Como funciona a LGPD?

[av_slideshow_full size=’entry_without_sidebar’ min_height=’0px’ stretch=” animation=’slide’ autoplay=’false’ interval=’5′ control_layout=’av-control-default’ src=” attachment=” attachment_size=” position=’top left’ repeat=’no-repeat’ attach=’scroll’]
[av_slide_full slide_type=’image’ id=’10059′ video=” mobile_image=” video_format=” video_ratio=” title=” custom_title_size=” custom_content_size=” caption_pos=’caption_right caption_right_framed caption_framed’ link_apply=” link=’lightbox’ link_target=” button_label=” button_color=’light’ link1=’manually,http://’ link_target1=” button_label2=” button_color2=’light’ link2=’manually,http://’ link_target2=” font_color=” custom_title=” custom_content=” overlay_opacity=’0.1′ overlay_color=” overlay_pattern=” overlay_custom_pattern=”][/av_slide_full]

[/av_slideshow_full]

[av_textblock size=” font_color=” color=”]

Como funciona a LGPD

Imagina se a equipe de campanha de algum candidato tivesse acesso a seus dados pessoais como nome, e-mail, local onde você mora, gostos e hábitos na internet, isso tudo sem você saber. Se essa equipe também obtivesse esses mesmo dados dos seus amigos, você ficaria confortável com essa situação?

O caso hipotético acima realmente aconteceu e ficou conhecido como o caso da Cambridge Analytica. O escândalo foi tão impactante que impulsionou a aprovação da Lei de Proteção de Dados Pessoais, ou como é mais conhecida, Lei Geral de Proteção de Dados (LGPD) aqui no Brasil.

A intenção da lei é garantir ao usuário mais privacidade e controle sobre seus dados, afim de evitar mal-uso pela parte de terceiros. A lei também serve para esclarecer quando uma empresa pode tratar um dado pessoal, ou seja, quando ela pode armazenar, processar e transferir esses dados.

O caso da Cambridge Analytica explicita a importância de ter uma lei que regularize o tratamento de dados pessoais e abre oportunidade para discutir como funciona a LGPD.

Origens da LGPD

Caso Cambridge Analytica

Um teste psicológico elaborado por Aleksandr Kogan, professor de Cambridge, e produzido pela Global Science Research foi o responsável por coletar dados pessoais de milhões de pessoas que fizeram o teste e de seus amigos na rede social, Facebook.

O esquema da coleta de dados aconteceu devido a uma brecha nos termos e condições do Facebook que dizia que nenhum dado coletado pela rede social poderia ser vendido, porém, não aplicava a mesma restrição à aplicativos que usavam a rede social, como era o caso desse teste psicológico.

Portanto, quando um usuário do Facebook fazia o teste ele entregava para a Global Science Research seus dados e dados de seus amigos na rede social, como nome, e-mail, local de moradia, gostos e hábitos na internet.

A empresa, aproveitando a brecha da rede social, vendia esses dados para a Cambridge Analytica, empresa que fazia análise de dados e que era contratada pela campanha presidencial de Donald Trump e pelo grupo que promovia a saída do Reino Unido da União Europeia (Brexit).

Em posse desses dados, a Cambridge Analytica analisava o perfil do eleitor e com base nisso direcionava propaganda a favor do movimento político que tivesse contratado seus serviços. É verdade que o usuário teria consentido para que seus dados fossem tratados dessa forma, porém, o consentimento vinha quase que escondido nos termos e condições do teste.

A aprovação da LGPD foi impulsionada por esse escândalo, não só porque a Cambridge Analytica planejava atuar nas eleições do Brasil deste ano, mas também foi exposta a necessidade de ter uma lei que regulasse o tratamento de dados pessoais.

No entanto, a General Data Protection Regulation (GDPR), norma que regula o tratamento de dados nos países da União Europeia, entrou em vigor logo em seguida a esse caso e a partir dela foi tirado os princípios básicos pelos quais se baseia a LGPD.

A Aprovação da GDPR

Diversos países da União Europeia já tinham leis próprias que regulavam o tratamento de dados pessoais, porém, a UE sentiu a necessidade de implementar uma norma que unificasse essas leis e que estabelecesse princípios básicos para o tratamento de dados.

Assim nasceu a GDPR. A norma tem o intuito de dar ao usuário mais controle sobre seus dados, permitindo com que esse tenha acesso a forma como empresas fazem o tratamento de dados pessoais e quais dados elas estão armazenando.

A norma também tem aplicação extraterritorial, isso quer dizer que a lei não se aplica apenas em território europeu, toda empresa que armazenar e/ou processar dados de cidadãos da UE deve atender essa regulação.

Essa medida provoca uma espécie de efeito dominó, ou seja, empresas que aderem à essas normas vão acabar exigindo que empresas parceiras façam o mesmo para evitar qualquer tipo de conflito.

Essas bases ajudam a explicar como funciona a LGPD. A lei brasileira também busca garantir o controle do usuário sobre seus próprios dados e tem aplicação extraterritorial.

LGPD e a proteção de dados pessoais

Antes de entrar nos detalhes da norma e seus requisitos é necessário entender que a LGPD define como dado pessoal qualquer informação relacionada a pessoa natural identificada ou identificável, ou seja, qualquer dado pelo qual você consiga identificar uma pessoa ou que com a união de outro dado possibilite essa identificação.

Dado Pessoal

É importante saber disso porque a LGPD não trata de dados soltos sobre preferências políticas, sexuais, filosóficas, dados relacionados a etnia e de caráter religioso a não ser que esses possam ser usados para identificar alguém. Esses dados são classificados como dados pessoais sensíveis.

Bases para tratamento de dados pessoais

Como já foi dito, a LGPD regulariza o tratamento de dados pessoais e esclarece para empresas quando essas podem tratar os dados. Dessa forma, são estabelecidas justificativas que dão direito à uma empresa tratar dados. Tais justificativas são parte integral de como funciona a LGPD pois, através delas, se delimita a linha entre o tratamento legal e ilegal de dados, evitando que entidades possam usar brechas para manipular dados pessoais.

Algumas dessas justificativas para tratamento de dados devem ser destacadas como o consentimento. A LGPD determina que, se uma empresa quer usar o consentimento do usuário como justificativa para tratar dados pessoais, o consentimento dado pelo usuário deve ser inequívoco.

Portanto, a cláusula para consentimento não deve vir entrelinhas de termos e condições intermináveis, tem que estar claro para o usuário que ele está deixando certos dados dele serem tratados por terceiros. Dessa forma, é assegurado mais controle ao usuário.

Outra justificativa para tratamento que deve ser ressaltada é a para proteção de crédito. Antes da lei, instituições financeiras trabalhavam com um sistema opt-out para tratar dados de clientes. No sistema opt-out, o cliente de um banco, por exemplo, já tem seus dados financeiros comunicados entre bancos sem ele pedir.

Com a LGPD, o sistema muda para opt-in, nesse caso, o cliente tem que dar permissão para que seus dados sejam comunicados entre bancos, novamente, a lei garante privacidade e controle ao usuário.

Outra base para tratar dados é aquela de interesse legítimo. Essa diz que o tratamento de dados pode ser feito se houver interesse legítimo de um responsável ou terceiro. Tal justificativa causa ambiguidade na lei porque, não se sabe ao certo o que seria considerado como interesse legítimo.

Direitos do usuário

Como foi visto, a lei se preocupa em garantir a privacidade e o controle de dados pessoais pelo usuário. Dessa forma, a lei estabelece direitos do usuário, que é uma parte vital de como funciona a LGPD.

Todos os direitos do usuário estabelecidos pela LGPD são voltados justamente para essa garantia de controle de dados pessoais pelos próprios usuários, porém, alguns chamam atenção.

O direito ao esquecimento dá a oportunidade ao usuário de controlar a maneira como é exposto na internet. Se algum conteúdo que o envolve está sendo colocados em sites e o usuário quiser retirá-lo, ele tem o direito de exigir a remoção desse conteúdo.

O direito ao acesso também é importante porque deixa o usuário sabendo quais conteúdos alguma empresa está armazenando sobre ele. Esse direito aliado ao direito da informação, que deixa o usuário saber como seus dados estão sendo tratados, dá controle ao usuário a partir do momento que ele sabe quais dados estão armazenados e como eles estão sendo expostos.

Os direitos estipulados pela LGPD dificultam casos como o da Cambridge Analytica, que se utilizava de brechas e de desconhecimento dos usuários para manipular dados pessoais a seu favor. Com a lei, o usuário tem a oportunidade de assumir comando de seus dados e escolher como e para quem os dados serão expostos.

Efeito Dominó da LGPD

Seguindo o modelo da GDPR, a Lei Geral de Proteção de Dados também tem aplicação extraterritorial, de forma que toda empresa que tratar dados de cidadãos brasileiros ou de estrangeiros que residem no Brasil, mesmo não tendo sede ou filial no Brasil, tem que se regularizar conforme a lei brasileira.

Todos os processos que exigem tratamento de dados pessoais devem estar em regularidade com a lei. Para evitar multas e paralisação de suas atividades no Brasil, empresas vão procurar se regularizar e exigir que empresas parceiras se regularizem.

Por esta razão é dito que a LGPD tem um “efeito dominó”, empresas precisam que todas as etapas de seu processo estejam conforme a lei, inclusive etapas onde lidam com empresas parceiras.

Penalidade pelo descumprimento da lei

As penalidades pelo descumprimento da LGPD podem envolver proibição total ou parcial de atividades relacionadas a tratamento de dados. No entanto, a não conformidade com a lei também pode trazer sérios prejuízos financeiros à empresa em forma de multas.

Essas multas podem corresponder até 2% do faturamento da empresa ou conglomerado limitado até R$ 50 milhões por infração cometida. Uma infração pode ser interpretada, no caso de um vazamento de dados, como cada dado pessoal vazado.

Isso significa que mesmo se milhares de dados foram vazados de uma empresa, cada dado pode custar até R$ 50 milhões em multa. Ainda há possibilidade de multas diárias para compelir a entidade a cessar as violações.

As multas severas são necessárias para que a empresa entre em conformidade com a lei. Se não houver punições desse tipo, há o risco de a lei cair em desuso caso entidades não queiram se regularizar.

Entretanto, algumas partes da lei são ambíguas e podem resultar em interpretações que podem custar muito a uma empresa. Por isso, há necessidade de haver um órgão que regule e clarifique essa lei para organizações. Havia um órgão previsto na lei para fazer esse trabalho, mas no momento da aprovação da LGPD ele foi vetado.

O veto à ANPD

A Agência Nacional de Proteção de Dados (ANPD) servia para uniformizar a lei, daria sinais para empresas de como certas bases legais deveriam ser interpretadas e fiscalizaria a aplicação correta da lei. Sem a agência as empresas acabam sofrendo uma incerteza na hora de desenvolver mecanismos para ficarem conforme com a LGPD.

A confusão de certas bases legais pode gerar custos desnecessários para organizações. Um bom exemplo é uma das justificativas que dá direito ao tratamento de dados, a que dita que os dados podem ser tratados se houver legítimo interesse do responsável do usuário ou de terceiros. Não há um discernimento óbvio sobre o que seria legítimo interesse ou não, a ANPD serviria para fazer tal distinção. Sem a agência, não fica claro como empresas devem interpretar essa base da lei e correm o risco de serem severamente punidas.

Por enquanto, fica a cargo dos mais de 16 mil juízes interpretar o que é coerente de acordo com a LGPD. Pode demorar anos até que casos envolvendo a lei cheguem a instâncias superiores que definirão como algum artigo deve ser interpretado.

Conclusão

A LGPD é um grande avanço no cenário de segurança de dados pessoais no Brasil, visto que é a primeira lei no Brasil a lidar com o assunto. A lei realmente assegura ao usuário o controle de seus dados pessoais e proporciona a ele mais privacidade, através de normas claras que ditam como devem ser tratados os dados pessoais e quais são os direitos do usuário.

Apesar de algumas partes da lei ainda serem um pouco ambíguas e precisarem de amadurecimento, a LGPD dá diretrizes para lidar com o tratamento de dados, removendo várias incertezas que se tinha sobre o campo anteriormente.

Fica, portanto, um desafio: adaptar serviços e produtos para que fiquem conforme a LGPD, visto que, até 2020, quem quiser fazer negócio no Brasil vai ter que ter sua política de tratamento de dados pessoais regularizada. Para isso, empresas de cibersegurança podem prestar serviços de consultoria para ajudar empresas e outras entidades entrarem em conformidade com a lei, evitando qualquer tipo de prejuízo que pode surgir se a lei não for observada.
[/av_textblock]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

[/av_textblock]

[av_postslider link=’post_tag,162′ columns=’3′ items=’9′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_icon_box position=’top’ boxed=” icon=’ue8d2′ font=’entypo-fontello’ title=’PRODUÇÃO DE CONTEÚDO’ link=’manually,http://www.proof.com.br/material-rico/’ linktarget=” linkelement=’both’ font_color=” custom_title=” custom_content=” color=’custom’ custom_bg=’#1f211f’ custom_font=” custom_border=”]

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

[/av_icon_box]

[av_one_fifth first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_three_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/THREAT-ANATOMY-REPORT.png’ attachment=’8902′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=’_blank’ caption=” font_size=” appearance=’on-hover’ overlay_opacity=’0.7′ overlay_color=’#1f211f’ overlay_text_color=’#ffffff’ animation=’no-animation’]
WANNACRY THREAT ANATOMY REPORT
[/av_image]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_button_big label=’BAIXE O THREAT ANATOMY REPORT’ description_pos=’below’ link=’manually,https://d335luupugsy2.cloudfront.net/cms/files/9568/1507148257WannaCry_Threat-Reportd.pdf’ link_target=” icon_select=’yes-left-icon’ icon_hover=’aviaTBicon_hover’ icon=’uf130′ font=’flaticon’ custom_font=’#e7e6e6′ color=’custom’ custom_bg=’#1f211f’ color_hover=’custom’ custom_bg_hover=’#fc9a1a’][/av_button_big]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_three_fifth]

[av_one_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Buyers-Guide-MSSP_vCapa-01.png’ attachment=’7013′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/buyers-guide-mssp’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

BUYER’S GUIDE

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’https://www.proof.com.br/wp-content/uploads/2015/06/O-PAPEL-DO-CIO-E-DO-CISO-NO-NOVO-CENÁRIO.jpg’ attachment=’6366′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK CIO E CISOs

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/PSAP-Interno_2.2_Eng-Social_Ebook_basec365-1.png’ attachment=’9821′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK ENGENHARIA SOCIAL

[/av_textblock]
[/av_one_third]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_social_share title=” style=” buttons=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_comments_list]

O perigo das Fake News

[av_slideshow_full size=’entry_without_sidebar’ min_height=’0px’ stretch=” animation=’slide’ autoplay=’false’ interval=’5′ control_layout=’av-control-default’ src=” attachment=” attachment_size=” position=’top left’ repeat=’no-repeat’ attach=’scroll’]
[av_slide_full slide_type=’image’ id=’10002′ video=’http://’ mobile_image=” video_format=” video_ratio=’16:9′ title=” custom_title_size=” custom_content_size=” caption_pos=’caption_bottom’ link_apply=” link=’lightbox’ link_target=” button_label=’Click me’ button_color=’light’ link1=’manually,http://’ link_target1=” button_label2=’Click me’ button_color2=’light’ link2=’manually,http://’ link_target2=” font_color=” custom_title=” custom_content=” overlay_opacity=’0.5′ overlay_color=” overlay_pattern=” overlay_custom_pattern=”][/av_slide_full]

[/av_slideshow_full]

[av_textblock size=” font_color=” color=”]

O que são as Fake News?

Com o avanço da tecnologia, hoje temos todo o tipo de informação na palma da mão. Através de dispositivos móveis e computadores, acessamos notícias, redes sociais, endereços e muito mais, de qualquer lugar. Temos acesso a qualquer informação que desejarmos com apenas alguns cliques. Segundo o We Are Social e o Hootsuite, já existem mais de 4 bilhões de pessoas utilizando a Internet.

Parece muito fácil e prático, certo? Mais ou menos. Como tudo que evolui muito rapidamente, a tecnologia ainda não consegue impedir alguns problemas causados por essa disseminação de informações. Um deles é o problema das notícias falsas, mais conhecidas como “fake news”.

Quando pensamos em fake news, normalmente relacionamos com algo parecido com boatos ou fofocas. Mas não é bem assim. As fake news são um conteúdo deliberadamente falso, que se passa por uma notícia verdadeira e é distribuído em rede social com o intuito de gerar benefício, seja ele econômico, político ou social para algum grupo – desde pessoas envolvidas em grupos políticos até grupos de cibercriminosos.

Incidentes como compartilhamento de fake news são difíceis de evitar pois não existe tecnologia que proteja as empresas e pessoas de serem vítimas das fake news.

Essas tecnologias impedem, na medida do possível, que algumas ameaças da Internet cheguem até as pessoas. Porém elas não são feitas para conscientizar o usuário sobre o perigo que ele corre.

Somos o tempo todo inundados com informações das mais diversas fontes e isso dificultou o processo de identificar qual tipo de informação é confiável e qual é mentirosa. Segundo uma pesquisa da Universidade de São Paulo, o maior vetor de notícias falsas é o WhatsApp, e mais especificamente, em grupos de família.

O WhatsApp é visto como uma das redes mais propícias para a difusão de notícias falsas. Como é um aplicativo de mensagens privadas e não tem caráter público, é difícil rastrear as “fake news” espalhadas ali e avaliar seu alcance.

De acordo com cientistas de dados do MIT (Massachusetts Institute of Technology), os efeitos causados pelas fake news de política são mais virais do que qualquer outra categoria, mas elas também se aplicam a histórias sobre lendas urbanas, negócios, terrorismo, ciência, entretenimento e desastres naturais.

O aumento dos conteúdos fake afeta a sociedade inteira, tanto indivíduos como também os veículos, marcas e empresas que se comunicam com seus clientes e muitas vezes são alvos desse tipo de notícia. Nesse post, vamos falar também de como essas matérias falsas atingem pessoas físicas e jurídicas.

Cibercrime através das Fake News

O risco de compartilhar uma história sensacional não é tão óbvio – afinal, é apenas notícia, certo? Mas as notícias falsas são hospedadas em sites que, embora pareçam inofensivos para os visitantes, têm a capacidade de ocultar programas maliciosos (também conhecidos como malwares) à vista, ocultando códigos perigosos  em seu conteúdo.

Como isso funciona com as fake news? Simples! A notícia falsa é criada e compartilhada com uma imagem que contém código malicioso. A história pode então ser segmentada com base na plataforma social, nome de domínio e/ou região para alcançar um público-alvo suscetível que garanta a amplificação. Um usuário vê a história, clica para ler e compartilha, imediatamente se infectando no processo e espalhando ainda mais o conteúdo malicioso em suas redes sociais.

Sabe quando você entra em algum site de notícias ou em alguma rede social e vemos um anúncio que diz algo como “Emagreça 10kg em 2 dias!”? Pode ter certeza que se trata de um clickbait.

Clickbait, como o próprio nome sugere, significa “isca para cliques” e é um jeito mais rápido e fácil de aumentar acessos à determinada página. São manchetes que superestimam o conteúdo, despertando o interesse e curiosidade. Ao longo da publicação, poderiam ser encontrados apenas informações superficiais, sem nenhum embasamento científico.

Os clickbaits também facilitaram o cibercrime.  Às vezes, os anúncios são deliberadamente configurados para infectar seu dispositivo com softwares maliciosos. Através desses softwares, os cibercriminosos encontraram maneiras de sequestrar dados e informações em anúncios para entregar links maliciosos.

Há alguns tipos de crimes cibernéticos através das fake news que envolvem desde roubo de informações pessoais para fraudes financeiras até um cibercriminoso tentando te enganar, vendendo produtos e ofertas falsas, a variedade de fraudes é extensa.

Por que continuamos caindo nelas?

Normalmente, as fake news se fazem de assuntos que estão em destaque no momento. É fácil conseguir cliques se tem algum assunto “quente” rolando, ainda mais se é algo que as pessoas estão buscando ler.

Atualmente, as redes sociais possuem uma coisa chamada algoritmo. Os algoritmos calculam por meio de volume de curtidas, compartilhamentos e buscas as postagens e materiais que são de seu interesse.

Se você acessa com certa frequência o site de uma loja que você gosta, é provável que os anúncios exibidos para você nas redes sociais sejam dessa mesma loja ou de produtos bem parecidos.

Além disso, eles também analisam cliques e tempo de visualização. Ou seja, quanto mais um conteúdo é visto, curtido e compartilhado, maior é sua repercussão para outras pessoas que tem interesses/pensamentos parecidos. Através desse algoritmo, as redes sociais conseguem traçar um perfil do usuário e saber o que o mesmo está buscando.

Isso tudo acontece por conta do intuito de oferecer uma experiência mais agradável e incentivar que se continue usando determinada rede social ou buscador, o que pode ser positivo do ponto de vista de possibilitar o oferecimento de resultados “relevantes” para o usuário.

Entretanto, o uso dos algoritmos contribui para um isolamento intelectual completo: além de não descobrir novos assuntos ou áreas de interesse, o usuário não se defronta com formas diferentes de pensar os mesmos assuntos.

Somado a isso, temos um processo que ocorre pela predisposição psicológica do ser humano de buscar corroborar, reforçar crenças e opiniões já existentes.

O que acontece também é a resistência a situações ou informações que vão contra pensamentos enraizados, principalmente quando associados a reações emocionais: por exemplo, se você é a favor do presidenciável X e vê uma notícia que fala mal de outros candidatos, existe a predisposição de você automaticamente compartilhar aquilo em suas redes sociais para exemplificar e justificar o porquê de você ser a favor do candidato X.

Ninguém está imune a isso, nem mesmo pessoas de alto nível de instrução e grande capacidade de interpretação de dados numéricos, principalmente quando se trata de política.

Consequências

Por mais que pareça óbvio, as fake news tem consequências que não imaginamos.

Aqui vão algumas delas:

– Falsas acusações

Em 2016, no período perto das eleições americanas, foi divulgada uma notícia alegando que Hillary Clinton fazia parte de um círculo de tráfico de crianças que ficava dentro de uma pizzaria.

Por causa disso, um atirador carregando um fuzil entrou nessa loja de pizzas em Washington,  Comet Ping Pong. Ele supostamente queria “auto-investigar” o relatório sobre Clinton. Felizmente ninguém foi ferido ou morto.

Nesse caso, estamos falando do que citamos anteriormente sobre o pensamento confirmatório que temos hoje em dia.

Em condições normais, esse atirador provavelmente não teria acreditado em um esquema de tráfico de crianças dentro de uma pizzaria envolvendo Hillary Clinton.

– Influência política

Em 2016, tivemos as eleições americanas e os EUA foram alvos do mundo das fake news. O compartilhamento de fake news e de textos extremistas, sensacionalistas, conspiratórios e de opinião disfarçados de notícias jornalísticas ganhou força frente a reportagens escritas por profissionais.

Um levantamento do Projeto de Propaganda Computacional da Universidade de Oxford analisou os compartilhamentos feitos por usuários do Twitter no estado de Michigan durante o período eleitoral.

Os pesquisadores descobriram que 46,5% de todo o conteúdo apresentado sobre política era composto por notícias falsas, documentos não verificados do WikiLeaks e matérias de origem russa.

Recentemente, descobriu-se que 126 milhões de internautas dos EUA no Facebook foram expostos ao conteúdo produzido na Rússia sobre a eleição americana.

Já no Brasil, segundo uma pesquisa do Ibope de 2018, 85% dos eleitores acreditam que as fake news podem sim influenciar no cenário político.

Em março de 2018, após seu assassinato no Rio de Janeiro, a vereadora Marielle Franco foi vítima de fake news divulgadas em redes sociais, compartilhadas até mesmo por autoridades.

Marielle foi acusada de envolvimento com tráfico de entorpecentes por meio de áudios e fotografias forjados, os quais alegavam que ela teria sido eleita com dinheiro de facções criminosas e que teria um filho com um traficante. Tudo falso. 

O mais assustador é que,  Segundo o Gpopai, em 2017, 12 milhões de pessoas compartilharam fake news relacionadas à política.

– Bullying/ameaças

Imagina que alguém mal-intencionado invente uma notícia falsa dizendo que uma atriz hollywoodiana ofendeu alguém. Provavelmente aconteceria uma comoção coletiva em defesa da suposta vítima.

Pode ter certeza que os internautas iriam atrás da dita atriz em suas redes sociais para “atacá-la de volta”. Só que se for uma fake news, ela estaria sendo acusada de algo que não cometeu.

Foi o que aconteceu com a atriz americana Whoppi Goldberg em 2017. Um blog de origem na Costa Rica escreveu uma matéria dizendo que a atriz debochou da americana Carryn Owens, mulher de um ex-soldado da marinha. Carryn apareceu no Congresso ao lado de Donald Trump para ser homenageada no lugar de seu falecido marido. Na matéria falsa, Whoppi foi acusada de ter falado que a viúva estava lá apenas para “ter seus 15 minutos de fama”.

A postagem falsa desse blog espalhou-se rapidamente e Whoppi sofreu ameaças à sua vida, e sua família também. Acontece que tudo não passava de uma mentira. Viu como fake news não é algo trivial?

Marcas x Fake News

Apesar de ser impossível controlar todas as notícias que são divulgadas diariamente, cada vez mais está sendo cobrado que canais de comunicação online, como Facebook, Google, Youtube, Twitter e WhatsApp, tomem atitudes efetivas que diminuam a prática de fake news.

O Google, por exemplo, disponibilizou a aba “Notícias” na sua plataforma, para que as publicações sejam avaliadas como verdadeiras ou falsas por meio de suas tecnologias.

Além disso, no Brasil, foi desenvolvido o selo de checagem de fatos, que aparece ao lado das notícias que têm seus conteúdos analisados.

Já o WhatsApp, sendo o maior vetor de fake news, irá atuar em três frentes para garantir a integridade das eleições e a segurança dos usuários, de acordo com a Examecom o reforço de autoridades, o uso da inteligência artificial para evitar abusos e a formação de parcerias com serviços de checagem de notícias.

A plataforma, em uma de suas últimas atualizações, agora mostra se a mensagem que foi enviada é encaminhada de algum outro chat de conversa. Assim fica mais fácil saber que a informação vinda de terceiros pode não ser verdade.

 No Facebook, os candidatos deverão enviar seus documentos de identificação à plataforma, além de se comprometerem com duas políticas antifraude, como autenticação de dois fatores (como entrar na rede social através do uso de uma senha e de mais us dispositivo de verificação) e todas as publicações impulsionadas por políticos serão etiquetadas como “propaganda eleitoral”, seguindo as regras do Tribunal Superior Eleitoral (TSE).

Além disso, os eleitores poderão verificar quais anúncios estão ativos na plataforma por meio da Biblioteca de Anúncios, nova funcionalidade que reúne todas as notícias e propagandas políticas que estão sendo veiculadas na plataforma.

Por fim, o Twitter também irá verificar contas de candidatos e partidos, evitando que perfis falsos divulguem informações mentirosas.

Estão sendo realizadas também auditorias em contas já existentes e a expansão de análise para procurar perfis mal-intencionados.

Desde então, a média de denúncias de spam recebidas pela rede social diminuiu aproximadamente 25 mil por dia em março para cerca de 17 mil por dia em maio, e o número de contas contestadas subiu de 3,2 milhões em setembro de 2017 para 10 milhões em maio de 2018.

Além disso, é uma das únicas redes sociais que não irá veicular anúncios eleitorais, mas irá realizar sessões de perguntas e respostas com os candidatos, que serão transmitidas ao vivo em outros veículos.

Como não cair nas Fake News?

Nos dias de hoje, somos todos influenciadores nos meios de convivência. Então, você deve estar se perguntando: o que posso fazer para impedir a disseminação de fake news?

Seja consciente. Notícias falsas se espalham porque as pessoas naturalmente querem compartilhar informações com suas redes sociais.

Antes de compartilhar um link, sempre reserve um tempo para revisá-lo – muitas vezes esse link será semelhante ao site real, mas com pequenas diferenças.

Veja se a pessoa que escreveu o artigo ou publicação realmente tem propriedade para falar daquilo ou até se a pessoa realmente existe.

Verifique se a notícia não possui tom alarmante. Normalmente, quem cria essas páginas quer que você realmente acesse e compartilhe, então serão utilizados termos de indução psicológica, com tom de urgência como “Atenção!” ou “Cuidado!”

Uma forma de atiçar a nossa curiosidade para clicar em links falsos é através de mensagens com tom de urgência, por exemplo: “Atenção! Político X é preso em São Paulo!”

Verifique a data da publicação. Nem todas as manchetes são necessariamente falsas. Algumas notícias do passado podem funcionar como fake news por descontextualizar um fato que aconteceu há anos e que pode já ter mudado.

Compartilhe com responsabilidade. Por mais que isso possa parecer um pouco chato, você é um influenciador dentro de sua própria rede social. Isso não significa que você não vai mais poder compartilhar as coisas, calma!

Eleve seu pensamento crítico um nível acima. Saia do lugar comum.

Publique ou compartilhe histórias que você sabe que são verdadeiras, de fontes que você sabe que são responsáveis.

Você pode ajudar a moldar a mídia que você quer também. Pague pelo jornalismo que você valoriza.

E se você tiver amigos no Facebook que acham que as histórias fake são reais, converse a com eles ou mande esse material.

Ah, e não esqueça de avisar para aquele seu tio que manda várias correntes no grupo da família 😉

Amigos não permitem que amigos compartilhem notícias falsas.
[/av_textblock]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

[/av_textblock]

[av_postslider link=’post_tag,162′ columns=’3′ items=’9′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_icon_box position=’top’ boxed=” icon=’ue8d2′ font=’entypo-fontello’ title=’PRODUÇÃO DE CONTEÚDO’ link=’manually,http://www.proof.com.br/material-rico/’ linktarget=” linkelement=’both’ font_color=” custom_title=” custom_content=” color=’custom’ custom_bg=’#1f211f’ custom_font=” custom_border=”]

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

[/av_icon_box]

[av_one_fifth first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_three_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/THREAT-ANATOMY-REPORT.png’ attachment=’8902′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=’_blank’ caption=” font_size=” appearance=’on-hover’ overlay_opacity=’0.7′ overlay_color=’#1f211f’ overlay_text_color=’#ffffff’ animation=’no-animation’]
WANNACRY THREAT ANATOMY REPORT
[/av_image]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_button_big label=’BAIXE O THREAT ANATOMY REPORT’ description_pos=’below’ link=’manually,https://d335luupugsy2.cloudfront.net/cms/files/9568/1507148257WannaCry_Threat-Reportd.pdf’ link_target=” icon_select=’yes-left-icon’ icon_hover=’aviaTBicon_hover’ icon=’uf130′ font=’flaticon’ custom_font=’#e7e6e6′ color=’custom’ custom_bg=’#1f211f’ color_hover=’custom’ custom_bg_hover=’#fc9a1a’][/av_button_big]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_three_fifth]

[av_one_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/ransomware-saber.png’ attachment=’7032′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

INFOGRÁFICO RANSOMWARE

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Buyers-Guide-MSSP_vCapa-01.png’ attachment=’7013′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/buyers-guide-mssp’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

BUYER’S GUIDE

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Tudo-que-você-precisa-saber-sobre-ransomware-MAT-RICO.jpg’ attachment=’6450′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK RANSOMWARE

[/av_textblock]
[/av_one_third]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_social_share title=” style=” buttons=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_comments_list]

GDPR: Uma análise de contexto

[av_slideshow_full size=’entry_without_sidebar’ min_height=’0px’ stretch=” animation=’slide’ autoplay=’false’ interval=’5′ control_layout=’av-control-default’ src=” attachment=” attachment_size=” position=’top left’ repeat=’no-repeat’ attach=’scroll’]
[av_slide_full slide_type=’image’ id=’9777′ video=’http://’ mobile_image=” video_format=” video_ratio=’16:9′ title=” custom_title_size=” custom_content_size=” caption_pos=’caption_bottom’ link_apply=” link=’lightbox’ link_target=” button_label=’Click me’ button_color=’light’ link1=’manually,http://’ link_target1=” button_label2=’Click me’ button_color2=’light’ link2=’manually,http://’ link_target2=” font_color=” custom_title=” custom_content=” overlay_opacity=’0.5′ overlay_color=” overlay_pattern=” overlay_custom_pattern=”][/av_slide_full]
[/av_slideshow_full]

[av_textblock size=” font_color=’custom’ color=’#0a0a0a’]

GDPR: Uma análise de contexto

“As políticas de privacidade foram atualizadas”

O primeiro semestre de 2018 foi marcado por caixas de e-mail lotadas de mensagens com a mesma linha de assunto: “Atualizamos nossas Políticas de Privacidade”. A comoção foi tanta, que a maior parte das pessoas notou essa enxurrada de comunicações em torno do mesmo assunto – ao ponto de perderem a paciência.

Os mais bem-humorados fizeram piada sobre como parecia impossível se livrar do tema.

política de privacidade

Tweet de Marques Brownlee, o MKBHD, em tradução livre: “Encontra ilha deserta / uma mensagem em uma garrafa chega à praia trazida pela maré / *abre a garrafa* / Nós atualizamos nossa Política de Privacidade”

Mesmo assim, a maior parte dos usuários desconhecia o motivo por trás dessa avalanche de mensagens: todas as empresas que lidam com dados de usuários europeus estavam rapidamente adaptando suas políticas por conta de uma nova regulação europeia, a Global Data Protection Regulation, ou GDPR.

O que é a GDPR?

A GDPR, ou, em português, a Regulação Geral de Proteção de Dados é uma nova norma adotada pela União Europeia e que entrou em vigor em 25 de maio de 2018 após o escândalo de uso indevido de dados envolvendo o Facebook e a Cambridge Analytica. As implicações deste incidente ultrapassam as consequências já muito graves para o usuário no caso de um vazamento de dados, já que teve influência no processo democrático das eleições de 2016 nos Estados Unidos.

Considerando o imenso volume de dados que produzimos todos os dias, é de extrema importância que sua segurança e manipulação sejam reguladas, já que muitas vezes sequer temos noção da quantidade e natureza desses dados.

Nesta linha, o objetivo principal da GDPR é a proteção da privacidade dos dados pessoais de cidadãos europeus, evitando o vazamento de informações.

As consequências associadas a um vazamento de dados são inúmeras. Para usuários finais que têm seus dados vazados, pode ocorrer prejuízo financeiro, como uso de dados pessoais e de cartão de crédito para realização de compras indevidas; ou mesmo uso das informações para roubo de identidade, em casos nos quais o cibercriminoso usa os dados das vítimas para criar contas falsas e bots, ou até para tomar empréstimos fradulentos.

Contudo, estas não são as únicas possíveis consequências para um indivíduo derivadas de um vazamento de dados. Na verdade, há outras de natureza ainda mais complexas e mais graves, envolvendo a própria liberdade de exercício da cidadania plena.

É por isso que, ao tratar de autoridades responsáveis pelo monitoramento e aplicação da norma, a GDPR ressalta que tem o intuito proteger “os direitos e liberdades fundamentais das pessoas naturais em relação ao processamento de dados”.

Você já se perguntou o porquê?

A resposta curta para essa pergunta é o que viemos falando: a preocupação pública com a privacidade. Em geral, a Europa tem regras mais rigorosas sobre como as empresas usam os dados pessoais de seus cidadãos. A GDPR substitui a Diretiva de Proteção de Dados da UE, que entrou em vigor em 1995.

Isso foi bem antes de a Internet se tornar o centro de negócios on-line que é hoje. Consequentemente, a diretiva estava desatualizada e não abordava muitas maneiras pelas quais os dados são armazenados, coletados e transferidos hoje.

A preocupação pública com a privacidade cresce a cada grande caso de vazamento de dados. De acordo com o RSA Data Privacy & Security Report, para o qual a RSA entrevistou 7.500 consumidores na França, Alemanha, Itália, Reino Unido e EUA, 80% dos consumidores disseram que os dados bancários e financeiros perdidos são uma das principais preocupações. Informações de segurança perdidas (por exemplo, senhas) e informações de identidade (por exemplo, passaportes ou carteira de motorista) foram citadas como uma preocupação de 76% dos entrevistados.

Uma estatística alarmante para empresas que lidam com dados de consumidores é que 62% dos entrevistados afirmaram que culpariam a empresa por seus dados perdidos no caso de uma violação, e não o hacker.

Os autores do relatório concluíram que, “à medida que os consumidores se tornam mais informados, eles esperam mais transparência e capacidade de resposta dos administradores de seus dados”.

A falta de confiança em como as empresas tratam suas informações pessoais levou alguns consumidores a tomar suas próprias medidas defensivas. De acordo com o relatório, 41% dos entrevistados disseram que falsificam dados intencionalmente quando se inscrevem para serviços online. Entre suas principais preocupações estavam a segurança, um desejo de evitar marketing indesejado e o risco de ter seus dados revendidos.

Um exemplo disso é o site https://www.10minutemail.com/ que oferece a criação de endereços de e-mail válidos, randômicos, mas que existem por apenas dez minutos. Muitas pessoas usam estes e-mails temporários para preencher formulários e logins em plataformas das quais não precisarão de contato futuramente, e nas quais não querem depositar seus dados.

O crescimento do cibercrime como fator intensificador

E esse cenário só tende a piorar: até 2021, o custo do cibercrime deve chegar a US$ 6 trilhões por ano – um valor 15 vezes maior do que o registrado em 2015, de US$ 400 bilhões. A previsão é da empresa de pesquisa em cibersegurança Cybersecurity Ventures, com sede nos Estados Unidos.

Os prejuízos incluem danos à integridade, confiabilidade ou disponibilidade de dados, roubo de dinheiro, perda de produtividade, roubo de propriedade intelectual e de dados pessoais e financeiros, fraudes, interrupção de processos de negócio, investigações forenses, restauração e deleção de dados e sistemas infectados, e danos à reputação.

Como vimos, o vazamento de informações como nome, documentos, endereço, conversa pessoal, dentre outros, pode ter consequências gravíssimas para um usuário. Cibercriminosos podem se aproveitar da situação e usar estes dados para criação de perfis falsos, roubo de identidade, chantagem e extorsão, difamação, discriminação, facilitação de ataques de engenharia social e spear phishing, e até para execução de ameaças de violência física, como sequestro e assalto a residências ou locais de trabalho.

Em 2011, a Playstation Network (PSN) da Sony teve dados de mais de 70 milhões de clientes vazados, incluindo mais de 10 milhões de informações de cartões de crédito. Enquanto a rede esteve for a do ar (por mais de um mês), estima-se que as perdas ultrapassem 170 milhões de dólares. Em 2014, a Sony concordou com um acordo preliminar em uma ação judicial coletiva para o pagamento de 15 milhões de dólares aos clientes afetados.

Outro exemplo emblemático foi o vazamento de informações de quase 150 milhões de clientes da Equifax, uma das maiores agências de monitoramento de crédito dos EUA. Dados como número de identidade, endereço, data de nascimento, e até número de carteira de motorista foram expostos.

O vazamento provavelmente começou em maio de 2017, e a empresa só descobriu em julho, tendo ido a público com a informação apenas em setembro do mesmo ano. Embora mais de 20 mil reclamações formais tenham sido submetidas contra a agência, até o presente momento ela não foi condenada.

Vale ressaltar que quanto mais tarde uma empresa informa o público do vazamento ocorrido, por mais tempo os dados vazados ficam expostos sem que sejam tomadas as devidas providências e precauções por parte dos indivíduos afetados, como alterar senhas e informar bancos e operadoras de crédito, por exemplo.

Esta questão é mais uma das que é abordada pela GDPR. De acordo com a nova norma, os usuários têm de ser informados assim que seja possível, considerando-se sempre a sensibilidade dos dados vazados e o perigo que o incidente representa. Em caso de descumprimento, as multas podem ser altíssimas.

Conclusão

Não podemos falar de proteção de dados, sem dar destaque para questões de privacidade. Este é, para alguns, o calcanhar de Aquiles da Internet enquanto ferramenta.

A informação e a comunicação são mais acessíveis, democráticas, e verdadeiramente horizontais do que jamais foram – e como idealizou-se que seriam com a internet. Contudo, questões sérias de privacidade são relevantes no contexto, e por conta disso, precisamos pensar segurança como também nunca havíamos antes.

Nas palavras da presidente e CEO da IBM, Ginni Rommety, “dados são o fenômeno do nosso tempo. É o novo recurso natural do mundo. É a base da vantagem competitiva, e está transformando todos as profissões e indústrias. Se tudo isso é verdade – e até inevitável –, então o cibercrime, por definição, é a maior ameaça a toda profissão, toda indústria e toda companhia no mundo.”

Como vimos, a GDPR é um bom passo na direção de um ambiente de fluxo de dados mais seguro e transparente, e tem o potencial de incentivar regulamentações semelhantes em outros lugares do mundo.

Além da sua inquestionável relevância atual e da urgência de sua edição para o contexto mundial, a GDPR pavimenta o caminho para um futuro mais seguro.
[/av_textblock]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

[/av_textblock]

[av_postslider link=’post_tag,162′ columns=’3′ items=’9′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_icon_box position=’top’ boxed=” icon=’ue8d2′ font=’entypo-fontello’ title=’PRODUÇÃO DE CONTEÚDO’ link=’manually,http://www.proof.com.br/material-rico/’ linktarget=” linkelement=’both’ font_color=” custom_title=” custom_content=” color=’custom’ custom_bg=’#1f211f’ custom_font=” custom_border=”]

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

[/av_icon_box]

[av_one_fifth first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_three_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/THREAT-ANATOMY-REPORT.png’ attachment=’8902′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=’_blank’ caption=” font_size=” appearance=’on-hover’ overlay_opacity=’0.7′ overlay_color=’#1f211f’ overlay_text_color=’#ffffff’ animation=’no-animation’]
WANNACRY THREAT ANATOMY REPORT
[/av_image]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_button_big label=’BAIXE O THREAT ANATOMY REPORT’ description_pos=’below’ link=’manually,https://d335luupugsy2.cloudfront.net/cms/files/9568/1507148257WannaCry_Threat-Reportd.pdf’ link_target=” icon_select=’yes-left-icon’ icon_hover=’aviaTBicon_hover’ icon=’uf130′ font=’flaticon’ custom_font=’#e7e6e6′ color=’custom’ custom_bg=’#1f211f’ color_hover=’custom’ custom_bg_hover=’#fc9a1a’][/av_button_big]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_three_fifth]

[av_one_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/cultura-300×209.png’ attachment=’9757′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

CULTURA DE SEGURANÇA DA INFORMAÇÃO

[/av_textblock]

[/av_one_third][av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/buyers_guide-300×211.png’ attachment=’9756′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/buyers-guide-mssp’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

BUYER’S GUIDE: PROGRAMA DE CONSCIENTIZAÇÃO

[/av_textblock]

[/av_one_third][av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/vazamento_informação1-300×210.png’ attachment=’9758′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK VAZAMENTO DE INFORMAÇÕES

[/av_textblock]

[/av_one_third][av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_social_share title=” style=” buttons=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_comments_list]

GDPR: Entenda tudo sobre a regulação que entrou em vigor

[av_slideshow_full size=’entry_without_sidebar’ min_height=’0px’ stretch=” animation=’slide’ autoplay=’false’ interval=’5′ control_layout=’av-control-default’ src=” attachment=” attachment_size=” position=’top left’ repeat=’no-repeat’ attach=’scroll’]
[av_slide_full slide_type=’image’ id=’9745′ video=’http://’ mobile_image=” video_format=” video_ratio=’16:9′ title=” custom_title_size=” custom_content_size=” caption_pos=’caption_bottom’ link_apply=” link=’lightbox’ link_target=” button_label=’Click me’ button_color=’light’ link1=’manually,http://’ link_target1=” button_label2=’Click me’ button_color2=’light’ link2=’manually,http://’ link_target2=” font_color=” custom_title=” custom_content=” overlay_opacity=’0.5′ overlay_color=” overlay_pattern=” overlay_custom_pattern=”][/av_slide_full]
[/av_slideshow_full]

[av_textblock size=” font_color=’custom’ color=’#0a0909′]

GDPR: Entenda tudo sobre a regulação que entrou em vigor  

 

A GDPR, ou, em português, a Regulação Geral de Proteção de Dados é uma nova regulação adotada pela União Europeia e que entrou em vigor em 25 de maio de 2018. 

A lei foi criada com a intenção de proteger a privacidade dos dados pessoais de cidadãos europeus, e se aplica à atuação tanto de empresas da União Europeia, quanto de empresas estrangeiras que processem informações de cidadãos europeus.  

Mas não se engane, a lei também se aplica para residentes em países da União Europeia, não somente cidadãos europeus. Fique tranquilo, nós vamos explicar o que isso significa mais para frente. 

O objetivo principal da lei é de evitar o vazamento de informações, que, por definição, é um incidente de segurança da informação envolvendo processamento de dados sensíveis ou confidenciais em desconformidade legal, seja de maneira intencional ou não. 

Muitas vezes associamos o vazamento de dados apenas à publicação indevida de informações, mas é importante ressaltar que também abrange hipóteses de perda, destruição, acesso indevido, ou alteração indevida de dados. 

A GDPR visa principalmente dar mais controle aos cidadãos e residentes de sua jurisdição (União Europeia) sobre seus dados pessoais, simplificando o ambiente regulatório para negócios internacionais, unificando o regulamento dentro da União Europeia. 

Espera-se que a norma estabeleça um novo padrão geral para os direitos do consumidor em relação aos seus dados, e as empresas encontrarão desafios à medida que implementarem sistemas e processos para o cumprimento. 

 

GDPR – Global Data Protection Regulation 

 

Um dos conceitos mais importantes a se ter em mente para entender a GDPR é o de informação de identificação pessoal, ou seja, informações que permitam a identificação inequívoca do indivíduo. Há diferentes concepções do que caracteriza uma informação de identificação pessoal: pode ser algo simples e direto como nome completo ou número de documentos, ou um cruzamento de dados como data de nascimento e endereço. 

Também é feita a diferenciação de dados considerados sensíveis, com dados pessoais. Dados sensíveis envolvem crenças religiosas, convicções políticas, orientação sexual, informações médicas e biológicas, associações sociais e sindicais, biometria, etc.; já os dados pessoais são números de documentos, nome completo, data de nascimento, endereço de IP, foto, endereço residencial, dados bancários, etc. 

O vazamento de qualquer uma das informações elencadas é grave, mas considere que o cruzamento de dados pessoais com dados sensíveis pode ser catastrófico. 

As empresas precisarão do mesmo nível de proteção para coisas como o endereço IP de um indivíduo ou dados de cookies, como fazem para os dados bancários, endereço residencial e identidade. 

Nesse sentido, as diretrizes que compõem a GDPR são orientadas de acordo com cinco princípios essenciais, cinco objetivos que a norma pretende contribuir para que sejam atingidos no contexto da manipulação de informações de modo incentivar negócios e relações mais seguros e confiáveis. São eles: 

  • Transparência: a empresa deve divulgar claramente qualquer coleta de dados, declarar a base legal para efetuá-la e a finalidade do processamento desses dados, além de por quanto tempo serão armazenados e se estão sendo compartilhados com terceiros, especialmente se para fora da União Europeia. 
  • Minimização e especificação de propósito: a empresa deve coletar o mínimo de dados que ela precise para validar o cadastro do usuário e deve reduzir a extensão de formulários de cadastro. De mesmo modo, todos os requisitados têm que ter o seu propósito especificado. Isso faz com que as empresas sejam obrigadas a otimizar o processamento da informação, requerendo do usuário apenas dados relevantes à sua atividade ou serviço. 
  • Retificação da informação: dados incorretos ou desatualizados deverão ser retificados. O titular dos dados tem o direito de revogar sua permissão a qualquer momento e o direito de ter seus dados apagados sob certas circunstâncias. 
  • Direito à portabilidade de dados: Os titulares de dados têm o direito de solicitar uma cópia portátil de suas informações coletados por um processador (empresa que processe dados) em um formato comum, ou seja, de fácil consumo para o usuário, como .txt, ou .html. Este é um recurso atual do Facebook, por exemplo – você pode requisitar a visualização e o download de seus dados que estejam sob custódia da rede social em Configurações > Your Facebook information. 
  • Direito ao Esquecimento: o usuário tem o direito de perguntar para empresa quais dados seus ela tem e o que ela está fazendo com isso. Os dados que não forem mais necessários deverão ser excluídos. 

 

Quais empresas a GDPR afeta? 

 

Qualquer empresa que armazene ou processe informações pessoais sobre cidadãos da UE deve cumprir a GDPR, mesmo que não tenha presença comercial na UE. Critérios que caracterizam uma empresa como sujeita ao disposto pela GDPR: 

  • Presença em um país da UE; 
  • Processamento dados pessoais de residentes europeus – independente de presença física ou de negócio na Europa; 
  • Mais de 250 funcionários; 
  • Menos de 250 empregados, mas o processamento de dados afeta os direitos e liberdades dos titulares de dados, ou não é ocasional, ou inclui determinados tipos específicos de dados pessoais sensíveis. 

 

A GDPR aplica-se a toda entidade que processar dados pessoais e sensíveis de cidadãos europeus, independentemente da localidade, e incide sobre toda a cadeia da empresa, incluindo – mas não restrito a – funcionários, terceiros, fornecedores, sistemas e data centers (inclusive os baseados na nuvem). 

Isso significa dizer, em resumo, quase todas as empresas no mundo. Uma pesquisa da PwC mostrou que 92% das empresas dos EUA consideram a GDPR como uma das principais prioridades a serem observadas quando se trata de proteção de dados. 

As autoridades públicas e as empresas cujas principais atividades se concentrem em processar dados pessoais de maneira regular ou sistemática são requeridas a contratar um diretor de proteção de dados (DPO), que será o responsável por gerenciar a conformidade da organização com a GDPR.

O que acontece quando você não está em conforme?

Todos esses objetivos e mudanças da lei não seriam possíveis se as penalidades para incidentes não fossem mais duras, de modo a realmente significarem prejuízos reais para as empresas envolvidas. 

Com a GDPR, na ocorrência de um vazamento de dados, as autoridades competentes devem ser notificadas em até 72 horas, e os clientes e usuários pertinentes também devem ser informados o mais rápido seja possível (sempre levando em consideração o risco que o vazamento represente). 

Em caso de violação às regras da Regulação, podem ser aplicadas multas de 20 milhões de euros ou 4% da receita global anual da empresa (o que representar o valor mais alto); e havendo, por parte da empresa, negligência ou violação de direitos ou acordos de ‘Termos & Condições’, os valores das multas passíveis de aplicação dobram. Se o Google violasse essas regras, por exemplo, as multas poderiam chegar a 4 bilhões de dólares (por conta do faturamento anual da Alphabet, que em 2017 foi de mais de 100 bilhões). 

De acordo com a Ovum, 52% das empresas acreditam que serão multadas por não cumprimento. Em concordância com essa estatística, a análise da consultoria de gestão Oliver Wyman mostra que se a GDPR estivesse em vigor nos últimos cinco anos, as empresas do FTSE 100 seriam multadas em até £25 bilhões (isso mesmo, em libras). 

 

Qual é a relevância da GDPR no Brasil? 

A tendência é que o Brasil também caminhe para legislações e punições mais duras para incidentes de segurança da informação e cibersegurança, tanto a partir da criação de leis e regulamentações como por uma maior participação do Ministério Público Federal nesse tipo de caso. 

Neste sentido, a Câmara dos Deputados aprovou o projeto de lei federal 4.060/12 que está, atualmente, em votação no Senado. Existem mais outros dois projetos de lei semelhantes (5.276/16 e 6.291/16), que são extremamente semelhantes à GDPR, com diferenças de penalidade e controle. Contudo, todas estas propostas ainda estão em tramitação. 

Importante ressaltar que hoje não existe em vigor nenhuma legislação brasileira clara e objetiva que faça com que as empresas venham a público informar um incidente, muito menos que preveja uma multa por danos aos consumidores. Apenas alguns casos de vazamento de informação tiveram grande exposição midiática, como por exemplo o da Netshoes e o da Uber, e isso apenas porque os dados vazados incluíam alguns associados a pessoas do Planalto ou de alto escalão do governo. 

Porém, a lei europeia é aplicável no Brasil através dos Supervisory Authorities, que são autoridades públicas independentes fornecidas por Estados-membros da EU para ficarem responsáveis por monitorar a aplicação da GDPR. Isso é ainda mais relevante quando se considera empresas que tem matriz na Europa e operações em outros países, como Mercedez Benz, Santander, Nestlé, Allianz, etc. Além disso, existindo alguma informação sobre qualquer cidadão europeu em qualquer base de dado fora da Europa, esses dados também são regidos pela GDPR. 

 

O que fazer para estar em compliance? 

 

Antes de entrarmos nas considerações práticas, é interessante definir o que é compliance (conformidade, em português), para ficarmos na mesma página. Compliance é basicamente todo o processo adaptativo de uma empresa para estar em conformidade com uma regulamentação (exs: norma, política, lei, código de ética, SOX, PCI, etc.), e para manter uma operação de acompanhamento da referida conformidade. 

Todo processo de uma empresa para estar em conformidade com uma regulamentação precisa manter uma operação de acompanhamento dessa conformidade. Diferente do conceito de segurança da informação ao qual estamos acostumados, as regras de conformidade têm origem quase sempre no negócio, isto é, elas se aplicam aos processos e a tecnologia deve se adaptar a elas. A tecnologia deve dar suporte à conformidade, ajudando os gestores do negócio a monitorar desvios de conformidade, gerando alertas para tratamento de incidentes. 

Se uma empresa não tem certeza se está ou não em conformidade, o melhor a se fazer é conduzir um processo de avaliação da situação e implementação novas medidas que possa posteriormente ser mantido e reavaliado para manter a estrutura de gerenciamento de conformidade e riscos; um plano de trabalho para aderência aos requisitos que porventura estejam defasados.  

 

Treinamento e Conscientização 

 

Sempre ressaltamos que segurança da informação não se baseia apenas em processos, tecnologias, e proteção digital ou estrutural. Na verdade, as pessoas envolvidas na sua operação e no seu negócio são o fator mais essencial para manter as informações da sua empresa mais seguras. Isso não vale apenas para as equipes de TI ou segurança – outras equipes que tenham menos contato com boas práticas podem ser ainda mais importantes de se dar atenção, como as equipes do financeiro e de operações. 

Usuários bem treinados, conscientizados e inseridos numa cultura de segurança de modo que estejam preparados para lidar com as ameaças com as quais se deparam todos os dias – sejam elas cibernéticas ou de engenharia social – são o verdadeiro escudo para uma manter os dados da sua empresa seguros. 

A conclusão, então, é simples: a resposta é treinar colaboradores, conscientizar sobre segurança da informação e criar uma cultura de segurança na empresa. Contudo, apesar de óbvia, a solução é trabalhosa, já que depende do abandono de hábitos ruins para a construção e cultivo de novos hábitos orientados à segurança. 

Para garantir a adequação do comportamento de colaboradores às boas práticas de segurança, é preciso primeiro ter uma política de segurança da informação sólida, elaborada a partir da realidade de necessidades e demandas da empresa. A partir do disposto nesta política, o ideal é que se desenvolva uma cultura de segurança da informação, um verdadeiro mindset de comportamentos quase que automáticos e intrínsecos às ações do dia a dia.  

Entretanto, isso pode ser complexo, pois depende de uma aproximação da política de segurança à realidade dos colaboradores, e para isso, ela precisa ser simples, acessível, e bem comunicada. Para isso servem os programas de conscientização. 

Os programas de conscientização são processos de longo prazo e que dão resultados a longo prazo também – são aprendizados verdadeiramente duradouros. Nisso, os programas de conscientização se diferem de campanhas de conscientização ou campanhas de phishing, por exemplo. Ao passo que campanhas fornecem uma fotografia do momento de uma característica da maturidade de segurança de uma empresa, um programa de conscientização avalia e impacta diversos aspectos para combiná-los na construção de um ambiente verdadeiramente seguro. 

Por isso, um bom programa de conscientização faz a comunicação por diversos canais e formatos diferentes, com segmentação de público e informação constantemente reforçada. Além disso, funciona em ciclos e é reavaliado e adaptado de acordo com os melhores resultados e as demandas percebidas durante o processo. 

Com isso, o programa de conscientização é a melhor forma de maximizar o potencial aliado dos seus colaboradores para não apenas se manter em conforme com as normas mais atuais, mas também com as mais relevantes boas práticas para blindar a sua empresa contra incidentes de segurança da informação. 

Conclusão 

A GDPR é um passo regulatório para esclarecer relações e influenciar a criação de uma cultura mais responsável em torno do fornecimento, armazenamento, uso, e processamento de dados. 

Mesmo se esforçando para estarem de acordo com as novas regras, muitas empresas temem serem punidas nos primeiros meses por não conseguirem estar perfeitamente dentro do exigido, mas há formas de conduzir essa adaptação na sua empresa. 

Para garantir que a sua empresa está em compliance, sugerimos seguir os seguintes passos:  

  1. Entenda onde você está no cenário de compliance (determinação do nível de aderência à norma e projeto do plano de ação);  
  2. Implemente controles e padrões (com a reestruturação dos processos e tecnologias);  
  3. Faça uma pré-auditoria dos controles para verificar sua eficácia. Se a sua equipe não possui braço para realizar essas ações, considere a contratação de uma consultoria. 

[/av_textblock]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

[/av_textblock]

[av_postslider link=’post_tag,162′ columns=’3′ items=’9′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_icon_box position=’top’ boxed=” icon=’ue8d2′ font=’entypo-fontello’ title=’PRODUÇÃO DE CONTEÚDO’ link=’manually,http://www.proof.com.br/material-rico/’ linktarget=” linkelement=’both’ font_color=” custom_title=” custom_content=” color=’custom’ custom_bg=’#1f211f’ custom_font=” custom_border=”]

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

[/av_icon_box]

[av_one_fifth first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_three_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/THREAT-ANATOMY-REPORT.png’ attachment=’8902′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=’_blank’ caption=” font_size=” appearance=’on-hover’ overlay_opacity=’0.7′ overlay_color=’#1f211f’ overlay_text_color=’#ffffff’ animation=’no-animation’]
WANNACRY THREAT ANATOMY REPORT
[/av_image]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_button_big label=’BAIXE O THREAT ANATOMY REPORT’ description_pos=’below’ link=’manually,https://d335luupugsy2.cloudfront.net/cms/files/9568/1507148257WannaCry_Threat-Reportd.pdf’ link_target=” icon_select=’yes-left-icon’ icon_hover=’aviaTBicon_hover’ icon=’uf130′ font=’flaticon’ custom_font=’#e7e6e6′ color=’custom’ custom_bg=’#1f211f’ color_hover=’custom’ custom_bg_hover=’#fc9a1a’][/av_button_big]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_three_fifth]

[av_one_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/cultura-300×209.png’ attachment=’9757′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/buyers-guide-mssp’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

CULTURA DE SEGURANÇA DA INFORMAÇÃO

[/av_textblock]

[/av_one_third][av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/buyers_guide-300×211.png’ attachment=’9756′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

BUYER’S GUIDE: PROGRAMA DE CONSCIENTIZAÇÃO

[/av_textblock]

[/av_one_third][av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/vazamento_informação1-300×210.png’ attachment=’9758′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK VAZAMENTO DE INFORMAÇÕES

[/av_textblock]

[/av_one_third][av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_social_share title=” style=” buttons=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_comments_list]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/cultura-300×209.png’ attachment=’9757′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

CULTURA DE SEGURANÇA DA INFORMAÇÃO

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/cultura-300×209.png’ attachment=’9757′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

CULTURA DE SEGURANÇA DA INFORMAÇÃO

[/av_textblock]
[/av_one_third]

Segurança da informação nas empresas: as diferenças entre educar, treinar e conscientizar

[av_slideshow_full size=’entry_without_sidebar’ min_height=’0px’ stretch=” animation=’slide’ autoplay=’false’ interval=’5′ control_layout=’av-control-default’ src=” attachment=” attachment_size=” position=’top left’ repeat=’no-repeat’ attach=’scroll’]
[av_slide_full slide_type=’image’ id=’9734′ video=’http://’ mobile_image=” video_format=” video_ratio=’16:9′ title=” custom_title_size=” custom_content_size=” caption_pos=’caption_bottom’ link_apply=” link=’lightbox’ link_target=” button_label=’Click me’ button_color=’light’ link1=’manually,http://’ link_target1=” button_label2=’Click me’ button_color2=’light’ link2=’manually,http://’ link_target2=” font_color=” custom_title=” custom_content=” overlay_opacity=’0.5′ overlay_color=” overlay_pattern=” overlay_custom_pattern=”][/av_slide_full]
[/av_slideshow_full]

[av_textblock size=” font_color=’custom’ color=’#191919′]

Segurança da informação nas empresas: as diferenças entre educar, treinar e conscientizar

Conhecimento de segurança é proteção

Quando se fala em segurança da informação nas empresas, ter pessoas competentes e prontas para encarar as ameaças do dia a dia com esperteza e responsabilidade é a sua primeira linha de defesa.

O elo mais fraco de um plano de segurança é sempre o fator humano, o usuário, pois não há nenhuma tecnologia, nenhum tipo de software que possa impedir o deslize de um funcionário desatento.

Por isso, uma forte segurança da informação nas empresas, mantendo a integridade, confiabilidade e disponibilidade dos dados do negócio, depende da capacitação dos colaboradores para executar suas funções de maneira, de fato, segura.

Contudo, nem todos os colaboradores precisam ter o mesmo nível de conhecimento de segurança, o que torna fundamental que se entenda a diferença entre educação, treinamento e conscientização.

Entender as diferenças entre estes três estágios de aprendizado é essencial para aplicá-los da forma mais adequada e envolvendo as pessoas certas na sua empresa.

Nem todos precisam de uma educação ou treinamento, por exemplo, mas para conquistar uma cultura de segurança da informação nas empresas é necessário que todos sejam, ao menos, conscientizados.

Errar é humano. Qualquer pessoa está sujeita a cometer um deslize que possa colocar dados pessoais ou da empresa em risco.

Em nosso comportamento, costuma-se usar os caminhos mais confortáveis, e nem sempre mais cuidadosos, até porque não se sabe que, em determinadas situações, é preciso ter cuidado. Isto é, nem todos estão familiarizados com as boas práticas de segurança da informação.

60% dos ataques tem como causa o fator humano

Evidência disso é o relatório da   X-Force 2016 Cyber Security Intelligence Index, que concluiu que “em 2015, 60% de todos os ataques foram realizados por insiders, seja com intenções maliciosas ou aqueles que serviram como atores inadvertidos”.

Ou seja, a maioria dos ataques à segurança de dados sofridos por empresas teve como causa o fator humano interno – seja ele mal-intencionado ou simplesmente ignorante em relação à segurança da informação.

Neste sentido, o relatório 2016 Cost of Insider Threats do Ponemon Institute realizou uma pesquisa em 54 organizações que, em 12 meses, tiveram 874 incidentes envolvendo insiders. Destes, 68% foram consequência de negligência, e o custo médio por incidente passou de U$4 milhões.

Faz sentido então que haja preocupação em transmitir conhecimento de segurança para essas pessoas, de modo que cada um possa executar suas funções de maneira não apenas eficiente, mas segura.

Contudo, para fazer isso da maneira mais adequada e eficaz possível, é preciso entender quais as necessidades e riscos envolvidos na atividade, e assim entender o quanto a pessoa de fato precisa conhecer de segurança da informação nas empresas.

Para entender a diferença entre educação, treinamento e conscientização, vamos começar com uma analogia:

A maior parte das pessoas que você conhece provavelmente gosta de ir à praia. De fato, é uma atividade muito comum para muitas pessoas e que exige diversos cuidados: passar filtro solar, se manter hidratado, e, principalmente, ter atenção ao mar.

Você deve estar se perguntando o que a praia tem a ver com o assunto desse artigo, mas calma, vamos te explicar:

Conscientização

Quem nunca foi à praia ou não convive com esse ambiente de forma habitual pode não entender como o mar é – além de muito atrativo – perigoso. Talvez essa pessoa também não saiba que cuidados tomar, de modo que pode acabar correndo riscos desnecessários.

Alguém que esteja mais habituado e conheça ao menos um pouco sobre os perigos de um mar revolto, sabe o que significa a bandeira vermelha de correnteza, e, idealmente, sabe identificar quando é seguro se divertir e se refrescar nas ondas e quando é melhor se manter na segurança da areia.

Essa pessoa que tem uma noção sobre como se relacionar com o mar é uma pessoa que tem consciência sobre os perigos que ele pode apresentar e como identificá-los: ela está conscientizada sobre as ameaças que pode encontrar e como evitá-las.

Conscientização, portanto, é um estado constante de awareness, ou seja, de estar ciente das ameaças que existem, como identificá-las, e como evitar ser uma vítima.

Do ponto de vista da segurança da informação nas empresas, um colaborador plenamente conscientizado conhece as boas práticas para não se encontrar no centro de um incidente de vazamento de informações.

Ele sabe como se prevenir contra ameaças de visual hacking, engenharia social, e phishing, por exemplo, e sabe identificar o perigo em potencial, mesmo que não entenda todos os detalhes por trás de cada ameaça ou de como resolver um incidente.

Treinamento

É nestas condições que acontece um incidente – um evento que gera desdobramentos e consequências potencialmente danosos para os envolvidos. Pode acontecer de a pessoa começar a se afogar, ou no mínimo, levar um caldo daqueles. Nestas horas, um indivíduo treinado em salvamento ou primeiros socorros pode ser o fator decisivo para a reversão do incidente que – potencialmente – poderia resultar em desastre.

Da mesma forma, quando falamos de segurança, alguém não conscientizado pode clicar em links suspeitos, abrir anexos indesejados, tirar fotos que revelem algo confidencial no ambiente de trabalho, e até submeter credenciais em formulários fraudulentos.

Cada uma dessas ações gera incidentes de segurança da informação. Para lidar com determinadas ameaças e incidentes, uma pessoa precisa estar treinada – seja para responder rapidamente ou até mitigar danos.

Treinamento, então, consiste no desenvolvimento de competências (skills) necessárias à execução de uma atividade ou função. Em se tratando de segurança da informação nas empresas, alguns profissionais de determinados setores ou que lidam com determinadas categorias de informação precisam de conhecimento e competências um nível acima do alcançado com a conscientização. É o caso de colaboradores que atuam em áreas como (porém não limitadas a):

– área de finanças;

– desenvolvimento de sistemas;

– auditorias;

– propriedade intelectual;

– processos judiciais.

É importante ressaltar que a base sobre a qual os skills desenvolvidos em um treinamento são construídos é, idealmente, a do conhecimento preparatório absorvido em um programa de conscientização.

treinamento efetivo é construído sobre uma base de conscientização

Da mesma forma que uma pessoa pode ter sido treinada por um curso de primeiros socorros ou salvamento para executar alguns passos e conter ou amenizar um incidente, alguém treinado para segurança da informação saberá operar controles, técnicas, e atuar com gerenciamento de risco e política de segurança, por exemplo.

Isso pode incluir contingenciamento, lidar com problemas de usuários e colaboradores, controlar processos de autenticação, acesso, e até operar permissões de sistemas seguros.

Os treinamentos têm um objetivo mais focado em competências para execução, e se diferenciam da conscientização na medida em que esta tem foco em estimular atenção e hábitos de boas práticas.

Educação

A educação, por outro lado, está associada a um corpo de conhecimento formado por um conjunto de competências, capacidades, e entendimento teórico adequados a diversas funções.

Idealmente, a educação aborda conceitos, princípios e questões de maneira multidisciplinar, sob vários pontos de vista e abordagens, entendendo aspectos não só tecnológicos do assunto estudado, como também sociais.

As pessoas que são educadas são os profissionais e especialistas, e normalmente o são por consequência de um grau de estudo, como um diploma universitário ou por cursar uma pós-graduação ou especialização.

Na analogia que vínhamos tecendo, alguém que tem uma educação para lidar com incidentes na praia e no mar pode ser um profissional de salvamento, como um bombeiro ou salva-vidas, ou até paramédicos, em oposição a uma pessoa apenas treinada em salvamento ou primeiros socorros.

É importante destacar que programas de treinamento podem ser mais longos do que se imagina, como o procedimento necessário para se obter uma certificação. Ainda assim, estes não se encaixam no conceito de educação, pois normalmente têm apenas uma competência ou skill como objetivo final, e não a construção consolidada de conhecimento amplo e profundo em torno de uma área do saber.

Segurança da informação nas empresas – qual caminho seguir?

Apesar de percebermos claramente a diferença entre educação, treinamento e conscientização, deve-se entendê-los como fases de um processo contínuo de aprendizado. A conscientização deve ser alcançada para que depois seja possível aplicar um treinamento, que pode, posteriormente, evoluir para uma educação.

Ao entender a diferença entre os três estágios, resta saber como isso pode ser adequado às necessidades de segurança da sua empresa. Bem, em primeiro lugar, é fundamental que uma empresa tenha uma Política de Segurança da Informação (PSI) adequada às necessidades e riscos do negócio.

Ela é a base que fundamenta e direciona os planos de segurança da empresa. Para que se tenha um movimento de conscientização, treinamento, ou educação, é preciso primeiro que se tenha clareza em relação aos objetivos e necessidades evidenciados pelas diretrizes de uma PSI.

As pessoas que coordenam o plano de segurança de uma empresa normalmente são as que têm algum tipo de educação no assunto. Serão essas pessoas também que definirão os cursos de ação mais adequados a se seguir para cada área da empresa – se apenas conscientização, ou se também treinamento de segurança.

Um exemplo de diferenciação é que enquanto todos os funcionários precisam estar conscientizados, alguns com acesso a informações mais delicadas e que trabalham com operações mais sensíveis precisam ser treinados. Segundo o relatório Insider Threat Spotlight, da Crowd Research Partners em parceria com o LinkedIn Group Partner Information Security, a falta de treinamento de funcionários e a falta de conscientização foram as razões mais citadas (62%) para o aumento dos ataques de insider.

Colaboradores da área de comunicação, por exemplo, precisam ser conscientizados como quaisquer outros para se comportarem de modo a evitar deslizes e a se prevenirem contra ataques de engenharia social, como tailgating ou visual hacking, que podem resultar em vazamento de informações, por exemplo. Indivíduos que trabalhem em setor financeiro, porém, precisam estar preparados para lidar com ameaças mais complexas e direcionadas, como o spear phishing.

Desta forma, fica evidente que a resposta é transmitir o conhecimento necessário aos colaboradores certos com o objetivo de construir uma cultura de segurança da informação na empresa.

Apesar de simples, a solução pode ser trabalhosa se as pessoas envolvidas ainda não têm hábitos orientados à segurança. Desse modo, é preciso o abandono de práticas ruins para a construção de novos hábitos orientados à segurança. E para isso, é necessário um programa de conscientização.

Como começar: um programa de conscientização

Para manter a segurança da informação nas empresas, é imprescindível que os usuários estejam informados sobre as diretrizes de segurança e os riscos que enfrentarão, e assim entendam suas responsabilidades no que tange à Política de Segurança da Informação.

conscientizar é o primeiro passo da trilha de aprendizado

Para que isso seja consistente e duradouro, todavia, é necessária uma mudança de hábitos, e para isso, um programa de conscientização é sempre a melhor opção. Conscientizar é o primeiro passo da trilha de desenvolvimento de conhecimento e o mais fundamental deles.

Um programa de conscientização começa com a intenção de garantir a conformidade com a política de segurança e evolui para o objetivo de criar uma cultura de segurança e um ambiente mais seguro. Como destacamos antes, é importante que se analise o contexto do negócio, os riscos e processos envolvidos e as necessidades da empresa para aí traçar o plano de ação.

Além disso, a segmentação do público e a difusão da informação de formas diversas, reforçada por múltiplos canais são fundamentais para a fixação do conteúdo ao longo do tempo. E por falar em tempo, um programa costuma ser um processo duradouro – maior que uma campanha, por exemplo, e por isso são essencialmente diferentes.

Por esta razão, um programa de conscientização precisa ser dividido em ciclos para que as informações e atividades permaneçam relevantes de acordo com a evolução do público envolvido. Esta evolução é avaliada pelo cruzamento de dados e métricas obtidas ao longo da fase anterior e desde o início do programa, de modo que também é possível identificar grupos de risco que precisam de mais atenção.

É bom lembrar também que além de reforçar comportamentos que se quer incentivar, há que se repreender comportamentos que se pretende afastar. A informação – no caso, por meio da conscientização – tem sempre de vir antes das exigências de conformidade, claro, pois não faz sentido aplicar sanções se os colaboradores não têm clareza sobre o que é esperado deles, de modo que podem ficar frustrados e perderem engajamento.

Como o objetivo de um programa de conscientização é ser o meio que comunica a política de segurança de uma empresa para criar hábitos mais seguros e, idealmente, uma cultura de segurança, ele precisa ser implementado em vários canais, direcionados a vários níveis correspondentes da organização, inclusive aos executivos.

engajamento é um dos fatores mais relevantes para um processo de conscientização

Aliás, engajamento é um dos fatores mais relevantes para um processo de conscientização. Por isso, sempre ressaltamos o quão importante é que a alta gerência da empresa esteja também envolvida e engajada no projeto. O exemplo de executivos transmite a ideia de que a segurança é um valor da empresa e que precisa ser reforçado e desenvolvido.

Além disso, o engajamento geral é tão importante para segurança da informação nas empresas, que bons programas devem trabalhar com promotores da iniciativa, identificados na segmentação de público, e que ajudam a avançar a agenda do programa.

Lembre-se:

Em resumo, a diferença entre educação, treinamento e conscientização é:

Educação está associada a um estudo mais amplo e profundo de assunto e seu contexto, sob diversos pontos de vista e considerando múltiplos aspectos. Costuma estar associado a um diploma ou grau de ensino.

Treinamento é voltado à obtenção do conhecimento e das competências necessárias à execução de uma função – é mais formal e focado em performance profissional e requer um papel ativo no processo de aprendizado.

Conscientização tem por objetivo mudar comportamentos para fazer com que as pessoas tenham atenção à segurança e a boas práticas. Conscientizar é ideal para uma audiência ampla e diversa, e depende de uma comunicação clara, atrativa, e envolvente dos conceitos que se quer transmitir.

Cada um é uma etapa de um processo de aprendizado que pode ser contínuo a depender de suas necessidades e aspirações. Pode ser que nem todos os seus colaboradores precisem ter uma educação formal em segurança da informação, e é possível que apenas uma porcentagem precise ser treinada.

Porém, atualmente, em que o mundo digital permeia cada vez mais cada aspectos de nossas vidas e geramos mais dados do que podemos compreender, de modo que a informação é a vantagem competitiva mais valiosa do mundo… a conscientização do usuário é absolutamente fundamental para a segurança da informação nas empresas.
[/av_textblock]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

[/av_textblock]

[av_postslider link=’post_tag,250′ columns=’3′ items=’9′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_icon_box position=’top’ boxed=” icon=’ue8d2′ font=’entypo-fontello’ title=’PRODUÇÃO DE CONTEÚDO’ link=’manually,http://www.proof.com.br/material-rico/’ linktarget=” linkelement=’both’ font_color=” custom_title=” custom_content=” color=’custom’ custom_bg=’#1f211f’ custom_font=” custom_border=”]

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

[/av_icon_box]

[av_one_fifth first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_three_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/THREAT-ANATOMY-REPORT.png’ attachment=’8902′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=’_blank’ caption=” font_size=” appearance=’on-hover’ overlay_opacity=’0.7′ overlay_color=’#1f211f’ overlay_text_color=’#ffffff’ animation=’no-animation’]
WANNACRY THREAT ANATOMY REPORT
[/av_image]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_button_big label=’BAIXE O THREAT ANATOMY REPORT’ description_pos=’below’ link=’manually,https://d335luupugsy2.cloudfront.net/cms/files/9568/1507148257WannaCry_Threat-Reportd.pdf’ link_target=” icon_select=’yes-left-icon’ icon_hover=’aviaTBicon_hover’ icon=’uf130′ font=’flaticon’ custom_font=’#e7e6e6′ color=’custom’ custom_bg=’#1f211f’ color_hover=’custom’ custom_bg_hover=’#fc9a1a’][/av_button_big]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_three_fifth]

[av_one_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/cultura-300×209.png’ attachment=’9757′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

CULTURA DE SEGURANÇA DA INFORMAÇÃO

[/av_textblock]

[/av_one_third][av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/buyers_guide-300×211.png’ attachment=’9756′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/buyers-guide-mssp’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

BUYER’S GUIDE: PROGRAMA DE CONSCIENTIZAÇÃO

[/av_textblock]

[/av_one_third][av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/vazamento_informação1-300×210.png’ attachment=’9758′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK VAZAMENTO DE INFORMAÇÕES

[/av_textblock]

[/av_one_third][av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_social_share title=” style=” buttons=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_comments_list]

Visual Hacking: Olhe em volta… você está seguro?

[av_slideshow_full size=’entry_without_sidebar’ min_height=’0px’ stretch=” animation=’slide’ autoplay=’false’ interval=’5′ control_layout=’av-control-default’ src=” attachment=” attachment_size=” position=’top left’ repeat=’no-repeat’ attach=’scroll’]
[av_slide_full slide_type=’image’ id=’9690′ video=’http://’ mobile_image=” video_format=” video_ratio=’16:9′ title=” custom_title_size=” custom_content_size=” caption_pos=’caption_bottom’ link_apply=” link=’lightbox’ link_target=” button_label=’Click me’ button_color=’light’ link1=’manually,http://’ link_target1=” button_label2=’Click me’ button_color2=’light’ link2=’manually,http://’ link_target2=” font_color=” custom_title=” custom_content=” overlay_opacity=’0.5′ overlay_color=” overlay_pattern=” overlay_custom_pattern=”][/av_slide_full]
[/av_slideshow_full]

[av_textblock size=” font_color=’custom’ color=’#2d2d2d’]

Visual Hacking: Olhe em volta… você está seguro?

Visual Hacking é uma forma de se obter informações sensíveis apenas bisbilhotando a mesa, o celular ou o computador do seu alvo. Você nunca percebeu ninguém olhando para a tela do seu smartphone no metrô? Então… 

Você poderia estar sendo um alvo, naquele exato momento.  

Calma, isso não quer dizer que você estava de fato sofrendo visual hacking. É da natureza curiosa do ser humano olhar para o lado e se entreter com o que estiver ao alcance dos seus olhos. Ou era apenas uma pessoa entediada mesmo 😉

76% dos entrevistados alegaram já ter olhado para o dispositivo de outra pessoa

Muitas vezes o ato de olhar para uma tela ou um aparelho que não seja seu vem por reflexo. Uma pesquisa realizada pela 3M em parceria com o Ponemon Institute, a “Public Spaces Interview Study” de 2017 indica que 76% dos entrevistados alegaram já ter olhado para o dispositivo de outra pessoa. 

Mas como você não vai saber diferenciar uma coisa da outra, o jeito mesmo é se prevenir. 

Esse conceito é bem intuitivo, “Visual“, como você pode imaginar significa uso de meios visuais e “Hacking” remete a métodos alternativos de se obter algum tipo de informação. 

Apesar de você achar que esse pode não ser o método mais efetivo de se obter informações, a mesma pesquisa “Public Spaces Interview Study” de 2017 revelou que o visual hacking não demora muito tempo! Pode levar menos de 15 minutos para que um invasor obtenha alguma informação que possa comprometer toda a estrutura de uma companhia.  

Não existe um nicho específico o qual essa ameaça afete mais, ela afeta qualquer indústria de qualquer seguimento. Onde existe informação sensível e confidencial, existe o risco de vazamento. 

As informações sensíveis podem estar dispostas em notebooks, tablets, smartphones, assim como em documentos impressos que são deixados em mesas, salas de reunião, ou até esquecidos na impressora. 

Visual Hacking é fácil, rápido, e não recebe a atenção necessária tanto pelos colaboradores, quanto pelas organizações.

Como Visual Hacking se aplica no ambiente de trabalho?

A organização física do escritório tem um grande papel no risco de Visual Hacking.  

Hoje em dia, muitas empresas investem em ambientes de trabalho com um conceito “open office”, um modelo sem baias ou divisórias entre as mesas. 

Essa organização promete facilitar o contato entre colaboradores, aumentando a produtividade e a sensação de trabalho em equipe. 

Como toda ação tem uma consequência, os documentos, papéis, post-it, e principalmente as telas dos computadores ficam à uma espichada de olho de distância. 

Essa estrutura de escritório é ideal para a prática de Visual Hacking. Todas as companhias que adotam esse modelo devem contabilizar esse novo risco à segurança de informação sensível.

Toda tela que você possa ver, pode ser vista por um visual hacker

Outro fator que deve ser considerado é que existem áreas específicas de todo escritório que são mais vulneráveis à prática do Visual Hacking. Em teoria, toda tela que você possa ver, também pode ser vista por um Visual Hacker. Porém, recepções e áreas com alto trafego de pessoas, como locais próximos aos banheiros ou à copa ficam naturalmente mais comprometidas. 

Dando um passo além da organização física do escritório, os colaboradores muitas vezes não percebem que as informações com que eles trabalham são desejáveis por Visual Hackers, que são informações sensíveis e/ou confidenciais.  

Isso também afeta diretamente a segurança dessas informações já que, desconhecendo os riscos, não são tomadas as medidas de segurança necessárias para evitar que essas informações fiquem disponíveis a um atacante. 

Além disso, pesquisas mostram que os colabores são “tímidos” na hora de confrontar um visual hacker. A pesquisa, Global Visual Hacking Experiment, conduzida pela Ponemon Instutute indica que em 68% das tentativas de obter informação sensível as pessoas não questionaram ou reportaram as ações do Visual Hacker. Mesmo depois de presenciar uma situação atípica ou suspeita. 

Fica evidente que um trabalho de prevenção em Visual Hacking é essencial no plano de conscientização de segurança de qualquer empresa.  

 

Como Visual Hacking se aplica no ambiente externo à empresa?  

 

As políticas de segurança da informação não devem abranger somente a segurança dentro dos muros da empresa. Afinal, todos os colaboradores são sujeitos ao Visual Hacking quando estão trabalhando remotamente, em cafés, aeroportos ou até em meios de transporte. 

Poucas pessoas se preocupam com o conteúdo que deixam disponíveis aos olhos curiosos, sendo esse conteúdo profissional ou pessoal. 

Segundo àquela mesma pesquisa “Public Spaces Interview Study” de 2017, que já mencionamos anteriormente: 

  • 87% das pessoas que trabalham em ambientes públicos já presenciaram alguém espiando por cima de seus ombros. E talvez os outros 13% não tenham virado a cabeça rápido o suficiente.  
  • O Visual Hacking desperta preocupação, 3 de cada 4 colaboradores entrevistados alegaram já ter se sentido desconfortáveis e preocupados em algum nível 
  • 51% dos entrevistados alegaram que não tomam nenhum cuidado especial na hora de fazer o trabalho em um lugar público. 
  • E em um número mais assustador, mas não muito surpreendente, 87% dos entrevistados nunca sequer haviam escutado o termo “Visual Hacking”. 

 

Por que o Visual Hacking deve ser uma preocupação para as empresas? 

 

Para mostrar a importância de se proteger contra essa ameaça chamada visual hacking, e mostrar a urgência do tema, nós escolhemos apresentar dois estudos de caso que foram realizados pelo Ponemon Institute, o primeiro nos Estados Unidos e o segundo com uma abrangência global. 

O primeiro estudo do instituto Ponemon sobre “Visual Hacking” foi realizado em 2015 e mostra o quão fácil é extrair informação sensível de qualquer tipo de empresa utilizando apensas meios visuais. 

Um hacker muitas vezes só necessita de uma informação para comprometer toda a estrutura de uma organização. Ameaças não estão presentes somente no campo de alta tecnologia, alternativas Low-Tech também podem causar danos tão rapidamente quanto.  

Também foi levantada a diferença entre Visual Hacking e Visual Privacy. Visual Hacking, é um método que envolve baixa tecnologia usado para capturar informação sensível, confidencial ou privada somente por meios visuais. Visual Privacy é o ato de proteger informação sensível, confidencial ou privada de Visual Hackers.

88% das tentativas de visual hacking foram bem sucedidas

Os resultados do experimento são assustadores. A grande maioria (88%) das tentativas de Visual Hacking foram bem-sucedidas. 

Dentre as informações sensíveis obtidas: 47% foram credenciais de login e acesso; 35% eram documentos classificados como confidenciais ou sigilosos12% eram informações financeiras ou sobre o orçamento. 

As informações mais sensíveis de uma companhia são vulneráveis. 20% de todo o conteúdo obtido foi considerado como muito valioso. 

Pessoas não gostam de confrontar quem apresenta um comportamento suspeito. Em 70% das tentativas de hacking os colaboradores não questionaram ou reportaram o Visual Hacker. Mesmo após presenciar comportamento suspeito e inusitado. 

Escritórios amplos e abertos são ideais para a prática do Visual Hacking. Escritórios tradicionais, com a divisão por cubículos, fazem com que seja muito mais fácil proteger documentos impressos ou impedir a visualização de uma tela. Evitar alterar a organização tradicional do escritório minimiza consideravelmente os riscos de Visual Hacking. 

Em todos os ataques o invasor conseguiu obter informação sensível em menos de 15 minutos. 

Nas vezes que detectaram as ações do Visual Hacker, já era tarde demais, múltiplas informações já haviam sido divulgadas na mesma tentativa.

Em 2016 a Ponemon, conduziu o primeiro experimento em escala global visando avaliar o nível de vulnerabilidade ao Visual Hacking. Chamado de “Global Visual Hacking Experimental Study. 

O estudo foi a extensão do mesmo projeto realizado em 2015, apresentado anteriormente. Dessa vez, foram analisadas empresas de 8 países diferentes, incluindo: EUA, China, França, Alemanha, Índia, Japão, Coréia do Sul e Reino Unido. 

O objetivo dessa pesquisa foi detectar o quão preparadas essas companhias estão para lidar com a ameaça que é o Visual Hacking. 

Segundo a Ponemon, o Visual Hacking acontece quando um colaborador faz escolhas ruins de como acessar e visualizar informação sensível, que é então vista por um curioso ou por um hacker malicioso.  

Com essa pesquisa pode-se perceber que existe uma necessidade em quase todas as empresas de criar conscientização dentre os usuários sobre a proteção de informações sensíveis. 

O instituto Ponemon conduziu um hacker “white hat” dentro de lugares reais de trabalho em diversas localidades ao redor do mundo.  

O hacker “white hat” é um tipo hacker que utiliza os seus conhecimentos para aumentar o nível de segurança, isto é, procura a exploração e detecção de erros e de conceito, que posteriormente são evidenciados e podem ser corrigidos. 

Os testes duravam de uma a duas horas em cada locação e o hacker procurou por diversos tipos de informação considerados importantes. Informações sobre clientes ou sobre funcionários, credenciais de acesso e login, correspondência da companhia, material de treinamento, dentre outros. 

A pesquisa prova: o Visual Hacking é um problema global. Ele ocorreu em todos os países e 91% de todas as 157 tentativas foram bem-sucedidas. 

De todas as informações obtidas pelos hackers, grande parte (27%) é considerada informação sensível. 

Certas situações facilitam o Visual HackingDocumentos deixados em cima de mesasesquecidos em salas de reuniões e principalmente informação visualmente disponível em computadores como notebooks, smartphones, tablets dentre outros. 

Metade das tentativas de Hacking foram bem-sucedidas em menos de 15 minutos. E mais da metade (52%) das informações sensíveis foi obtida através de monitores de computador. 

Uma média de 3.9 “pedaços de informação” diferentes foram obtidas pelo hacker, por tentativa. Isso representa qualquer tipo de informação sensível que ajude um invasor a conquistar seus objetivos. 

27% das vezes tais informações eram credenciais de login ou informação financeira e privilegiada e, novamente, em 68% das tentativas o atacante não foi percebido ou questionado pelos colaboradores. 

 

Boas práticas para evitar Visual Hacking 

 

Agora vamos ao que interessa? 

Como parte de nossa missão é ajudar a tornar pessoas e negócios mais seguros, não podíamos deixar de indicar as boas práticas para se proteger contra essa ameaça.

certifique-se do quão vulnerável você está

Antes de acessar qualquer tipo de informação sensível, se certifique o quão vulnerável você está. Caso esteja em um lugar muito cheio, como uma cafeteria ou avião, considere esperar até estar em um lugar mais seguro, ou procurar um novo lugar, para trabalhar com tais informações.  

Especialmente se a sua empresa tiver o conceito de “open office”, fique a atento as pessoas ao seu redor quando for trabalhar com informações sigilosas.  

O Visual Hacking é um assunto que precisa ser discutido com todos os colaboradores para que possa ser prevenido em toda a organização. Uma estratégia de privacidade visual é imprescindível. Vale também levar em consideração colaboradores que trabalham diretamente com informações sensíveis, verifique a possibilidade deles serem alocados em ambientes afastados de visitantes e de membros de outros departamentos. 

Utilizar bloqueios físicos, como uma trava biométrica, para evitar o trânsito de funcionários em áreas que eles não trabalhem diretamente também é algo que deve ser levado em conta.  

As políticas de Segurança da Informação de uma empresa devem instruir os colaboradores a bloquear o computador ou quaisquer dispositivos quando esses não estão em uso. Além de, indispensavelmente, proteger os dispositivos com senhas fortes. 

A política de Mesa Limpa também ajuda a evitar que documentação sigilosa ou confidencial fique exposta nas mesas dos colaboradores. Juntamente com os esforços de usar um triturador de papel para descarte de documentos que não forem mais necessários. 

Os colaboradores são a ferramenta mais forte na defesa contra o Visual Hacking, mas alterar comportamento humano pode ser difícil. Todas as políticas de Segurança de Informação implementadas devem ser reforçadas com esforços de comunicação interna, treinamentos e com a tentativa da criação de uma cultura de privacidade. 

Uma combinação simples de pessoas, processos e tecnologia é o primeiro passo em direção a prevenção do Visual Hacking. A prevenção precisa ser uma constante, uma vez que pessoas mal-intencionadas continuam buscando novas maneiras de extrair informação sensível. 

Lembre-se: muitas pessoas transitam diariamente pelo escritório, e QUALQUER UM pode ser um Visual Hacker. 
[/av_textblock]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

[/av_textblock]

[av_postslider link=’post_tag,250′ columns=’3′ items=’9′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_icon_box position=’top’ boxed=” icon=’ue8d2′ font=’entypo-fontello’ title=’PRODUÇÃO DE CONTEÚDO’ link=’manually,http://www.proof.com.br/material-rico/’ linktarget=” linkelement=’both’ font_color=” custom_title=” custom_content=” color=’custom’ custom_bg=’#1f211f’ custom_font=” custom_border=”]

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

[/av_icon_box]

[av_one_fifth first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_three_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/THREAT-ANATOMY-REPORT.png’ attachment=’8902′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=’_blank’ caption=” font_size=” appearance=’on-hover’ overlay_opacity=’0.7′ overlay_color=’#1f211f’ overlay_text_color=’#ffffff’ animation=’no-animation’]
WANNACRY THREAT ANATOMY REPORT
[/av_image]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_button_big label=’BAIXE O THREAT ANATOMY REPORT’ description_pos=’below’ link=’manually,https://d335luupugsy2.cloudfront.net/cms/files/9568/1507148257WannaCry_Threat-Reportd.pdf’ link_target=” icon_select=’yes-left-icon’ icon_hover=’aviaTBicon_hover’ icon=’uf130′ font=’flaticon’ custom_font=’#e7e6e6′ color=’custom’ custom_bg=’#1f211f’ color_hover=’custom’ custom_bg_hover=’#fc9a1a’][/av_button_big]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_three_fifth]

[av_one_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’https://www.proof.com.br/wp-content/uploads/2015/06/INSIDER-THREAT-HORIZONTAL-300×211.png’ attachment=’7258′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

INSIDER THREAT

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/buyers_guide-300×211.png’ attachment=’9756′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/buyers-guide-mssp’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

BUYER’S GUIDE

[/av_textblock]

[/av_one_third][av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/cultura-300×209.png’ attachment=’9757′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK CULTURA

[/av_textblock]

[/av_one_third][av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_social_share title=” style=” buttons=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_comments_list]