O Instituto DARYUS de Ensino Superior Paulista (IDESP), escola referência nas áreas de gestão de riscos e segurança para cursos de pós-graduação e MBA, também notou essa tendência de mercado e anuncia a nova certificação em Modelagem de Ameaças e Arquitetura Segura. Fundado em 2005, o Grupo Daryus, de origem e capital 100% brasileiro, tornou-se referência em Consultoria e Educação e já promoveu a capacitação de mais de 20 mil alunos, em seus 60 cursos – dos quais 9 são de pós-graduação reconhecidos pelo MEC)

“A modelagem de ameaças fornece uma listagem de quais controles ou proteções precisam ser incluídos para reduzir os riscos. Além disso, é possível prever o perfil do invasor, os tipos de ataque mais esperados e os alvos mais desejados por um atacante”, explica Cristian Souza, consultor de Cyber Security da DARYUS Consultoria e professor do IDESP.

Souza destaca ainda que para cada tipo de aplicação é necessário traçar uma nova modelagem de ameaça. “Para aplicações mobile, por exemplo, precisamos garantir que o atacante não consiga visualizar dados sensíveis (como senhas de acesso ao banco de dados) ao fazer uma engenharia reversa do binário. Já para aplicações web, entre as boas práticas estão a utilização de certificados TLS e proteção de cookies de sessão. Na prática, é feita uma divisão do futuro software em partes pequenas, para que se tenha uma noção mais aprofundada das suas possíveis vulnerabilidades”, comenta.

Segundo dados do centro de defesa cibernética da Microsoft, são registrados mais de 5 bilhões de ameaças digitais todos os meses. Ainda segundo o levantamento, com o aumento do home office, houve um crescimento considerável nos golpes voltados a tirar do ar ou acessar aplicações das empresas. Só o Brasil apresenta um volume 23% maior que outros países da América Latina nos ataques de negação de serviço.

Pensando nisso, uma novidade para área é o curso de Modelagem de Ameaças e Arquitetura Segura. “Durante uma tentativa de invasão, as vulnerabilidades em aplicações web são as mais exploradas e, por isso, a modelagem de ameaças vem ganhando destaque nas empresas. Portanto este treinamento fornece ao profissional o conhecimento necessário para identificar, explorar e corrigir diferentes riscos”, explica Souza.

O conteúdo está disponível na grade do IDESP. O curso tem como objetivo apresentar aos alunos, os conceitos de segurança de aplicações e as boas práticas do desenvolvimento seguro. Além disso, também são abordados padrões definidos pela OWASP, como o OWASP TOP 10 controles proativos e o OWASP ASVS (Application Security Verification Standard), renomado padrão de segurança de aplicações feito por desenvolvedores para desenvolvedores.

“O treinamento foi desenvolvido por experts em modelagem de ameaças e arquitetura segura e é uma ótima oportunidade para quem deseja avançar na carreira de TI”, comenta Nadia Guimarães, diretora acadêmica do IDESP. “Qualquer profissional com ensino superior pode se especializar na área e fazer parte à prevenção de ataques cibernéticos. Os profissionais credenciados e com boa base de portifólio podem ganhar entre R$ 5 mil e R$ 10 mil por mês”, conclui.

O IDESP oferece cursos voltados para educação executiva, treinamento e certificações internacionais nas áreas de continuidade de negócios, cibersegurança, segurança da informação, gestão de riscos, gestão de TI, projetos e processos, entre outros. Além de ser pioneira na criação dos cursos de pós-graduação de segurança da informação, perícia forense digital, gestão riscos, continuidade de negócios e cibersegurança.

Aula inaugural gratuita

Para quem tem interesse em saber mais sobre o curso, no dia 30 de junho, a partir das 18h30, uma aula inaugural gratuita com o professor Cristian Souza. A aula será sobre a técnica de Modelagem de Ameaças e Arquitetura Segura e como ela pode ser aplicada ao seu negócio. Inscreva-se: https://dary.us/webinarmaas-inscricao . Os interessados no curso de Modelagem Segura e Arquitetura Segura do IDESP terão que preencher o formulário desse link: https://dary.us/curso-maas

O post Modelagem de Ameaças e Arquitetura Segura (MAAS): como desenvolver software seguro e evitar/resistir a ataques de hackers com apareceu primeiro em Tecnoveste.

O golpe acontece por meio do chip swap. É quando o estelionatário consegue na empresa de telefonia a configuração de um novo chip com confirmação de dados pessoais da vítima o que denota a falta de um bom nível de segurança destas empresas. Quanto aos dados pessoais da vítima o estelionatário pode ter obtido pela compra ilegal de uma base de dados ou ele mesmo tenha conseguido de uma invasão. É possível ainda levantar a hipótese de que algum funcionário da empresa de telefonia tenha participação no prática deste crime.

Já temos precedentes judiciais no Brasil que responsabilizam as empresas de telefonia sob o fundamento da falta de mecanismos de segurança para evitar ações como esta. O Tribunal de Justiça do Distrito Federal (processo nº 0712048-66.2019.8.07.0016) condenou a Vivo à reparação de danos morais e materiais pelos prejuízos causados. Afastou a responsabilidade do Facebook alegando que, tecnicamente, o sistema do WhatsApp funcionou normalmente quando o novo chip já estava habilitado em novo aparelho de celular.

A empresa de telefonia é a única com capacidade técnica de bloquear e transferir os dados da linha do cliente para outro chip, a revelar que o golpe ocorreu em razão da falha no seu sistema. Destaca-se que mesmo tratando-se de terceiro estelionatário que realizou a operação fraudulenta, isso somente demonstra a existência de falha no sistema de segurança da empresa de telefonia.

Já o Tribunal de Justiça de São Paulo (processo nº 1105778-06.2018.8.26.0100) condenou a Claro em R$ 20.000,00 por danos morais em favor de cliente que teve o seu chip clonado duas vezes. Assim que a cliente percebeu que havia problemas no sinal do primeiro chip, ligou para a empresa que a orientou a cadastrar um segundo chip e que posteriormente foi igualmente clonado. Um terceiro chip foi adquirido com nova linha e os chips anteriores não foram cancelados e os estelionatários não persistiram na aplicação dos golpes.

Logo, fique atento(a) ao funcionamento da sua linha de celular. Caso perceba que ela ficou sem sinal repentinamente contate a operadora para tomar as providências. Caso não seja solucionado, procure imediatamente um(a) Advogado(a) especialista em Direito Digital para auxiliá-lo(a) no caso.

Com a proximidade da vigência da Lei de Proteção de Dados (Lei nº 13.709/2018) esperamos todos que as empresas de telefonia reforcem a segurança das informações dos seus clientes e do seus sistemas.

Referências:

José Antônio Milagre

• Vítimas de Sim Swap e Clonagem de WhatsApp tem direito a indenização. Saiba como!
• Novo golpe Chip Swap e WhatsApp clone contra Vendedores do MercadoLivre: Cuidados e como se proteger

O post Entenda e defenda-se do Golpe de chip swap e a clonagem de WhatsApp apareceu primeiro em Tecnoveste.

A IBM publica anualmente pesquisa em parceria com o Instituto Ponemon sobre o panorama da cibersegurança nas empresas brasileiras para proteção dos dados pessoais desde a sua coleta até o seu descarte. Em 2017 o estudo concluiu que as empresas brasileiras perdem mais R$ 4,7 milhões com vazamento de dados, principalmente por ataques maliciosos. No estudo de 2018 a IBM e o Instituto Ponemon identificou que os gastos com os vazamentos de dados caíram, mas o Brasil ainda é o país mais propenso a ataques cibernéticos e que o custo médio de uma violação de dados global é de US$ 3,86 milhões. Já em 2019 o estudo apontou que o custo médio de um ataque cibernético é de US$ 3,92 milhões.

As consequências financeiras de uma violação de dados podem ser maiores para pequenas e médias empresas. No estudo, organizações com menos de 500 funcionários sofreram perdas de mais de US$ 2,5 milhões em média – um montante potencialmente devastador, pois o faturamento destas está em torno de US$ 50 milhões ou menos em receita anual. (IBM COMUNICA, 2019)

Os últimos dois estudos da publicados pela IBM demonstram que cerca de 96% os brasileiros não confiam que as empresas fazem a proteção de seus dados pessoais corretamente e que 77% das organizações a nível mundial não possuem um plano de resposta aos incidentes com vazamento de dados.

Semanalmente temos visto na imprensa notícias sobre vazamento de dados pessoais envolvendo empresas dos mais variados setores da economia e com multas que ultrapassam os R$ 200 milhões: serviços (Uber), TIC (Vivo, Claro, Google e Facebook), financeiro (Banco Inter e Banco Ban), saúde (Unimed) e até órgãos públicos como foi o caso do DETRAN-RN.

Ter uma boa governança de TI trabalhando em conjunto com uma assessoria jurídica poderá minimizar os riscos de um ataque cibernético e o valor das multas. Isenção total delas não é possível primeiro porque qualquer equipamento conectado à internet é passível de ataque e segundo porque as legislações aplicáveis preveem a responsabilidade solidária pelos danos causados às vítimas que, em sua grande maioria, passa da casa das centenas de milhões.

É importante que as empresas estejam atentas às legislações que estão em vigor atualmente e não ater-se exclusivamente à Lei Geral de Proteção de Dados que entrará em vigor em agosto de 2020. Como dissemos no início do texto, a GDPR, o MCI e o CDC poderão ser aplicados às empresas de acordo com o caso concreto.

O CDC prevê detenções que podem chegar a 1 ano ou o pagamento de multa e, dependendo da gravidade, a proibição do exercício das atividades. O MCI prevê como sanções multa de até 10% do faturamento anual do exercício anterior, a suspensão temporária e a proibição das atividades da empresa. A GDPR prevê a aplicação de multa de até 20 milhões EUR ou de até 4% sobre o faturamento anual do exercício anterior, bem como as sanções previstas na legislação do Estado-Membro onde ocorreu o vazamento.

O post Os riscos pela falta de um compliance digital apareceu primeiro em Tecnoveste.