7 Mitos da Segurança Cibernética

O computador fica mais lento quando tem vírus? Malwares afetam um sistema operacional mais do que o outro? Para responder à essas e outras perguntas que circulam por aí, a ESET, empresa líder em detecção proativa de ameaças, preparou uma lista desmistificando algumas das principais lendas da segurança digital.

Atualizações automáticas prejudicam o desempenho do meu aparelho

Antigamente, realmente era possível que um sistema ficasse lento ao ser atualizado, ou mesmo que o computador travasse. No entanto, este inconveniente foi ficando no passado e hoje os updates ajudam o usuário a manter seu computador seguro e funcionando normalmente. Estas atualizações geralmente corrigem possíveis falhas do sistema, que deixariam o dispositivo vulnerável, isso vale para celulares, PCs e outros.

Os vírus deixam meu dispositivo lento ou danificado

Mais uma lenda fundamentada em informações do passado, quando as infecções causavam lentidão nos sistemas. Atualmente, os malwares buscam mostrar propagandas ou conseguir dados sigilosos dos usuários. Para conseguir isso, muitas vezes, o invasor não deseja que seu vírus seja notado, portanto, as ameaças são desenvolvidas para passarem despercebidas, provocando o mínimo de mudanças possível. Já nos dispositivos móveis, ter um vírus instalado pode fazer com que a bateria acabe mais rápido, mas dificilmente o aparelho será danificado, já que ninguém ganha nada com isso.

Não tenho nada que interesse a um cibercriminoso

É bastante comum as pessoas acharem que somente famosos sofrem vazamentos de informações ou roubo de dados sigilosos, pois são pessoas que despertam a curiosidade da população e, geralmente, possuem boa condição financeira. No entanto, o mais comum são pessoas desconhecidas sofrerem com malwares, roubo ou vazamento de dados, já que o acesso a dados simples como nome e número de CPF são suficientes para que um criminoso faça um empréstimo em nome da vítima, por exemplo. Um dado que comprova isso é que o Brasil é um dos países mais atingidos por golpes no Whatsapp na América Latina.

Se recebi a mensagem de um amigo, não é golpe

Mesmo ao receber uma informação de alguém conhecido, o link pode ser uma ameaça. Muitas vezes, as pessoas compartilham informações sem verificar a fonte e, com isso, podem propagar notícias falsas, que o manterão desinformado, ou mesmo algo mais perigoso. Em um ataque de phishing, por exemplo, as pessoas são levadas a uma página falsa, na qual serão incentivadas a compartilhar dados pessoais, como nome completo, e-mail, telefone e até dados bancários em troca de prêmios, brindes ou resgate de dinheiro.

Malwares atacam somente Windows

Este é mais um mito das antigas. Ele existe pelo fato de que até alguns anos atrás, o Windows era o sistema operacional mais utilizado, portanto, os atacantes virtuais desenvolviam muitas ameaças para essa plataforma. No entanto, atualmente, outros sistemas muito utilizados possuem diversas ameaças detectadas. De acordo com pesquisa da ESET, no primeiro semestre de 2018, o Android teve um total de 322 falhas de segurança, sendo que 23% delas foram críticas. Enquanto isso, o iOS, foi teve 122 vulnerabilidades detectadas, sendo 12% delas críticas.

Posso instalar um vírus assistindo vídeos?

Muitas mensagens circulam por aí alertando sobre um vídeo que estaria espalhando vírus. Porém, hoje em dia, a maioria dos vídeos são hospedados em plataformas como YouTube e Vimeo e não representam riscos se assistidos diretamente de lá. Porém, se o vídeo tiver que ser baixado no computador ou celular, aí sim a ameaça pode existir. Vale ficar de olho no formato do arquivo para saber se de fato é um vídeo, já que o arquivo pode ser um trojan ou possuir extensão dupla, contendo código malicioso, deve-se ter em mente que isso não ocorre somente com vídeo, pode ocorrer com uma foto ou mesmo com aplicativos relacionados. Extensões como .mp4, .mov, .avi e .wmv são as mais comuns para vídeos.

Posso ter meu celular clonado apenas por atender uma ligação?

Outra mensagem comum é o alerta para não atender à ligações de um determinado número, pois seu celular será clonado. Trata-se de mais um boato, talvez um dos mais antigos que circulam desde a popularização dos aparelhos móveis. A ESET esclarece que a clonagem de um número é sim possível por meio de outras formas mais complexas, mas não ao simplesmente atender uma ligação.

“Para aproveitar a internet com segurança, é necessário que o usuário se livre de antigas crenças e se conscientize da melhor maneira de proteger seus dispositivos contra malwares, phishings e outras ameaças. O melhor caminho é sempre o bom senso na hora de navegar, evitando o preenchimento de informações em sites desconhecidos, e possuir um antivírus robusto instalado, para melhorar a proteção contra as principais ameaças que qualquer dispositivo pode enfrentar”, aconselha Camillo Di Jorge, country manager da ESET no Brasil.

Para mais informações, acesse: http://www.welivesecurity.com/br/

Compartilhar

Seis passos para implementar um Sistema de Gestão de Segurança da Informação

A ESET, líder em detecção proativa de ameaças, aborda os pontos de partida para o desenvolvimento de um Sistema de Gestão de Segurança da Informação (SGSI), dando ênfase nos aspectos que devem ser considerados antes da implementação da ISO 27001, e que se mostrem úteis durante as fases de planejamento e operação do SGSI dentro de uma organização.

“Por ser um processo contínuo de manutenção e revisão, a gestão da segurança da informação constitui um conjunto de engrenagens compostas por diferentes fatores e elementos. De início, isso significa projetar, implementar e manter uma série de processos que permitam o gerenciamento eficiente de informações, garantindo assim integridade, confidencialidade e disponibilidade. É possível também criar um modelo próprio de gerenciamento, desde que sejam considerados todos os fatores essenciais do ciclo para que o sistema seja eficiente”, diz Camilo Gutierrez, diretor do Laboratório de Pesquisa da ESET América Latina.

Embora não haja um passo a passo sobre como implementar um gerenciamento padrão, existem fatores essenciais para uma melhor projeção dos esforços e conquista de resultados aceitáveis. Os aspectos a considerar são:

1. Apoio e patrocínio

O principal elemento que deve ser levado em conta antes da implementação é o respaldo da alta administração em relação às atividades de segurança da informação, especialmente ao iniciar a operação de um SGSI.

O suporte e o empenho desta área refletem um esforço conjunto, diferentemente de um projeto isolado e gerenciado por um único colaborador. Igualmente, a formação de estruturas complexas dentro das organizações é útil, o que permite a cooperação dos representantes de diferentes áreas em funções relevantes.

2. Estrutura para tomada de decisões

Uma boa prática é desenvolver a estrutura adequada para a tomada de decisões em torno do sistema de gestão.Com a criação de um fórum ou comitê de segurança, é possível efetivar o que foi determinado como governança da segurança da informação, ou seja, todas as responsabilidades e ações exercidas pela alta administração em termos de segurança.

3. Análise de brechas

A análise de brechas ou GAP Analysis é um estudo preliminar que permite conhecer a maneira como uma organização lida em termos de segurança da informação. Quando comparadas às melhores práticas reconhecidas na indústria, são usados critérios estabelecidos como padrões. A análise estabelece a diferença entre a performance atual e a desejada. Embora esse diagnóstico seja aplicável a qualquer norma certificável, geralmente é realizado para novos esquemas de certificação, que são os que geram mais dúvidas nas organizações, por serem novidade.

4. Análise de impacto no negócio

A análise de impacto do negócio (BIA, em inglês) é um elemento usado para prever as consequências em caso de incidente ou desastre dentro de uma organização. O objetivo principal é fornecer uma base para identificar os processos críticos para a operação de uma organização e a priorização desse conjunto de processos, seguindo o critério de quanto maior o impacto, maior será a prioridade.

5. Recursos, tempo, dinheiro e pessoal

Com base nos resultados da análise, é possível estimar os elementos necessários para a implementação da ISO / IEC 27001. No caso do primeiro ciclo de operação, recomenda-se um período com menor carga de trabalho para implementação, permitindo planejamento adequado ou, se necessário, a contratação de novos funcionários focados nesta tarefa.

É recomendável que o tempo dedicado ao sistema de gerenciamento não exceda um período superior a um ano antes do primeiro ciclo estar completo, devido a diferentes razões, como mudanças contínuas nos riscos, alteração das prioridades da administração em relação a proteção de ativos, aparição de novas ameaças, entre outros.

6. Revisão dos padrões de segurança

É necessário conhecer a ISO / IEC 27000, que permite entender os princípios sobre os quais a implementação de um ISMS se baseia.

A ISO / IEC 27000 contém o glossário de todos os termos utilizados na série 27000, um resumo geral desta família de padrões, bem como uma introdução ao SGSI. Cada implementação é diferente devido às condições, necessidades e recursos de cada organização. No entanto, esses elementos podem ser aplicados de forma geral, uma vez que os padrões definem o que deve ser feito, mas não a maneira de fazê-lo.

“Por meio das melhores práticas da indústria e do consenso de especialistas no assunto, estes elementos podem ser essenciais para o sucesso da iniciativa de operar e manter um SGSI dentro da empresa, com o objetivo de proteger informações e outros ativos”, conclui Gutiérrez.

Compartilhar