fbpx
(11) 5521-2021 [email protected]
Como a Gestão de Identidade pode ajudar a manter as empresas em conformidade com o GDPR?

Como a Gestão de Identidade pode ajudar a manter as empresas em conformidade com o GDPR?

A Gestão de identidade ajuda as organizações a atender aos requisitos de GDPR (Regulamento Geral de Proteção de Dados ou em inglês General Data Protection Regulation) de maneira sustentável e econômica, fornecendo visibilidade centralizada e controle sobre “quem tem acesso a quê”. Ele oferece um mapeamento de quais usuários, em quais funções, podem acessar aplicativos e dados (dados estruturados e não estruturados).

Os principais elementos da Gestão de identidades – governança de acesso a dados, controles de conformidade, provisionamento automatizado, gestão de logs e gerenciamento de senhas – desempenham papéis importantes na identificação de dados pessoais, protegendo esses dados e demonstrando a conformidade com o Regulamento Geral de Proteção de Dados – em toda a organização.

  • Governança de acesso a dados: automatiza o monitoramento de atividades para melhorar a mitigação de riscos e entender o uso apropriado. Garante que direitos não autorizados, como as contas órfâs, proliferem nos sistemas, gerando risco e não formidades.
  • Controles de conformidade: permite que as organizações definam e apliquem políticas de acesso, conduzam revisões regulares de acesso pelos proprietários de dados e revoguem automaticamente o acesso inadequado. Fornece relatórios centralizados de todos os controles preventivos e de detecção.
  • Provisionamento automatizado: garante que o acesso a dados pessoais seja concedido apenas com base na necessidade de acesso devidamente aprovada. Adicionalmente fornece o fluxo de trabalho para as necessárias alterações e revogações.
  • Gestão de Logs: coleta e mantém em local seguro, os registros das atividades, na forma de logs de auditoria dos principais sistemas. Relatório de atividades elaborado com base nos logs armazenados garante a rastreabilidade das atividades de aceso aos dados.
  • Gerenciamento de senhas: aplica políticas de senhas fortes em todos os sistemas que contêm dados pessoais. Aumenta a segurança e facilidade de uso, via um portal de troca de senha.

Saiba como o GPDR impacta os profissionais de Segurança da Informação

As áreas específicas em que a Gestão de identidade pode ajudar as organizações a se preparar e atender aos requisitos de GDPR são mostradas abaixo:

Princípios de Proteção de Dados Pessoais

O principal objetivo do GDPR é a privacidade: a proteção de dados pessoais. Isso significa que o foco agora está em como as organizações processam, armazenam e protegem dados pessoais. Para atender aos requisitos do GDPR, as organizações devem demonstrar conformidade com os princípios de proteção de dados definidos no Artigo 5º.

 

Artigo 5º do GDPRPrincípios de Proteção de Dados O dado pessoal deve ser:

  • Processado de forma legal, justa e transparente.
  • Recolhidos para finalidades específicas, explícitas e legítimas e não processados ​​posteriormente de maneira incompatível com esses propósitos.
  • O acesso deve ser adequado, relevante e limitado àqueles que são necessários em relação aos fins para os quais eles são processados.
  • Exato e, quando necessário, atualizado; Controles e processos devem existir para garantir que os dados pessoais que são imprecisos sejam apagados ou corrigidos.
  • Mantido de uma forma que permita a identificação dos titulares de dados, mas não mais do que o necessário para atender os fins para os quais os dados pessoais são processados.
  • Processado de uma maneira que garanta a segurança apropriada dos dados pessoais, incluindo proteção contra: processamento não autorizado ou ilegal, perda, destruição ou dano acidental.
Como a governança de identidades pode ajudar  Fornece visibilidade:

  • Quais dados pessoais estão sendo armazenados?
  • Onde e como é armazenado?
  • Quem é o responsável?
  • Quem pode acessar os dados?
  • Quem acessou?
  • Quando os direitos de acessos aos dados expiram? Controla e protege dados pessoais
  • Alerta para direitos de acessos aos dados pessoais que não foram utilizados ​​em um período de tempo especificado.
  • Remove os direitos de acesso que expiraram.
  • Atribui proprietários ou responsáveis pelo acesso aos dados e realiza revisões regulares dos perfis de acesso.
  • Mantém os direitos de acesso aos dados pessoais no mínimo necessário, com perfis de acesso e segregação de funções.
  • Detecta e revoga direitos de acesso inadequados.

 

 

 

Protegendo Dados Pessoais

O GDPR exige que as organizações implementem medidas técnicas e organizacionais apropriadas para proteger os dados pessoais. Em particular, as organizações devem prever desde o inicio do projeto, medidas para garantir a conformidade da proteção de dados. Isso significa que, para cada produto ou serviço novo ou já existente, as organizações devem garantir que o produto ou serviço seja projetado tendo em mente a conformidade com a proteção de dados.

Artigos 25 e 32 do GDPR

Proteção de dados, por padrão, desde o início. 

O responsável pela guarda dos dados deve, tanto no momento da determinação dos meios de processamento como no processamento, implementar medidas técnicas e organizacionais adequadas, concebidas para aplicar os princípios de proteção de dados, de forma eficaz. Implantar e integrar as salvaguardas necessárias no processamento, a fim de satisfazer os requisitos do presente regulamento e proteger os direitos dos titulares dos dados.

Segurança de dados

O responsável pelo tratamento e o subcontratante devem implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco, incluindo, conforme adequado:

  • A pseudonimização e criptografia de dados pessoais.
  • A capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento.
  • A capacidade de restaurar a disponibilidade e o acesso a dados pessoais em tempo hábil no caso de um incidente físico ou técnico.
  • Um processo para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.

 

 

 

Como a governança de identidades pode ajudar

Fortalece os controles

  • Fornece visibilidade centralizada dos modelos de controle de acesso para todos os recursos que armazenam e processam dados pessoais.
  • Atribui de forma discrecionária os direitos de acesso aos recursos, sistemas ou pastas que contêm dados pessoais.
  • Permite a revisão totalmente automatizada dos direitos de acesso em todos os recursos que contêm dados pessoais.
  • Varre recursos automaticamente para descobrir e relatar qualquer violação da política de acesso, como por exemplo: direitos não autorizados.Garante o acompanhamento contínuo
  • Usa o controle de acesso baseado regras de negócio, permitindo atribuir perfis de acordo com a função, para garantir que o acesso a dados pessoais seja concedido em uma base de necessidade de conhecimento (“privilégio mínimo”).
  • Detecta automaticamente alterações, como transferências ou encerramentos, e inicia o fluxo de trabalho apropriado para revisar, remover ou alterar privilégios de acesso.•          Requer aprovação do gerente ou do proprietário dos dados para as concessões ou alterações de acesso.
  • Registra as solicitações de acesso bem como as aprovações, fornecendo um registro completo e auditável de quem solicitou acesso a quais sistemas e quem aprovou ou negou a solicitação.
  • Fornece relatórios para permitir a autoavaliação e comprovação de conformidade com o GDPR

 

 

Monitoramento e Detecção

O GDPR exige que as organizações implementem medidas para relatar violações de dados às Autoridades de Processamento de Dados (DPAs) e, em alguns casos, aos sujeitos de dados. O regulamento concede às empresas 72 horas a partir do momento em que tomam conhecimento de uma violação para denunciá-lo. As organizações precisarão estar preparadas para divulgar imediatamente detalhes específicos sobre os indivíduos afetados, a duração da violação e quaisquer ações corretivas tomadas.

Artigos 33 e 34 do GDPR

Relatório de violações de dados para os DPAs

  • Controladores – No caso de uma violação de dados, o controlador deve informar a violação ao DPA, até 72 horas após tomar conhecimento do mesmo. O controlador deve manter registros de todas as violações de dados, incluindo os fatos e efeitos da violação e qualquer ação corretiva tomada.
  • Processadores – Os processadores devem notificar imediatamente ao controlador, qualquer violação das regras de acesso aos dados. Como reportar violações de dados a sujeitos de dados? No caso de uma violação que cause um risco para os titulares de dados, o responsável pelo tratamento deve notificar os titulares de dados afetados. No entanto, o controlador pode estar isento deste requisito se:
  • O risco de dano é remoto porque os dados afetados são protegidos (por exemplo, por criptografia forte);
  • O controlador tomou medidas para proteger contra os danos (por exemplo, suspendendo contas afetadas); ou a notificação exige um esforço desproporcional (caso em que o controlador deve emitir um aviso público da violação).

 

 

 

Como a governança de identidades, quando integrada com a gestão de logs de acesso pode ajudar?

Automatiza a Detecção 

  • Monitora quem está acessando dados pessoais, quando, de onde e que tipos de operações estão realizando.
  • Permite a definição personalizada de perfis de acesso e monitoração para identificar eventuais violações.
  • Notifica e alerta os proprietários e gerentes de dados sobre quaisquer violações ou anomalias detectadas.
  • Automatiza remediações quando violações são detectadas, por exemplo, a revogação de um acesso não autorizado.
  • Permite que os proprietários de dados executem verificações de status de risco em tempo real sobre os dados que eles gerenciam. Fornece Auditoria Completa e Forense
  • Fornece as trilhas de auditoria necessárias para conduzir a análise forense no caso de uma violação de dados.
  • Registra todas as alterações no acesso, fornecendo um registro completo e auditável de quem solicitou acesso a quais sistemas e quem aprovou ou negou a solicitação.
  • Fornece relatórios de auditoria com visualizações detalhadas de todas as atividades de acesso a dados, alterações de permissão e possíveis atividades não compatíveis.

 

 

Requisitos de documentação de conformidade

O GDPR exige que as organizações mantenham um Registro Interno para documentar todas as atividades de processamento de dados pessoais. Essas regras exigem que os controladores e processadores criem um registro centralizado que documente as atividades de processamento de dados e descrevam as medidas de segurança técnica e organizacional tomadas para proteger os dados pessoais.

As organizações também devem verificar a necessidade de executar uma Avaliação de Impacto de Privacidade (PIA), para identificar e marcar dados pessoais de “alto risco”. Este requisito acrescenta a necessidade de demonstrar que medidas apropriadas foram implementadas com relação à identificação dos riscos relacionados ao processamento, a avaliação da natureza, probabilidade e gravidade do risco, bem como a documentação das melhores práticas implementadas para mitigar riscos.

Artigos 30 e 35 do GDPR 

Registro de processamento para controladores

Cada controlador deve manter registros das atividades, incluindo:

  • As categorias de titulares de dados e dados pessoais processados.
  • As categorias de destinatários com quem os dados podem ser compartilhados.
  • Uma descrição das medidas de segurança implementadas em relação aos dados processados.

Avaliação de impacto de privacidade

Os controladores devem realizar avaliações de impacto na privacidade, onde um tipo de processamento pode resultar em um alto risco para os direitos e liberdades dos indivíduos. Um PIA deve incluir:

  • Uma descrição das operações de processamento e finalidades do processamento.
  • Uma avaliação dos riscos para os direitos e liberdades dos titulares dos dados
  • Medidas previstas para enfrentar os riscos. Se uma PIA indicar que o processamento resultaria em um alto nível de risco, na ausência de medidas tomadas pelo controlador para mitigar o risco, o controlador deve consultar a Autoridade Supervisora ​​antes do processamento.

 

Como a governança de identidades pode ajudar

Simplifica os requisitos de relatório

  • Registra e fornece rastreabilidade dos locais utilizados para armazenamento de dados, como servidores de arquivos, portais, caixas de correio e pastas na nuvem.
  • Fornece visibilidade completa dos perfis de controle de acesso para cada recurso que armazena ou processa dados pessoais.•          Sinaliza os perfis que concedem acesso a dados pessoais de alto risco.
  • Lista pessoas com perfis concedidos que permitem acesso a dados de alto risco.  Avalia e mitiga o risco
  • Automatiza a revisão periódica do acesso a dados pessoais por gerentes e proprietários de dados.
  • Fornece relatórios detalhados de cada ciclo de revisão de acesso, incluindo acesso inadequado detectado, revogações de acesso e violações de política detectadas e corrigidas.
  • Usa controle de acesso baseado em função para garantir que o acesso a dados pessoais seja concedido em uma base de necessidade de conhecimento (“privilégio mínimo”)
  • Aplica políticas de senhas fortes em todos os sistemas que contêm dados pessoais.
  • Varre recursos automaticamente para descobrir e relatar violações da política de acesso, como contas orfâs e direitos não revisados.
  • Fornece relatórios para permitir a autoavaliação e fornecer comprovação de conformidade com o GDPR.

 

Ao implementar uma solução de governança de identidade, a organização não está apenas em conformidade com o GDPR, mas também está se preparando para atenuar os riscos de uma violação de dados.

Ou seja, cada vez mais a segurança e a agilidade dos processos de negócio depende diretamente da gestão dos direitos de acesso aos sistemas da empresa. Listado desde 2011 no Gartner Magic Quadrant for Identity Governance and Administration e com a maior base instalada do Brasil, o HORACIUS é a solução de Gestão de Identidades e Governança mais completa do mercado.

Nossa Gestão de Identidade HORACIUS pode ser integrado com os principais sistemas de Recursos Humanos do mercado, sincronizando informações e executando tarefas vitais para o bom andamento dos negócios. Todo o histórico de direitos das pessoas aos sistemas é gerenciado, desde o primeiro acesso, no momento da admissão, até a revogação dos direitos no final do vínculo.

O impacto do GPDR para os profissionais de Segurança da Informação

O impacto do GPDR para os profissionais de Segurança da Informação

A legislação GPDR ou Regulamento Geral de Proteção de Dados da União Européia representa a mudança mais significativa na lei global de privacidade em 20 anos. Introduz requisitos de privacidade novos e abrangentes para qualquer organização que manipule os dados pessoais de indivíduos que vivem na Europa.

O GDPR ampliará e adicionará requisitos ao seu antecessor, a Diretiva de Proteção de Dados da UE ou DPD, e por ser um regulamento, não uma diretiva, terá força legal vinculante em todos os estados membros. O Regulamento Geral de Proteção de Dados foi adotado em abril de 2016 e entra em vigor em 25 de maio de 2018.

Algumas mudanças importantes que serão promulgadas pelo GDPR incluem:

  • Aplicação mundial de uma lei europeia em matéria de proteção de dados. A nova lei não se limita aos estados membros da UE. Não importa onde eles estejam localizados, as organizações localizadas fora da UE que processam os dados pessoais de indivíduos que residem na UE terão que cumprir com o GDPR. O descumprimento não é uma opção. Sob a nova legislação, as organizações podem incorrer em multas de até € 20 milhões ou 4% da receita bruta anual, o que for maior, dependendo da natureza da violação.
  • Um novo requisito é a obrigatoriedade de notificação em caso de violação ou divulgação não autorizada de dados. As organizações terão de notificar a autoridade europeia responsável pela proteção de dados sobre uma violação no prazo de 72 horas. Uma notificação também deve ser feita aos indivíduos afetados, quando houver um alto risco para eles.
  • Muitas organizações precisarão nomear um diretor de proteção de dados (DPO) para ser responsável por implementar e monitorar a conformidade com o GDPR e realizar avaliações de conformidade. As organizações também deverão mapear o processamento de dados pessoais da UE e realizar avaliações de impacto de proteção de dados para processamento de alto risco.
  • As organizações devem adotar uma abordagem proativa para garantir que os padrões apropriados de proteção de dados sejam incorporados em todos os sistemas e processos que lidam com dados pessoais. Uma observação importante é que a governança de acesso a dados e identidades atende a vários requisitos deste regulamento e pode ajudar a preparar sua organização, para a conformidade com o Regulamento Geral de Proteção de Dados.

 

O que o GDPR significa para profissionais de tecnologia de Segurança da Informação?

O Regulamento Geral de Proteção de Dados é uma estrutura legal que não especifica muitos detalhes técnicos sobre como atingir a conformidade. No entanto, ele define claramente um novo conjunto de princípios e procedimentos de proteção de dados que devem ser seguidos.

Para começar a usar os requisitos do GDPR, as organizações precisam ter um entendimento claro de como processam, armazenam e protegem dados pessoais. Depois que a organização tiver catalogado todos os dados pessoais usados ​​para processamento, ela deverá garantir que esses dados estejam adequadamente protegidos.

O GDPR determina que “medidas técnicas e organizacionais apropriadas” sejam implementadas para proteger os dados, e requer documentação que demonstre essa conformidade. Por fim, o GDPR exige que as organizações monitorem e detectem quaisquer violações de acesso aos dados pessoais e notifiquem as autoridades e, em alguns casos, os responsáveis ​​pelos dados.

No mundo da tecnologia atual, os riscos são mais complexos e os ataques são mais frequentes do que nunca. As organizações enfrentam dificuldades para conceder e gerenciar um número cada vez maior de aplicativos, ao mesmo tempo em que enfrentam ataques cibernéticos mais frequentes e sofisticados.  O difícil equilíbrio entre a segurança e a conveniência – construir um ambiente onde os usuários trabalhem com conforto e segurança nunca foi tão difícil ou mais crítico.

As equipes de segurança de TI de hoje estão lutando para gerenciar a explosão de aplicativos móveis e na nuvem. Eles também devem gerir os direitos de acesso de uma equipe global e distribuída, composta de empregados, clientes, parceiros. Tudo isso além de enfrentar e o desafio de atender aos requisitos de leis e regulamentos que adicionam complexidades à forma como a segurança deve funcionar.

Para piorar a situação, não é mais suficiente se concentrar em defender a infraestrutura de aplicativos e o perímetro de rede da organização. Como recentes ataques de segurança demonstram, está se tornando mais comum que as identidades se tornem o vetor de ataque para criminosos cibernéticos. Em vez de segmentar redes e infraestruturas de aplicativos, os hackers agora exploram identidades para obter acesso a sistemas e dados confidenciais.

Saiba como a Gestão de Identidade pode auxiliar as empresas a manterem a conformidade com o GDPR.

O que é GDPR? Confira as 4 principais dicas para não ser pego de surpresa.

O que é GDPR? Confira as 4 principais dicas para não ser pego de surpresa.

Você tem uma empresa ou trabalha em uma que possui relacionamento com clientes e parceiros Europeus? Fique atento ao GDPR e sobre como ele impacta no negócio da sua organização.

 

A não ser que voce tenha estado em uma caverna isolada, nos últimos meses, já deve ter ouvido falar na GDPR, a nova legislação da Comunidade Européia. O GPDR é a sigla em inglês para General Data Protection Regulation, que traduzido significa “Regulamento Geral de Proteção de Dados”, que é a norma mais recente criada e aprovada para ampliar a proteção de dados pessoais de cidadãos da União Européia (UE). Tal norma se aplica para todas as empresas estabelecidas na Europa e até mesmo para empresas privadas ou públicas fora dos limites territoriais, mas que possuem relação de negócio com clientes e parceiros europeus.

Os legisladores da União Européia estão dando um novo passo nos requisitos de segurança de dados, olhando para a segurança de informação da organização com outra perspectiva: a dos consumidores. A UE já aprovou leis de proteção de dados ao consumidor, mas o GDPR, pela primeira vez, inclui penalidades financeiras significativas se as empresas não conseguirem proteger as informações coletadas.

Com vigência definida para iniciar em maio de 2018, este regulamento afeta qualquer organização que faz negócios dentro da União Europeia e coleta informações pessoais identificáveis ​​(PII) de cidadãos da UE (independentemente de onde sua sede está localizada). A lei também traz consequências severas se você for considerado não cumpridor: as penalidades podem ser de até 4% da receita anual global da empresa ou 20 milhões de euros (o que for maior).

Se a sua organização tem sido diligente em abordar as regulamentações existentes, incluindo PCI DSS, HIPAA ou SOX, ou uma das muitas leis de proteção de dados específicas de países da União Européia, talvez você já tenha uma boa base. Mesmo assim, você pode ter mais a considerar com as ramificações do GDPR, especialmente considerando que a nova norma substitui os regulamentos existentes, incluindo a Diretiva de Proteção de Dados da União Europeia. Para complicar, o Regulamento Geral de Proteção de Dados não é um tamanho único para todos os tipos de regulamentação. Na verdade, aumenta a obrigação de uma organização à medida que aumenta a percepção de risco.

Exemplo: As organizações com mais de 250 funcionários precisarão aderir às regras mais rigorosas do que aquelas com menos de 250 funcionários.

O GDPR também exige mudanças em como e onde as organizações armazenam dados de clientes e mais importante: como elas concedem acesso a esses dados, para funcionários, contratados e parceiros de negócios. Além disso, determina que as organizações relatem qualquer violação de dados envolvendo dados do cliente em menos de 72 horas. Isso exige que os modelos de segurança existentes evoluam de evitar a violação de dados na camada de rede, para detectar e remediar eventos em tempo real.

Por muitos anos, as empresas têm se concentrado em criar barreiras no perímetro da rede como um meio de proteger seus aplicativos e dados internos. No entanto, com um número crescente de violações ocorrendo devido a credenciais comprometidas, as organizações estão percebendo que a maneira de mitigar esses riscos é implementar uma governança de identidades. Na medida em que as organizações adotarem esses controles de governança mais fortes, elas se encontrarão melhor posicionadas para atender aos requisitos de GDPR que estão por vir.

Confira as 4 principais dicas para não ser pego de surpresa

Coloque sua “casa de identidade” em ordem ou como evitar receber uma multa gigante.

Agora é a hora de colocar sua casa de identidades em ordem, antes que as fases de aplicação de penalidades entrem em vigor.

  1. Identifique seus dados confidenciais
    Primeiro, identifique os dados de clientes que precisam ser protegidos pelo GDPR e entenda que eles provavelmente estão espalhados em sua organização. Podem estar em sistemas estruturados como, por exemplo: aplicativos ou bancos de dados, ou pode existir como dados não estruturados – como uma planilha do Excel – localizados em sistemas de arquivos, portais de colaboração, ou até mesmo em sistemas de armazenamento em nuvem como DropBox ou Google Drive.
  2. Determine quem tem acesso
    Em segundo lugar, defina quem deve ter acesso aos dados do cliente e concilie-os com quem tem. Este, é claro, deve ser um processo contínuo, não um evento único. Certifique-se de incluir todos os aplicativos e plataformas de armazenamento de arquivos (no local e na nuvem) nos quais você está armazenando dados de cliente.
  3. Crie controles preventivos e detectivos
    Os usuários devem ter acesso apenas aos recursos que precisam e não mais que isto. A regra de ouro é “tudo é muita coisa”. Procure criar a cultura do “Privilégio mínimo”, para que as pessoas entendam que o  acesso a dados confidenciais devem ser restritos.
  4. Automatize e monitore
    É aqui que as ferramentas de governança de identidade podem ajudar a garantir que os usuários não consigam acessar dados confidenciais de maneira imprópria.

Saiba o que muda para os profissionais da área de Tecnologia de Segurança da Informação

O que é SSO ou Single Sign-On?

O que é SSO ou Single Sign-On?

Imagino que você já tenha ouvido falar sobre SSO ou Single Sign-On. Mas que tal conhecer um pouco mais sobre esta funcionalidade, que é tão importante para a entrega de uma melhor experiência de uso para os usuários dos sistemas.

O que quero dizer com melhor experiência? Vamos imaginar um cenário onde você, como cliente, visita o site de um fornecedor, e para ser antedido é obrigado a se cadastrar não em um, mas em vários sites. Imagine se para receber atendimento ou comprar, você é chamado a fornecer o username e senha, várias vezes, cada vez que muda de um site para outro. Sites da mesma empresa da qual você é cliente. Não tendo outro jeito, o cliente resignado, anota as senhas no bom e velho “post-it” e segue em frente.

Até que um dia, um concorrente implanta a revolucionária ideia de autenticação única, ou seja, você faz o login uma vez, e navega, sem barreiras, entre os vários sites da empresa, da qual você é cliente.

Supondo que os produtos e preços sejam semelhantes, quantos segundos serão necessários para você decidir mudar de fornecedor?

Sendo um pouco mais técnico, o Login único do inglês Single Sign-On  (SSO) é uma funcionalidade de controle de acesso único a vários sistemas, ainda que independentes. Ou seja, um usuário faz login com seu username e senha para obter acesso não apenas a um sistema, mas a todos os sistemas que estejam relacionados e suportados pelo serviço de SSO.

O SSO utiliza o sistema de diretórios da empresa, como por exemplo: o Microsoft AD, para autenticação inicial e responde aos questionamentos dos sistemas integrados. Assim, o usuário quando troca de sistema, não precisa se autenticar novamente, pois o servidor de SSO assume função de informar que o usuário já está autenticado.

Para que os aplicativos se integrem com o servidor de SSO, são utillizados protocolos de autenticação, que definem as regras o formato da comunicação.  Os princpais protocolos utilizados pelo mercado são: SAML, Oauth e OpenID.

Agora que já sabemos o que é SSO, vamos em frente, e no próximo artigo falaremos dos seus benefícios.

Ransomware E Sequestro De Dados: O Que É E Como Se Proteger

Ransomware E Sequestro De Dados: O Que É E Como Se Proteger

Sequestro de dados: entenda esse tipo de ataque e como proteger sua empresa

Você sabe o que é um sequestro de dados? Se a resposta for “não”, preste bastante atenção ao ler esse artigo.

Afinal, a proteção de seus dados e informações podem estar comprometidas!

Que bicho é este Ransomware e Sequestro de dados?

Ransomware é um malware que bloqueia o teclado ou o computador para impedir que você acesse seus dados até que seja pago um resgate, geralmente exigidos em Bitcoin.

A extorsão digital não é nova, tem sido utilizada desde cerca de 2005, mas os bandidos têm evoluído no desenvolvimento de ataques que utilizam criptografia.

Uma variação bastante comum é o cryptware resgate, que criptografa seus arquivos usando uma chave privada que somente o atacante possui, em vez de simplesmente bloquear o seu teclado ou computador.

Atualmente o ransomware não afeta apenas computadores desktop ou laptops; ele também tem como alvo os dispositivos móveis.

Por exemplo: um ransomware que aparece para o usuário como um aplicativo pornô. O chamado app Droid Porn, que tem como alvo os usuários do Android e permite que atacantes bloqueiem o telefone e altere o seu PIN, exigindo um resgate de USD 500 para liberar o acesso.

No início deste ano, o FBI emitiu um aviso de alerta, informando sobre o crescimento e diversidade dos ransomware.

Indivíduos, empresas, agências governamentais, instituições acadêmicas, e até mesmo agentes da lei foram vítimas.

O ataque mais comum é através de um e-mail malicioso ou websites comprometidos.

O negócio lucrativo do Sequestro de dados

Quão lucrativo é ransomware e a prática do sequestro de dados? Bem… Muito! Especialistas estimam conservadoramente, que pelo menos USD 25 milhões são extorquidos de vítimas ransomware a cada ano.

O Ransomware já percorreu um longo caminho desde que apareceu pela primeira vez na Rússia e outras partes da Europa Oriental, entre 2005 e 2009.

Nos primeiros dias, os métodos de pagamentos online não eram populares como eles são hoje. Algumas vítimas na Europa e os EUA foram instruídas a pagar resgates dos sequestros de dados através de mensagens SMS ou com cartões pré-pagos.

Mas o crescimento em meios de pagamento digital, particularmente Bitcoin, tem contribuído grandemente para a proliferação de ransomware.

O Bitcoin tornou-se o método mais popular para exigir resgate, porque ajuda a tornarem anônimas as transações.

A evolução do ransomware nas práticas de sequestro de dados

Não demorou muito para que os ataques se espalhassem para a Europa e os EUA e, com novas técnicas como a falsificação de mensagens como se fossem de agências policiais locais.

Um ataque ransomware conhecido como Reveton, nos EUA, gera uma mensagem pop-up dizendo que sua máquina está envolvida em atividades de pornografia infantil ou algum outro crime e que foi bloqueado pelo FBI ou Departamento de Justiça.

Em agosto de 2013, o mundo do ransomware deu um grande salto com a chegada do CryptoLocker, que usa chaves públicas e privadas de criptografia para bloquear e desbloquear arquivos da vítima.

Versões do CryptoLocker se espalham através de e-mail com um anexo infectado.

Em apenas seis meses, entre setembro de 2015 e maio de 2016, mais de um milhão de vítimas foram infectadas com CryptoLocker.

O ataque é altamente eficaz, apesar de apenas cerca de 1,3 por cento das vítimas ter pago o resgate.

Mesmo assim, o FBI estimou no ano passado cerca de US $ 27 milhões foram pagos por usuários.

Como se proteger contra o sequestro de dados?

Se proteger contra ransomware não é simples e não existe uma única solução “bala de prata”, pois o atacante altera ativamente seus programas para evitar a detecção de ferramentas como antivírus e filtros de conteúdo.

A proteção mais eficaz é a combinação de atitudes das pessoas com ferramentas tecnológicas, ou seja, a defesa em profundidade, levando em conta Pessoas, Processos e Tecnologia.

A seguir algumas dicas práticas de como se proteger na luta contra o sequestro de dados:

  • Adicionar regras nos filtros de e-mail e Web para identificar arquivos com assinatura típica;
  • Bloquear os endereços de sites suspeitos em ser origem/destino, em todos os Firewalls;
  • Bloquear arquivos tipo zip, exe e arquivos FSM tipos, em todos Firewalls;
  • Verificar se os filtros de conteúdo e acesso estão classificando corretamente os sites de origem dos Malware;
  • Avalie os direitos dos usuários com poder de escrita em pastas de rede. Esta avaliação é importante para compreender o nível de exposição da empresa. Normalmente, o malware também irá criptografar arquivos em unidades que são mapeadas. Isso inclui quaisquer unidades externas, como um pen drive USB, bem como qualquer armazenamento de arquivos de rede ou nuvem que você atribuiu uma letra de unidade;
  • Implementar o controle de acesso baseado em perfis vinculados a necessidades de negócio.  Avalie a necessidade conceder direitos de escrita em pastas de rede, especialmente quando esta contém dados valiosos;
  • Revise a política de copias de segurança, e teste a restauração periodicamente;
  • Trate os diferentes de forma diferente. Os malwares irão executar com privilégios do usuário que executar o programa infectado. Portanto, se a pessoa que está sendo comprometida possuir privilégios administrativos locais ou globais, o código malicioso terá acesso aos mesmos recursos. Avalie e implemente uma proteção adicional para os usuários que têm acesso e direito de gravação de dados valiosos;
  • Dedique tempo e recursos ao treinamento de segurança e conscientização A maioria dos ransomware é normalmente entregue via e-mail de forma oportunista. Não existe garantia de 100% de proteção. No entanto, com treinamento de segurança e campanhas periódicas de sensibilização, você pode reduzir drasticamente o número de “clicks” em arquivos e sites suspeitos de infeção.

Agora que você já sabe o que é e como se proteger de um sequestro de dados, conte com uma empresa especializada com segurança da informação como a E-TRUST.

Compartilhe: