Cibercrime nas mídias sociais cresce

O WhatsApp é o mais novo canal de comunicação suscetível a fraudes, enquanto o Twitter, apesar da popularidade mundial, é o menos usado para praticar fraudes. As informações são do estudo Hiding in Plain Sight: The Growth of Cybercrime in Social Media, divulgado pela RSA em fevereiro deste ano. A pesquisa focou no crescimento do cibercrime nas mídias sociais.

Não é surpresa que as mídias sociais estejam na mira dos criminosos, afinal, como são um ponto de encontros para amigos e funcionam como canais eficientes na divulgação rápida de notícias, atraem todo tipo de gente, inclusive os criminosos.

O objetivo do estudo era pesquisar a estrutura, o formato e as exigências para fazer parte dos grupos de cibercrime nas principais plataformas de mídias sociais ao redor do mundo. A pesquisa mostra como cada plataforma opera, suas restrições e vantagens e analisa dados estatísticos de grupos criminosos que fazem parte dos sites e quantos membros contêm.

A pesquisa estudou mais de 500 grupos dedicados à pratica de fraudes nas redes sociais ao redor do mundo, com cerca de 220 mil membros investigados no total. Mais de 60%, ou aproximadamente 133 mil membros, foram encontrados no Facebook agindo de maneira independente.

O cibercrime nas mídias sociais é mais receptivos

Com mais de 1,6 bilhão de usuários ativos mensalmente, o Facebook é, de longe, a maior plataforma de mídia social e a mais popular do mundo em 75% do globo.

Teoricamente, esperava-se que grupos dedicados à aplicação de golpes ajustassem suas configurações de privacidade para “secreto” na tentativa de se manterem escondidos. No entanto, a pesquisa encontrou uma série de grupos que operam em modo visível. Além disso, mesmo quando os grupos se reúnem em páginas fechadas, basta um simples pedido para fazer parte do grupo para ganhar acesso.

O processo é bem diferente do aplicado pelos grupos de fraude na deep web, que exigem uma série de referências para aceitar um novo membro.

Outra descoberta interessante da pesquisa é que, nos Estados Unidos e em países da Europa Ocidental, os grupos que praticam fraudes ainda são mais restritos à deep web e poucos agem nas mídias sociais.

Brasil tem grandes grupos de fraudes no Facebook

Como país que mais sofre com fraudes bancárias na América Latina, não é surpresa que o Brasil também conte com grandes grupos de fraudes no Facebook – os quatro maiores grupos contêm 70% dos membros da comunidade de fraudes.

Segundo o relatório da RSA, as ações criminosas mais praticadas pelos grupos no país são: venda de dados de cartão de crédito, notícias falsas, comprometimento de contas online e envio de documentos falsos.

Soluções de business analytics ganham espaço na América Latina

Os países da América Latina têm enfrentado tempos difíceis em razão da crise econômica, em especial o Brasil, que foi um dos que mais sofreram com a alta do dólar. Apesar das dificuldades, no entanto, 2016 tem tudo para ser o ano das soluções de business analytics devido às grandes oportunidades oferecidas pelo potencial de transformação digital na região.

A América Latina demonstra que, quando se dedica à aplicação de novas tecnologias e práticas, seu potencial de expansão econômica é muito maior. Veja algumas forças que devem direcionar a adoção de novas tecnologias de análise e interpretação de dados na região.

Mobilidade

Segundo dados divulgados pelo IDC em dezembro de 2015, em 2014 havia 689 milhões de celulares na América Latina, dos quais 52% são smartphones. Em 2019, mais da metade dos trabalhadores da região terão smartphones.

Se as empresas investirem com sabedoria nessa tendência, poderão melhorar os níveis de eficiência operacional e criar novos serviços e mercados. É o caso, por exemplo, dos bancos, especialmente os brasileiros, que investem cada vez mais no mobile, oferecendo opções de depósito, transferência e extrato por meio dos dispositivos móveis. A tendência é que o mobile se torne o principal meio usado pela população mais jovem.

E-commerce

A classe média cresceu 50% entre 2000 e 2010 na América Latina, de acordo com dados do Banco Mundial. São cerca de 50 milhões de novos compradores cada vez mais sofisticados e conectados. Os compradores da América Latina ainda estão em uma fase inicial de migração para o e-commerce, dando às empresas (tanto as novatas quanto as mais tradicionais) oportunidades de otimizar sua presença na web para conquistar uma maior fatia do mercado.

Internet das coisas

As indústrias de commodities, energia e manufatura podem melhorar seus níveis de eficiência operacional e criar novos serviços com dados gerados por máquina. Segundo estudo do IDC, o mercado de internet das coisas vai dobrar, atingindo US$ 15,6 bilhões entre os anos de 2014 e 2020 à medida que o número de endpoints na região deve triplicar para mais de 800 milhões.

Todas essas forças dependem das soluções de business analytics, que trarão mais eficiência e efetividade à análise e interpretação de dados. As empresas que mais tirarão proveito dessas vantagens serão àquelas que não têm medo de abraçar novas plataformas e fontes de dados em tempo real.

Para analisar essas novas fontes, especialmente os dados gerados por máquina, as empresas precisarão de novas soluções de analytics capazes de dar às organizações mais poder de modificar sua arquitetura e seus fluxos de trabalho sem ter de tornar os processos mais complexos. Isso significa automatizar o tráfego de tabelas e dados não estruturados, eliminando os comandos manuais.

Quer saber mais sobre como o business analytics está revolucionando o mercado? Leia o whitepaper da PROOF Como big data e business analytics podem mudar o rumo do seu negócio.

Com Smart Data Collective

Entenda por que compliance não é estratégia de segurança

Muitas empresas consideram compliance uma estratégia de segurança efetiva. O resultado dessa prática, porém, pode ser desastroso. No Brasil, onde as leis de segurança ainda são fracas, principalmente em comparação com os Estados Unidos, por exemplo, em que existem regras para diferentes indústrias, como o Health Insurance Portability and Accountability Act (HIPAA), essa estratégia de segurança pode ser ainda mais problemática.

Segundo o diretor de engenharia da PROOF, Leonardo Moreira, é comum ver o investimento em ferramentas que, a rigor, não vão proteger o ambiente, mas vão cumprir com alguns padrões. “Muitas empresas investem em ‘commodities’, como firewalls e controles de prevenção, que não são o suprassumo da segurança, mas serão suficientes quando a empresa receber a visita de um auditor”, explica.

Porém, é preciso ir bem além dos padrões para proteger dados sensíveis. Veja por que essa estratégia de segurança não é eficiente:

Não há proteção aos dados em si

Firewalls e ferramentas de prevenção e detecção fazem bem pouco pela segurança dos seus dados. É preciso fazer um inventário de todos os ativos de dados da empresa e controles de acesso e determinar quais recursos são mais importantes para o negócio.

Boa parte do acesso às informações da empresa é feito por funcionários fora do local de trabalho, por meio de serviços baseados na nuvem, logo, ferramentas de proteção do perímetro são pouco efetivas como soluções únicas de segurança.

Não há classificação dos dados

Muitas empresas ainda têm problemas para classificar seus dados e são incapazes de dizer onde estão seus dados sensíveis para protegê-los de maneira apropriada. Por isso, é preciso determinar políticas e processos de negócio eficientes para lidar com as informações corporativas.

Nem todos os dados coletados pela organização são absurdamente valiosos. Por isso, os líderes de segurança precisam trabalhar em parceria com o CIO para desenvolver uma estratégia eficiente que priorize o que é mais importante.

Confira o eBook Como Reduzir Custos e Ameaças em 2016, e conheça outras maneiras de desenvolver uma estratégia de segurança efetiva, incluindo o uso de soluções modernas de acordo com as necessidades do negócio.

Com CSO Online

Processos de negócio ultrapassados podem matar sua segurança

Os controles fracos de segurança não são os únicos responsáveis pelos ataques que seus dados sofrem, processos de negócio legados e ultrapassados no dia a dia da sua empresa também influenciam a eficácia dos seus programas de segurança da informação.

Para identificar se sua empresa sofre desse mal, é importante executar uma auditoria completa de como o negócio opera. Isso inclui analisar cada função em andamento, uma prática cada vez mais comum, de acordo com o diretor de engenharia da PROOF, Leonardo Moreira. “No Brasil vemos que é uma tendência mapear as técnicas de negócio, de análise de negócio, para depois pensar em segurança”, explica. Assim, é possível dizer o que ela pode sofrer de ameaça nos próximos três anos, inclusive incidentes graves.

Indícios de que os processos de negócio vão mal

Muitas vezes, ainda que os processos tenham sido “automatizados”, seguem sendo desempenhados da mesma maneira que eram na época “do papel”. Ou seja, os métodos foram mantidos, a diferença é que tudo foi digitalizado.

Imagine, por exemplo, uma empresa que mantém diversas cópias dos dados de seus clientes em diferentes partes do ambiente corporativo. Isso certamente é resultado de um procedimento legado que exigiu que essas informações fossem replicadas e armazenadas em locais diversos, que, muitas vezes, não são bem protegidos.

Um bom processo de negócio ditaria que os dados fossem armazenados em um único local seguro e que os funcionários teriam acesso a eles de acordo com a necessidade, sem necessidade de replicá-los ou movê-los.

Evolua os procedimentos

A evolução dos processos é bastante vantajosa para a segurança da informação. Considere, por exemplo, a indústria de cartões de crédito. Enquanto algumas empresas continuam seguindo o que é determinado por procedimentos legados – que inclui um caminho de 16 passos até que o pagamento seja aprovado – algumas organizações, como a M-Pesa, do Quênia, reduziram consideravelmente o processo, diminuindo também os vetores de ataque. O novo processo é baseado no telefone e requer apenas a digitação da quantia que uma pessoa quer pagar, assim, nenhum dado sensível do usuário é pedido e, portanto, nenhuma informação pode ser comprometida durante o processo.

De nada adianta investir em controles caros de segurança se por trás não houver processos de negócio inteligentes. Por meio de uma análise baseada no negócio, as empresas podem descobrir que precisam gastar muito pouco para ter um programa de segurança efetivo.

Com Dark Reading

Como pensar a segurança da informação para pequenas empresas

No Brasil as empresas de pequeno e médio porte em geral não se preocupam com a segurança da informação por não se acharem importantes o bastante para serem alvo de criminosos e, por consequência, não verem valor nisso.

Existe uma falta de entendimento sobre como a segurança é importante para o negócio e quais seriam as consequências de um ataque bem-sucedido. Se grandes empresas perdem milhões em grandes ataques, para empresas pequenas o dano pode ser catastrófico.

Porém, em tempos de crise, por onde começar? Siga os nossos passos:

Entenda a ameaça real

Um erro comum de pequenas e médias empresas é achar que elas não são um alvo, porém, o relatório Verizon Data Breach Investigations Report de 2015 notou que 60% dos ataques bem-sucedidos foram direcionados às pequenas e médias empresas justamente porque elas não têm a expertise e os recursos necessários para monitorar e gerenciar produtos de segurança no seu ambiente. O relatório também mostrou que os estragos não são em menores proporções quando se trata de empresas pequenas. Grandes empresas de fato têm perdas maiores, mas apenas porque têm mais registros para perder.

Outra razão para que as pequenas e médias empresas corram riscos é achar que basta se proteger para propósitos de compliance, porém, passar em auditorias não quer dizer que a empresa esteja segura. É comum o investimento em ferramentas como firewalls e sistemas de segurança básicos para cumprir com normas de auditorias, enquanto soluções mais modernas são ignoradas.

Segurança da informação é essencial para o negócio

No Brasil ainda são pequenos os investimentos em inteligência em segurança da informação. O budget ainda é direcionado para a troca de um equipamento ou outro que, no final, acaba não acrescentando em nada à segurança.

A falta de maturidade em segurança da informação das pequenas e médias empresas as leva a pensar que a segurança se resume à compra de novos aparatos tecnológicos e não à proteção dos dados. A compra de novos softwares são apenas uma parte da estratégia, que inclui a implementação de políticas de segurança para proteger os ativos da empresa.

Para isso é importante conhecer as vulnerabilidades do negócio, ter capacidade de quantificar o impacto dessas vulnerabilidades caso sejam exploradas, determinar o nível de risco aceitável e o que deve ser mitigado e só então pensar na implementação de tecnologias e processos para eliminar os riscos.

Escolha o melhor parceiro

Nas pequenas empresas é comum ter apenas uma pessoa responsável pela segurança da informação. Quando o negócio vai crescendo e as demandas aumentam é comum recorrer a um parceiro de segurança da informação, que oferecerá implementações, consultorias e serviços gerenciados de segurança (em inglês, Managed Security Service – MSS).

Para isso, é preciso considerar o nível de expertise e de recursos e procurar um serviço que proteja o ambiente durante 24h e sete dias por semana. A empresa precisa ter conhecimento dos produtos de segurança oferecidos e capacidade de detectar e solucionar ameaças, como o MSS PROOF.

Com Dark Reading

Custo das violações de dados no Brasil

Um estudo do Instituto Ponemon, de 2015, feito com 34 empresas de 12 diferentes setores da indústria brasileira, revelou que o custo médio total das violações de dados para as empresas do país é de R$ 3,9 milhões. O número é 10% maior em relação ao de 2014, quando o custo médio das violações era de R$ 3,6 milhões.

A pesquisa ainda revelou o custo por cada perda ou roubo de registros contendo informações sensíveis, que subiu de R$ 157, em 2014, para R$ 175 em 2015.

No caso de algumas indústrias, o custo por cada registro perdido ou roubado é maior. No caso, os setores de serviços, comunicações, energia e finanças são os que mais sofrem, com custos muito mais elevados que a média geral, de R$ 175: R$ 233, R$ 222, R$ 216 e R$ 214, respectivamente.

Os setores público e de transporte são os que têm os custos mais baixos por perda ou roubo de registros de dados: R$ 111 e R$ 70, respectivamente.

Ataques maliciosos são a principal causa de violações

Os ataques maliciosos ou criminosos respondem por 38% dos incidentes. Os dados violados por meio de ataques do tipo também são os mais caros para as empresas, custando cerca de R$ 202 por registro perdido ou roubado. Entre as outras causas dos incidentes, aparecem a negligência de colaboradores (32%) e as falhas no sistema (30%).

Além dos custos relacionados à contratação de experts para entender as causas da violação de dados e restaurar os sistemas de segurança, alguns setores sofrem mais com o turnover de clientes que os outros. O setor financeiro é o que mais sofre impacto, com altas taxas de rotatividade (5%). O setor varejista, por outro lado, é o que menos sofre (exceto pelo setor público, que não tem esse problema), com apenas 1%.

Os dados de máquina são uma grande oportunidade para empresas do setor financeiro. Componentes da infraestrutura, como sistemas bancários, redes de compensação de pagamentos, servidores, aplicações e plataformas de serviços mobile geram grandes volumes de dados de máquinas todos os dias.

A PROOF é a principal parceira da Splunk na América Latina e desenvolve os maiores processos de Business Analytics, fornecendo insights preciosos, além de identificar problemas, riscos e oportunidades. As ferramentas Splunk ajudam a mitigar o risco de uma violação de segurança ao identificar a fonte da ameaça, permitindo indexar dados de máquina rapidamente para correlacionar dados entre sistemas para identificar ameaças.