de malware simples, porém eficientes, são conhecidos na indústria de segurança como APTs (Advanced Persistent Threats) e normalmente são distribuídos por meio de engenharia social. Operation Aurora, Shady RAT, GhostNet, Night Dragon e Nitro, são todos exemplos de ataques APT que foram reportados durantes os últimos dois anos e afetaram centenas de organizações no mundo todo.
O número desses ataques deve aumentar em 2012 e a defesa contra eles exige o treinamento frequente de funcionários e tecnologias de proteção mais agressivas, como aquelas baseadas em “whitelisting”, reputação de arquivos e comportamento de aplicativos.
“As pessoas ainda representam o elo mais fraco em segurança para uma grande quantidade de empresas e essa é a razão pela qual elas se tornam alvos”, disse Ferguson. “O treinamento ainda tem um lugar importante no planejamento de segurança de uma empresa, mas precisa ser algo contínuo, e não apenas um evento único.”
“Até agora fizemos um trabalho muito melhor em solucionar softwares do que pessoas”, disse o CTO da empresa de segurança Imperva, Amichai Shulman. “Passei um tempo no exército tentando educar as pessoas sobre segurança de informação. Não funcionou lá e não vai funcionar em nenhum outro lugar.”
Deveria haver uma mudança nos paradigmas de proteção e um aumento de controle em torno das fontes de dados. Restringir quais aplicativos podem ler determinadas informações e detectar comportamento anormal, como dados sensíveis sendo acessados em horários estranhos do dia ou transferidos em grandes quantidades, é parte da solução, afirma Shulman.
As tecnologias que podem verificar a reputação, idade e popularidade regional de um arquivo, antes de permitir que ele seja executado em um sistema, também podem ser usadas para bloquear APTs que foram desenvolvidas para burlar métodos tradicionais de detecção anti-malware.
“Não há dúvida de que grandes organizações precisam ser muito mais conscientes sobre os efeitos potenciais do malware”, disse Jeff Hudson. “Se essa questão não está na agenda atual da sua diretoria, então ela está sendo negligente”, conclui o especialista.
Tweet

Computerworld - Ciberataques devem aumentar em 2012, dizem especialistas - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1b500ada/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F43a7291b4569c0A5bb9237f7ca52750A640Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C270Cciberataques0Edevem0Eaumentar0Eem0E20A120Edizem0Eespecialistas0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1b500ada/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F43a7291b4569c0A5bb9237f7ca52750A640Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C270Cciberataques0Edevem0Eaumentar0Eem0E20A120Edizem0Eespecialistas0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Segurança: maiores ciberataques de 2011 - Segurança

2012-01-13T05:14:00.003-03:00

SegurançaSegurança: maiores ciberataques de 2011
Ameaças com origem em redes sociais e o uso da engenharia social foram os principais desafios de segurança online no ano, de acordo com a Bitdefender.
Cristina Deluca
28 de dezembro de 2011 - 11h01
página 1 de 1
Tweet
A empresa de segurança digital BitDefender fez um resumo dos maiores ciberataques ocorridos em 2011. Entre os principais problemas, o relatório destaca as ameaças das redes sociais e o uso de engenharia social.
Janeiro: os ataques baseados em redes sociais atingem os dispositivos móveis. Um ataque baseado na promessa de mostrar o estado de uma menina no Facebook, gerou 28 672 cliques, 24% dos quais vieram de plataformas móveis. Os usuários que clicaram no link, a partir do seu PC ou dispositivo móvel, descarregaram um worm e tornaram-se vítimas de uma fraude para ganhar dinheiro através do sistema Adword.
Fevereiro: o Conficker liderou a lista dos vírus mais acivos do ano, mas a sua presença, ao longo dos meses, foi baixando até sumir do grupo de malware mais ativos.
Março: o “likejacking” emergiu como uma nova ameaça nas redes sociais. Baseia-se em processo no qual um usuário, após clicar em um botão de “like” do Facebook acaba punlicando na sua página da rede social uma referência a um site diferente daquele a que pensava estar se referindo.
Abril: uso de etiquetagem de eventos e fotos no Facebook, para fins nocivos. Os usuários são rotulados e associados com eventos e fotos com as quais não têm relação, e que incluem links para páginas de download de spam ou mesmo outros tipos de malware. As imagens e os eventos são publicados também na timeline do Facebook.
Maio: a morte de Bin Laden foi usada para infectar computadores com Trojans. Mensagens que diziam revelar imagens ou detalhes da morte do terrorista mais procurado do mundo serviam como isca para um novo ataque de engenharia social. Comentários nas redes sociais supostamente disponibilizam a vizualização de um vídeo no qual seria possível vê-lo morrer. Na verdade, os links serviam para o download de malware.
Junho: hackers atingem os gigantes dos videojogos. Menos de um dia depois do ataque à Sony, o mesmo grupo de hackers atingiu o sistema de segurança de outro fabricante de jogo eletrônicos, a Nintendo. No primeiro caso, usurparam dados como nomes, endereços, datas de nascimento, endereços de email, números de telefone ou senhas. Empresas que armazenam e processam os dados, passaram a tornar-se um alvo “acessível” para os criminosos durante alguns meses.
Julho: Jay Leno, celebridade de Hollywood tem o nome frequentemente mencionado no spam. Em Julho, uma análise realizada pela BitDefender em mais de 25 milhões de emails diz que Jay Leno é a celebridade “mais perigosa” na Internet. Depois de Leno, surgem Madonna e Cameron Diaz, como os nomes mais usados por criminosos virtuais como isco para levar os internautas a abrirem mensagens de spam.
Agosto: 20 mil credenciais de funcionários de organizações governamentais dos Estados Unidos são revelados. Um hacker ativista revelou na Internet uma lista de 20 mil credenciais de autenticação, nomes, senhas e endereços de email pertencentes a “grandes empresas, governo e exército dos Estados Unidos”.
Setembro: os cibercriminosos procuraram tirar vantagem do décimo aniversário da tragédia do 11 de Setembro. Um novo ataque de engenharia social usava várias frentes – email, Facebook e Twitter.
Outubro: uma conferência de segurança foi usada para distribuir malware através do Twitter.
Novembro: o Facebook foi invadido por pornografia. Milhões de usuários tiveram sua timeline cheias de imagens pornográficas sem as terem publicado. A “epidemia” espalhou-se rapidamente através da rede social, fazendo com que seus líderes tivessem de pedir desculpas e rever a sua política de segurança.
Dezembro: até o momento, os “dialers” lideram a lista de infecções de plataformas Android. O programa malicioso foi concebido para enviar mensagens pagas desde os dispositivos móveis sem os donos percebam. Corresponde a quase 37% das infecções sofridas em dispositivos Android.
Tweet

Computerworld - Segurança: maiores ciberataques de 2011 - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1b55137e/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F6d4b1f0Aed1ed3f56de0A3da2197ded4a20Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C280Cseguranca0Emaiores0Eciberataques0Ede0E20A110Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1b55137e/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F6d4b1f0Aed1ed3f56de0A3da2197ded4a20Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C280Cseguranca0Emaiores0Eciberataques0Ede0E20A110Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Uso de senhas deve ser revisto, diz pesquisador da Microsoft - Segurança

2012-01-13T05:14:00.001-03:00

SegurançaUso de senhas deve ser revisto, diz pesquisador da Microsoft
Para especialista, faltam informações sobre as principais ameaças e aconselhamento mais específico para a utilização correta da ferramenta.
IDG News Service (EUA)
06 de janeiro de 2012 - 09h57
página 1 de 1
Tweet
O uso de senhas precisa de uma revisão que seja impulsionada não por “advinhação”, mas por realmente entender os danos reais que podem ser causados quando a segurança dos códigos é comprometida, de acordo com o pesquisador da Microsoft Research, Cormac Herley.
Apesar de muitos sugerirem a substituição das senhas juntas por alguma outra coisa, eles podem estar fazendo isso baseado em poucas ou nenhuma evidência concreta, diz Herley.
Keystroke logging [malware que captura o que se digita no PC], ataques de força bruta, phishing e sequestro de sessão são todos usados para driblar senhas, mas seria impossível criar um ranking de quanto cada método foi utilizado porque ninguém sabe, diz o especialista em um relatório sobre o assunto. “Nós não sabemos o tamanho das fatias de cada – nem mesmo aproximadamente”, explica.
Além de descobrir isso, ele recomenda outros passos que poderiam tornar o uso das senhas mais eficiente:
- Quantificar os danos que a exposição da senha pode causa e diferencie-os entre o pior caso e o padrão.
- Oferecer melhor suporte de usuário para senhas a fim de que o código fique mais seguro.
- Identificar quando as senhas não são o bastante – e a razão disso – para que alternativas apropriadas possam ser desenvolvidas.
- Criar um método para avaliar as alternativas de forma objetiva.
A premissa de Herley é que as senhas são tão fortificadas e úteis de tantas maneiras que elas não vão desaparecer em um futuro próximo. Afinal de contas, se elas fossem totalmente ineficiente, ninguém as estaria usando.
“Apesar de a comunidade de pesquisa ser incapaz de quantificar os danos, companhias possuem estimativas de suas perdas causadas por ameaças existentes”, afirmou Herley no relatório “A Research Agenda Acknowledging the Persistence of Passwords”, escrito em parceria com Paul C. Van Oorschot, professor de ciência da computação na Universidade de Carleton. “Suas ações atualmente revelam uma preferência por perdas relacionadas a senhas em oposição a incerteza de alternativas.”
Senhas possuem muitos pontos positivos – elas são gratuitas, permitem acesso a partir de qualquer máquina com um navegador, revogá-las é simples e é fácil reiniciá-las para os usuários que costumam ter memória fraca – o que dificulta excluí-las todas juntas. “Nenhuma tecnologia alternativa tem a probabilidade de possuir a combinação de segurança, usabilidade e recursos econômicos que atenda a todos os objetivos em todas as situações”, afirma Herley.
Ele também toma o lado dos usuários finais que costumam ser criticados por criar senhas fracas, reutilizá-las e as escrever/armazenar em locais em que podem ser descobertas.
Um grupo de senhas fortes únicas para proteger diferentes sites e aplicativos dá mais trabalho para os usuários, diz. “Sem um melhor suporte para eles, as senhas representam um peso crescente em esforço que seria mais bem gasto em outro lugar”, explica.
O suporte geralmente consiste em informações sobre como escolher senhas fortes, dicas para reconhecer ataque de phishing, conselhos para verificar URLs com cuidado e para se defender de keystroke loggers com antivírus e patches atualizados de software. “Assim, eles recebem o conselho que é mais fácil de ser dado, em vez do conselho que realmente resolve os problemas que estão enfrentando”, finaliza Herley.
Tweet

Computerworld - Uso de senhas deve ser revisto, diz pesquisador da Microsoft - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1b9379ea/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F872d24952cdd3b1159ec6477bbdd37160Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A120C0A10C0A60Cuso0Ede0Esenhas0Edeve0Eser0Erevisto0Ediz0Epesquisador0Eda0Emicrosoft0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1b9379ea/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F872d24952cdd3b1159ec6477bbdd37160Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A120C0A10C0A60Cuso0Ede0Esenhas0Edeve0Eser0Erevisto0Ediz0Epesquisador0Eda0Emicrosoft0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Novas tecnologias aumentam desafios da segurança em 2011 - Segurança

2012-01-06T05:15:00.003-03:00

SegurançaNovas tecnologias aumentam desafios da segurança em 2011
Redes sociais, mobilidade e cloud obrigaram os CSOs a repensar a proteção dos dados. Veja as 10 reportagens mais lidas este ano sobre esse tema.
Por Redação da Computerworld
27 de dezembro de 2011 - 07h30
página 1 de 1
Tweet
Acostumadas a criar barreiras para proteger ambientes internos, as companhias estão sendo atropeladas por um grande movimento que está vindo de fora para dentro. É o provocado pelo uso de novas tecnologias, como os dispositivos móveis e cloud computing, e pela popularização das redes sociais, que fazem com que os dados estejam em qualquer lugar.

São novidades que trazem benefícios aos negócios, mas que também aumentam os riscos de segurança da informação. Esse novo cenário está exigindo mais dos Chief Security Officers (CSOs) e dos CIOs, que estão sendo obrigados a repensar a segurança corporativa, aprimorar a governança e adaptar as políticas à realidade do momento: habitar um mundo sem fronteiras.

Veja a seguir as dez reportagens de segurança da COMPUTERWORLD mais lidas em 2011 e que abordaram mecanismos de proteção para esse novo mundo:

1- Tecnologias pessoais desafiam segurança corporativa
Estudo da Unisys mostra que, no Brasil, 92% dos profissionais usam ao menos um dispositivo pessoal na empresa, colocando em risco a segurança dos dados estratégicos.

2- Redes sociais: proibir ou orientar o uso corporativo correto?
Estabelecer que tipo de informação pode ser abordada e ainda permitir o acesso de quem precisa do contato com os consumidores são algumas saídas.

3- Segurança: o impacto da mobilidade, redes sociais e nuvem
O novo cenário exige mais dos Chief Security Officers (CSOs) e dos CIOs, que estão sendo obrigados a repensar a proteção corporativa.

4- Mobilidade: mais produtividade e menos segurança?
Mapear e saber onde estão os riscos e mitigá-los pode diminuir a dor de cabeça com o uso de dispositivos móveis.

5 - Segurança do IPv6 adia migração para protocolo de internet
Contar com fornecedores confiáveis é a melhor saída para empresas deixarem para trás preocupação com proteção da rede.

6 - Firewalls nunca ou raramente são auditados
Resultados de estudo recente da Tufin são desanimadores, especialmente considerando as consequências potenciais de processos inadequados no gerenciamento.

7- Sistemas críticos abrem brechas para ciberataques
Ataque que destruiu bomba de água de prestadora de serviços dos EUA chama a atenção das autoridades para evitar graves acidentes.

8- Empresas têm falsa sensação de segurança, aponta estudo
Levantamento indica que a grande maioria dos executivos de tecnologia e de negócios confia em suas políticas de segurança.

9- Novas ameaças de segurança que devem tirar o sono dos CSOs
Smartphones, redes smart grid, GPS e mídias sociais vão chamar mais atenção dos criminosos no próximo ano, alertam especialistas.
10 - Segurança corporativa: dez mandamentos para 2012
É possível adaptar as políticas de TI e segurança para proporcionar mobilidade e produtividade sem deixar de administrar riscos.
Tweet

Computerworld - Novas tecnologias aumentam desafios da segurança em 2011 - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1b4b3ebe/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F39ed8985a1a4a22eea5ad11e5f822c850Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C270Cseguranca0Eas0Edez0Ereportagens0Emais0Elidas0Eem0E20A110Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1b4b3ebe/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F39ed8985a1a4a22eea5ad11e5f822c850Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C270Cseguranca0Eas0Edez0Ereportagens0Emais0Elidas0Eem0E20A110Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Quatro dicas para reforçar a segurança da rede corporativa - Segurança

2012-01-06T05:15:00.001-03:00

SegurançaQuatro dicas para reforçar a segurança da rede corporativa
Segundo especialistas, medidas simples ajudam a proteger a empresa contra intrusões.
Por Redação da Computerworld
27 de dezembro de 2011 - 15h32
página 1 de 1
Tweet
Cresce o número de ataques distribuídos por negação de serviços (DDoS – Distributed Denial-of-Service) e as empresas devem ficar atentas para evitar que seus serviços fiquem fora do ar. Segundo os especialistas em segurança da informação, medidas básicas ajudam a manter a rede corporativa protegida.

A McAfee lista passos simples que auxiliam clientes corporativos a serem mais proativos na prevenção contra ataques DDoS em suas redes.
Esses ataques costumam adotar uma combinação de técnicas bem conhecidas, tais como SYN e ICMP flooding, ao uso de ferramentas como LOIC e SlowLoris e algumas variantes de ponta.
A solução adequada para agir contra esses ataques, segundo recomendação da McAfee, é o sistema de prevenção de intrusão (IPS – Intrusion Prevention Systems).
Veja a seguir quatro dicas para manter um bom ambiente de IPS:
1- Preocupar-se com o tuning (otimização para aprimorar desempenho) e a configuração. Uma solução IPS mal configurada poderá gerar a falsa sensação de segurança, que muitas vezes é pior que a ausência da solução.
2- Conhecer a rede. Criar perfis de comportamento em que será fácil identificar qualquer anomalia, assim um possível ataque será facilmente detectado.
3- Manter a solução IPS atualizada, pois o mercado de segurança está em constante evolução e perder as atualizações do fabricante de IPS pode trazer resultados catastróficos.
4- Monitorar os eventos de ameaças e ataques regularmente.
“Estas ações são importantes para impedir tais ataques, permitindo manter uma segurança excelente ao ter à disposição o processo correto, as pessoas e as tecnologias certas”, informa a empresa.

Tweet

Computerworld - Quatro dicas para reforçar a segurança da rede corporativa - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1b4f4207/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Ff3ce56f7d3239e4e32f0A60A8362eeab8a0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C270Cquatro0Edicas0Epara0Ereforcar0Ea0Eseguranca0Eda0Erede0Ecorporativa0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1b4f4207/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Ff3ce56f7d3239e4e32f0A60A8362eeab8a0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C270Cquatro0Edicas0Epara0Ereforcar0Ea0Eseguranca0Eda0Erede0Ecorporativa0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Certificação: versão 2 da ICP-Brasil vale a partir de janeiro - Segurança

2011-12-30T05:14:00.001-03:00

SegurançaCertificação: versão 2 da ICP-Brasil vale a partir de janeiro
Fornecedores da tecnologia realizam força-tarefa para atender empresas que ainda não adaptaram seus sistemas.
Por Redação da Computerworld
23 de dezembro de 2011 - 16h46
página 1 de 1
Tweet
A partir de 1º de janeiro de 2012 entra em operação a versão dois do certificado da Autoridade Certificadora Raiz da ICP-Brasil, que contém novos padrões e algoritmos criptografados considerados mais robustos. Agora, o tamanho das chaves criptográficas que compõem o algoritmo de criptografia assimétrica (RSA) utilizado pelas Autoridades Certificadoras passarão a ter 4096 bits em vez dos 2048 bits atuais.
O certificado digital é o documento de identificação de uma empresa ou pessoa na web. Com ele, é possível assinar documentos eletrônicos com validade jurídica, autenticar-se em sites, realizar serviços da Receita Federal, como entrega de declarações e acesso ao Centro Virtual de Atendimento ao Contribuinte (e-CAC).
Na versão dois, para os certificados digitais de pessoas físicas e jurídicas também estão previstas mudanças e, nesse caso, serão geradas chaves de 2048 bits, em vez dos 1024 bits atuais. Haverá mudança também no algoritmo de resumo criptográfico (SHA), que passará de SHA-1 (160 bits) para no mínimo SHA-256 (256 bits).
Mas o que isso significa na prática? Mais segurança. Por esse motivo, a partir da data estabelecida, nenhuma autoridade certificadora credenciada pelo Instituto Nacional de Tecnologia da Informação (ITI) poderá emitir certificados digitais utilizando os padrões criptográficos anteriores e a cadeia de certificação antiga.
Segundo Regina Tupinambá, diretora comercial da Certisign, especializada no desenvolvimento de soluções de certificação digital, todos os certificados digitais emitidos antes de 1º de janeiro de 2012 continuarão válidos até atingirem a data de expiração e terão interoperabilidades com as aplicações disponíveis no mercado, sendo assim, não é necessária a substituição até o vencimento. “No entanto, as aplicações que utilizam certificados digitais ICP Brasil precisarão ter interoperabilidade com os novos padrões”, explica.

Ela afirma que a Certisign disponibiliza para desenvolvedores de TI certificados de produção da versão dois, que deverão ser solicitados por meio do telefone da empresa ou pelo e-mail televendas@certisign.com.br. “Recomendamos que os desenvolvedores testem suas aplicações para se certificarem que elas estarão em conformidade com os novos certificados”, aconselha Regina.

A Comprova.com, especializada em certificação Digital e Autoridade de Registro da Serasa Experian, também disponibiliza soluções para emissão de certificados digitais, e informa que está fazendo mutirões para atendimento de empresas que querem emitir a versão dois, especialmente para quem busca estar compliance com o Conectividade Social, da Caixa.

Em São Paulo, o atendimento aos empresários pode ser feito nas ruas Bandeira Paulista, Funchal, Gomes de Carvalho e na Avenida Paulista, além das cidades de Barueri e Campinas. Em Itú também haverá ação em parceria com o Sindicato do Comércio Varejista e Lojista de Itu e Região (Sincomercio), que acontece na cidade e atenderá a região, de segunda a sexta-feira, das 8h às 17h40.

“O mutirão tem como objetivo ajudar as empresas a efetuarem suas emissões de certificados antes do término do prazo legal evitando multas por atrasos e filas de atendimento”, afirma Marcos Nader, CEO da Comprova.
Tweet

Computerworld - Certificação: versão 2 da ICP-Brasil vale a partir de janeiro - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1b391bfd/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F6f0A4841586ff381ad5b719e5d1f2cbd10Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C230Ccertificacao0Eversao0E20Eda0Eicp0Ebrasil0Evale0Ea0Epartir0Ede0Ejaneiro0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1b391bfd/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F6f0A4841586ff381ad5b719e5d1f2cbd10Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C230Ccertificacao0Eversao0E20Eda0Eicp0Ebrasil0Evale0Ea0Epartir0Ede0Ejaneiro0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Vendas de software antivírus vão crescer em 2012 - Segurança

2011-12-28T05:14:00.005-03:00

SegurançaVendas de software antivírus vão crescer em 2012
Com hackers mirando as empresas, fornecedores de soluções de segurança deverão observar forte demanda nos próximos meses.
Por Jeremy Kirk, do IDG News Service
22 de dezembro de 2011 - 12h40
página 1 de 1
Tweet
Assim como em 2011, no próximo ano os hackers vão continuar dando dor de cabeça para os profissionais de segurança da informação, segundo dados da Canalys. Por essa razão, a consultoria prevê aumento de 8,7% no investimento em software de segurança nas empresas em 2012, movimentando 22,9 bilhões de dólares em todo o mundo.

Embora o antivírus seja criticado por muitas companhias por não bloquear ameaças emergentes, será uma das fontes de crescimento porque ainda é considerado um nível básico de segurança, vital para as companhias. Esse segmento deverá crescer 6,8% ano a ano.

A Canalys aponta ainda que pequenos fornecedores vão ameaçar a liderança de organizações do setor como Symantec, Trend Micro e McAfee. Um dos fornecedores em crescimento é a Kaspersky Lab. Panda Security, F-Secure, Eset e AVG também vão ganhar participação no mercado, de acordo com a consultoria.
Na visão da Canalys, muitas das pequenas empresas não percebem que precisam proteger os dados tanto quanto as grandes. Os negócios menores tendem a ter os mesmos padrões de compra dos consumidores finais quando o assunto é software de segurança e são mais sensíveis ao preço do que ao conhecimento sobre as ameaças do mercado.

Fornecedores estão tornando mais fácil para pequenas e médias empresas a compra de software antivírus por meio de lojas on-line, afirma a Canalys. A Symantec, por exemplo, permite que organizações obtenham até mil licenças on-line, e outros, como McAfee, Sophos, Trend Micro e Kaspersky Lab têm acordos de licenciamento de volume on-line.

O movimento estratégico tem como objetivo ganhar mais participação em volume e valor no mercado de PMEs, finaliza a Canalys.
Tweet

Computerworld - Vendas de software antivírus vão crescer em 2012 - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1b2f48e4/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F41a2ed7d0A71692df730A6c83696f60A3cf0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C220Cvendas0Ede0Esoftware0Eantivirus0Evao0Ecrescer0Eem0E20A120Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1b2f48e4/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F41a2ed7d0A71692df730A6c83696f60A3cf0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C220Cvendas0Ede0Esoftware0Eantivirus0Evao0Ecrescer0Eem0E20A120Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Empresas têm até 31/12 para se adequar a novo sistema da Caixa - Segurança

2011-12-28T05:14:00.003-03:00

SegurançaEmpresas têm até 31/12 para se adequar a novo sistema da Caixa
A partir de janeiro, companhias não poderão acessar informações sobre FGTS sem certificado digital no padrão ICP-Brasil.
Por Déborah Oliveira, da Computerworld
22 de dezembro de 2011 - 13h58
página 1 de 1
Tweet
A Caixa Econômica Federal informa que 31/12 é o prazo final para as empresas realizarem o registro no novo Conectividade Social por meio do certificado digital. A partir dessa data, o acesso ao canal eletrônico com uso de certificados em disquete não será mais permitido e a comunicação com o Fundo de Garantia do Tempo de Serviço (FGTS) e a Previdência Social será feita por meio do portal.

Companhias com mais de 500 empregados teriam de aderir ao uso do certificado digital, no modelo ICP-Brasil [que estabelece padrões de certificação digital], de 2 a 13 de maio de 2011. E ao longo do ano, as demais, de acordo com o número de funcionários, também deverão cumprir a exigência conforme o cronograma apresentado pela Caixa Econômica.

Dados da Caixa indicam que até outubro, mais de 200 mil organizações, de um universo estimado de 3 milhões, já utilizavam o novo canal, que foi desenvolvido pelo órgão para permitir que empresas e escritórios de contabilidade possam enviar pela web os arquivos gerados com informações sobre FGTS e Previdência dos funcionários.
O prazo é curto e ainda há quem não esteja compliance.

“Muitos estão nos procurando e fizemos uma força-tarefa para atender a todos no prazo. Temos a agenda cheia nas próximas semanas para validação presencial dos documentos para emissão do certificado digital”, afirma Paulo Kulikovsky, vice-presidente de planejamento da Certisign, especializada no desenvolvimento de soluções de certificação digital.

Segundo ele, desde o começo do ano a Certising vendeu certificados digitais para mais de 700 mil empresas e boa parte desse número, nos últimos meses, foi direcionado para atender às demandas do Conectividade Social.

Kulikovsky aponta que o processo de implementação não é demorado. É preciso entrar em contato com a central de atendimento da fornecedora da solução e no caso da Certisign o executivo diz que compras no cartão de crédito são aprovadas e liberadas no mesmo dia e que um assistente de instalação ajuda o usuário a fazer o download dos drives necessários para implementar o certificado digital.

Sobre o valor, ele informa que varia de 110 reais a 465 reais, dependendo da mídia comprada [instalação no computador ou cartão] e do período da assinatura, que vai de um a três anos.
De acordo com Kulikovsky, o mecanismo de segurança permitirá maior proteção no acesso. “O sistema possibilita identificação segurança para os dois lados e facilita especialmente ao usuário”, explica.

Kulikovsky lista alguns dos benefícios de acessar o sistema com o certificado digital nos padrões do ICP-Brasil. “É o sistema mais moderno disponível hoje. Ele simplifica o processo de recolhimento do FGTS, aumenta o sigilo das informações e facilita o cumprimento das obrigações da empresa com relação ao FGTS. Além da eliminação de papel circulando; é uma tecnologia verde”, enumera.

Independentemente da adoção do certificado digital para estar em linha com as exigências da Caixa, Kulikovsky diz que a tecnologia de segurança está cada vez mais presente no dia a dia e é importante que companhias a adotem. “Ela é usada para uma série de processos em órgãos públicos, especialmente, e facilita muito a vida de profissionais que precisam usá-la”, assegura. Kulikovsky afirma que entre os setores que mais utilizam o certificado estão o de saúde, justiça e contabilidade.

Para empresas que estão com dúvidas sobre como se adequar ao novo Conectividade Social o executivo indica o site Conectividade ICP, que concentra as principais orientações aos empregadores.
Tweet

Computerworld - Empresas têm até 31/12 para se adequar a novo sistema da Caixa - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1b2fe5ff/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F6d3c1e6ad8c0A4b1f82369e2e75c6a2c90Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C220Cempresas0Etem0Eate0E310E120Epara0Ese0Eadequar0Ea0Enovo0Esistema0Eda0Ecaixa0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1b2fe5ff/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F6d3c1e6ad8c0A4b1f82369e2e75c6a2c90Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C220Cempresas0Etem0Eate0E310E120Epara0Ese0Eadequar0Ea0Enovo0Esistema0Eda0Ecaixa0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Metade das companhias no Brasil não tem plano de recuperação - Segurança

2011-12-28T05:14:00.001-03:00

SegurançaMetade das companhias no Brasil não tem plano de recuperação
Pesquisa da Regus aponta que empresas colocam em risco ativos por não contarem com estratégias em casos de desastre.
Por Redação da Computerworld
23 de dezembro de 2011 - 10h00
página 1 de 1
Tweet
Sua empresa tem um plano de recuperação de desastres? Em 51% das companhias brasileiras a resposta para essa pergunta é não. Os dados são de um estudo global realizado pela Regus, fornecedora de soluções de TI, com 12 mil executivos em 85 países. O levantamento aponta ainda que 57% das companhias que atuam em solo nacional não têm qualquer estratégia de continuidade dos negócios com relação ao local de trabalho quando afetados por desastres naturais.
A Regus alerta que os números mostram que muitas empresas colocam em risco ativos de acionistas por não tomarem as devidas precauções para inverter situações de catástrofes.
Outro dado relevante do estudo aponta que as companhias brasileiras estão menos propensas a perceberem o custo da recuperação de desastres como algo proibitivo, citado por 31% dos entrevistados.
Por outro lado, dois terços, ou 66%, dos profissionais ouvidos no Brasil declararam que investiriam em recuperação de desastres se o serviço tivesse preço mais acessível. “A pesquisa mostra que, apesar de um incidente custar cerca de 500 mil dólares para a organização, a recuperação de desastres entre as empresas no Brasil não é tão popular como se pode imaginar, principalmente, quando o assunto é a recuperação do local de trabalho”, avalia o diretor-geral da Regus no Brasil, Guilherme Ribeiro.
Apesar de as organizações de grande porte no Brasil estarem melhor preparadas do que as de menor porte para eventos de recuperação de desastres, em média, 49% delas ainda não contam com instalações dedicadas a uma eventual situação de recuperação de desastres, aponta o levantamento.
“Ainda que muitas empresas estejam simplesmente apostando na sorte, a mentalidade sobre esse assunto já está mudando. A tendência é que mais negócios comecem a se preparar para as situações de emergência", finaliza Ribeiro.
Tweet

Computerworld - Metade das companhias no Brasil não tem plano de recuperação - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1b363b00/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Fb5e96c22d10A45490A98615feafa33a120A0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C220Cmetade0Edas0Ecompanhias0Eno0Ebrasil0Enao0Etem0Eplano0Ede0Erecuperacao0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1b363b00/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Fb5e96c22d10A45490A98615feafa33a120A0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C220Cmetade0Edas0Ecompanhias0Eno0Ebrasil0Enao0Etem0Eplano0Ede0Erecuperacao0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Segurança corporativa: dez mandamentos para 2012 - Segurança

2011-12-25T05:14:00.003-03:00

SegurançaSegurança corporativa: dez mandamentos para 2012
É possível adaptar as políticas de TI e segurança para proporcionar mobilidade e produtividade sem deixar de administrar riscos.
Por Redação da CIO
15 de dezembro de 2011 - 13h27
página 1 de 1
Tweet
Tendências mostradas pela próxima geração da força de trabalho em ignorar ameaças on-line representam desafios para segurança pessoal e corporativa, de acordo com estudo global da Cisco. O relatório "Cisco Connected World Technology", composto por três partes, revela atitudes surpreendentes em relação às políticas de TI e às crescentes ameaças de segurança que surgem com a próxima geração de profissionais que entrarão no mercado de trabalho – um grupo demográfico que cresceu com a realidade da internet e que possui um estilo de vida cada vez mais sob demanda, que mistura atividades pessoais e profissionais no local de trabalho.
Mesmo que as organizações precisem desenvolver uma abordagem de segurança de rede e dados que suportem as necessidades específicas da força de trabalho e a ajude a alcançar os objetivos de negócios, há várias iniciativas que qualquer empresa pode realizar para melhorar a postura de segurança, imediatamente e a longo prazo. Abaixo seguem dez recomendações de especialistas de segurança da Cisco, publicadas no relatório de segurança anual Cisco 2011.
1. Avalie a totalidade da sua rede
Saber onde começa e termina a infraestrutura de TI é muito importante. Muitas empresas simplesmente não têm ideia da totalidade da rede. Além disso, saber o que é o seu 'normal' é fundamental para poder identificar e responder um problema com rapidez.
2. Reavalie a política de uso aceitável e o Código de Conduta
Afaste-se da abordagem "lista de lavanderia" para as políticas de segurança. Foque apenas no que você sabe que deve epode impor.
3. Determine quais dados devem ser protegidos
Você não pode construir um programa eficaz de prevenção de perda de dados (DLP) se não souber quais informações devem ser protegidas. É preciso também determinar quem na empresa terá permissão para acessar essas informações, e como eles serão autorizados a acessá-las.
4. Saiba onde estão os dados e entenda como é (e se) eles estão sendo garantidos
Identifique todos os terceiros com permissão para armazenar dados de sua empresa a partir de provedores de nuvem e confirme que a informação está sendo protegida de forma adequada. Requisitos de conformidade, e agora a tendência do cibercrime em hackear grandes empresas, mostram que você deve assumir que seus dados nunca estão seguros, mesmo quando estão nas mãos daquele em quem confia.
5. Avalie práticas de educação do usuário
Seminários e manuais extensos não são eficazes. Funcionários mais jovens serão mais receptivos a uma abordagem para a educação do usuário com sessões mais curtas e treinamentos "just-in-time". A formação de pares também funciona bem no atual ambiente de trabalho colaborativo.
6. Monitore tudo o que sai
Isso é algo básico, mas nunca o suficiente para animar as empresas a fazê-lo. Monitorar a saída é uma mudança de foco. Você precisa saber o que está sendo enviado para fora da organização, por quem e para onde.
7. Prepare para a inevitabilidade do Bring Your Own Device (BYOD)
As empresas precisam parar de pensar sobre quando elas vão adotar o modelo BYOD e começar pensar mais sobre como fazer isso.
8. Crie um plano de resposta a incidentes
TI deve ser tratada como qualquer outro negócio de risco. Significa a necessidade de ter um plano claro para reportar e responder rápida e adequadamente a qualquer tipo de evento de segurança, quer se trate de uma violação de dados resultante de um ataque direcionado, uma violação devido ao descuido de um empregado, ou um incidente de hacktivismo.
9. Implemente medidas de segurança para ajudar a compensar a falta de controle sobre as redes sociais
Não subestime o poder das tecnologias de controle, como os sistemas de prevenção de intrusão e de proteção contra ameaças da rede. Filtragem de reputação também é uma ferramenta essencial para detectar atividades suspeitas e conteúdos suspeitos.
10. Monitore o cenário dinâmico de risco e mantenha os usuários informados
As empresas e suas equipes de segurança precisam vigiar uma gama de fontes de risco, a partir de dispositivos móveis, da nuvem, das redes sociais e tudo o que as novas tecnologias possam oferecer amanhã. Elas devem adotar uma abordagem de duas etapas: reagir às divulgações de vulnerabilidades de segurança, além de serem pró-ativas na educação de seus funcionários sobre como proteger a si e a empresa das ameaças cibernéticas potentes e persistentes.
Tweet

Computerworld - Segurança corporativa: dez mandamentos para 2012 - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1afb9bb1/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F6fa7856d74c5f5127a86d43f9ef472790Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C150Cseguranca0Ecorporativa0Edez0Emandamentos0Epara0E20A120Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1afb9bb1/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F6fa7856d74c5f5127a86d43f9ef472790Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C150Cseguranca0Ecorporativa0Edez0Emandamentos0Epara0E20A120Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Criptografia de dados avança nas empresas, indica Symantec - Segurança

2011-12-25T05:14:00.001-03:00

SegurançaCriptografia de dados avança nas empresas, indica Symantec
Por outro lado, soluções são fragmentas, aumentando riscos, falta de controle e dificultando conformidade.
Por Redação da Computerworld
15 de dezembro de 2011 - 16h11
página 1 de 1
Tweet
Empresas estão protegendo dados com criptografia mais do nunca, revela Pesquisa 2011 sobre Tendências da Criptografia nas Empresas da Symantec, conduzido pela Applied Research. Dos entrevistados, 48% disseram que ampliaram o uso de criptografia nos últimos dois anos.

No entanto, segundo o levantamento, as soluções de criptografia são fragmentadas. As organizações relataram ter cinco diferentes soluções de criptografia implementadas. Isso gera riscos para as organizações por causa da falta de controle centralizado do acesso a informações e da interrupção de processos críticos como e-discovery [localização de dados eletrônicos] e monitoramento de conformidade, diz a Symantec.

“Ainda que muitas organizações entendam a importância de criptografar dados, problemas com o gerenciamento de chaves e vários produtos isolados podem produzir visibilidade inconsistente sobre o que está protegido”, afirma Joe Gow, diretor de gerenciamento de produtos da Symantec.

De acordo com o levantamento, que envolveu executivos C-Level de 1.575 organizações de 37 países, incluindo a América Latina, a incapacidade de acessar informações importantes para os negócios devido às soluções fragmentadas de criptografia custa cerca de 124.965 milhões de dólares por ano às empresas.

Todas as organizações que reportaram problemas com as chaves de criptografia tiveram algum tipo de custo associado. Os gastos mais comuns incluem incapacidade de cumprir as exigências de conformidade, relatado por 48% dos executivos, incapacidade de atender às solicitações de e-discovery (42%) e incapacidade de acessar informações importantes para os negócios (41%).

Para evitar armadilhas quando o assunto é criptografia, a Symantec recomenda cinco ações.

1. Entenda o ciclo de vida dos processos de criptografia e se antecipe aos desafios envolvidos com a proteção dos dados em um maior número de lugares.

2. Planeje um processo de recuperação de dados que atenda às necessidades da organização e conte com a capacidade de impedir o acesso aos dados para os casos de funcionários descontentes e ex-funcionários.

3. Crie um plano consistente para criptografia e gerenciamento de chaves envolvendo toda a empresa antes de implementar a criptografia.

4. Criptografe ativos, começando por e-mail, notebooks e dispositivos portáteis, antes de experimentar problemas de violação de dados.

5. Antecipe-se aos efeitos da mobilidade e computação em nuvem e à necessidade de criptografar dados armazenados fora da empresa, incluindo arquivos compartilhados e armazenamento na nuvem.
Tweet

Computerworld - Criptografia de dados avança nas empresas, indica Symantec - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1afcd276/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F2cce25299f938c56c4bcf0A0Aa20Ae0Ad7130Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C150Ccriptografia0Ede0Edados0Eavanca0Enas0Eempresas0Eindica0Esymantec0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1afcd276/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F2cce25299f938c56c4bcf0A0Aa20Ae0Ad7130Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C150Ccriptografia0Ede0Edados0Eavanca0Enas0Eempresas0Eindica0Esymantec0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Usuários ‘privilegiados’ bisbilhotam dados sensíveis - Segurança

2011-12-23T05:15:00.001-03:00

SegurançaUsuários ‘privilegiados’ bisbilhotam dados sensíveis
Estudo aponta que 60% dos profissionais como engenheiros de rede e administradores de banco de dados acessam informações confidenciais por curiosidade.
Por Redação da Computerworld
14 de dezembro de 2011 - 19h06
página 1 de 1
Tweet
Usuários chamados “privilegiados”, incluindo administradores de bancos de dados, engenheiros de rede e especialistas de segurança de TI, desafiam a segurança corporativa, de acordo com estudo global conduzido pelo Ponemon Institute a pedido da HP.

O levantamento intitulado “The Insecurity of Privileged Users” realizado com 5,5 mil gerentes de operações e segurança de TI em países como Brasil, França, Japão e Reino Unido, mostra que 52% dos participantes receberam, no mínimo, acesso a informações confidenciais ou restritas que vão além dos requisitos da sua posição.

Além disso, mais de 60% informaram que usuários privilegiados acessam dados sensíveis e confidenciais apenas por curiosidade, e não em função do cargo que ocupam. Muitos dos participantes indicaram que têm políticas bem definidas para indivíduos com direitos de acesso privilegiados a sistemas de TI.

Por outro lado, quase 40% não tinham certeza sobre a visibilidade sobre os direitos e acessos específicos, ou se aqueles com direitos de acesso privilegiado atendiam a políticas de conformidade.

Dos executivos ouvidos, 27% disseram que as organizações utilizam controles de identidade e acesso baseados em tecnologia para detectar o compartilhamento de direitos de acesso administrativos do sistema ou direitos de acesso em nível raiz por usuários privilegiados, e 24% afirmaram combinar tecnologia com processos.

“Os resultados claramente enfatizam a necessidade de melhor gerenciamento de políticas de acesso, soluções de inteligência com segurança avançada, assim como contexto de identidade para usuários privilegiados. Desta forma, é possível melhorar substancialmente a monitoração da segurança”, avalia Tom Reilly, vice-presidente e General Manager de Enterprise Security Products da HP.

Outro dado relevante indica que as principais barreiras para a aplicação de direitos de acesso aos usuários privilegiados são a incapacidade de manter o ritmo das requisições de mudança, os processos de aprovação inconsistentes, os altos custos de monitoração e a dificuldade de validar mudanças de acesso.
Tweet

Computerworld - Usuários ‘privilegiados’ bisbilhotam dados sensíveis - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1af486d5/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F6765e35158f74e11f0A815ea60A3a7a0A1b0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C140Cusuarios0E20A18privilegiados20A190Ebisbilhotam0Edados0Esensiveis0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1af486d5/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F6765e35158f74e11f0A815ea60A3a7a0A1b0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C140Cusuarios0E20A18privilegiados20A190Ebisbilhotam0Edados0Esensiveis0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Malwares em dispositivos móveis vão dobrar em 2012 - Segurança

2011-12-12T05:14:00.007-03:00

SegurançaMalwares em dispositivos móveis vão dobrar em 2012
Muitos dos ataques virão por meio do browser. Mas os aplicativos também preocupam, especialmente na plataforma Android.
Por Taylor Armerding, da CSO (EUA)
02 de dezembro de 2011 - 12h06
página 1 de 1
Tweet
O ano de 2012 promete ser o da mobilidade. As empresas deverão utilizar como mais força essa tecnologia, fazendo com que as vendas disparem e continuem crescendo nos próximos anos. As estimativas dos analistas são de que esses devices vão ultrapassar 1 bilhão de unidades até 2015, deixando os PCs muito para trás. Essa proliferação traz benefícios e riscos para as corporações.
A conveniência e a produtividade tornam os terminais móveis irresistíveis Afinal, os smartphones estão cada vez mais sofisticados, permitem acesso a diversos tipos de aplicações que facilitam o dia a dia dos profissionais, como e-mail e vídeo chat, para colaboração em qualquer lugar.
Os smartphones servem de GPS, escaneiam códigos de barra de produtos e desempenham uma série de atividades. Buscam e armazenam as músicas favoritas, acessam fotos em alta resolução e vídeo HD. São hoje uma ferramenta tanto para lazer e navegação em redes sociais quanto para trabalho, funcionando como verdadeiros escritórios móveis.
Apesar de tantos benefícios, os especialistas avaliam que os terminais móveis não são muito seguros e colocam seus usuários e companhias em risco. Por serem desprotegidos e estarem se espalhando pelo mercado, esses dispositivos tendem a se tornar um alvo tentador para ataques que vão desde spyware a disseminação de aplicações maliciosas.
Vulnerabilidades
Especialistas em segurança dizem que a indústria está ciente dos riscos. Uma pesquisa da unidade de segurança da IBM prevê que em 2012 haverá mais de 30 aplicações maliciosas para explorar dispositivos móveis. Esse número pode parecer pequeno, mas é o dobro do resgistrado nos últimos 12 meses.
Muitos dos ataques virão por meio do browser, alerta Anup Ghosh, cofundador e CEO da Invencea, cientista que criou diversos programa de segurança da informação. Ele avalia que apesar de os navegadores estarem embutindo mais mecanismos de segurança, as vulnerabilidades continuarão crescentes.
Ghosh informa que o volume de malware detectado diariamente chega a 75 mil, somando todas as variações. Isso, segundo ele, significa que muitas das defesas criadas para detectar e responder a esses ataques são quebradas constantemente.
Os métodos de ataque são variados. Um dos exemplos são os anexos de e-mails que carregam aplicativos que prometem fazer algo que o usuário quer e acabam colhendo informações pessoais, com a instalação de spyware. As estimativas atuais dos especialistas são de que um em cada 60 posts do Facebook e um em cada cem tweets no Twitter contém malware.
Falta de sincronia da cadeia
Gary McGraw, CTO da Cigital e cofundador do Building Security In Maturity Model (BSIMM), organização que ajuda desenvolvedores de software a cuidarem da segurança de produtos, acredita que haverá grande esforço da indústria para melhorar a proteção dos dispositivos móveis. Mas, adianta que esse trabalho não será fácil em razão do número de participantes envolvidos no ecossistema dos devices e, com diferentes interesses.
São participantes da cadeia dos dispostivos móveis a indústria dos terminais, os fabricantes de chips, os desenvolvedores dos sistemas operacionais como Google e Apple, além das operadoras de telecomunicações.
"Todos estão pensando seriamente sobre os problemas de segurança", diz McGraw. “Mas, o modelo de negócios para a venda dos dispositivos móveis é o que está falando mais alto. É difícil tomar decisões sobre a gestão de risco quando alguns estão apenas tentando chegar à frente de seus concorrentes."
McGraw concorda que os usuários estão vulneráveis, especialmente em relação ao uso de aplicativos de terceiros baixados pelas Apps Store, que não tenham sido aprovados. Esse problema, segundo ele, traz preocupação uma vez que os terminais estão tentando evoluir para meios de pagamento.
Zach Lanier, consultor da Intrepidus Group, concorda que a segurança dos dispositivos móveis é muitas vezes deixada de lado pelos fornecedores preocupados mais em ganhar vantagem competitiva. Na sua opinião, os desenvolvedores estão repetindo os mesmos erros que cometeram há dez anos no mundo dos PCs. “Estão esquecendo as lições aprendidas no passado”, constata.
Lanier acredita que a segurança móvel não é uma questão apenas dos navegadores e concorda que esses dispositivos são vulneráveis, mas não mais do que desktops e laptops.
É uma questão de escala, diz o executivo. "Digamos que há um bug e a versão mais atual do Android é atualizada”. Como os usuários estarão com diferentes versões do sistema operacional do Google, mais terminais estarão vulneráveis."
Em última análise, muitas das responsabilidades de seguranças estarão nos usuários finais. Se eles abrirem um arquivo PDF malicioso, por exemplo, a tecnologia não poderá bloquear.
McGraw e Lanier, dizem que, em resposta, as empresas vão se tornar mais ativas no gerenciamento de dispositivos móveis. Ainda assim não conseguirão resolver por completo a falta de experiência dos usuários. "Elas não poderão proteger as pessoas delas mesmas”, finaliza McGraw
Tweet

Computerworld - Malwares em dispositivos móveis vão dobrar em 2012 - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a9a8f10/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Fe0Ab4e3499bd90A4e9d85a1850Ab0A24ea990Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C0A20Cmalwares0Eem0Edispositivos0Emoveis0Evao0Edobrar0Eem0E20A120Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a9a8f10/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Fe0Ab4e3499bd90A4e9d85a1850Ab0A24ea990Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C0A20Cmalwares0Eem0Edispositivos0Emoveis0Evao0Edobrar0Eem0E20A120Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - 4 novas ameaças de segurança que devem tirar o sono dos CSOs - Segurança

2011-12-12T05:14:00.005-03:00

Segurança4 novas ameaças de segurança que devem tirar o sono dos CSOs
Smartphones, redes smart grid, GPS e mídias sociais vão chamar mais atenção dos criminosos no próximo ano, alertam especialistas.
Por John Brandon, da Computerworld (EUA)
06 de dezembro de 2011 - 07h30
página 1 de 1
Tweet
É possível que os crackers nunca durmam. Quando se pensa que todas as portas estão fechadas e que todas as medidas contra riscos de segurança eletrônica foram adotadas, surgem novas ameaças. Pode ser uma mensagem de texto (SMS) com uma carga maléfica ou um ataque ao sinal de sistemas de GPS para tirar a tranquilidade dos Chief Security Officers (CSOs).

Se você está protegendo dados corporativos ou simplesmente tentando manter os arquivos pessoais seguros, essas ameaças - algumas de rápido crescimento, outras ainda emergentes – podem colocar os sistemas em risco. Felizmente, os procedimentos de segurança e ferramentas estão disponíveis para ajudá-lo a ganhar a luta.
Veja a seguir quais são as quatro principais ameaças de segurança que vão chamar mais a atenção dos crakers e das quais você tem de se proteger:

1. Text-message malware

Embora os vírus de smartphones ainda sejam relativamente raros, ataques via mensagens de texto estão se tornando mais comuns, de acordo com Rodney Joffe, vice-presidente sênior e tecnólogo da empresa de aplicações móveis Neustar. Ele também é diretor do Conficker Working Group, entidade que reúne pesquisadores de segurança com o objetivo de combater o malware conhecido como Conficker.
O especialista observa que hoje os PCs estão razoavelmente bem protegidos e por isso alguns crackers estão mirando agora os dispositivos móveis. O motivo da migração é interesse financeiro. Eles estão usando SMS para invadir terminais e ganhar dinheiro.
Khoi Nguyen, gerente de produtos para segurança móvel da Symantec, confirma que os ataques por SMS, que visam sistemas operacionais de smartphones, estão se tornando comuns já que agora as pessoas estão cada vez mais confiantes em dispositivos móveis. Não é só os consumidores que estão em risco, adverte. Qualquer funcionário que envia e recebe muito SMS pelo smartphone da empresa pode comprometer a rede de dados, abrindo brechas para violação.
“Esse é um tipo semelhante de ataque como [é usado em] um computador. Os crackers enviam uma mensagem SMS ou MMS [mensagem multimídia] que inclui um anexo, disfarçado com uma foto engraçada ou sexy e que pede ao usuário para abri-lo", explica Nguyen.

Ao baixar esse arquivo, o usuário irá instalar um malware no seu dispositivo móvel. Uma vez carregado, o invasor passa a ter privilégios de acesso, se espalhando para os contatos da agenda de telefone. Dessa forma, diz Joffe, os crackers criam botnets para envio de mensagem de texto-spam com links para um produto que estão vendendo, geralmente cobrando por mensagem. Em alguns casos, o malware começa a comprar toques para celular que são cobrados na conta do consumidor, enchendo os bolsos do crackers vendedores de ring tones.
Operadoras de telefonia móvel dizem que tentam evitar os ataques. A porta-voz da prestadora de serviços norte-americana Verizon, Brenda Raney, informa que a empresa procura vigiar ataques de malware e isolá-los na rede. Outra medida é trabalhar com serviços de crime federal para bloquear ciberataques.

Para evitar que esse tipo de malware, explore os celulares, diz Joffe que recomenda que as empresas reforcem as políticas de segurança, limitando quais funcionários podem enviar SMS pelos terminais corporativos. Outra opção é proíbir as mensagens de texto por completo, pelo menos até que a indústria descubra como lidar com essas ameaças.

2- Ataques às redes smart grid
É um erro comum achar que apenas as redes corporativas Wi-Fi são invadidas. Não é verdade, garante Justin Morehouse, um consultor da Stratum de Security. Ele afirma que não é tão difícil encontrar um ponto de acesso para atacar ambiente wireless fechado.

Algumas usinas nucleares e redes de energia têm redes sem fio que são vulneráveis a ataques. Exemplo disso foi a invasão recente ao Supervisory Control and Data Aquisition (SCADA), ou Sistema de Supervisão e Aquisição de Dados de uma fornecedora pública de água da cidade de Springfield no estado de Ilinois (EUA).

Outro exemplo é o do worm Stuxnet que no ano passado infectou diversos PCs com Windows que executam sistemas SCADA Siemens em empresas de manufatura e de serviços públicos, principalmente no Irã. O vírus foi largamente disseminado por drives USB infectados. "Stuxnet provou que é relativamente simples causar danos catastróficos por uma rede de controle industrial”, diz o executivo da Neustar.
De acordo com Morehouse, outro ponto novo de ataque serão os sistemas smart grid, ou redes inteligentes, que utilizam medição eletrônica para agilizar o gerenciamento de energia. Empresas de serviços públicos em todo o mundo começaram a testar e a implantar essa tecnologia em residências e empresas.
Esses sistemas recebem e enviam dados para uma rede central, podendo ser também útil para TI. É possível abrir um console para ver o uso de energia para uma seção de um edifício, por exemplo.
Redes de smart grid podem ser vulneráveis a ataques e abrir portas para que crackers cortem a energia elétrica em residências e empresas. Eles podem causar outros tipos de estragos ao assumirem o controle da infraestrutura das redes inteligentes de comunicação.
Morehouse cita como exemplo uma empresa alemã de utility chamada Yello Strom que usa um kit de smart grid para automação residencial, pelo qual sensores enviam relatórios de consumo de energia para o servidor central pela rede Wi-Fi do consumidor.

A medida mais eficaz de prevenção desses ambientes, considera Morehouse, é o isolamento da rede smart grid que não deve trocar informações com outras outras redes. Os crakers podem acessar esse ambiente. O consultor aconselha as empresas a realizar testes periodicamente para se certificar se os firewalls estão ativos e verificar se as redes fechadas são seguras. Ele aconselha o uso de ferramentas como Core Impact e Metasploit.
3. O periogo das redes sociais

Usuários do Facebook, LinkedIn e outras redes sociais são vulneráveis a ataques tipo “spoofing”, técnica que forja a conta dos usuários e passa a disparar mensagens falsas. Um scammer pode se passar como alguém conhecido ou um amigo de um amigo, a fim de enganar o usuário a revelar informações pessoais. De posse desses dados, ele ganha acesso a outras contas e, eventualmente, para roubar a identidade da vítima.
Com esse tipo de ataque, segundo Joffe, contatos de redes como o Facebook ou LinkedIn, fingem ser um amigo de um amigo ou um colega de trabalho de alguém que você confia. Esse novo "amigo" passa a enviar mensagens de texto ou e-mail para sua rede. As mensagens parecem ser legítimas porque você acredita que ele tem uma conexão com um indivíduo de confiança.
Em outro cenário, um scammer pode se passar por alguém que você já conhece, dizendo ser um antigo amigo da época do colégio, por exemplo. “Spoofers” podem descobrir suas ligações seguindo seus posts públicos ou olhando os nomes dos colegas de trabalho em sites como o LinkedIn, em que você postou suas informações profissionais.
Uma vez que o scammer estabeleceu uma conexão com você, ele usa meios ilícitos para roubar dados pessoais em bate-papo on-line para descobrir os nomes dos membros de sua família, bandas favoritas, hobbies e outros dados. Ele usa essas informações para tentar adivinhar suas senhas ou respostas a perguntas de segurança para sites bancários, contas de webmail ou outros serviços on-line.
Morehouse descreve outro tipo de ataque que tem como alvo empresas, bem como indivíduos. O “spoofer” pode configurar uma página no Facebook que afirma ser a página oficial da empresa, como por exemplo de um varejista. O cibercriminoso pode argumentar que a página é mais um canal de comunicação da emprea com seu público e local para receber reclamações dos clientes.
A página pode oferecer cupons falsos para atrair as pessoas a entrarem no site. Logo, essa página pode se tornar viral e compartilhar informações com amigos. Uma vez que centenas ou milhares de usuários se juntaram a página, os crackers passam a atacar informações pessoais, oferecendo ou ofertas especiais falsas.
Esse médoto provoca um duplo ataque. Os consumidores são prejudicados porque os seus dados pessoais são comprometidos. A empresa também tem sua imagem arranhada porque seus clientes se associam a uma página falsa do Facebook. Os clientes podem decidir não comprar mais dessa empresa.
De acordo com Joffe, não há maneira de evitar que um criminoso crie páginas falsas no Facebook, mas as empresas podem usar ferramentas de monitoramento para ver como o nome da empresa está sendo usado on-line. Se o nome da empresa estiver em páginas não autorizadas, é possível solicitar a remoção e sua listagem falsa.
4. Invasões a sinal de GPS

Outra tática emergente criminal é a interferência de sinais de GPS. Congestionar esse tipo de rede de comunicação é mais difícil, mas não uma possibilidade remota, segundo Phil Lieberman, fundador da fornecedora de soluções de segurança Lieberman Software.
O bloqueio de sinais de rádio transmitidos por satélite em órbita não é operação simples. Nos Estados Unidos, por exemplo, os satélites são operados pelos militares e sua invasão seria considerada ato de guerra e crime federal, diz o executivo.
No entanto, é fácil intercepatar receptores GPS usados em dispositivos de baixo custo. Segundo, o especialista, eles podem congestionar a rede com envio de um sinal semelhante ao do GPS real. O receptor então torna-se confuso porque não consegue encontrar uma transmissão via satélite constante.
Lieberman considera que esse é um problema potencialmente perigoso quando se trata de registros financeiros pelos dispositivos GPS, usados pelo setor bancário para adicionar carimbos de tempo nas transações financeiras. Embora as invasões sejam mais difícies, o especialista alerta que um cracker pode, teoricamente, interromper transações e causar dores de cabeça para os bancos.
Outro especialista em segurança, Roger Johnston, engenheiro de sistemas do Argonne National Laboratory, em Chicago, considera que os ataques “spoofing” a sinais de GPS é o maior perigo. Ele explica que os receptores GPS são dispositivos de baixa potência que trava qualquer sinal forte. A falsificação pode ser usada para os crimes graves - enganar um motorista de caminhão de entrega e mandá-lo entrar em beco escuro. Pode também alterar as rotas dos veículos de emergência.
Ainda não há relatados de falsificação de GPS para atos criminosos, mas Johnston aconselha que o governo e as empresas trabalhem para impedir tais ataques.
Uma das recomendações do especialista é o uso de criptografia forte e mais cuidado com as redes sociais. A adoção de software para monitoramento das redes corporativas pode aliviar alguns medos e ajudar os executivos de segurança a dormir com mais tranquilidades, mesmo que os cibercriminosos continuem apresentando novas ameaças.
Tweet

Computerworld - 4 novas ameaças de segurança que devem tirar o sono dos CSOs - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1ab1bfb9/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F366478bd50A4c0A5544aa873a23a5174870Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C0A50C40Enovas0Eameacas0Ede0Eseguranca0Eque0Edevem0Etirar0Eo0Esono0Edos0Ecsos0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1ab1bfb9/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F366478bd50A4c0A5544aa873a23a5174870Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C0A50C40Enovas0Eameacas0Ede0Eseguranca0Eque0Edevem0Etirar0Eo0Esono0Edos0Ecsos0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Microsoft libera correção para Exchange Server 2010 - Segurança

2011-12-12T05:14:00.003-03:00

SegurançaMicrosoft libera correção para Exchange Server 2010
Com novo update, serviço de mensagens ganha opção de navegação por meio de conexões mais lentas e aparelhos de menor resolução.
Por IDG News Service / EUA
07 de dezembro de 2011 - 11h44
página 1 de 1
Tweet
A Microsoft atualizou o seu serviço de servidor de mensagens Exchange Server 2010 com um pack que inclui vários novos recursos e soluções de bugs, anunciou a companhia nesta segunda-feira, 5/12.
Os novos recursos do Microsoft Exchange Service Pack 2 foram desenvolvidos com base no feedback dos usuários, de acordo com a empresa. Eles refletem o uso expansível de e-mail corporativo, agendamentos e funções associadas ao longo de uma variedade maior de aparelhos e situações.
Um dos novos recursos, chamado de Outlook Web Application (OWA) Mini, oferece a habilidade de navegação por caixas de e-mail e listas globais de endereços a partir de conexões mais lentas e aparelhos de baixa resolução. Esse mini-navegador pode ser usado como uma alternativa para sincronizar todos os dados do Exchange com o próprio telefone, o que pode ser proibitivo em determinados casos.
Outro novo recurso permite aos administradores segmentarem listas globais de endereços de empresas (GAL) em segmentos menores, permitindo assim a criação de grupos virtuais. Versões anteriores do Exchange ofereciam essa habilidade, apesar de essa ser a primeira vez que o Exchange 2010 oferece a capacidade de uma maneira que não exige a intervenção manual dos administradores.
O update também inclui o Hybrid Configuration Wizard, desenvolvido para essas empresas que desejam organizar e usar algumas contas de e-mail no Microsoft Office 365, enquanto mantém algumas contas de e-mail em seus sistemas internos. O Wizard simplifica o processo ao arquivar dados assim como compartilhar entradas no calendário e assegurar os e-mails tanta nas contas de e-mail internas quanto nas hospedadas.
O novo Service Pack ainda inclui várias soluções de bugs e coleta outros recursos introduzidos no Service Pack 1, liberado em agosto de 2010.
O pacote exigirá que as empresas atualizem seus quadros de Diretório Ativos, o que pode levar algum tempo.
Tweet

Computerworld - Microsoft libera correção para Exchange Server 2010 - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1abc9d38/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F7195191670A18e0A6e62feef8e1aa76e190Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C0A70Cmicrosoft0Elibera0Ecorrecao0Epara0Eexchange0Eserver0E20A10A0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1abc9d38/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F7195191670A18e0A6e62feef8e1aa76e190Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C0A70Cmicrosoft0Elibera0Ecorrecao0Epara0Eexchange0Eserver0E20A10A0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Domínio XXX: ter ou não ter? - Segurança

2011-12-12T05:14:00.001-03:00

SegurançaDomínio XXX: ter ou não ter?
Dificilmente um internauta acessará um site XXX por engano e pensará que a empresa "mudou de ares". Mas sempre pode aparecer alguém tentando explorar sua marca.
Por IDG News Service / EUA
08 de dezembro de 2011 - 17h59
página 1 de 1
Tweet
O domínio XXX está entre nós. Muitas empresas são contrárias ao seu conceito e discordam da orientação de que adquiram apenas um para proteger suas marcas.
Empresas como Nike e Microsoft não precisam correr para adquirir seus próprios domínios XXX. Mas, o que vai acontecer quando alguém visitar a página Toyota.xxx e encontrar um site estranho de fetiches sexuais? Bom, há duas razões pelas quais as companhias fora da indústria adulta não precisam se preocupar com domínios XXX. Ambas darão mais trabalho e serão mais caras para empresas que o mero registro do domínio.
Companhias estabelecidas e redes de varejo – especialmente empresas como Nike, Microsoft e Toyota – possuem leis de direitos autorais ao seu lado. Se um domínio Microsoft.xxx aparecer, a Microsoft provavelmente poderia retirá-lo do ar por meio de processos. Se o site ousar copiar o site oficial da Microsoft, mesmo que remotamente, ou parecer de alguma maneira que seja ligado com a própria empresa, seria uma vitória fácil.
Isso nos leva para a segunda razão. Visitar um domínio XXX requer intenção consciente. Se você apenas digitar o nome de um site/domínio em um navegador e apertar “Enter”, ele por padrão mostrará o site oficial na maioria dos casos. Para alguém visitar Microsoft.xxx ou Nike.xxx, precisaria realmente digitar a URL completa. E quem fizer isso sabe muito bem que tipo de conteúdo esperar encontrar como resultado, e não terá sua opinião sobre a marca em questão afetada de nenhuma maneira.
A verdade é que as únicas companhias que realmente precisam comprar um domínio XXX para proteger seus negócios são as donas de sites adultos. Nenhuma pessoa sã ou racional visitará “acidentalmente” um McDonalds.xxx ou Amazon.xxx e atribuir qualquer que seja o conteúdo que encontrarem aos verdadeiros McDonald's ou Amazon.
Companhias como Adam & Eve, Playboy, e outras atualmente operam domínios COM, como deveriam – são empresas comerciais. Mas por causa da indústria em que atuam, elas são mais ou menos forçadas a proteger a reputação das suas marcas ao comprar o domínio XXX equivalente. Uma pessoa que acessa Vivid.xxx em vez de Vivid.com pode razoavelmente assumir que sejam o mesmo site.
Na verdade, o domínio XXX é um dilema, até para os sites de conteúdo adulto. Sites adultos estabelecidos não vão abandonar seus domínios COM, para que o grande público da Internet não seja “excluído”.
Tweet

Computerworld - Domínio XXX: ter ou não ter? - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1ac7d31f/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Fad8ac40A3ae9893bd2aa2c6afc2842ad70Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C0A80Cdominio0Exxx0Eter0Eou0Enao0Eter0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1ac7d31f/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Fad8ac40A3ae9893bd2aa2c6afc2842ad70Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C0A80Cdominio0Exxx0Eter0Eou0Enao0Eter0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - ABES destruirá mais de 1,2 milhão de CDs piratas - Segurança

2011-12-09T05:16:00.003-03:00

SegurançaABES destruirá mais de 1,2 milhão de CDs piratas
Ação, que será realizada hoje (30/11), é forma de homenagem ao dia nacional de combate à pirataria, celebrado no dia 3 de dezembro.
Por Redação IDG Now!
30 de novembro de 2011 - 09h56
página 1 de 1
Tweet
A Associação Brasileira das Empresas de Software (ABES) informou que destruirá mais de 1,2 milhão de mídias com softwares, e games ilegais, hoje (30/11), às 10h. O material foi apreendido em operações que visam coibir o comércio irregular, realizadas pelas autoridades nos últimos anos.

A associação afirmou que a ação será uma forma de homenagem ao dia nacional de combate à pirataria, que é celebrado em 3 de dezembro. A destruição dos materiais será promovida pela empresa Plasnoi Comércio de Plásticos, por meio de um moinho triturador. O resíduo reciclável será comercializado e o valor obtido será doado para instituições assistenciais.

“Temos conquistado neste ano avanços consecutivos no combate à pirataria de software, e esperamos que esses esforços nos ajudem a reduzir ainda mais o índice atual de pirataria”, disse o coordenador do Grupo de Defesa da Propriedade Intelectual da ABES, Rodrigo Paiva.

Segundo a associação, somente no primeiro semestre de 2011 foram realizadas 334 ações nos principais centros comerciais do País, resultando na apreensão de mais de 1,1 milhão de mídias ilegais. Atualmente, o índice de pirataria de software é de 54% e resulta em prejuízos estimados em 2,6 bilhões de dólares para o Brasil.
Tweet

Computerworld - ABES destruirá mais de 1,2 milhão de CDs piratas - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a886091/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Ffee10A0Ab38ffee2446df32634390A2b31c0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C30A0Cabes0Edestruira0Emais0Ede0E10E20Emilhao0Ede0Ecds0Epiratas0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a886091/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Ffee10A0Ab38ffee2446df32634390A2b31c0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C30A0Cabes0Edestruira0Emais0Ede0E10E20Emilhao0Ede0Ecds0Epiratas0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Segurança móvel deve ser mais desafiada em 2012 - Segurança

2011-12-09T05:16:00.001-03:00

SegurançaSegurança móvel deve ser mais desafiada em 2012
Estimativas do crescimento da mobilidade nas corporações no próximo ano vão aumentar os riscos e exigir esforço maior para proteção desses dispositivos.
Por Taylor Armerding, da CSO (EUA)
02 de dezembro de 2011 - 07h30
página 1 de 1
Tweet
O ano de 2012 promete ser o da mobilidade. As empresas deverão aderir como mais força ao uso dessa tecnologia, fazendo com que as vendas disparem e continuem crescente nos próximos anos. As estimativas dos analistas são de que esses devices vão ultrapassar 1 bilhão de unidades até 2015, deixando os PCs muito para trás. Essa desseminação traz benefícios e riscos para as corporações.
A conveniência e a produtividade tornam os terminais móveis irresistíveis Afinal, os smartphones estão cada dia ganhando mais sofisticação, permitem acesso a diversos tipos de aplicações que facilitam o dia-a-dia dos profissionais, como e-mail para a colaboração e vídeo chat em qualquer lugar.
Os smartphones serviem de GPS, escaneaiam códigos de barra de produtos e desempenhar uma série de atividades. Buscam e armazenam as músicas favoritas, acessam fotos em alta resolução de fotos e vídeo HD. São hoje uma ferramenta tanto para lazer e navegação em redes sociais quanto para trabalho, funcionando como um verdadeiros escritórios móveis.
Apesar de tantos benefícios, os especialistas avaliam que os terminais móveis não são muito seguros e colocam seus usuários e companhias em risco. Por serem desprotegidos e estarem se espalhando pelo mercado, esses dispositivos tendem a se tornar um alvo tentador para ataques que vão desde spyware a disseminação de aplicações maliciosas.
Vulnerabilidades
Especialistas em segurança dizem que a indústria está ciente dos riscos. Uma pesquisa da unidade de segurança da IBM prevê que em 2012 haverá mais de 30 aplicações maliciosas para explorar dispositivos móveis. Esse número pode parecer pequeno, mas é o dobro do número divulgado nos últimos 12 meses.
Muitos dos ataques virão por meio de browser, alerta Anup Ghosh, co-fundador e CEO da Invencea, cientista que criou diversos programa de segurança da informação. Ele avalia que apesar de os navegadores estarem embutindo mais mecanismos de segurança, as vulnerabilidades continuarão crescentes.
Ghosh informa que o número de malware detectado diariamente chega a 75 mil, somando todas as variações. Isso, segundo ele, significa que muitas das defesas criadas para detectar e responder a esses ataques são quebradas constantemente.
Os métodos de ataque são variados. Um dos exemplos são os anexos de e-mails que carregam aplicativos que prometem fazer algo que o usuário quer e acabam colhendo informações pessoais, com instalação de spyware. As estimativas atuais dos especialistas são de que um em cada 60 posts do Facebook e um em 100 tweets no Twitter contém malware.
Falta de sincronia da cadeia
Gary McGraw, CTO da Cigital e co-fundador da BSIMM (Building Security In Maturity Model), uma organização que ajuda os desenvolvedores de software construirem a segurança de seus produtos, acresdita que haverá um grande esforço da indústria para melhorar a proteção dos dispositivos móveis. Mas, adianta que esse trabalho não será fácil em razão do número de participantes envolvidos no ecossistema dos devices e com interesses diferentes.
São participantes da cadeia dos dispostivos móveis a indústria dos terminais, fabricantes de chips, desenvolvedores dos sistemas operacionais como Google e Apple, além das operadoras de telecomunicações.
"Todos estão pensando seriamente sobre os problemas de segurança", diz McGraw. “Mas, o modelo de negócios para a venda dos dispositivos móveis é o que está falando mais alto. É difícil tomar decisões sobre a gestão de risco quando alguns estão apenas tentando chegar à frente de seus concorrentes."
McGraw concorda que os usuários estão vulneráveis, especialmente em relação ao uso de aplicativos de terceiros baixados pelas Apps store, que não tenham sido aprovados. Esse problema, segundo ele, traz preocupação uma vez que os terminais estão tentando evoluir para meios de pagamento.
Zach Lanier, consultor da Intrepidus Group, concorda que a segurança dos dispositivos móveis é muitas vezes deixada de lado pelos fornecedores preocupados mais em ganhar vantagem competitiva. Na sua opinião, os desenvolvedores estão repetindo os mesmos erros que cometeram há dez anos no mundo dos PCs. “Estão esquecendo as lições aprendidas no passado”, constata.
Lanier acredita que a segurança móvel não é uma questão apenas dos navegadores e concorda que esses dispositivos são vulneráveis, mas não mais do que desktops e laptops.
É uma questão de escala, diz o executivo. "Digamos que há um bug e a versão mais atual do Android é atualizada”. Como os usuários estarão com diferentes versões do sistema operacional do Google, mais terminais estarão vulneráveis."
Em última análise, muitas das responsabilidades de seguranças estarão nos usuários finais. Se eles abrirem um arquivo PDF malicioso, por exemplo, a tecnologia não poderá bloquear.
McGraw e Lanier, dizem que, em resposta, as empresas vão se tornar mais ativas no gerenciamento de dispositivos móveis. Ainda assim não conseguirão resolver por completo a falta de experiência dos usuários. "Elas não poderão proteger as pessoas delas mesmas”, finaliza McGraw
Tweet

Computerworld - Segurança móvel deve ser mais desafiada em 2012 - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a984594/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F1b982beb1a85b0A47fc78aee2de5cef80A0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C0A20Cseguranca0Emovel0Edeve0Eser0Emais0Edesafiada0Eem0E20A120Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a984594/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F1b982beb1a85b0A47fc78aee2de5cef80A0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C120C0A20Cseguranca0Emovel0Edeve0Eser0Emais0Edesafiada0Eem0E20A120Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Firewalls nunca ou raramente são auditados - Segurança

2011-12-07T05:15:00.001-03:00

SegurançaFirewalls nunca ou raramente são auditados
Resultados de estudo recente da Tufin são desanimadores, especialmente considerando as consequências potenciais de processos inadequados no gerenciamento.
Por Linda Musthaler, do Network World (US)
30 de novembro de 2011 - 07h30
página 1 de 1
Tweet
Aviso: se você é um Chief Security Officer (CSO) e quer dormir bem esta noite, pare de ler agora. As estatísticas a seguir podem causar pesadelos. Isso porque, a Tufin Technologies, fornecedora de soluções de segurança, aponta em pesquisa que três quartos dos profissionais envolvidos na gestão de firewall e em auditoria acreditam que seus processos de gerenciamento de segurança podem colocar a companhia em risco.
A empresa entrevistou cem profissionais de segurança de rede e concluiu que os dados são preocupantes, já que os firewalls são a primeira linha de defesa na maioria das redes corporativas. Esse cenário leva a uma pergunta. Que processos esses executivos seguem para confiarem tão pouco no que fazem?
Cerca de 40% dos gerentes de firewall usam ferramenta automatizadas para gerenciar as mudanças de configuração. Fazer esse trabalho manualmente pode ser demorado e propenso a erros. Um terço dos entrevistados diz lidar com 50 ou mais alterações no firewall por semana, e metade dos entrevistados diz que levam uma hora ou mais, às vezes até um dia inteiro, para projetar cada mudança nesse sistema.
O estudo identificou ainda que 80% dos gestores dizem que precisam usar mais de um console de gerenciamento para executar suas tarefas. Pode-se facilmente imaginar como um gerente de segurança que supervisiona um par de firewalls gasta todo seu tempo realizando mudanças, e a falta de tempo pode levar a erros ou descuidos, aponta o levantamento.
Tempo, ou melhor a falta dele, é uma questão real. Quando perguntados qual é o elo fraco da segurança da rede quase 60% dos profissionais ouvidos citam a falta de tempo. Múltiplas respostas foram permitidas nessa pergunta e outro desafio citado por 55% dos gestores de segurança foi processos pobres. Quase metade dos participantes do levantamento apontaram ainda mudanças na configuração.
De acordo com Michael Hamelin, arquiteto-chefe de segurança da Tufin Technologies, uma auditoria "aumenta as chances de encontrar pontos fracos na postura de segurança e encontrar onde as políticas precisam ser adaptadas." Infelizmente, quase 20% dos gestores firewall disseram que eles não relizam auditorias, e 11% não sabem se elas são realizadas na organização. Quase um em cada quatro gerentes disse que nunca realizou uma auditoria do firewall.
Se os firewalls nunca ou raramente são auditados, como é que os gestores de segurança sabem se há erros de configuração ou regras conflitantes, especialmente porque 63% dos entrevistados dizem não usar ferramenta automatizada ou processo para descobri-los?
Como eles sabem quando uma alteração de configuração faz com que o tempo de inatividade de rede represente quebra de segurança? Um em cada quatro gestores identifica esses pontos quando há aumento no número de chamadas de telefone ou e-mails relatando um problema. Um em cada três tem de manualmente solucionar problemas ou identificar possíveis causas de uma ocorrência.
A pesquisa indica ainda que 85% dos entrevistados dizem que atualmente ou em breve vão começar a gerenciar firewalls de próxima geração (NGFWs), que oferecem um nível muito mais fino de granularidade nas regras. Assim, os administradores poderão definir regras explícitas sobre quem tem acesso ao que em aplicações baseadas na web.
Os resultados da pesquisa da Tufin são desanimadores, especialmente considerando as consequências potenciais de processos inadequados no gerenciamento de firewall. O relatório 2009 Verizon Data Breach Incidents Report cita "erros de configuração" e "omissões" (isso é, a incapacidade de aplicar um patch ou aderir a uma política) como fatores que levam a graves violações de dados. Especialistas de TI esperam que esse seja um alerta para as empresas aprimorarem suas políticas de segurança.
Tweet

Computerworld - Firewalls nunca ou raramente são auditados - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a87128b/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F4fb5f65146a4edfbeac15f1e832361770Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C280Cgestores0Ede0Efirewall0Enao0Econfiam0Eem0Enas0Epoliticas0Ede0Eseguranca0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a87128b/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F4fb5f65146a4edfbeac15f1e832361770Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C280Cgestores0Ede0Efirewall0Enao0Econfiam0Eem0Enas0Epoliticas0Ede0Eseguranca0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Segurança do IPv6 adia migração para protocolo de internet - Segurança

2011-12-04T05:19:00.003-03:00

SegurançaSegurança do IPv6 adia migração para protocolo de internet
Contar com fornecedores confiáveis é a melhor saída para empresas deixarem para trás preocupação com proteção da rede.
Por Susan Perschke, do Network World (US)
29 de novembro de 2011 - 07h35
página 1 de 1
Tweet
Mesmo que sua empresa esteja postergando a implementação do IPv6, ainda assim não pode deixar para depois a preocupação com as questões de segurança que envolvem o novo protocolo de internet.
A maior ameaça à segurança está no fato de que as redes empresariais já têm toneladas de sistemas habilitados para IPv6, incluindo dispositivos com Windows Vista ou Windows 7, Mac OS/X e Linux.

No IPv6, ao contrário de seu antecessor, a configuração de rede do Dynamic Host Configuration Protocol (DHCP) não é manual. Essa característica de autoconfiguração significa que "o IPv6 habilitado para dispositivos está apenas esperando por um roteador para se identificar na rede", diz Eric Vyncke, engenheiro emérito de sistemas da Cisco e coautor do livro " IPv6 Security”.
Ele adverte que o "IPv4 direcionado para roteadores e switches não reconhece ou responde ao dispositivos de IPv6. Entretanto, um roteador IPv6 não autorizado pode enviar e interpretar esse tráfego."r

De acordo com ele, a autoconfiguração do IPv6 permite que qualquer sistema habilitado se comunique com outros dispositivos de rede IPv6 e serviços na mesma LAN. Para fazer isso, o dispositivo anuncia sua presença e localização por meio do IPv6 Neighbor Discovery Protocol (NDP).

Por outro lado, o NDP pode eventualmente expor os dispositivos para os criminosos ansiosos por colher informações sobre o que está acontecendo na rede, ou até mesmo permitindo que o próprio dispositivo transforme-se em "zumbi".
Vyncke diz que a ameaça é real. "Temos observado em todo o mundo que os bots estão aumentando o uso de IPv6 como canal secreto para se comunicar com seus botmasters". Entre os seus muitos disfarces, o malware do IPv6 pode assumir a forma de uma carga maliciosa encapsulada em uma ou mais mensagens IPv4.

Sem medidas de segurança específicas para IPv6, como inspeção profunda de pacotes, esse tipo de carga pode passar pelo perímetro IPv4 e defesas DMZ [perímetro de rede] sem ser detectado.

Segundo o consultor, Microsoft e Apple não contam com solução para evitar ameaças do tipo e que a Cisco está em processo de implementação do mesmo mecanismo de segurança do IPv4 no novo protocolo, atividade que deverá ser finalizada em 2012.

Vyncke aponta que alguns dos riscos mais comuns de segurança do IPv6 são acidentalmente criados por usuários finais que realizam configuração de dispositivos inadequadas na rede, e que a configuração adequada e as medidas de segurança eliminariam muitos desses riscos.
"A resposta para esse tipo de problema é implementar o IPv6 nativo e proteger o tráfego IPv6 no mesmo nível e contra os mesmos tipos de ameaças que as companhias já se defendem no IPv4”, explica Vyncke.

O mito IPSec
Entre os analistas do mercado de TI, há um consenso que o IPv6 é nativamente mais seguro que o IPv4 porque o suporte ao Internet Protocol Security (IPSec) é obrigatório no IPv6. "Isso é um mito que precisa ser desmistificado", diz Vyncke.

Ele ressalta que, além dos desafios práticos associados à implementação em larga escala de IPSec, o conteúdo do IPSec encapsulado torna-se invisível para os dispositivos [roteadores, switches, firewalls], interferindo em funções importantes de segurança.

Por esta razão, Vyncke, que também é membro ativo do Internet Engineering Task Force (IETF), que desenvolve e promove padrões de internet, relata que um grupo de trabalho do IETF está considerando uma mudança que alteraria o status do suporte IPSec de "necessário" para "recomendado" em implementações IPv6.

Sobre desabilitar o IPv6, Vyncke diz que é uma má ideia por duas razões. Uma, a Microsoft disse que a desativação do IPv6 no Windows 2008 constitui uma configuração sem suporte. Além disso, o executivo diz que tentar desativar o IPv6 é uma estratégia que atrasa o inevitável.

Migração é inevitável
Deixando um pouco de lado às ameaças de segurança, é notável que há um crescimento da adoção do IPv6 e está ficando mais difícil adiar a migração. Bancos e corretoras on-line já enfrentam o desafio de perder a comunicação com clientes internacionais cujas redes já não suportam o IPv4.

Empresas como Telefônica e T-Mobile estão abraçando IPv6 em grande escala, especialmente para em suas bases europeias. E o governo dos EUA, que tem migrado para o IPv6, está clamando por provedores e fornecedores que ofereçam mais produtos e serviços no novo protocolo.

Keith Stewart, diretor de Applications da Brocade Communications Systems, vê uma migração gradual para o IPv6. "A atualização no atacado para IPv6 por meio da internet não é prática nem eficaz", diz Stewart.

"Os clientes precisam de uma abordagem equilibrada e prática." Ele observa que os provedores de serviço, que consomem endereços mais rápido do que qualquer outra companhia, são os primeiros na fila para migrar para o IPv6, seguido por hosts de conteúdo (Google e Facebook) e, finalmente, os usuários finais, cujos roteadores são 99% baseados em IPv4.

De acordo com a Juniper Networks, até agora, a maioria dos clientes que solicitaram serviços IPv6 são dos setores de educação e governo, especialmente laboratórios de pesquisa universitários e unidades governamentais que procuram cumprir regulamentações federais.

A Juniper prevê aumento da demanda por IPv6 em 2012, especialmente entre os prestadores de serviços. "O esgotamento dos endereços IPv4 está se tornando um problema para os nossos clientes ao redor do mundo", diz Alain Durand, diretor de engenharia da divisão de software, plataforma e sistemas CTO da companhia.

Mesmo assim, Durand espera que a maioria das implementações de IPv6 seja direcionada para projetos "add-on" (dual-stack). "Para lidar com a crescente escassez de endereços IPv4, os clientes têm sempre a opção de adicionar mais uma camada de Network Address Translation (NAT)", diz Durand.
Enquanto não há como prever com certeza quanto tempo vai demorar até que todos os endereços IPv4 estejam esgotados, estatísticas de Geoff Huston, cientista-chefe da Asia Pacific Network Information Centre (APNIC), apontam que isso pode acontecer em 2014.

No entanto, é importante notar que essa previsão não inclui endereços de organizações privadas para uso futuro ou venda. Por exemplo, a Microsoft adquiriu 600 mil endereços com a compra da Nortel. Embora possa ser seguro assumir que endereços IPv4 estarão disponíveis no curto prazo, muitos preveem que os custos da oferta do protocolo de internet vão aumentar.

A verdade é que sem estabelecer as melhores práticas para o IPv6, muitos gerentes de rede têm sido relutantes em implementar o novo padrão. Mas com crescentes ameaças de segurança e preocupações sobre a perda de comunicação com os clientes que já estão migrando para o IPv6 o assunto está vindo à tona.

A fase de planejamento é um bom momento para estabelecer ou restabelecer os laços com um fornecedor de rede de confiança que pode oferecer arquitetura de segurança e orientação, juntamente com soluções escaláveis para uma ampla gama de opções de migração.
Tweet

Computerworld - Segurança do IPv6 adia migração para protocolo de internet - Segurança

Technorati Marcas: : Computerworld, Segurança,

BlogBlogs Marcas: : Computerworld, Segurança,

Computerworld - Investimento em segurança crescerá no País em 2012 - Segurança

2011-12-04T05:19:00.001-03:00

SegurançaInvestimento em segurança crescerá no País em 2012
Por outro lado, segundo estudo da PricewaterhouseCoopers, Brasil está deixando de lado iniciativas básicas como prevenção e detecção de ataques.
Por Déborah Oliveira, da Computerworld
29 de novembro de 2011 - 15h06
página 1 de 1
Tweet
Mesmo com a economia estagnada e o receio de uma nova crise global, empresas brasileiras, pelo segundo ano consecutivo, apontam que nos próximos 12 meses vão aumentar o investimento em segurança da informação. A conclusão é da Pesquisa Global de Segurança da Informação 2012, realizada anualmente pela consultoria PricewaterhouseCoopers (PwC) e pela revista CSO.

Dos 961 executivos de TI que responderam o estudo em solo nacional, 66% disseram que vão adotar essa estratégia. A Ásia lidera a lista com 73% e a média mundial é de 55%. No total, foram ouvidos 9,6 mil profissionais em 138 países.

“Por aqui, o espírito de otimismo continua. Entretanto, o crescimento não significa maturidade, já que muitas companhias deixam de lado medidas básicas de proteção como recuperação de desastres, planos de contingência e gestão de identidades”, alerta Sérgio Alexandre, sócio da consultoria de TI e Segurança da PwC.

Ricardo Dastis, consultor da PwC, aponta que após três anos de volatilidade econômica e resistência em realizar investimentos em segurança da informação, as empresas estão perdendo a habilidade de ter competências de proteção.

Mas nem tudo está perdido, diz. Quando perguntados sobre como o risco de acesso a informações confidenciais afeta a companhia, 70% dos entrevistados no Brasil afirmaram que essa invasão é muito contundente, enquanto 59% dos executivos ouvidos globalmente deram a mesma resposta. “Mostra que o País está amadurecendo e isso contribuiu para o desenvolvimento de práticas adequadas de segurança”, aponta o consultor.

Segundo Dastis, a atenção das companhias brasileiras em relação à proteção em torno de tecnologias emergentes, como mídias sociais, mobilidade e cloud computing está lado a lado com a média mundial. Por aqui, 38% das organizações têm estratégia de segurança para dispositivos móveis pessoais. Em todo o mundo, o percentual é de 43%. “Mesmo que o número seja considerável, ainda acredito que as companhias optam por bloquear o acesso”, observa Dastis.

Em relação à real execução de planos de segurança, 40% das companhias se consideram estrategistas, ou seja, são ótimas para planejar, mas encontram desafios para executá-los. A visão global é a de 43% se posicionam como líderes [executam a estratégia com determinação e entusiasmo].

Sobre a origem de incidentes de segurança nas empresas, uma surpresa. Clientes, parceiros e fornecedores são a maior fonte, apontados por 60% das companhias. “A terceirização vem crescendo e com isso incidentes saem do perímetro das empresas”, diz. No resto do mundo, a suspeita cai sobre funcionários e ex-funcionários.

Panorama mundial
Outro dado preocupante, afirma o consultor, é que a confiança nas práticas de segurança está caindo em escala global. Embora em todo o mundo, 72% dos executivos tenham indicado que confiam em algum nível, houve queda de 2006 para cá. “O índice antes era de 84%. Em 2009, companhias reduziram investimentos em proteção e essa queda é compreensível”, avalia.

Em 2011, as companhias disseram que o foco seria detecção de código malicioso, e, em seguida, filtros de conteúdo da web. “A conclusão aqui é que em cenário de cortes iniciativas de gestão de segurança são adiadas. Pode-se até adotar essa postura, mas viver sem soluções não é possível, já que crescem os ataques”, assinala Dastis.

Diante desse cenário, o executivo recomenda três ações vitais para as companhias que querem blindar o ambiente corporativo. “Use essas informações da pesquisa para definir uma visão para o seu programa de segurança da informação; defina e refina a estratégia de segurança da informação; e direcione a atenção para liderança, estratégia e alinhamento com os negócios e mantenha foco no cliente.”
Tweet

Computerworld - Investimento em segurança crescerá no País em 2012 - Segurança

Technorati Marcas: : Computerworld, Segurança,

BlogBlogs Marcas: : Computerworld, Segurança,

Computerworld - Empresas adotam tecnologias emergentes e esquecem segurança - Segurança

2011-12-02T05:15:00.003-03:00

SegurançaEmpresas adotam tecnologias emergentes e esquecem segurança
Estudo da Ernst & Young Terco aponta que pressa por ingressar na cloud e redes sociais faz com que companhias deixem de lado identificação dos riscos.
Por Redação da Computerworld
28 de novembro de 2011 - 12h34
página 1 de 1
Tweet
Na pressa por adotar tecnologias emergentes e mover-se para o mundo da computação em nuvem e mídias sociais, companhias estão criando uma lacuna entre as necessidades dos negócios e a habilidade de lidar com novas ameaças. A constatação é da consultoria Ernst & Young Terco no estudo anual Global Information Security Survey.
De acordo com a pesquisa, com 80% das companhias atualmente utilizando ou considerando utilizar tablets [apontado como o segundo maior desafio para os próximos meses] e 61% usando ou considerando serviços de cloud no próximo ano, a ameaça de violações à segurança fica em segundo plano.
“Apesar de algumas empresas terem adotado a computação em nuvem para serviços específicos, muitas o fizeram de forma não estruturada ou orientada por uma estratégia ou arquitetura”, diz Alberto Fávero, sócio de Consultoria da Ernst & Young Terco com foco em Tecnologia e Segurança da Informação.
A Ernst & Young Terco indica que ajustes de políticas e programas de conscientização são as principais medidas usadas para responder a riscos oferecidos por tecnologias móveis. A adoção de técnicas e softwares de segurança, no entanto, ainda é baixa.

O levantamento, realizado com 1,7 mil organizações em todo o mundo, aponta ainda que 72% das companhias identificam riscos crescentes e ameaças externas. Por outro lado, apenas um terço atualizou a estratégia de segurança nos últimos 12 meses. Os entrevistados apontam a continuidade de negócios a principal prioridade para os próximos 12 meses.
“Companhias estão se perguntando como responder aos novos riscos e emergentes e se suas estratégias precisam ser revisadas. O foco deve deixar de ser correções de curto prazo e passar a ser uma abordagem mais integrada com objetivos estratégicos corporativos de longo prazo”, afirma Fávero.
Mídias sociais
Dos entrevistados, 72% afirmam que ataques externos são os principais riscos das mídias sociais e que esses ataques podem ser alimentados por informações obtidas por meio das redes. O estudo identificou que em vez de adaptar a segurança, 53% das companhias preferem bloquear o acesso.
“Para gerenciar efetivamente riscos em TI em geral, as empresas precisam ter uma visão ampla e abrangente de todas as ameaças envolvidas. Essa perspectiva holística irá fornecer um ponto inicial para identificar e gerenciar desafios e riscos atuais, assim como os que podem surgir com o passar do tempo”, aconselha o sócio da Ernst & Young Terco.
Tweet

Computerworld - Empresas adotam tecnologias emergentes e esquecem segurança - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a78553a/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F351dad575d5e1e6cc4eb1edbaacd7d3b0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C280Cempresas0Eadotam0Etecnologias0Eemergentes0Ee0Eesquecem0Eseguranca0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a78553a/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F351dad575d5e1e6cc4eb1edbaacd7d3b0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C280Cempresas0Eadotam0Etecnologias0Eemergentes0Ee0Eesquecem0Eseguranca0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Segurança: atualização de plugins é pesadelo para empresas - Segurança

2011-12-02T05:15:00.001-03:00

SegurançaSegurança: atualização de plugins é pesadelo para empresas
Problema não está em falhas, mas nos frequentes updates liberados. Programa da Adobe, por exemplo, está desatualizado em 94,2% dos computadores.
Por John E. Dunn, da Techworld.com
28 de novembro de 2011 - 13h40
página 1 de 1
Tweet
Os plugins ainda causam calafrios em muitas empresas, pois, quando desatualizados, costumam ter falhas exploradas por cibercriminosos. Um estudo da companhia de segurança Zscaler serve como mais uma evidência de que o problema persiste, já que muitos deles, de fato, não recebem os updates devidos.
A pesquisa apontou o Adobe Shockwave como o mais ignorado: em 94,2% das máquinas em que estava instalado, o programa se encontrava desatualizado. O Java, com 70%, ficou na segunda colocação, seguido pelo Adobe Reader (65,8%) e Quicktime (42,5%).
Mesmo os browsers não recebem o devido cuidado. Um quarto das máquinas possuía o Internet Explorer nas versões 6 ou 7, e apenas 2% das computadores usam a versão mais recente, a 9.
Por falar no navegador da Microsoft, ele é disparado o mais utilizado pelas companhias, respondendo por 58% do tráfego. O Firefox ficou em segundo (11%) e o Safari, surpreendentemente, em terceiro (7%). Os plugins, por sua vez, geraram 23% dos dados, o que torna a situação ainda mais preocupante.
Dentre eles, o Flash é mais popular, sendo encontrado em 94,4% dos computadores. O Windows Media Player vem em seguida, com 87%, à frente de Adobe Reader (84,7%) e Outlook (84,2%).
“Pelas estatísticas, é possível observar que a maioria das corporações tem pouco controle sobre os plugins que seus funcionários utilizam, ou mesmo a versão que executam”, diz o estudo.
Na comparação com a pesquisa anterior, realizada pela Zscaler no segundo trimestre deste ano, o Shockwave estava desatualizado em apenas um terço dos PCs, um terço em relação aos 94,2% descobertos agora. Isso sugere que os software que recebem updates com maior frequência passam falsa impressão de segurança: em geral, as companhias não conseguem acompanhar o ritmo.
Por fim, a pesquisa constatou um significativo crescimento no uso do Android no mercado corporativo. Em termos de plataformas móveis, ele ultrapassou o BlackBerry, que estacionou em 37,2%, chegando a 40,3% – o índice se refere à quantidade de dispositivos em que seu software de segurança foi instalado. O iOS, da Apple, ficou em terceiro, com 22,3%.
A aplicação 2.0 mais utilizada no período foi o Facebook, confortavelmente na liderança por ter gerado 50% do tráfego. Apesar da popularidade, no entanto, seu índice vem caindo nos últimos meses, o que pode significar tanto uma restrição das empresas, como perda de interesse dos usuários.
Tweet

Computerworld - Segurança: atualização de plugins é pesadelo para empresas - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a78d0bf/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F20A33a78b13d3f835dfa1790Adb3eefd4e0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C280Cseguranca0Eatualizacao0Ede0Eplugins0Ee0Epesadelo0Epara0Eempresas0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a78d0bf/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F20A33a78b13d3f835dfa1790Adb3eefd4e0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C280Cseguranca0Eatualizacao0Ede0Eplugins0Ee0Epesadelo0Epara0Eempresas0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Juniper e Samsung firmam acordo para proteger terminais Galaxy - Segurança

2011-11-30T05:14:00.009-03:00

SegurançaJuniper e Samsung firmam acordo para proteger terminais Galaxy
Aliança prevê fornecimento de pacote de serviço para reforçar segurança dos dispositivos da fabricante coreana usados por usuários corporativos.
Por Redação da Computerworld
16 de novembro de 2011 - 18h47
página 1 de 1
Tweet
A Juniper Networks ampliou sua parceria com a Samsung para reforçar a segurança dos dispositivos móveis da marca. O acordo de cooperação entre as duas empresas tem o objetivo de aprimorar a proteção dos terminas sem fio, principalmente os utilizados pelos usuários empresarias para acesso às aplicações corporativas.

Inicialmente, a Juniper vai proteger a linha de dispositivos móveis da Samsung da linha Galaxy modelos SII, Tab 10.1 e o Note, ainda a ser lançado no mercado brasileiro. Pela parceria, a Juniper vai oferecer a linha completa de recursos e serviços do Juniper Networks Junos Pulse e Junos Pulse Mobile Security Suite para dispositivos da Samsung selecionados, possibilitando acesso remoto móvel confiável e seguro (via SSL VPN), proteção de aplicativos e contra ameaças, e gerenciamento e controle dos terminais sem fio.

“A Juniper e a Samsung estão comprometidas com parceira em que as duas empresas continuarão oferecendo soluções seguras, prontas para o negócio, melhorando a postura de segurança para as empresas e possibilitando novas ofertas diferenciadas para prestadores de serviços”, afirmou Sanjay Beri, vice-presidente e gerente geral da Unidade Junos Pulse Business da Juniper Networks.

Segundo as empresas, os usuários finais vão se beneficiar do acesso simplificado a soluções de segurança e experiência de mobilidade e produtividade aprimoradas. As corporações poderão proteger quaisquer dos dispositivos atuais e futuros suportados pela Samsung, enquanto também mantêm a segurança e a integridade dos seus dados, rede e recursos.

A solução também beneficia prestadores de serviços que agora podem implementar rapidamente ampla gama de serviços de classe de negócio de valor agregado com dispositivos móveis Galaxy.

A Junos Pulse oferece funcionalidade SSL VPN Layer 3 completa, possibilitando acesso seguro a qualquer hora, em qualquer lugar, a qualquer aplicação e recurso corporativo acessível pela rede. Além disso, a última versão do Junos Pulse Mobile Security Suite inclui a capacidade de remover automaticamente aplicações maliciosas dos modelos Galaxy Note, II e Tab 10.1.

Ainda de acordo com a Juniper, a solução também pode revogar aplicações automaticamente, sem a intervenção ou controle do usuário, que um administrador de TI empresarial talvez deseje proibir em dispositivos da empresa ou do funcionário com acesso aos seus dados de negócio ou rede.
Tweet

Computerworld - Juniper e Samsung firmam acordo para proteger terminais Galaxy - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a25cba7/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Fcad82711c62bab6a34a1fd4a99ae48f30Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C160Cjuniper0Ee0Esamsung0Efirmam0Eacordo0Epara0Eproteger0Eterminais0Egalaxy0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a25cba7/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Fcad82711c62bab6a34a1fd4a99ae48f30Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C160Cjuniper0Ee0Esamsung0Efirmam0Eacordo0Epara0Eproteger0Eterminais0Egalaxy0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Google lidera casos de vulnerabilidade, aponta relatório - Segurança

2011-11-30T05:14:00.007-03:00

SegurançaGoogle lidera casos de vulnerabilidade, aponta relatório
Gigante de buscas assumiu o primeiro lugar no ranking antes ocupado pela Microsoft, sendo responsável por 82 ameaças no terceiro trimestre de 2011.
Por Redação da Computerworld
22 de novembro de 2011 - 11h44
página 1 de 1
Tweet
De acordo com relatório da Trend Micro sobre ameaças de segurança que aconteceram no terceiro trimestre de 2011, a Google é a número um em vulnerabilidades reportadas, especialmente no navegador Chrome, com um total de 82. A gigante de buscas tomou o lugar da Microsoft, que pulou para a terceira posição, com 58 vulnerabilidades. Em segundo está a Oracle, com 63.

O levantamento identificou ainda mudança no comportamento das ameaças. Os ataques direcionados, contra grandes empresas e instituições governamentais, tornaram-se mais comuns do que os em massa.

O download do vírus chamado Lurid foi o maior ataque que aconteceu no período. Considerado uma ameaça persistentes avançadas (APTs) ele foi direcionado para grandes companhias e instituições em mais de 60 países, incluindo Rússia, Cazaquistão e Ucrânia.

Foram mais de 300 campanhas de malware para obter dados confidenciais e ganhar controle sobre os sistemas dos usuários, aponta o estudo. De acordo com a Trend Micro, ao se concentrar em regiões geográficas e entidades específicas, o Lurid comprometeu 1.465 sistemas.

No período, outro ataque foi identificado e derrubado, segundo a companhia que realizou o levantamento. Pesquisadores identificaram uma operação de SpyEye controlada por um cibercriminoso da Rússia, conhecido como “Soldier”, e seu cúmplice localizado em Hollywood, Califórnia. Essa botnet, que acumulou mais de 3,2 milhões de dólares em seis meses, visava grandes empresas e instituições governamentais nos Estados Unidos e também no Canadá, Reino Unido, Índia e México.
Tweet

Computerworld - Google lidera casos de vulnerabilidade, aponta relatório - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a4d5f52/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F481ba5f33c3c548d7b7bc14fc55eb9ea0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C220Cgoogle0Elidera0Ecasos0Ede0Evulnerabilidade0Eaponta0Erelatorio0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a4d5f52/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F481ba5f33c3c548d7b7bc14fc55eb9ea0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C220Cgoogle0Elidera0Ecasos0Ede0Evulnerabilidade0Eaponta0Erelatorio0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Teles e CGI se unem para tirar Brasil do ranking de spam - Segurança

2011-11-30T05:14:00.005-03:00

SegurançaTeles e CGI se unem para tirar Brasil do ranking de spam
Documento do Comitê Gestor da Internet quer bloquear uso da porta 25 no País, utilizada pelos spammers para enviar e-mails maliciosos.
Por Cauê Fabiano, IDG Now!
23 de novembro de 2011 - 14h02
página 1 de 1
Tweet
O CGI (Comitê Gestor de Internet do Brasil), responsável por coordenar as iniciativas de Internet no país apresentou hoje (23/11) um acordo que prevê recomendações para redução de envio de spam por computadores brasileiros, a partir de uma medida chamada Gerência da Porta 25. A partir dessas diretrizes, o comitê pretende retirar o país da lista entre os maiores emissores de spam do mundo.
O "Acordo de Cooperação para Gerência de Porta 25" foi assinado pelo Comitê, Anatel, pelo Sindicato Nacional das Empresas de Telefonia e de Serviço Móvel Celular e Pessoal (SindiTelebrasil) e associações de provedores de acesso e serviços Internet, com apoio do Ministério Público, além de órgãos de defesa do consumidor (como Procon, Idec e Proteste).
O Brasil está atualmente no quarto lugar entre as nações com maior número de infecções, atrás da Índia, Vietnã, e Paquistão. De acordo com Henrique Faulhaber, conselheiro representante da indústria de bens de informática, telecomunicações e software do CGI, o bloqueio da porta 25 poderá retirar o país dessa lista.

As medidas são direcionadas para usuários finais, não corporativos, e as medidas de alteração de configuração não afetam aqueles que utilizam serviços de webmail (como Hotmail, Gmail, Yahoo! via web), mas sim aqueles que utilizam softwares e clientes de e-mail (como Outlook, Thunderbird, entre outros).
“O Brasil é um hub, utilizado por spammers do mundo inteiro, e tem sido abusado por causa da fragilidade da rede. O sujeito nem sabe que está com a máquina infectada e enviando e-mail para todo mundo” exemplificou Faulhaber. Uma máquina infectada por um spyware ou software malicioso utilizado para enviar spams pode até não utilizar programas clientes de e-mail, mas pode acabar fornecendo banda para que mensagens sejam enviadas, permitindo que a máquina seja controlada remotamente, como uma espécie de “zumbi”. “Isso [o acordo] só se torna efetivo quando as teles efetivamente bloquearem a porta 25. Conseguimos que as partes interessadas assinassem o acordo” pontuou Faulhaber.
A porta 25 faz parte do protocolo padrão de e-mail SMTP (Simple Mail Transfer Protocol, ou Protocolo Simples de Transferência de Correio, em tradução livre), responsável apenas pelo envio de mensagens entre os servidores. A ideia é inserir uma autenticação no processo de emissão de e-mails, de forma a tornar mais difícil a emissão de spam; isso não impede que os spammers continuem utilizando os serviços de e-mail, contudo, por causa dessa autenticação, a chance de rastrear os usuários responsáveis pelo envio de lixo eletrônico aumenta.
Luta conjunta contra o spam
A Gerência de Porta 25 é composta por um conjunto de políticas e tecnologias que tem o objetivo de bloquear o lixo eletrônico na rede de internet doméstica. Com um acordo entre o CGI, a Anatel (Agência Nacional de Telecomunicações), operadoras e provedores de serviço, será feito um esforço para combater o abuso de proxies abertos e máquinas infectadas por vírus e malwares para envio de lixo eletrônico (por meio desses invasores externos e aumentar a possibilidade de identificação dos spammers.
O projeto prevê o bloqueio da porta 25 e a adoção de uma porta exclusiva (a 587/TCP) para envio de e-mails por meio de softwares como Outlook e Thunderbird, que têm sistema de autenticação. Apesar da existência de filtros antispam, a medida impede que as mensagens indesejadas caiam na rede. Além disso, a banda que era antes utilizada para envio desses e-mails é desobstruída, aliviando os servidores de e-mail e melhorando a qualidade do servido dos provedores. “O usuário que contratou uma banda de 1Mbps e percebe que a sua máquina está lenta vai ligar no provedor e pedir para dobrar essa banda. A infecção vai ocupar essa conexão, e toda a banda que tiver” explicou Eduardo Levy Moreira, representante dos provedores de infra-estrutura de telecomunicações.
Dos deveres das partes
Entre as obrigações dos provedores de serviço de correio eletrônico, estão instruir os usuários na configuração de seus programas de e-mail e a configuração adequadas das portas de e-mail, enquanto que as empresas de telecomunicações ficam responsáveis pelo bloqueio da porta 25 para usuários domésticos com IP dinâmico. O CGI possui um site próprio com dados e estudos a respeito de lixo eletrônico chamado AntiSpam.br, no qual há textos, vídeos educativos e informações a respeito do assunto. No endereço, há uma cartilha (disponível em PDF) que esclarece as principais dúvidas a respeito da Gerência da Porta 25.
Foi estabelecido um prazo de 12 meses para que os provedores de correio eletrônico adotem as recomendações do comitê gestor, para que efetivamente a porta 25 seja abandonada. A previsão é que, depois de reuniões de trabalho e de assinaturas que ainda não contabilizadas, o prazo de 1 ano para que as medidas do acordo sejam implementadas pelas prestadoras de serviço comece a contar a partir do começo de 2012.
Tweet

Computerworld - Teles e CGI se unem para tirar Brasil do ranking de spam - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a567527/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Fc94394115c536e6eaa82bd6e70A3c8b230Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C230Cteles0Ee0Ecgi0Ese0Eunem0Epara0Etirar0Ebrasil0Edo0Eranking0Ede0Espam0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a567527/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Fc94394115c536e6eaa82bd6e70A3c8b230Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C230Cteles0Ee0Ecgi0Ese0Eunem0Epara0Etirar0Ebrasil0Edo0Eranking0Ede0Espam0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Cisco traz para o Brasil solução de segurança pela nuvem - Segurança

2011-11-30T05:14:00.003-03:00

SegurançaCisco traz para o Brasil solução de segurança pela nuvem
Serviço vai permitir que dispositivos móveis acessem aplicações corporativas sem a necessidade de software de proteção.
Por Redação da Computerworld
24 de novembro de 2011 - 13h30
página 1 de 1
Tweet
A Cisco traz para o mercado brasileiro o ScanSafe, sua primeira solução de Security as a Service (SaaS), da divisão da segurança da informação da empresa. O objetivo é reforçar a proteção das aplicações de negócios para que possam ser acessadas a partir de qualquer dispositivo, a qualquer momento e de qualquer lugar, reduzindo o tempo de latência da navegação.

A solução vem para atender à recente demanda de TI das empresas, que é garantir ao mesmo tempo mobilidade e flexibilidade ao acesso à rede corporativa sem perder segurança. Segundo a Cisco, o ScanSafe, permite aos terminais móveis navegar na web sem a necessidade do site central da empresa ou da instalação de soluções de segurança no aparelho.

Esse processo é possível via acesso direto dos dispositivos ao serviço de classificação de páginas web, análise de conteúdo, antivírus e antimalware da solução Cisco de inspeção da nuvem, definido com base na política de segurança de cada empresa.

“A utilização do ScanSafe oferece uma nova forma de navegação aos usuários corporativos de dispositivos móveis. Além disso, o modelo de adoção de software as a service permite que todos os aspectos de escalabilidade, confiabilidade, segurança e manutenção sejam gerenciados pelo cliente, ao invés de companhias individuais”, diz Ghassan Dreibi Junior, gerente de desenvolvimento de negócios de Borderless Networks da Cisco Brasil.

O controle e a administração são feitos por meio de portais customizados e exclusivos para cada empresa. A solução ScanSafe ainda pode ser integrada à linha de roteadores Cisco ISR – Integrated Services Router. Desta forma, todos os usuários que estão em uma filial, por exemplo, podem utilizar esta ferramenta de segurança acessando diretamente a Cloud de segurança ScanSafe, via roteador.
Tweet

Computerworld - Cisco traz para o Brasil solução de segurança pela nuvem - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a5eae4a/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F44ad960Ab8a7ccc1d6a13f41da0A5e57b40Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C240Ccisco0Etraz0Epara0Eo0Ebrasil0Esolucao0Ede0Eseguranca0Epela0Enuvem0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a5eae4a/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F44ad960Ab8a7ccc1d6a13f41da0A5e57b40Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C240Ccisco0Etraz0Epara0Eo0Ebrasil0Esolucao0Ede0Eseguranca0Epela0Enuvem0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Sistemas críticos abrem brechas para ciberataques - Segurança

2011-11-30T05:14:00.001-03:00

SegurançaSistemas críticos abrem brechas para ciberataques
Ataque que destruiu bomba de água de prestadora de serviços dos EUA chama a atenção das autoridades para evitar graves acidentes.
Por Jaikumar Vijayan, da Computerworld (EUA)
28 de novembro de 2011 - 07h30
página 1 de 1
Tweet
O ataque cibernético recente à rede de uma fornecedora de água da cidade de Springfield, no estado de Ilinois, Estados Unidos, que destruiu remotamente uma bomba hidraúlica e prejudicou o abastecimento na região, aumentou as preocupações das autoridades sobre vulnerabilidades de sistemas críticos. O sistema invadido é utilizado por empresas de serviços públicos, usinas nucleares e plataformas de petróleo.
Um cracker conseguiu entrar nos sistemas de controle da estação de tratamento de água da empresa de utililty e interrompeu o seu funcionamento. O invasor ativou e desativou esse equipamento até queimá-lo, acessando remotamente o Supervisory Control and Data Aquisition (SCADA), ou Sistema de Supervisão e Aquisição de Dados.
O SCADA são sistemas que utilizam software para monitorar e supervisionar dispositivos de controles industriais e bastante utilizados pelas empresas de utilities, indústrias e usinas nucleares. As investigações constataram que o cibercriminoso utilizou um computador com IP baseado na Rússia.
Especialistas na área de sistemas de controle industrial não demonstraram surpresa com o ataque inconsequente e alertam que o incidente pode ser um aviso do que está por vir pela frente. A ocorrência comprovou fragilidade do sistema SCADA. Eles constatam muitas brechas em sistemas críticos e advertem que as autoridades, governo e organizações precisam reforçar a proteção dessas redes.
Relatórios iniciais das autoridades dos EUA constatam que os cibercriminososo teriam tido acesso a informações e senhas de usuários do SCADA. Veja a seguir quatro lições aprendidas com esse incidente, que ainda está sendo investigado:
1- Compartilhamento de informações críticas
Embora o relatório do FBI e Departamento de Segurança Nacional dos Estados Unidos (DHS) não tenha apresentado ainda conclusões sobre o acidente de segurança ocorrido na empresa pública de água, há muita especulação sobre a natureza desse tipo de ataque. A análise dos especialistas é que o sistema de segurança e detectção contra intrusos falhou.
Há questionamentos principalmente sobre os motivos que provocaram a destruição remota da bomba de água, depois que os crackers invadiram o SCADA. Para L.W.Brittian, consultor e especialista nessa tecnologia, apenas o processo de ligar e desligar do equipamento não seria suficiente para queimar a bomba. Porém, ele afirma que se o equipamento foi acionado várias vezes pode ter ocasionado superaquecimento e os sensores falharam, desligando também os mecanismos de monitoramento da segurança.

“É possíve que o SCADA tenha sido acessado pela internet por pessoas que sabiam acionar a bomba para interromper o seu funcionamento. Eles podem ter programado o sistema para ligar e desligar a cada três segundos, até que algo acontecesse”, analisa Brittian. Entretanto, o especialista descarta a possibilidade de os crackers terem acessado pela web o sistema que protege o motor da bomba contra sobrecarga e aquecimento.

“Precisamos de mais detalhes sobre o que aconteceu exatamente”, afirma o consultor. Para o especialista, as organizações precisam ficar mais atentas com seus sistemas de monitoramento e sensores de segurança.

2- Fragilidade dos sistemas SCADA

A grande maioria dos sistemas utilizados para controlar equipamentos críticos como estações de energia, usinas nucleares e instalações de tratamento de água é inseguros. Em muitos casos, qualquer pessoa com acesso lógico para um sistema de controle industrial ou controlador lógico programável pode baixar o firmware do SCADA sem autenticação, segundo os especialistas. Suas senhas podem ser codificadas, o que abre brechas para invasões, dizem eles.
Essas vulnerabilidades foram aceitáveis por um longo tempo porque os sistemas SCADA não funcionavam conectados com o mundo externo. Assim, o seu funcionamento só era comprometido por meio de ataques físicos.
Hoje o cenário é muito diferente. Um número crescente de sistemas SCADA está conectados à internet, tornando-os muito mais vulneráveis a ataques de fontes externas. Na semana passada, um cracker chamado “pr0f” informou que invadiu o SCADA de uma concessionária de água na cidade de Houston, no estado do Texas, quebrando ma senha de três caracteres usada para proteger o sistema.
Ralph Langner, especialista em controles industriais, avisa que está aumentando o número de invasão a esses sistemas. Ele ficou conhecido no ano passado por ter ajudado a decifrar o vírus Stuxnet, criado para atacar o sistema operacional SCADA desenvolvido pela Siemens para controlar as centrífugas de enriquecimento de urânio iranianas.

3- Vulnerabilidades abrem brecha para ataques

Depois do vírus Stuxnet e do ataque ao sistema da fornecedora de água de Springfied, o SCADA pode estar na mira dos cirbercriminosos, alerta Eric Byres CTO e fundador da Byres Security, fornecedora de soluções de segurança para controle industrial. Segundo o executivo, somente este ano, mais de 200 falhas de seguranças foram constatadas em produtos de Industrial Control Systems (ICS) de diversos fornecedores, em comparação com pouco mais de 10 que foram descobertos em 2010. A comunidade SCADA "não pode mais viver em uma pequena bolha", adverte Byers. "A segurança por obscuridade não funciona mais."
4- Dificuldade para corrigir falhas
Com o surgimento do Stuxnet, os fornecedores têm aumentado esforços para corrigir vulnerabilidades em sistemas SCADA. Mas os especialistas percebem que a maioria deles tem focado mais em aplicações Windows baseadas em Human Machine Interface (HMI), as chamadas Interfaces Homem Máquina, utilizadas para interagir com sistemas SCADA.
O instituto norte-americano de segurança ISA Security Compliance lançou no ano passado um programa para avaliar vulnerabilidades e certificar produtos de controle industrial. Até agora, apenas duas empresas tiveram suas soluções certificados que são a Honeywell e RTP Corporation.
Empresa de utilities também muitas vezes não têm os recursos necessários para reforçar a segurança de seus sistemas de controle. Isso ocorre principalmente com as companhias menores como é o caso da de Springfield. "Utilities pequenas têm mais dificuldade para proteger seus sistemas SCADA e DCS [Sistema de Controle Distribuído] porque elas não têm a equipe de TI ou outros recursos para cuidar dessa área”, constata Dale Peterson, CEO da Digital Bond, consultoria especializada em segurança de sistemas de controle.
"Temos visto empresas de utilities municipais que têm apenas duas pessoas na equipe de TI responsáveis por manter tudo funcionando", afirma o consultor. Essas pessoas monitoram o SCADA por meio desktops e e-mail.

Tweet

Computerworld - Sistemas críticos abrem brechas para ciberataques - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a757505/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F6de8b8bc73ffd9a7b2be8f694256662b0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C270Csistemas0Ecriticos0Eabrem0Eabrem0Ebrechas0Epara0Eciberataques0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a757505/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F6de8b8bc73ffd9a7b2be8f694256662b0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C270Csistemas0Ecriticos0Eabrem0Eabrem0Ebrechas0Epara0Eciberataques0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Gastos com serviços de segurança vão chegar a US$ 49 bi em 2015 - Segurança

2011-11-25T05:15:00.003-03:00

SegurançaGastos com serviços de segurança vão chegar a US$ 49 bi em 2015
Gartner diz que redução de custos e dificuldade de gerenciar estrutura em casa impulsionam procura por modelo.
Por Ellen Messmer, da Network World (US)
11 de novembro de 2011 - 13h37
página 1 de 1
Tweet
O Gartner aponta que os gastos corporativos em todo o mundo com serviços de segurança vão saltar de 35 bilhões de dólares hoje para 49 bilhões de dólares em três anos. Os serviços gerenciados, aponta, serão os que mais registrarão procura.

O instituto de pesquisas prevê que gerenciamento de TI crescerá de 8 bilhões de dólares para 14,8 bilhões de dólares em 2015. Outros segmentos, como consultoria de segurança, também deverão obter incremento, com a consultoria passando de 9,6 bilhões dólares de hoje para 12,1 bilhões de dólares em 2015.

O diretor de pesquisa do Gartner Lawrence Pingree acredita que provedores de telecomunicações deverão continuar entre os maiores em serviços gerenciados de segurança em todo o mundo, que somente no ano passado atingiu receita de 6,87 bilhões de dólares.

Fatores como o desejo de economizar e a dificuldade em estabelecer cobertura completa no ambiente de segurança em casa continuarão a impulsionar a adoção corporativa de serviços gerenciados de segurança. A procura partirá, afirma Pingree, especialmente de empresas de pequeno a médio porte.

De acordo com o instituto de pesquisas, a América do Norte é o maior mercado de serviços de segurança global, que inclui o desenvolvimento e a integração, além de suporte de software e manutenção de hardware. Pingree aponta que os serviços de segurança baseados em nuvem – conhecidos como segurança como serviço - não estão incluídos nesse levantamento. No continente, o investimento crescerá de 14,6 bilhões de dólares no ano que vem para 19 bilhões de dólares em 2015.
Tweet

Computerworld - Gastos com serviços de segurança vão chegar a US$ 49 bi em 2015 - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a03e2f4/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F40A16159c58b228cee7ab87f760Ad255860Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C110Cgastos0Ecom0Eservicos0Ede0Eseguranca0Evao0Echegar0Ea0Eus0E490Ebi0Eem0E20A150Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a03e2f4/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F40A16159c58b228cee7ab87f760Ad255860Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C110Cgastos0Ecom0Eservicos0Ede0Eseguranca0Evao0Echegar0Ea0Eus0E490Ebi0Eem0E20A150Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Segurança: maioria das fraudes é cometida por funcionários - Segurança

2011-11-25T05:15:00.001-03:00

SegurançaSegurança: maioria das fraudes é cometida por funcionários
Complexidade da TI foi apontada por cerca de 40% das empresas que participaram do estudo da consultoria Kroll como principal causa da falsificação de dados.
Por Joan Goodchild, da CSO (US)
14 de novembro de 2011 - 18h24
página 1 de 1
Tweet
As fraudes custaram às empresas 2,1% dos ganhos nos últimos 12 meses, o que em um ano equivale a uma semana de receita, de acordo com pesquisa mundial anual sobre fraudes, realizada pela consultoria Kroll, que envolveu mais de 1.220 executivos sêniores ao redor do mundo.
Essa pesquisa também traz dados positivos: o número de fraudes diminuiu no último ano. Entre os entrevistados, 75% relataram algum tipo de golpe, em contraste com os 88% em 2010.
Entretanto, as fraudes continuam sendo trabalhos internos e essa prática tem aumentado, segundo o estudo. Os dados deste ano mostram que 60% dos casos foram cometidos por funcionários das empresas, contra 55% na última pesquisa.
“É importante lembrar que esse número traz apenas os casos em que o responsável foi descoberto”, afirmou o diretor sênior de Business Intelligence e Investigações da Kroll, Richard Plansky. “Acho que é justo dizer que a porcentagem é significativamente alta quando levamos em conta todos os casos. Pelo que temos observado nos últimos anos, esse número é um reflexo de uma economia que é cada vez mais baseada em informação.”
No geral, a preocupação com fraudes subiu 15% entre os executivos em todo o mundo, liderada pelo roubo de informações, corrupção e suborno. Metade das empresas entrevistadas disse que tem vulnerabilidade média ou alta ao roubo de informações, contra 38% em 2010. A complexidade da TI é a principal causa da exposição crescente das fraudes, citada por 36% dos entrevistados em comparação com 28% no ano passado.
"Em comparação com dez anos atrás, cada vez mais o valor de uma empresa passa de coisas tangíveis para ideias, e elas tendem a viver em sistemas na forma de dados digitais", declarou Plansky. "É aí que está o valor das companhias e os funcionários têm acesso tremendo a essas informações. Esse é um caso em que a tecnologia é verdadeiramente uma faca de dois gumes. Esses maravilhosos e sofisticados sistemas de TI dão fácil acesso a dados sensíveis a uma ampla gama de empregados. Isso é o lado positivo e também o negativo".
De fato, as empresas relataram maior incidência de roubo de informações e dados eletrônicos, incluindo serviços financeiros (29%), tecnologia de mídia e telecomunicações (29%), saúde, produtos farmacêuticos e biotecnologia (22%) e serviços profissionais (23%).
Cerca de uma em cada quatro empresas reportaram ter sofrido roubos físicos de caixa (ativos e inventários ou roubo de informações), porcentagem menor que em 2010. Gestão de conflitos de interesse (21%); fraude de vendedor, fornecedor ou aquisição (20%) e fraude financeira interna (19%), todos apresentaram aumentos notáveis em relação ao ano passado. A incidência de corrupção e suborno quase dobrou, passando de 10% para 19%.
Tweet

Computerworld - Segurança: maioria das fraudes é cometida por funcionários - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a156921/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Fb6314243f61852c8b371761243a4cb250Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C140Cseguranca0Emaioria0Edas0Efraudes0Ee0Ecometida0Epor0Efuncionarios0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/1a156921/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Fb6314243f61852c8b371761243a4cb250Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C140Cseguranca0Emaioria0Edas0Efraudes0Ee0Ecometida0Epor0Efuncionarios0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Spams causam prejuízos de bilhões de dólares para empresas - Segurança

2011-11-23T05:14:00.001-03:00

SegurançaSpams causam prejuízos de bilhões de dólares para empresas
Trend Micro aponta que mensagens maliciosas custaram US$ 2,8 bilhões em perda de produtividade às europeias e US$ 20 bilhões para as norte-americanas.
Por Redação da Computerworld
10 de novembro de 2011 - 09h00
página 1 de 1
Tweet
Spams para anunciar falsos produtos e serviços, no intuito de direcionar a sites de phishing ou conduzir destinatários a sites maliciosos para roubar dados ou dinheiro é cada vez mais comum. No mundo corporativo, os prejuízos são enormes. Estudo da Trend Micro aponta que essa ameaça constante se traduz em perda financeira para grande parte das empresas.

“Essas mensagens custaram cerca de 2,8 bilhões de dólares em perda de produtividade às empresas europeias, enquanto as norte-americanas relataram prejuízo de 20 bilhões de dólares”, diz César Cândido, executivo da Trend Micro e especialista em segurança virtual. Segundo a companhia, quase 200 bilhões de spams são enviados todos os dias, um aumento de mais de cem vezes em relação aos 2,4 bilhões de 2002.

O levantamento mostra também que do ponto de vista empresarial, as novas tendências no cenário de spams vão além da inundação usual de e-mails em massa e incluem agora o “spear-phishing”, utilizado por cibercriminosos que desejam obter acesso a alvos específicos da organização.

Um típico ataque de spear-phishing envolve, inicialmente, uma pesquisa para determinar para quem o e-mail de phishing deve ser enviado. Para isso, os criminosos enviam spams para várias contas de e-mail de uma determinada empresa. “Eles, então, identificam para quais contas enviarão o e-mail de phishing para obter as informações de que precisam”, explica o especialista.

O spear-phishing resulta em perda financeira grave, revela. A maioria dos ataques direcionados que funcionam é persistente e construída sobre o elo mais comum, o ser humano, vítima de truques de engenharia social.

Social business
As mídias sociais também são campo de propagação de spam, aponta a pesquisa. Empresas que utilizam ferramentas do tipo podem entrar em contato com as ameaças web ao usar sites de redes sociais para marketing e promoção. Também podem causar infecções do sistema por meio de funcionários que acessam sites como Facebook e Twitter no trabalho, que resultam em perda de dados ou o roubo de informações pessoais.
Tweet

Computerworld - Spams causam prejuízos de bilhões de dólares para empresas - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/19f9df2e/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Fd7b1dd7e8dd4d3d8e216b6dcac1c660Af0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C0A90Cspams0Ecausam0Eprejuizos0Ede0Ebilhoes0Ede0Edolares0Epara0Eempresas0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/19f9df2e/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Fd7b1dd7e8dd4d3d8e216b6dcac1c660Af0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C0A90Cspams0Ecausam0Eprejuizos0Ede0Ebilhoes0Ede0Edolares0Epara0Eempresas0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Pequenas empresas não protegem ambientes virtuais - Segurança

2011-11-18T05:14:00.001-03:00

SegurançaPequenas empresas não protegem ambientes virtuais
Estudo da Symantec aponta que apesar do interesse das companhias de menor porte pela virtualização, segurança é esquecida.
Por Redação da Computerworld
09 de novembro de 2011 - 18h45
página 1 de 1
Tweet
Companhias ainda não aprenderam como adotar virtualização e esse cenário tem feito com que elas se esqueçam da segurança. É o que aponta estudo global da Symantec que mapeia o uso da tecnologia nas . De acordo com a pesquisa, esses negócios têm grande interesse na virtualização, mas não sabem como aplicar medidas básicas para proteger o ambiente virtual.

"As estão avaliando como a virtualização pode beneficiar suas organizações. Ainda estamos nas fases iniciais do ciclo de adoção”, afirma Steve Cullen, vice-presidente sênior de Estratégia e Marketing da Symantec Corp.

O estudo, realizado em 28 países da América do Norte, Europa, Oriente Médio, África, Ásia-Pacífico e América Latina com 658 entrevistados, mostra ainda que 78% dos executivos ouvidos estão considerando virtualizar seus ambientes e os benefícios financeiros são a principal razão.Outro atrativo, diz a pesquisa, é a capacidade de usar menos servidores para o mesmo número de aplicações, fator apontado por 67%.

Apesar do grande interesse na tecnologia, partir para a migração tem sido um desafio. Dados do estudo ilustram esse cenário: desempenho (60%), backup (56%) e gerenciamento de segurança e patches (56%) são as barreiras mais comuns que fizeram apenas 10% já ter implementado servidores virtuais.

Para aquelas que usam, a segurança do ambiente virtual é deixada de lado, revela a Symantec. Apenas 15% sempre fazem backup dos servidores virtuais; 23% executam a atividade com pouca frequência ou não fazem de modo algum. Dos ouvidos, 40% dizem estar totalmente seguros. Os entrevistados disseram que problemas relacionados a orçamento e equipe os impedem de tomar as medidas essenciais.
Tweet

Computerworld - Pequenas empresas não protegem ambientes virtuais - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/19f57103/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F55d32e715b19f7c7b5397a6b8b7d33bb0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C0A90Cpequenas0Eempresas0Enao0Eprotegem0Eambientes0Evirtuais0Ediz0Eestudo0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/19f57103/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F55d32e715b19f7c7b5397a6b8b7d33bb0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C0A90Cpequenas0Eempresas0Enao0Eprotegem0Eambientes0Evirtuais0Ediz0Eestudo0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Sourcefire investirá US$ 1 milhão na AL em 2012 - Segurança

2011-11-16T05:14:00.001-03:00

SegurançaSourcefire investirá US$ 1 milhão na AL em 2012
Metade desses recursos será destinada ao Brasil, onde a companhia opera com dois escritórios.
Por Edileuza Soares, da Computerworld
09 de novembro de 2011 - 08h11
página 1 de 1
Tweet
A fornecedora norte-americana de soluções de segurança Sourcefire planeja investir 1 milhão de dólares na América Latina até 2012 para expandir suas operações na região. Metade desse montante deverá ser destinada ao Brasil, que representa entre 50% e 70% dos negócios da companhia no continente. O anúncio foi feito pelo diretor da companhia no Brasil, Raphael D’Avila.
A companhia está presente na região com escritórios próprios no Brasil e México. O restante do continente é atendido pela filial de Miami. Seu desembarque no mercado brasileiro foi em abril do ano passado para se aproximar de seus clientes, que até então eram atendidos pelo distribuidor, CLM especializada na área de segurança da informação,
Atualmente, a Sourcefire opera com dois escritórios, sendo um em São Paulo e outro em Brasília para dar suporte ao canal de comercialização formado por cerca de 50 parceiros credenciados por três distribuidores da marca. Além da CLM, a fornecedora trabalha com ApliDigital e Afina.
O diretor da Sourcefire no Brasil, Raphael D’Avila, informa que os recursos, destinados ao País, vão ser aplicados em um programa de capacitação para os especialistas em suas tecnologias. Até então, o treinamento era ministrado no exterior ou pela CLM. Agora, os cursos preparatórios para as certificações profissionais da empresa serão oferecidos localmente pela fornecedora.
Oportunidades no Brasil
D’Avila constata que o mercado, a expansão da banda larga , das redes sociais e dos dispositivos móveis, e a movimentação em torno de cloud computing vão exigir das companhias mais investimentos em sistemas de segurança, abrindo novas oportunidades de negócios. Ele acredita que a medida do governo brasileiro incentivando a fabricação local de tablets deverá colocar mais usuários na internet, que vão precisar acessar informações com proteção.
Esses terminais vão acessar dados corporativos onde quer que as pessoas estejam e o executivo destaca a necessidade de as redes estarem protegidas. Porém, ele diz que só a tecnologia não faz milagre se as companhias não investirem em treinamento dos usuários. “As preocupações com segurança não terminam nunca e os investimentos precisam ser constantes”, recomenda o diretor da Sourcefire no Brasil.
Com esse cenário, a Sourcefire aposta no Brasil para incrementar seus negócios. São alvos da empresa os segmentos financeiro, varejo online, telecomunicações e governo. Entre as soluções da empresa para ajudar seus clientes no combate ao cyberataque está a plataforma Agile Security. Trata-se de uma solução que vem com a proposta de ser pró-ativa, olhando a infraestutura de rede, conhecendo as ocorrências para adotar os mecanismos de defesa de acordo com os acontecimentos.

Tweet

Computerworld - Sourcefire investirá US$ 1 milhão na AL em 2012 - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/19f1689a/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Ffce9ef60A3fb1cb2ded8d0A987ae7ee740A0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C0A80Csourcefire0Einvestira0Eus0E10Emilhao0Ena0Eal0Eem0E20A120Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/19f1689a/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Ffce9ef60A3fb1cb2ded8d0A987ae7ee740A0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C0A80Csourcefire0Einvestira0Eus0E10Emilhao0Ena0Eal0Eem0E20A120Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - É possível ampliar segurança de dados em dispositivos móveis? - Segurança

2011-11-09T05:15:00.011-03:00

SegurançaÉ possível ampliar segurança de dados em dispositivos móveis?
Pesquisadores dizem que sim. Eles modificaram o Android com recursos que se concentram em segurança de dados e aplicações, e não no aparelho.
Por George V. Hulme, da CSO/US
03 de novembro de 2011 - 07h30
página 1 de 1
Tweet
Já há algum tempo, especialistas em segurança têm argumentado que, em vez de concentrar esforços em bloquear endpoints em dispositivos móveis, o foco precisa ser em manter os dados seguros. Foi exatamente essa premissa que pesquisadores defenderam durante um fórum realizado na Tuck School of Business, nos Estados Unidos. De acordo com eles, essa ação permite que as informações sejam verificadas fora e não dentro de uma determinada área.

Uma equipe de pesquisadores, da Virginia Tech Applied Research Corporation, acredita ter encontrado uma maneira de fazer exatamente isso. Eles modificaram o sistema operacional da Google, o Android, para adicionar recursos de segurança extras para que quando os dispositivos deixem uma determinada área, não possam ter controles ou executar aplicativos, e os dados sensíveis são limpos.

Enquanto muitos celulares e tablets permitem que os proprietários bloqueiem o acesso ao dispositivo e apaguem os dados de telefones perdidos, existem maneiras que o criminoso possa contornar esses controles. "Esse nível de complexidade e de segurança ninguém mais tem", garante Jules White, professor assistente de engenharia elétrica e informática na Universidade Virginia Tech.

"Existem produtos comerciais que fazem versões limitadas do que fizemos, mas nada que permita a automatização de limpeza e controle total das configurações e aplicativos em smartphones e tablets”, completa.

Segundo o professor, o software criado pode também ajudar a estabelecer regras para onde e quais aplicações podem ser iniciadas.

Esse tipo de controle sobre os dados e aplicações pode ter muitos casos de uso. Por exemplo, equipes de Pesquisa e Desenvolvimento (P&D) poderiam trabalhar em projetos no laboratório a partir de um tablet, mas deixá-lo por lá. Em caso de risco, os dados poderiam ser limpos e as aplicações enviadas para a lista negra remotamente.

O mesmo nível de controle pode ser verdade para muitos outros tipos de dados sensíveis armazenados em dispositivos móveis que são sensíveis, como os dados do paciente e do médico, dados financeiros e bancos de dados utilizados pelos designers de aplicativos e equipes de desenvolvimento.

Os pesquisadores apontam outros exemplos da tecnologia, ao afirmar que é possível até que o sistema pode ser habilitado para acessar serviços secretos enquanto visita uma instalação do governo sem medo de que seu telefone inteligente ou tablet possa ser perdido ou roubado. "Esse sistema oferece algo que nunca foi possível antes. Ele coloca limites físicos em torno da informação no ciberespaço", aponta White.

O professor diz ainda que médicos podem analisar as informações de um paciente durante uma visita, mas não podem sair da sala de exames com os registros do paciente.

O software também controla recursos de um dispositivo móvel tornando-o inteligente ao impedir o uso da câmara ou do e-mail. "Por exemplo, um médico poderia manter determinadas aplicações de trabalho na sala de operações para os cirurgiões consultores, mas ao mesmo tempo poderia evitar que enfermeiros tirem fotos do paciente e as jogue na internet", explica White.
Tweet

Computerworld - É possível ampliar segurança de dados em dispositivos móveis? - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/19c95713/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Fd39abc3a0A93f84b0A3d0A83b310A7dfe450A0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C0A10Ce0Epossivel0Eampliar0Eseguranca0Ede0Edados0Eem0Edispositivos0Emoveis0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/19c95713/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Fd39abc3a0A93f84b0A3d0A83b310A7dfe450A0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C0A10Ce0Epossivel0Eampliar0Eseguranca0Ede0Edados0Eem0Edispositivos0Emoveis0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Cuidar de dados confidenciais é mais estressante que divórcio - Segurança

2011-11-09T05:15:00.009-03:00

SegurançaCuidar de dados confidenciais é mais estressante que divórcio
Levantamento da Websense revela ainda que 86% dos responsáveis pela TI acreditam que perder informações corporativas podem colocar seus empregos em risco.
Por Redação da Computerworld
03 de novembro de 2011 - 12h25
página 1 de 1
Tweet
Como as ameaças virtuais estão afetando as empresas? Para descobrir a resposta, a Websense, fornecedora de soluções de segurança, realizou uma pesquisa em parceria com a consultoria Dynamic Markets. Como resultado, identificou que 48% dos entrevistados contam com sistemas que evitam o vazamento de dados confidenciais pela web. Além disso, 60% se preocupam com as ameaças avançadas, e 19% dizem ter sofrido esse tipo de ataque.

Outro dado relevante do levantamento é que 86% dos responsáveis pela TI acreditam que os incidentes envolvendo perda de dados podem colocar seus empregos em risco. Setenta e dois por cento apontam que o estresse de administrar dados confidenciais da companhia é maior do que gerenciar um divórcio, administrar dívidas pessoais ou uma pequena batida de carro.

Dos 2 mil profissionais ouvidos [metade gerentes de TI e metade funcionários não relacionados à TI) nos Estados Unidos, Reino Unido, Canadá e Austrália apenas 2% afirmaram contar com solução Data Loss Prevention (DLP) que proteja dados quando estão armazenados, em uso e em trânsito. Ainda assim, depois de vários ataques amplamente divulgados, 23% dos entrevistados iniciaram ou agilizaram um projeto para a prevenção contra a perda de dados.

Depois de registrar incidentes, a maioria dos ouvidos implementou diversas mudanças: mais de 40% estão investindo mais na área e voltando as atenções para dentro da empresa, testando e avaliando as políticas existentes, implementando soluções novas e impondo novas restrições aos usuários. Quase 25% dos entrevistados começaram ou agilizaram um projeto de DLP.

Os resultados apontam ainda que 24% dos executivos disseram que os dados confidenciais de CEOs e outros executivos já foram violados. Enquanto isso, 34% afirmaram que os dados necessários para compliance foram perdidos e que 34% de informações confidenciais foram publicadas em redes sociais.

“A pesquisa revela que as empresas precisam reavaliar o nível de proteção dos seus dados”, diz Tom Clare, diretor sênior de Marketing de Produtos da Websense.

Envolvimento de outras áreas

A Websense concluiu ainda que os incidentes estão incentivando um debate mais amplo sobre questões de segurança na companhia. O estudo revela que 91% dos gerentes de segurança de TI dizem que, no ano passado, pessoas em postos mais altos da empresa começaram a participar do debate sobre a segurança de dados, como o diretor de TI (43%), o diretor administrativo (38%) e o CEO (33%).
Tweet

Computerworld - Cuidar de dados confidenciais é mais estressante que divórcio - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/19cc0b2e/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F4f4cdddc27ea87aa3ce76b3baa51993f0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C0A30Ccuidar0Ede0Edados0Econfidenciais0Ee0Emais0Eestressante0Eque0Edivorcio0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/19cc0b2e/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F4f4cdddc27ea87aa3ce76b3baa51993f0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C0A30Ccuidar0Ede0Edados0Econfidenciais0Ee0Emais0Eestressante0Eque0Edivorcio0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Quatro previsões em segurança da informação para 2012 - Segurança

2011-11-09T05:15:00.007-03:00

SegurançaQuatro previsões em segurança da informação para 2012
Consumerização, hacking, segurança em nuvem e perda de dados serão temas recorrentes no próximo ano.
Por Hamish Barwick, da Computerworld Australia
04 de novembro de 2011 - 07h30
página 1 de 1
Tweet
O ano está chegando ao fim, mas as ameaças de segurança não mostram sinal de cessar. Para que companhias possam se preparar no quesito proteção de dados em 2012, Steve Durbin, vice-presidente de vendas e marketing da instituição de segurança Information Security Forum (ISF), lista quatro principais pontos de atenção sobre o tema.

Consumerização de TI
A primeira tendência é o rápido crescimento da consumerização de TI [no qual funcionários levam para o trabalho dispositivos móveis pessoais que acessam a rede corporativa]. Esse fenômeno fez com que a área de segurança se desdobrasse para lidar com o gerenciamento e a proteção de dados que são armazenados na empresa e nos equipamentos pessoais.

"Essa onda vai levar a falhas no cumprimento legal e na divulgação de informações de negócios", afirma Durbin. De acordo com ele, mesmo que as organizações estejam cientes desse risco, “vamos ver problemas relacionados à cosumerização nos próximos 12 meses”.

Aumento de incidentes de hacking
Não surpreendentemente, Durbin aponta que as perdas de informação deverão continuar no âmbito corporativo e pessoal, impulsionadas por ataques de hackers. “É por isso que os compromissos de organizações para evitar cenários como esses vão se manter, a exemplo da Sony que teve a rede invadida recentemente”, afirma.

"Não acho que algumas empresas estão levando essas ameaças a sério, porque ainda há tanto espaço para que os dados sejam roubados que nós vamos ver algumas brechas grandes e hacks vão impactar na reputação empresarial e na confiança do consumidor."

Proteção na nuvem
O aumento dos custos que estão associados à oferta de cloud computing e os ataques externos na nuvem vão aumentar, de acordo com Durbin.

"Enquanto um número de organizações estão implementando estratégias para a segurança na nuvem e para estar em linha com a conformidade, ainda temos um caminho a percorrer em determinadas áreas, principalmente porque muitas organizações ainda não sabem onde há uma cloud implementada em seus negócios", afirma .

Perda de dados

As pessoas estão cada vez mais fazendo uso da tecnologia como smartphones e tablets, aponta o especialista em segurança. Segundo ele, esse quadro aumenta a perda de equipamentos e de informações valiosas. Além disso, a distribuição de malware conduzirá o aumento do risco de perda de informações comerciais e de fraude.

Durbin acrescenta que todos os desafios apontados acima poderiam ser ultrapassados se as empresas aumentarem a conscientização do usuário e da segurança. "Tentamos colocar essa ideia em prática para que os profissionais entendam os riscos e continuem a executar suas atividades sem problemas”, finaliza.
Tweet

Computerworld - Quatro previsões em segurança da informação para 2012 - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/19d1b7d0/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Fb9ff2fae1eae7a899689dbd5a5499ee20Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C0A10Cquatro0Eprevisoes0Eem0Eseguranca0Eda0Einformacao0Epara0E20A120Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/19d1b7d0/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Fb9ff2fae1eae7a899689dbd5a5499ee20Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C0A10Cquatro0Eprevisoes0Eem0Eseguranca0Eda0Einformacao0Epara0E20A120Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Data center: percepção de segurança é diferente da realidade - Segurança

2011-11-09T05:15:00.005-03:00

SegurançaData center: percepção de segurança é diferente da realidade
Estudo da McAfee aponta que empresas estão despreparadas para lidar com ameaças virtuais; nuvem foi citada como grande fonte de risco.
Por Redação da Computerworld
04 de novembro de 2011 - 17h39
página 1 de 1
Tweet
Pesquisa global realizada pelo Gabriel Consulting Group (GCG) e divulgada pela McAfee, avaliou a percepção de segurança entre gestores de data centers e gerentes de segurança em TI e concluiu que as visões são distintas. De acordo com o levantamento, 60% dos 147 entrevistados disseram acreditar que a segurança é mais sólida do que realmente é, enquanto 22% apontaram que os gestores estão cientes da realidade da empresa com relação às questões de segurança.

Na Pesquisa de Segurança de Data Center de 2011, mais de 40% dos entrevistados avaliaram que o ritmo de segurança de suas empresas está despreparado para lidar com as ameaças virtuais. Aproximadamente 70% dos entrevistados são céticos quanto à segurança de nuvem pública e 40% deles contaram que a segurança do dia a dia não está em conformidade com os padrões exigidos pelas políticas oficiais.

Para Dan Olds, analista do Gabriel Consulting Group, é preciso que os gestores da área avaliem com profundidade os temas relacionados à segurança de TI. “A administração do data center precisa ser franca e honesta ao discutir os pontos fortes e fracos dos mecanismos de segurança. É muito melhor discutir potenciais problemas de segurança antes que eles sejam expostos", recomenda.

Virtualização
O estudo indica ainda que, embora quase metade dos entrevistados acredite que a virtualização e nuvens privadas representem um desafio à proteção do ambiente, a maioria utiliza as mesmas ferramentas de proteção tanto para o sistema físico quanto para o virtualizado. O item foi considerado já que tanto a arquitetura de computação na nuvem privada quanto a cloud pública dependem do da virtualização para garantir agilidade e expansão dos negócios.

“A mudança para um data center virtualizado exige que as organizações considerem antecipadamente a abordagem de segurança no ciclo de projeto”, afirma Greg Brown, vice-presidente da Segurança de Rede da McAfee.
Tweet

Computerworld - Data center: percepção de segurança é diferente da realidade - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/19d5db76/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Fd499a0Aaa81d1b6da6c340Ae18a44efa450Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C0A40Cdata0Ecenter0Epercepcao0Ede0Eseguranca0Ee0Ediferente0Eda0Erealidade0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/19d5db76/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0Fd499a0Aaa81d1b6da6c340Ae18a44efa450Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C0A40Cdata0Ecenter0Epercepcao0Ede0Eseguranca0Ee0Ediferente0Eda0Erealidade0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Microsoft libera correção para vírus que age em redes seguras - Segurança

2011-11-09T05:15:00.003-03:00

SegurançaMicrosoft libera correção para vírus que age em redes seguras
Duqu, conhecido como filho do Stuxnet, monitora a digitação e captura informações, enviando-as para criminosos.
Por Julie Bort, da Network World (EUA)
08 de novembro de 2011 - 11h14
página 1 de 1
Tweet
A Microsoft disponibilizou ferramenta que permite que os usuários façam a correção manual de segurança para a praga virtual Duqu Trojan: Microsoft Security Advisory (2639658).

O Duqu (“filho do Stuxnet” como é conhecido) é preocupante por que instala um keylogger, que permite visualizar tudo o que é digitado no computador. E pode se replicar mesmo em redes seguras, usando as senhas capturadas. Ele se comunica com servidores na internet, dando acesso aos hackers. O malware "desaparace" do computador depois de 30 dias.

Em um aviso de segurança, a Microsoft confirmou ter identificado vários ataques, mas minimizou o impacto dessas ações. "De maneira geral, vemos um pequeno impacto aos nossos clientes, por enquanto", afirma a companhia.

Entretanto, a Microsoft disponibilizou ferramentas que permitem que profissionais de TI desabilitem manualmente o código com brechas no sistema. Mas elas têm algumas inconveniências. “Aplicativos que contam com tecnologia de fonte embedded não serão exibidos corretamente”, de acordo com a Microsoft.
Profissionais de TI também podem implementar a correção manualmente, com uma série de comandos no prompt de administrador do sistema. A correção é para todas as versões do Windows. Para baixá-la, clique aqui. Os comandos manuais estão disponíveis no Security Advisory, abaixo de “Workarounds”.
Tweet

Computerworld - Microsoft libera correção para vírus que age em redes seguras - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/19eb8cc4/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F8cb7b89298acf6640Ada2f0A8a7a22421a0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C0A70Cmicrosoft0Elibera0Ecorrecao0Epara0Evirus0Eque0Eage0Eem0Eredes0Eseguras0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/19eb8cc4/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F8cb7b89298acf6640Ada2f0A8a7a22421a0Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C0A70Cmicrosoft0Elibera0Ecorrecao0Epara0Evirus0Eque0Eage0Eem0Eredes0Eseguras0Gtitle0FRSS20Gtype0FRSS/story01.htm,

Computerworld - Quer proteger a empresa adequadamente? Veja cinco dicas - Segurança

2011-11-09T05:15:00.001-03:00

SegurançaQuer proteger a empresa adequadamente? Veja cinco dicas
Com os orçamentos cada vez mais enxutos, alinhar prioridades e priorizar os gastos são ações fundamentais para quem quer garantir recursos extras para proteger a empresa.
Por Redação da Computerworld/EUA
08 de novembro de 2011 - 19h59
página 1 de 1
Tweet
Segurança pode ser uma questão cotidiana para os executivos de negócios, mas em um ambiente de incerteza econômica, já em curso, o apoio a iniciativas de proteção nem sempre é fácil de obter. Principalmente se algum gasto extra estiver em jogo.
"Não há carta branca para a segurança", diz Roland Cloutier, CSO da ADP. Dave Cullinane, CISO do site de leilões eBay, concorda. "Saber onde estamos gastando, que despesas são ou não apropriadas e os riscos que corremos, é um bom caminho para evitar tornar ainda mais difícil a aprovação de investimentos em segurança", diz ele.
A COMPUTERWORLD perguntou a vários CSOs dicas de boas práticas, compiladas na forma de nove táticas para obter manter as iniciativas de segurança em movimento, apesar de inúmeros obstáculos.
1. Faça o cálculo
Com os orçamento mais apertadas do que nunca, é crucial apresentar números concretos que reafirmem a importância do projeto ou iniciativa. "Se for apenas para melhorar marginalmente o nível de segurança, nem pense em solicitar recursos extras", diz Richard Gunthner, CSO da Mastercard. "É preciso haver retorno sobre o investimento (ROI) que faça sentido."
Com tantas ameaças potenciais, grande parte do trabalho dos CSOs será identificá-las, calcular os riscos, quantificar as perdas e estimar o ROI da correção pretendida. "Se eu puder demonstrar que um investimento de 6 milhões dólares irá resultar em uma redução do risco 300 milhões de dólares, o CFO compreenderá", diz Cullinane. "Mas você tem que provar que a iniciativa irá resultar redução de gastos. Essa quantificação é a parte mais difícil."
Um bom caminho é acompanhar os resultados. "Mostre o ponto onde começaram a investir, e os problemas evitados ao longo de um curto período de tempo que justificaram cada centavo investido", diz Cullinane. Depois de construir credibilidade, o dinheiro virá mais facilmente. "Eu estou dando de volta ao CFO cinco dólares por cada dólar que ele me dá. Por isso ele está disposto a me dar mais", diz Cullinane.
Idealmente, você deve mostrar o investimento vai fechar um buraco que tem na organização que resultou em um lapso de segurança diretamente relacionado a uma perda financeira. Se você não pode fixá-lo a um evento interno, mostre o que aconteceu em outra empresa, de preferência do mesmo ramo de atuação.
"Isso mostra que você não é alarmista, mas realista, já que o problema pode ocorrer de fato, e, portanto, há um risco que precisa ser debelado", diz Gunthner. "Isso torna o investimento em segurança muito mais fácil de vender."
2. Mostre a relação com o negócio
Mesmo se você não puder obter números concretos, certifique-se de que o pedido de financiamento das iniciativas de segurança está alinhado com os interesses de negócios, diz Cloutier. Se a maior preocupação da empresa estiver no topo da linha da receita, como você pode ajudar a mantê-la ainda mais rentável, mais rápido? Se a preocupação é a redução da despesa, o que pode fazer a segurança para reduzir a fraude e desperdício?
"Se você pode articular isso e mostrar uma ligação direta, não apenas um discurso que aponta para alguma coisa, a chance de obter apoio dos líderes empresariais para seus esforços de segurança aumenta."
3. Cuidado com a linguagem
Você não vai chegar longe nos pedidos de gastos, se não ajustar a mensagem para o público, seja ele o conselho executivo, o grupo de TI ou o pessoal da área de gerência.
"Você deve manter a mensagem para ajustar o discurso para cada potencial cliente", diz Jason Clark, chefe de segurança e diretor de estratégia da Websense, provedora de soluções de segurança. "O pessoal de TI se preocupa com os detalhes operacionais, mas a diretoria, não."
Alan Nutes, gerente sênior de segurança e gerenciamento de incidentes na Newell Rubbermaid, concorda. "Se você está falando para a gerência sênior, utilize palavras que façam parte do vocabulário dos executivos C-levels", diz ele. "Um profissional de segurança pode dizer 'prevenção de perdas' para uma plateia de executivos que vai entender 'gestão de ativos'."
Por exemplo, para explicar para os executivos a necessidade de um firewall a mais, você pode usar a metáfora da necessidade de novos freios em um carro, não para parar, mas para ir mais rápido, com segurança, sugere Clark. "Ou se os executivos quiserem usar iPads, você passa a ser o profissional que, em vez de vetar o uso, dirá 'sim, mas só com esse pedaço extra de software na rede para suportá-lo'."
O fato é que a maioria dos executivos de negócio somente se preocupa com violações de segurança quando a exposição de riscos deixa bastante claro que uma falha pode afetar o negócio, e o seu trabalho como líder de TI é mostrar essa conexão para eles.
4. Torne as questões pessoais
Se quiser obter a atenção de alguém, coloque a questão em seu quintal. Depois que as pessoas sentem-se responsáveis, vão ter interesse em defender sua proposta de investimento extra em segurança. "Issa é uma estratégia poderosa. As pessoas não querem ser vistas como responsáveis pelo risco. Correr para que se tornar adeptas a ajudar a atenuá-lo", diz Cloutier. "Não se trata de medo e incerteza, é sobre se sentir responsável por um problema na sua área e decidir que podem ajudar a resolvê-lo." A técnica estimula uma abordagem de parceria, que impulsiona os recursos necessários.
Clark concorda. Ele usa um dispositivo criado por ele no início de sua carreira, que chama de gráfico "Good, Bad e Ugly" (em tradução livre para o português, algo como "Bom, Rui, e Perigoso"). O diagrama mostra onde cada divisão está no progresso em iniciativas de segurança. Em uma empresa, Clark compartilhou este gráfico com o CEO e solicitou que ele desse apoio à iniciativa da área de segurança em seu discurso trimestral. Não só o CEO promoveu o projeto, como também repreendeu publicamente o presidente de uma divisão que tinha resistido muito em adotar o projeto. "Logo depois, todos vieram me procurar para saber o que precisavam fazer para recuperar o atraso", diz Clark.
5. Antecipe-se
Não é preciso ser um vidente para prever as preocupações e as perguntas que as parte interessadas certamente farão. Tudo o que é necessário é um estudo rápido do comportamento humano. "Algumas pessoas gostam de levantar questões polêmicas", diz Gunthner. Por exemplo, o RH pode ter uma sensibilidade especial para as relações com os empregados, enquanto o pessoal da área de infraestrutura se preocupa mais com ativos fora de lugar. "Procure enumerar as preocupações mais comuns e estar pronto para respondê-las e até resolvê-las com antecedência. Isso aumentará as chances da iniciativa de segurança ser bem recebida", diz ele.
"Para ser um agente de mudança, você tem que ser criativo e expressar as coisas de maneiras interessantes, para que pareçam não terem sido ouvidas antes", diz Clark. "Muitas vezes, as pessoas já alinharam suas objeções. Por isso você tem de pensar dois passos à frente."
Tweet

Computerworld - Quer proteger a empresa adequadamente? Veja cinco dicas - Segurança

Technorati Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/19ee59f1/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F71ac8c74d7baf2e86667cf6da7ea150A70Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C0A80Cquer0Eproteger0Ea0Eempresa0Eadequadamente0Eveja0Ecinco0Edicas0Gtitle0FRSS20Gtype0FRSS/story01.htm,

BlogBlogs Marcas: : Computerworld, Segurança, http://rss.computerworld.com.br/c/32184/f/499639/s/19ee59f1/l/0Lct0Bidg0N0Bbr0Ccgi0Ebin0Credirector0Bcgi0Drnd0F0A0Guid0F71ac8c74d7baf2e86667cf6da7ea150A70Gsite0Fcomputerworld0Gorigem0Fcomputerworld0Cseguranca0Gurl0Fhttp0J3A0C0Ccomputerworld0Buol0N0Bbr0Cseguranca0C20A110C110C0A80Cquer0Eproteger0Ea0Eempresa0Eadequadamente0Eveja0Ecinco0Edicas0Gtitle0FRSS20Gtype0FRSS/story01.htm,