Tag: segurança da informação

ChatGPT: Suas Informações estão na Dark Web

Autor do post Por Arnaldo Henrique Miranda
Data de publicação 27 de junho de 2023

Em um cenário cada vez mais digital, onde novas tecnologias, a exemplo do ChatGPT, são inseridas em nosso dia-a-dia, a segurança de dados tornou-se uma prioridade incontestável.

As empresas e indivíduos se encontram constantemente na mira de cibercriminosos, dispostos a explorar qualquer brecha para obter acesso não autorizado a informações confidenciais.

Um exemplo alarmante dessa realidade é o recente vazamento de mais de 100.000 credenciais de contas do ChatGPT, uma ferramenta de inteligência artificial da OpenAI amplamente utilizada, cujas informações acabaram sendo vendidas em mercados ilícitos na dark web.

Este incidente não apenas ressalta a crescente sofisticação dos ataques cibernéticos, mas também destaca a urgência de estratégias robustas de segurança de dados para proteger as informações corporativas e pessoais contra essas ameaças.

Vazamento de credenciais do ChatGPT

O vazamento de credenciais do ChatGPT, um dos maiores incidentes de segurança de dados desde sua criação em 30 de novembro de 2022, representou um marco preocupante no cenário da cibersegurança das empresas.

Mais de 100.000 contas do ChatGPT foram comprometidas, com suas credenciais encontradas à venda em diversos mercados ilícitos na dark web, evidenciando a amplitude e a profundidade do problema.

O modus operandi consiste em Information Stealers ou ladrões de informações, softwares maliciosos especializados em roubar informações de identificação pessoal e corporativa.

Três Info Stealers, como também são conhecidos, se destacaram nesta operação: Raccoon, Vidar e RedLine. Estes se mostraram especialmente eficazes, sendo responsáveis por uma parcela significativa das credenciais roubadas e vendidas nos mercados negros da internet.

Esses info stealers, além de roubar credenciais de login, também têm a capacidade de sequestrar senhas, cookies, informações de cartões de crédito e outros dados sensíveis dos navegadores e extensões de carteiras de criptomoedas.

Um cenário preocupante para empresas que estão incorporando o ChatGPT em suas operações

O vazamento de credenciais do ChatGPT ressoa com particular intensidade no Brasil. O país se destacou infelizmente como o terceiro mais afetado por esse comprometimento de dados, com um número significativo de credenciais do ChatGPT comprometidas encontradas à venda na Dark Web.

Isso coloca tanto as empresas brasileiras como os indivíduos em uma posição de risco potencialmente elevado.

ChatGPT - suas informação estão na Dark Web - Gráfico Group IB — fonte: Group IB, 2023.

A situação é ainda mais preocupante quando consideramos o papel crescente que o ChatGPT desempenha nas operações das empresas

Muitas organizações, especialmente aquelas do setor de tecnologia, estão integrando o ChatGPT em seus fluxos operacionais para otimizar diversos processos, desde o atendimento ao cliente até a análise de dados.

No entanto, essa integração tem suas armadilhas. Dada a configuração padrão do ChatGPT, que retém todas as conversas, informações confidenciais de negócios e correspondências classificadas podem ser expostas se as credenciais de conta forem comprometidas.

Essa vulnerabilidade pode inadvertidamente fornecer uma mina de ouro de inteligência sensível para cibercriminosos, caso obtenham acesso às contas do ChatGPT.

Isso destaca a necessidade urgente de práticas de segurança robustas nas empresas, particularmente aquelas que dependem de ferramentas como o ChatGPT em suas operações diárias.

A segurança da informação, proteção e privacidade de dados não devem ser uma reflexão tardia, mas sim componentes vitais da estratégia operacional de qualquer empresa.

A importância da segurança de dados e práticas recomendadas para o uso corporativo do ChatGPT

O advento dos info stealers, que demonstraram eficácia em sequestrar senhas, cookies, dados de cartões de crédito e outras informações sensíveis dos navegadores e extensões de carteiras de criptomoedas, apresenta um desafio significativo para as empresas que utilizam ferramentas de IA como o ChatGPT no ambiente corporativo.

O uso do ChatGPT por empresas e organizações tem crescido em popularidade devido à sua capacidade de otimizar processos e melhorar a eficiência operacional.

No entanto, a configuração padrão do ChatGPT, que retém todas as conversas, pode inadvertidamente fornecer uma grande quantidade de informações sensíveis aos criminosos, caso esses consigam obter os prompts e o resultado desses.

Isso pode incluir detalhes de correspondências classificadas e códigos proprietários, criando um risco significativo de segurança para as empresas.

Mitigar riscos é fundamental para integrar o uso corporativo com os benefícios do ChatGPT

Para mitigar esses riscos, é crucial que as empresas adotem práticas de higiene de senhas robustas e implementem medidas de segurança como a autenticação de dois fatores (2FA) em seus sistemas internos.

A autenticação de dois fatores oferece uma camada adicional de proteção, pois requer que os usuários verifiquem sua identidade por meio de dois métodos diferentes antes de acessar suas contas.

Isso pode impedir efetivamente ataques de tomada de conta, mesmo que as credenciais de um usuário sejam comprometidas.

Além disso, as empresas devem considerar a implementação de políticas de segurança de dados que limitam o tipo de informações que podem ser compartilhadas através do ChatGPT.

Isto, juntamente com a educação regular dos funcionários sobre as melhores práticas de segurança de dados, pode ajudar a minimizar o risco de comprometimento das informações da empresa.

É vital que as empresas reconheçam a necessidade de incorporar práticas robustas de segurança, proteção e privacidade de dados em sua utilização do ChatGPT e de outras ferramentas de IA.

Dessa forma, elas podem aproveitar os benefícios dessas tecnologias avançadas, mantendo-se seguras contra ameaças cibernéticas.

Sobre a Eval

A Eval está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD (Lei Geral de Proteção de Dados). Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Tags ChatGPT, Inteligência Artificial, segurança da informação, Vazamento de credenciais

Novidades

Eval expande suas operações na América Latina com a abertura de uma filial na Flórida

Autor do post Por Editorial Eval
Data de publicação 12 de abril de 2023

A Eval, uma empresa de renome nacional que já vem atuando com sucesso no Brasil e na América Latina, anunciou esse ano a abertura de sua nova filial na Flórida.

Depois de quase duas décadas de dedicação e compromisso com o mercado em diferentes setores, chegou a hora de dar um passo ousado e corajoso, abrindo nosso primeiro escritório nos Estados Unidos.

Desde a nossa fundação em 2004, a Eval tem se consolidado como uma empresa referência no mercado de tecnologia, desenvolvendo soluções inovadoras em segurança da informação no Brasil.

A expansão internacional é mais do que apenas uma etapa de crescimento

A expansão tem como objetivo atender ao crescente mercado de cibersegurança e meios de pagamento na região, que, segundo dados do site Statista, deve dobrar de tamanho nos próximos anos.

Adicionalmente, a América Latina vivencia um aumento expressivo no mercado de cibersegurança, resultado de uma combinação de fatores relevantes, tais como:

Aumento do uso da internet e adoção de tecnologias digitais.
Crescimento do comércio eletrônico e dos serviços de pagamento digital.

Maior conscientização sobre a importância da segurança digital e da privacidade dos dados.
Implementação de regulamentações de proteção de dados e privacidade, como a LGPD no Brasil.
Aumento nos casos de ciberataques e incidentes de segurança.

Casos de sucesso na América Latina

Nos últimos anos, a Eval já atuou em diversos projetos na América Latina. Entre eles, destaca-se o desenvolvimento de diversos projetos de internet banking para um banco global e a participação no projeto Mercosul Digital, financiado pela Comunidade Europeia e apoiado pelo Ministério de Ciência e Tecnologia do Brasil.

No Mercosul Digital, o objetivo do projeto foi analisar a situação da Infraestrutura de Chaves Públicas (ICP) na Argentina, Paraguai e Uruguai e propor a complementação da infraestrutura necessária. No Paraguai, o projeto também envolveu a geração de normalização técnica.

Outro exemplo de sucesso da atuação da Eval na América Latina foi um projeto de meios de pagamento, no qual fornecemos os equipamentos e serviços profissionais especializados.

Essa experiência diversificada permite que a Eval compreenda as necessidades específicas de cada mercado e ofereça soluções personalizadas e inovadoras.

Nosso objetivo na Flórida é garantir que nossos clientes tenham acesso aos melhores recursos tecnológicos voltados a segurança da informação

Com a abertura da filial na Flórida, a Eval pretende ampliar ainda mais sua presença na América Latina, focando especialmente na área de serviços profissionais.

A empresa tem buscado qualificação junto aos fabricantes para garantir a oferta de serviços de alta qualidade e atualizados com as mais recentes tecnologias e práticas do mercado.

Para melhor atender seus clientes na região, a Eval desenvolveu um site trilíngue, disponível em português, inglês e espanhol, facilitando o acesso à informação e o contato com a empresa para clientes dos diversos países da América Latina.

“A experiência que já possuímos no mercado brasileiro e nos projetos na América Latina nos dá a confiança e a expertise necessárias para expandir nossas operações na região. Estamos comprometidos em oferecer soluções de cibersegurança e meios de pagamento de ponta, sempre buscando a excelência em nossos serviços profissionais e o atendimento personalizado a cada cliente”.
Marcelo Giusti Tiziano, Diretor da Eval.

A expansão da Eval para a América Latina é um passo importante para a empresa e para a região, já que demonstra o compromisso da Eval em contribuir para o crescimento e a segurança digital dos países latino-americanos.

A filial americana na Flórida será uma base estratégica para a empresa, permitindo uma maior proximidade com os clientes e o mercado local, além de facilitar a comunicação e a logística entre os diferentes países da região.

Para mais informações sobre a Eval e suas soluções em cibersegurança e meios de pagamento, visite o site oficial da empresa em https://eval.digital/

Sobre a Eval

A EVAL está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags América Latina, expansão internacional, segurança da informação

Proteção de dados

Informações pessoais de saúde: garantia de segurança e proteção

Autor do post Por Editorial Eval
Data de publicação 28 de abril de 2020

O acesso a informações de saúde requer garantia de segurança e proteção de dados

Informações pessoais de saúde se referem, em suma, a informações demográficas, históricos médicos, resultados de exames e laboratórios, condições de saúde mental, informações sobre seguros e outros dados que um profissional de saúde coleta para identificar um indivíduo e determinar cuidados adequados.

Essas mesmas informações detalhadas a respeito de nossa saúde também são um produto. Além do uso para pacientes e profissionais de saúde, elas também são valiosas para pesquisadores clínicos e científicos quando anonimizadas.

Para hackers esses dados são um tesouro. Afinal, são informações pessoais de pacientes que podem ser roubadas e vendidas em outro lugar. E ainda, eles podem sequestrar os dados através de ransomware até que a instituição médica pague o valor do resgate.

As instituições médicas lidam com informações pessoais de saúde e isso pode ser um risco

Como vimos, pela natureza do setor, as instituições de saúde lidam com dados confidenciais dos pacientes. Essas informações incluem data de nascimento, condições médicas e solicitações de seguro de saúde.

Seja em registros em papel ou em um sistema de registro eletrônico, as informações pessoais de saúde descrevem o histórico médico de um paciente, incluindo assim doenças, tratamentos e resultados.

Para se ter uma ideia, desde os primeiros momentos após o nascimento, um bebê hoje provavelmente terá suas informações pessoais de saúde inseridas em um sistema de registro eletrônico de saúde, incluindo peso, comprimento, temperatura corporal e quaisquer complicações durante o parto.

O rastreamento dessas informações durante a vida de um paciente oferece ao médico o contexto da saúde da pessoa. Dessa forma fica melhor para o profissional tomar decisões de tratamento.

Quando registradas de forma adequada, as informações pessoais de saúde podem ser armazenadas sem recursos de identificação e adicionadas anonimamente a grandes bancos de dados de informações de pacientes.

Esses dados não identificados podem contribuir para a gestão de saúde da população e programas de cuidados baseados em valor.

Entretanto, há casos em que as medidas de segurança, proteção e privacidade de dados não são aplicadas. Assim instituições de saúde, funcionários e principalmente os pacientes correm um sério risco.

Ameaças de segurança cibernética na saúde afetam pacientes e instituições

À medida que a tecnologia avança, os profissionais de saúde trabalham para implementar inovações visando a melhora dos atendimentos, mas as ameaças à segurança cibernética também continuam evoluindo.

Ataques de ransomware e violações de dados de assistência médica continuam sendo as principais preocupações de entidades de saúde e parceiros de negócios de todos os tamanhos.

O ransomware é um bom exemplo de grande impacto para o setor de assistência médica. Ele é considerado de alto risco, uma vez que as organizações de saúde são encarregadas de cuidar de pessoas. Assim, se certas informações ficarem trancadas ou inacessíveis, esse cuidado poderá ser afetado.

A responsabilidade pela proteção das informações pessoais de saúde são de todas as instituições e seus parceiros de negócio

Uma situação às vezes mal interpretada pelas instituições de saúde é que a privacidade e a segurança das informações de saúde nem sempre se movem em conjunto.

Embora a privacidade exija medidas de segurança, é possível ter restrições de segurança que não protegem totalmente as informações privadas de pacientes e responsáveis.

Vamos pensar em um exemplo: se uma instituição de saúde ou um fornecedor de nuvem compartilham dados médicos criptografados para uma clínica ambulatorial, a proteção e a privacidade podem ficar em risco.

Afinal, as instituições precisam firmar um contrato de parceria que inclua requisitos dos processos e políticas de segurança de dados. Se isso não ocorrer, as informações compartilhadas correm alto risco.

Apesar do grande risco, é possível proteger sua organização contra o cibercrime assegurando as informações dos pacientes

Os ataques de ransomware e outros cibercrimes ocorrem quando algum hacker obtém acesso à rede de uma organização. Na sequência, arquivos são criptografados ou roubados.

No caso específico do ransomware, os arquivos ficam inacessíveis pelo alvo até que um valor seja pago como resgate.

Para proteger a sua organização contra ataques como esse e outros crimes cibernéticos direcionados ao setor de saúde, os especialistas em proteção de dados recomendam dez práticas visando a garantia das informações de saúde:

1. Defina políticas e processos claros de proteção e privacidade de dados

Um importante passo na proteção e privacidade das informações de saúde de pacientes e responsáveis é definir de forma clara as políticas e processos de proteção e privacidade de dados.

Esse é o pontapé inicial para todos as demais recomendações de segurança em benefício das instituições médicas.

2. Proteja as informações do paciente no local de trabalho

Utilize controles de acesso a fim de garantir que as informações de saúde dos pacientes sejam acessadas apenas pelos funcionários autorizados.

3. Realize a capacitação dos funcionários sobre políticas e processos de proteção e privacidade de dados de saúde

Uma instituição de saúde protegida deve treinar todos os membros da sua força de trabalho sobre as políticas e procedimentos com relação às informações pessoais de saúde.

O treinamento deve ser fornecido a cada novo profissional dentro de um período razoável de tempo após a pessoa ingressar na instituição.

Além disso, os membros do time também devem ser treinados se suas funções forem afetadas por uma mudança material nas políticas e procedimentos nas regras de privacidade e proteção definidas.

4. Procedimentos para divulgação ou compartilhamento de informações de saúde devem ser documentados e autorizados

É necessária uma autorização por escrito do paciente quando uma instituição de saúde precisar compartilhar ou divulgar documentos, informações ou notas de psicoterapia, distúrbio de abuso de substâncias e registros de tratamento.

5. Defina procedimentos seguros de armazenamento e recuperação de dados de saúde

Backup dos dados devem ser feitos periodicamente. Aliás, é uma prática recomendada também fazer backup de dados regularmente por meio de hardware, como unidades flash e discos rígidos externos, e depois copiar os dados pela nuvem enquanto ela está sendo modificada.

Essa redundância garante que informações críticas estejam prontamente disponíveis. Se possível, as instituições de saúde devem ter backups em vários locais.

6. Firewalls são essenciais para garantir que as informações protegidas não sejam destruídas incorretamente

Usar adequadamente um firewall pode ajudar a evitar que sua instituição seja vítima de um acesso não autorizado com potencial de comprometer a confidencialidade, integridade ou disponibilidade das informações de saúde dos pacientes.

7. Dados de saúde registradas em papel devem ser protegidas

A preocupação com a proteção de dados e privacidade também se aplica ao uso de papel e outros arquivos físicos. Além de políticas e procedimentos abrangendo a segurança física de documentos, os funcionários devem ser orientados a relatar imediatamente todos os incidentes que possam envolver a perda ou roubo de tais registros em papel.

8. Informações pessoais de saúde nunca devem ser deixadas sem supervisão

Cuidados extras devem ser tomados quando os prontuários dos pacientes são transportados temporariamente para outras instituições de saúde.

Essas informações devem ter a supervisão e proteção de profissionais responsáveis durante o percurso, entrega e armazenamento das informações pessoais de saúde.

9. A criptografia de documentos e dispositivos deve proteger dados médicos contra cibercriminosos

Em suma, os dispositivos e documentos devem ser protegidos com uso da criptografia e assinatura digital durante o compartilhamento entre instituições e outros profissionais de saúde.

10. Manter os softwares antivírus e antimalware atualizados é de vital importância para informações pessoais de saúde

Além disso, a atualizações e patches de software devem ser aplicados em tempo hábil para manter as redes e sistemas seguros.

Vale lembrar também que o bom senso é sempre uma boa prática recomendada. Os funcionários nunca devem compartilhar senhas. As senhas padrão devem ser alteradas imediatamente após a atribuição de um novo aplicativo. Por fim, elas não devem ser reutilizadas entre sistemas diferentes e devem também ser alteradas caso forem comprometidas.

O objetivo final é atingir níveis elevados de segurança, proteção e privacidade de dados, garantindo assim a integridade das informações pessoais de saúde de pacientes e demais responsáveis.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags Assinatura Digital, criptografia, proteção de dados, randomware, segurança da informação

Proteção de dados

A identidade digital beneficia empresas e clientes

Autor do post Por Editorial Eval
Data de publicação 29 de janeiro de 2020

Fornecer uma ótima experiência do cliente é essencial nesta era digital, é neste momento que a identidade digital faz a diferença.

As empresas entendem que fornecer uma ótima experiência do cliente é essencial nesta era digital. E a identidade digital é um dos principais caminhos.

Porém, para muitos gestores as solicitações de identificação digital e o compartilhando de informações pessoais prejudicam as estratégias voltadas para facilitar a interação de usuários em operações que envolvam a conversão em negócios através de transações digitais.

A prática comum de pedir que clientes confirmem suas identidades em todos os pontos de contato tornou-se um obstáculo. Essa situação afeta tanto os atendimentos quanto a segurança de dados.

Não é potencialmente arriscado continuar informando dados pessoais considerados sensíveis? Quem pode estar escutando ou lendo essa informação? E por que fornecer identificação digital para, por exemplo, se inscrever em um boletim informativo? O que isso tem a ver com segurança?

Os desafios na gestão de identidades digitais

As questões acima destacam dois desafios do gerenciamento de identidades digitais dos clientes.

O primeiro deles é o processo oneroso para o qual a maioria das estratégias de segurança é padronizada, tornando potencialmente tão difícil, “comprar um chaveiro de substituição para um conjunto de chaves do carro quanto comprar o próprio carro”.

A seguir, é apresentada uma visão confusa para o cliente, onde a validação digital geralmente não está conectada à validação não digital. Além disso, os registros de acesso para diferentes pontos de contato do cliente são armazenados em locais separados.

São muitos pontos, mas nenhuma maneira de conectá-los, esse formato ainda é um padrão para muitas empresas.

Por trás desses desafios está a tensão entre os líderes de TI e seus colegas de marketing. Afinal os primeiros desejam proteger esses dados e os segundos desejam explorá-los para melhorar a experiência do cliente.

Diante disso, as duas perspectivas podem ser difíceis de conciliar.

Identificação digital: o potencial para impulsionar o valor da marca

Os CMOs (Chief Marketing Officer) de hoje tem como grande desafio impulsionar o valor da marca. Esse valor vem do prazer dos clientes. Muitas vezes os clientes ficam encantados quando se sentem conectados às marcas.

Entretanto, a possibilidade de isso acontecer costuma estar relacionada aos profissionais de marketing obterem acesso aos dados pessoais necessários para personalizar a experiência do cliente.

Quando bem feitas, essas experiências personalizadas podem criar não apenas confiança, mas também a defesa de marca.

Imagine por exemplo um jogador de futebol leal a uma determinada marca. Como essa marca ganhou sua confiança, ele compartilha informações pessoais que não necessariamente compartilharia com outras marcas de futebol.

A experiência do cliente, a conexão emocional criada, o valor da marca percebido, essas coisas agora são inseparáveis e dependem da identidade digital.

A identidade digital é o combustível para o envolvimento do cliente. É também uma fonte de grande preocupação para os CIOs, CISOs e equipes de TI responsáveis por garantir a segurança de informações confidenciais, como identidades digitais por exemplo.

Porém, embora esses pontos para a experiência do cliente e segurança pareçam contraditórios, eles não precisam ser.

Afinal, há um caminho convergente. O que as equipes de marketing e tecnologia precisam para atender melhor e com mais segurança os clientes é uma maneira de ver e conectar os pontos. Uma maneira de fazer isso: autenticação de identidade digital baseada em risco.

Quatro princípios de gestão de identidade digital baseado em risco

Os líderes de negócios e de TI devem considerar a noção de que a identidade do cliente não se refere apenas à segurança.

Em vez disso, eles podem pensar nele como um recurso que também pode ser aplicado de maneira flexível em várias plataformas e adaptado a movimentos de marketing e preferências individuais, além de tornar menos óbvio para os clientes.

Os líderes de marketing e TI podem se ajudar trabalhando juntos para projetar um sistema com quatro características bem definidas.

1. Dependência de contexto

As empresas que usam uma abordagem flexível podem, por exemplo, exigir vários meios de autenticação para transações financeiras, mas em um nível mais baixo de verificação para interações, como atualizar uma assinatura de boletim.

Esse tipo de autenticação baseada em risco tem o benefício potencial de melhorar a experiência do cliente e reduzir a complexidade para a organização.

2. Transparência

Em vez de se destacar como uma atividade onerosa e separada, a autenticação baseada em risco pode ser parte integrante das experiências on-line em que os clientes já se envolvem, como por exemplo: pesquisar, comprar, fazer manutenção ou registrar-se.

Livrar-se dos CAPTCHAs ou de lembrar o nome de alguma coisa favorita em cada etapa da jornada do cliente é apenas parte da mudança.

Afinal, nessa visão a configuração inicial dos perfis de identidade dos clientes é mais abrangente e se expande além de apenas alguns testes óbvios, de modo que menos etapas de autenticação visíveis (se houver) são necessárias quando o cliente se envolve.

3. Personalização

A era digital nos permitiu definir escolhas: um cliente pode gostar de autenticar através de um gerenciador de senhas seguro, enquanto outro pode preferir o reconhecimento biométrico.

Combine essa capacidade de escolher com um sistema de gerenciamento de relacionamento baseado em identidade capaz de aplicar essas preferências ao longo do tempo e das plataformas, e o resultado pode ser uma experiência que incentiva os clientes a se envolverem com uma marca com mais frequência e com mais disposição.

4. Onipresença

Qualquer sistema de identidade digital amigável ao cliente deve funcionar de forma consistente nas plataformas de marketing, de comércio eletrônico, gestão e ferramentas de comunicação, para que os clientes não precisem lidar com diferentes requisitos de autenticação para diferentes partes do negócio.

Trabalhando juntos para garantir que esse seja o caso, o marketing, a TI e outros líderes podem ajudar a fornecer uma experiência do usuário unificada e segura, começando assim a construir a lealdade e a confiança da marca.

Gerando identidades digitais

Uma identidade digital pode ser criada por meio de um certificado digital emitido por uma Autoridade de Certificação (AC), com base em criptografia assimétrica.

O certificado contém dados que estão associados a um usuário ou dispositivo (por exemplo, seu nome ou a cópia da chave pública).

O uso de certificados digitais tem muitos benefícios para as organizações, por exemplo:

Garantir conformidade legal;
Alto grau de segurança, protegendo as informações e reduzindo os riscos de fraude;
Maior confiança do usuário e do cliente.

Por sua vez, os certificados digitais podem ser utilizados para junto com um software de assinatura digital, gerar a assinaturas digitais. Além disso, o gerenciamento de identidades se torna uma questão prioritária para as organizações.

A identidade digital através de certificados digitais já uma realidade

É necessário ter um sistema que permita associar e unificar seus dados, fornecer acesso a todos os sistemas que devem usá-los e, acima de tudo, oferecer um alto grau de privacidade e segurança.

A transformação da identidade digital é mais do que apenas implementar novas tecnologias e ferramentas de segurança. Afinal, ela também envolve mudanças sistêmicas, desde as principais funções de segurança da informação, marketing e serviços a áreas como governança, finanças, cultura, até modelo de negócios.

Em alguns países, a identidade digital está totalmente consolidada e tem muitas aplicações na vida cotidiana. Talvez o exemplo mais notável seja o da Estônia.

Este pequeno país do Báltico, de 1,3 milhão de habitantes, introduziu em 2002 o sistema de identificação digital baseado no registro nacional e no documento nacional de identidade digital.

Este documento, obrigatório para maiores de 15 anos, permite que seus cidadãos votem, comprem passagens de transporte público, criptografem e-mails, renovem seu passaporte, acessem seus registros médicos, assinem documentos e realizem quase qualquer tipo de gerenciamento administrativo on-line, em qualquer lugar a qualquer momento e permitindo que os usuários possuam seus próprios dados.

Mas o sistema estoniano é apenas uma amostra de tudo o que está por vir. Afinal, é esperado que o número de participantes do mercado que se conecta online cresça exponencialmente nos próximos anos.

Graças ao desenvolvimento da Internet das Coisas, milhões de objetos (de geladeiras a contêineres conectados à Internet) previsivelmente começarão a operar simultaneamente e integrados. Assim também será necessário estabelecer padrões para verificar suas identidades.

Sobre a Eval

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a Lei Geral de Proteção de Dados (LGPD). Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags Certificado Digital, identidade digital, segurança da informação

Assinatura Digital

Assinatura digital: 10 cuidados importantes para instituições de saúde

Autor do post Por Editorial Eval
Data de publicação 29 de janeiro de 2020

O mundo tradicional, baseado em papel, está sendo deixado de lado por conta da transformação digital e suas inovações — como as soluções de assinatura digital. Muitas áreas importantes são beneficiadas pelos processos e a saúde é uma delas.

Dessa forma, muitas opções de assinatura digital passaram a ser oferecidas no mercado visando evitar erros em documentos, perdas ou adulterações. Essa tecnologia fornece integridade de dados para que se possa provar que o documento não foi modificado. Além disso, providencia a autenticação necessária para identificar quem o assinou.

Entretanto, escolher a melhor solução de assinatura eletrônica para uma instituição de saúde pode ser difícil. Para te ajudar nisso fizemos uma lista com 10 recomendações que você deve considerar em sua decisão.

Recomendações importantes para escolher uma solução de assinatura digital

Usabilidade é o primeiro passo

Uma das principais características para se considerar ao escolher uma solução de assinatura eletrônica é a facilidade de uso. Dessa forma, procure um software que seja simples e intuitivo. Ou seja, busque por uma solução projetada para oferecer experiências positivas aos usuários cada vez que forem utiliza-la.

Verifique se a solução oferece validade jurídica

Para garantir autenticidade, integridade e validade jurídica de documentos em forma eletrônica, além da realização de transações eletrônicas seguras, é necessário utilizar uma assinatura digital com seu respectivo certificado digital, proveniente sempre de uma fonte autorizada e confiável.

Ou seja, ao escolher uma solução de assinatura digital é preciso verificar o suporte da ferramenta a tudo que for necessário para garantir validade jurídica. Em suma é preciso garantir características fundamentais de validade legal, não repúdio de autoria e integridade do conteúdo.

Validade jurídica garantida pelo ITI

Trata-se de uma continuação do tópico anterior. Além de se preocupar com a validade jurídica, deve-se verificar se utiliza-se certificados digitais emitidos por autoridades certificadoras que são credenciadas pelo ITI (Instituto Nacional da Tecnologia da Informação).

O ITI é uma autarquia federal ligada à Casa Civil da Presidência da República. O instituto tem como missão principal manter e executar as políticas da Infraestrutura de Chaves Públicas Brasileira — ICP-Brasil. Além disso, compete ao Instituto Nacional de Tecnologia da Informação a responsabilidade de ser a primeira autoridade da cadeia de certificação digital.

Experiência da empresa no desenvolvimento de projetos de certificação digital

É muito importante se atentar ao histórico da empresa que você escolher como fornecedora da solução de assinatura digital. Afinal a experiência dela em projetos de assinatura e certificação digital podem dizer muito sobre a capacidade da solução de oferecer validade jurídica e, mais ainda, se adaptar às necessidades da sua instituição. Não se esqueça de é possível utilizar assinatura digital em diferentes áreas das organizações e em diversos processos.

Tenha certeza de que a solução se integra ao seu sistema e como isso ocorre

Assinaturas e certificados digitais já foram incorporados a diferentes processos e em vários segmentos. Ou seja, a solução de assinatura digital deve conseguir ser integrada aos sistemas internos, auxiliando nos ciclos da sua instituição.

Certifique-se de que a solução suporta o volume de assinaturas da sua instituição

É importante ter em mente as necessidades da sua instituição, afinal assim você saberá os requisitos que a solução de assinatura digital precisa atender. Nesse sentido, um dos principais pontos a se estudar é se o software suporta a quantidade de assinaturas que serão feitas pela organização em que você trabalha, seja uma clínica, operadora ou um hospital.

Analisar quais atualizações ou adaptações serão necessárias para adotar a solução

Voltando a falar sobre capacidade de adaptação entre solução de assinatura digital e sistemas internos, vale analisar quais são os impactos na integração das soluções e suas futuras atualizações. Afinal, mudanças de requisitos ou correções de bugs costumam impactar diretamente a integração de softwares de diferentes fornecedores, comprometendo a execução de atividades importantes.

Aceitação de pacientes

Geralmente a adoção da assinatura digital é uma demanda dos próprios pacientes, mas a solução deve se adaptar a situações em que uma das partes não aceite documentos assinados digitalmente. Recomendamos que se trate as exceções de maneira amigável, de preferência incorporada a um processo interno da instituição.

Pesquisar quais clientes a empresa fornecedora atende

Mais uma vez a experiência é levada em consideração já que a reputação no mercado é um requisito a ser verificado pelo comprador da solução de assinatura digital. Dessa forma, verifique se existem reclamações e a forma como elas são tratadas. Aproveite a experiência de outras instituições para fazer a sua escolha.

Analise o pós-venda e o suporte do fornecedor da solução

Tome cuidado para não ignorar essa recomendação, afinal é uma forma simples de evitar grandes problemas. Não basta atender todas as recomendações descritas anteriormente se no momento mais crítico o fornecedor da solução de assinatura digital “te deixa na mão”. O suporte e pós-venda são fundamentais no tratamento de problemas e dúvidas dos usuários da solução.

Cuidado também com empresas do tipo varejo, que na hora que você tiver problemas, ficam com aquele problema já conhecido pelos brasileiros de ligar, passar para outro atendente, que vai para o outro, ai cai a ligação telefônica e você será tratado com mais um cliente que não recebe a devida atenção que um cliente da área da saúde deve ter, enfim, apenas passará um nervoso desnecessário.

Gostou das nossas dicas? Elas são a base para você escolher a solução de assinatura digital que melhor se encaixa no seu hospital, laboratório, operadora ou sua clinica?

Por fim, não se esqueça de que você está investindo em um software para melhorar os atendimentos oferecidos. Sua escolha precisa ser estratégica, ampliando assim a qualidade do serviço prestado e a quantidade de pessoas atendidas.

Você ainda ficou com dúvidas sobre como fazer a melhor escolha da solução de assinatura eletrônica ou de assinatura digital? Entre em contato com a Eval, temos um time de especialistas para te ajudar.

Outra dica importante é assinar nossa newsletter e ficar por dentro das novidades e tecnologias da Eval. Aqui em nosso blog sempre publicamos novidades sobre segurança para instituições de saúde.

Sobre a Eval

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags Assinatura Digital, assinatura eletrônica, proteção de dados, segurança da informação

Autenticação

Tudo o que você precisa saber sobre RSFN

Autor do post Por Editorial Eval
Data de publicação 29 de julho de 2019

Tudo o que você gostaria de saber sobre RSFN Proteção

O mercado financeiro possui uma grande variedade de participantes. Por exemplo, bancos comerciais, seguradoras, fundos de investimento, investidores individuais e bancos centrais.

Esses participantes estão sempre interagindo entre si, vendendo e comprando ativos financeiros, criando teias complexas de produtos e serviços financeiros, participações de várias transações bancárias e de crédito e outras operações relacionadas.

Normalmente, o risco é associado à possibilidade de quebra do sistema financeiro. O que pode ocorrer devido a crises econômicas e a instabilidade política-financeira dos diferentes países do mundo.

Porém, para observar o risco de sistemas complexos é preciso ter o seguinte aspecto em mente. Pense nele emergindo das interações entre diferentes arquiteturas tecnológicas que operam no mercado em uma caixa preta conhecida por poucos.

Este universo financeiro pode ser expandido incluindo cooperativas de crédito, Fintechs e modelos digitais inovadores que crescem a cada dia. Nesta representação mais abrangente da rede, os bancos e as demais instituições financeiras permanecem altamente conectados. Assim, realizam milhões de transações a cada segundo, garantindo a saúde financeira de todo o planeta.

Mas o que acontece se toda essa arquitetura tecnológica e financeira entrar em colapso?

Para garantir uma arquitetura de rede de comunicação de dados entre o Banco Central do Brasil e as instituições financeiras durante a realização de transações foi projetada a RSFN, Rede do Sistema Financeiro Nacional.

Baseada no protocolo TCP/IP, a rede foi implantada considerando a utilização de ferramentas/conceitos de Intranet. Eles suportam as aplicações desenvolvidas para atender as necessidades do Sistema de Pagamentos Brasileiro (SPB). Além disso, também agregam outros serviços de comunicação entre seus participantes.

Arquitetura da RSFN deve garantir as operações em tempo real

A arquitetura RSFN foi especificada partindo-se da premissa de que deverá ter alta disponibilidade, desempenho, segurança e contingência. Afinal, foi considerado que as operações do sistema financeiro são processadas em tempo real.

Baseado nos requisitos acima, o Banco Central (Bacen), através do Subgrupo de Redes, estabeleceu critérios rigorosos nas suas especificações. Além de adotar as melhores tecnologias disponíveis atualmente, exigiu-se das concessionárias qualificadas a garantia de que a rede terá total aderência às especificações e redundância em todos os segmentos da arquitetura.

De acordo com o manual de redes do SFN, as normas de utilização da RSFN e os serviços a serem implementados na rede deverão ser homologados pelo Subgrupo de Redes. Assim, as configurações da RSFN não permitem a comunicação indiscriminada entre os participantes do sistemas financeiro. A conectividade é regulada através de critérios técnicos e de segurança.

Proteção e privacidade de dados são prioridades para o BACEN

As operações financeiras permanecem na vanguarda do progresso tecnológico no setor financeiro. Isso inclui operações bancárias, os pagamentos, a troca de informações financeiras e pessoais, assim como outras operações relacionadas.

Com o avanço tecnológico do setor, uma variedade de novas plataformas e provedores de pagamento tem surgido. Devido a esse intenso crescimento, a segurança tem sido uma prioridade cada vez maior para BACEN.

De fato, bancos e prestadores de serviços financeiros só serão lucrativos e confiáveis se seus serviços forem seguros. Caso contrário, suas perdas serão colossais.

O Subgrupo de Segurança do SFN é constituído por representantes do Banco Central do Brasil (Bacen), da Secretaria do Tesouro Nacional, das associações de instituições autorizadas a funcionar pelo Banco Central do Brasil de âmbito nacional, das câmaras e dos prestadores de serviço de compensação e de liquidação participantes da RSFN. Este grupo definiu o Manual de Segurança da RSFN. Afinal, segurança é prioridade para o sistema financeiro Brasileiro.

O Subgrupo de Segurança elabora, consolida e implementa padrões de segurança para a troca de informações eletrônicas no SFN. Por exemplo, os padrões podem ser criptografia, protocolos, algoritmos e certificação digital.

Dessa forma, o Manual de Segurança da RSFN é definido como um protocolo que tem por objetivo consolidar requisitos de segurança para garantir a integridade, a confidencialidade, a disponibilidade e o não repúdio das informações trafegadas pela RSFN.

Entre suas atribuições, o Manual de Segurança da RSFN define os padrões criptográficos e formatos de mensagens. O Subgrupo de Segurança do Sistema Financeiro Nacional exige, por exemplo, que todas as mensagens enviadas à RSFN sejam criptografadas. Além disso, devem possuir identificação única garantindo sua rastreabilidade. Por fim, todas as aplicações devem ser testadas e homologadas junto ao ambiente de homologação do Bacen.

Diretrizes obrigatórias da RSFN

Entre as diretrizes obrigatórias definidas pelo Manual de Segurança da RSFN, podemos destacar os aspectos abaixo. Eles se referem ao uso de criptografia, protocolos, algoritmos e certificação digital:

Todas as conexões da RSFN deverão estar configuradas de acordo com as normas de segurança da(s) concessionária(s) fornecedora(s) da infraestrutura de telecomunicação;
As Instituições serão responsáveis pela segurança física e lógica de sua chave privada;
As Instituições deverão criar e manter sistemática de Segurança da Informação visando assegurar a confidencialidade, a integridade, a autenticidade, o não repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e sensíveis;
Os Certificados Digitais deverão ser emitidos por uma entidade certificadora que atenda aos requisitos estabelecidos pela legislação vigente. Além disso, ela deve ser devidamente credenciada para tal pelo Comitê Gestor da Infra-estrutura de Chaves Públicas Brasileira – ICP-Brasil;

Ademais, no Manual de Segurança da RSFN ainda há diretrizes que recomendam a criação e manutenção de um plano de contingência, o armazenamento da chave privada em um sistema de gerenciamento de chaves criptográficas e a utilização de procedimentos de backup.

Por fim, fornecedores, usuários da RSFN e demais pessoas ou empresas relacionadas devem ser informados, ou ter meios para tomar ciência, sobre a existência e a extensão de medidas, práticas, procedimentos e órgãos responsáveis para a segurança dos sistemas de informação na RSFN.

O Manual de Segurança da RSFN define que as medidas e os procedimentos para a segurança dos sistemas de informação devem ser coordenados e integrados entre si e com outros princípios e procedimentos adotados pela instituição participante, de modo a criar um sistema coerente de segurança passível de avaliações periódicas.

Você conhece EVAL CRYPTO SFN?

O EVALCryptoSFN é uma plataforma completa de criptografia. Ele é responsável pela segurança da troca de mensagens na RSFN (Rede do Sistema Nacional Financeiro) e na RTM (Rede de Telecomunicações para o Mercado Financeiro) em conformidade com os padrões de segurança e criptografia desenvolvida pelo GT-Segurança do BACEN.

Portanto, para garantir a segurança da troca de mensagens dentro da Rede do Sistema Nacional Financeiro e outros sistemas relacionados, a EVAL Tecnologia desenvolveu o EVALCryptoSFN. De acordo com a normatização GT-Segurança do BACEN, é responsável pela segurança na troca de mensagens e transações financeiras interbancárias.

Para conhecer o EVALCryptoSFN e as demais soluções de segurança da EVAL, entre em contato com os nossos especialistas. Eles vão te ajudar a esclarecer suas dúvidas, contribuindo com o desenvolvimento de seus projetos de segurança de dados, inovação e melhoria contínua da sua empresa.

Sobre a Eval

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags BACEN, criptografia de dados, RSFN, segurança da informação, SFN

Proteção de dados

Como a falta de investimento em segurança afeta uma empresa?

Autor do post Por Editorial Eval
Data de publicação 16 de maio de 2019

A falta de investimento em segurança cibernética e uma violação de dados podem ter três grandes consequências: financeira, reputacional e legal.

De fato, a segurança cibernética deixou de ser apenas uma questão de tecnologia para se transformar em um aspecto essencial dos negócios.

Já se foram os dias em que empresas podiam passar as responsabilidades da proteção de dados apenas para o departamento de TI. Afinal, ela se tornou estratégica e afeta a todos os setores.

O impacto da falta de investimento em segurança

A falta de investimento em segurança resulta em perdas financeiras substanciais decorrentes de:

Roubos de informações corporativas;
Roubo de informações financeiras (por exemplo, dados bancários ou detalhes de cartões);
Roubos de dinheiro;
Interrupções de negócios (por exemplo, incapacidade de realizar transações online);
Perdas de negócios ou contratos;

As empresas que sofrem violações cibernéticas geralmente também têm custos associados à reparação de sistemas, redes e dispositivos.

Isso é especialmente importante, pois as empresas estão cada vez mais digitais, o que significa ficarem expostas a um número maior de ameaças, se não gerenciarem o risco de segurança adequadamente e não realizarem o investimento necessário.

Danos à reputação são maiores que os financeiros

Muitas empresas ainda não perceberam ou mensuraram o real impacto da perda de credibilidade. Sem dúvida a confiança é um elemento essencial no relacionamento com o cliente.

Afinal, os ataques virtuais e os roubos de dados podem prejudicar a reputação de sua organização e quebrar totalmente a confiança que o consumidor tem em você.

Isso, por sua vez, pode levar a consequências como:

Perda de clientes;
Perda de vendas;
Redução significativa nos lucros;
Falência.

O efeito dos danos à reputação por falta de investimento em segurança pode impactar até seus fornecedores, assim como os relacionamentos que você tem com parceiros, investidores e terceiros envolvidos com os seus negócios.

Entender a importância de mudar a mentalidade quanto ao investimento em segurança cibernética se tornou vital. Já que em plena era da transformação digital, as empresas não podem correr o risco de sofrer um ataque ou não saber como realizar o tratamento de um incidente.

Consequências legais da falta de investimento em segurança

Não podemos esquecer que deixar de investir em segurança também resulta em problemas legais. Afinal, a Lei Geral de Proteção de Dados (LGPD) exige que sua empresa gerencie todas as informações pessoais que possui, seja de sua equipe ou seus clientes.

Se esses dados forem acidental, ou deliberadamente comprometidos, e você não conseguir implantar as medidas de segurança apropriadas, poderá enfrentar multas e sanções regulamentares que podem inviabilizar seu negócio.

Recentes violações globais impactaram mais de 200 mil computadores em 150 países e custaram milhões; nada poderia deixar mais clara a importância do investimento em segurança cibernética, pois isso impacta as empresas como um todo, não apenas os departamentos de TI.

O risco de ataques é real e atinge a qualquer empresa

Não basta ler este post, concordar que é preciso investir em segurança e não fazer nada. Já que é preciso ter consciência de que o risco é real e afetará em algum momento o ciclo das operações de sua empresa.

Basta uma simples análise de risco para ver o que pode acontecer com sua organização, colaboradores e, principalmente, clientes:

Perda física de dados. Você pode perder o acesso imediato por motivos que vão desde inundações, até falta de energia elétrica. Isso também pode acontecer por razões mais simples, como uma falha de disco;
Acesso não autorizado aos dados. Lembre-se de que, se você tiver informações confidenciais de clientes, muitas vezes é contratualmente responsável por protegê-las como se fossem suas;
Intercepção de informações em trânsito. Os riscos incluem dados transmitidos entre sites da empresa ou entre a organização e os seus colaboradores, parceiros e contratados, em casa ou outros locais;
Seus dados podem cair nas mãos de outras pessoas. Você compartilha essas informações com terceiros, incluindo contratados, parceiros e outros dados importantes? O que os protege enquanto eles estão em suas mãos ou nas de seus parceiros?;
Corrupção de dados, intencional ou não. Isso pode modificá-los de modo que favoreçam uma parte externa ou por conta de um erro de software.

Toda empresa precisa ter um programa de investimentos em segurança

É necessário encarar a falta de segurança cibernética como um risco ao negócio e não apenas um problema de tecnologia. Assim, é preciso seguir diretrizes que ajudem a organização a atingir níveis de proteção adequados.

Deste modo, não importa o tamanho da sua empresa, ela precisa ter um plano de investimentos para garantir a segurança de seus ativos de informação.

Esse plano é responsável por todas as políticas e os processos de criação de um programa de segurança cibernética, além de fazer com que você pense de maneira holística sobre a proteção de dados de sua organização.

Em suma, um programa fornece a estrutura para manter sua empresa em um nível de segurança adequado, avaliando os riscos que você enfrenta, decidindo o que deve priorizar e planejando como ter práticas atualizadas.

Investir em segurança significa proteger sua confidencialidade, integridade e disponibilidade

Ter um programa de investimentos em segurança significa que você tomou medidas para reduzir o risco de perder dados de várias maneiras e definiu um ciclo de vida para gerenciar as informações e a tecnologia em sua organização.

Felizmente, as tecnologias de segurança cibernética estão disponíveis para empresas de diferentes tamanhos e segmentos, assim, elas se adaptam às suas realidades de negócios e ajudam a enfrentar os desafios da proteção de dados.

Como minimizar o impacto de ataques cibernéticos em empresas

Como vimos, violações de segurança podem devastar até mesmo as empresas mais resilientes.

É extremamente importante gerenciar os riscos de acordo com a natureza dos negócios antes e depois que um ataque acontece, realizar os investimentos necessários e criar um plano efetivo de proteção e resposta a incidentes cibernéticos. Uma vez que ele pode ajudar sua empresa a:

Prevenir e reduzir o impacto de ataque virtuais;
Relatar os incidentes às autoridades responsáveis;
Recuperar os sistemas afetados;
Colocar seu negócio em funcionamento no menor tempo possível.

Dessa forma vemos que realizar um investimento em segurança significa treinamentos, educação e conscientização dos usuários da sua organização de maneira contínua e, claro, aquisição de tecnologias e serviços, sempre buscando garantir a proteção de dados dos clientes e a continuidade dos negócios, possibilitando o crescimento contínuo da empresa.

Você tem dúvidas a respeito desse assunto? Nossos especialistas terão o maior prazer em respondê-las e contribuir para os seus projetos de segurança da informação.

Sobre a Eval

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags investimento em segurança, proteção de dados, segurança da informação

Notícias e Eventos

Gemalto e Thales: liderança global em segurança digital

Autor do post Por Editorial Eval
Data de publicação 16 de maio de 2019

O grupo francês de tecnologia Thales Group adquiriu em 2017 a empresa de segurança digital holandesa Gemalto (Thales). A operação foi realizada pelo valor de € 4,8 bilhões.

A fusão cria uma organização de 80 mil pessoas em 68 países, focada em segurança cibernética e identidade digital, com receitas projetadas de € 19 bilhões e pesquisa e desenvolvimento de € 1 bilhão por ano.

Com o acréscimo das tecnologias e do talento da Gemalto, espera-se que a Thales lide com desafios como gerenciamento de tráfego aéreo não-tripulado, segurança cibernética de dados e de rede, segurança nos aeroportos e segurança nas transações financeiras.

O que Gemalto e Thales têm em comum? A parceria de negócios com a EVAL! Assim, no final, todos só têm a ganhar com essa poderosa fusão.

Uma posição de liderança global em identidade e segurança digital

Adquirindo a Gemalto, a Thales cobre toda a cadeia de decisão crítica nesse mundo cada vez mais conectado e vulnerável.

Dessa forma, conta com capacidades que abrangem desenvolvimento de software, processamento de dados, suporte a decisões em tempo real, conectividade e gerenciamento de rede de ponta a ponta.

Com a conclusão da compra, a Thales passa a reunir um amplo portfólio de identidades digitais e ofertas de segurança baseadas em tecnologias como, por exemplo, biometria, proteção de dados e segurança cibernética.

Isso fornece uma estratégia perfeita aos clientes. Afinal ela inclui provedores de infraestrutura crítica, como bancos, operadoras de telecomunicações, agências governamentais, concessionárias e outros setores.

Assim, enfrenta os desafios de identificar pessoas e objetos e manter os dados seguros.

Para a Gemalto, um marco histórico em sua trajetória de sucesso

Com a Gemalto, líder global em identificação digital e proteção de dados, a Thales faz uma ótima aquisição. Pois, trata-se de um conjunto de tecnologias e competências complementares com aplicativos em mercados verticais.

Estes mercados foram redefinidos como aeroespacial, espacial, transporte terrestre, identidade digital, defesa e segurança.

Para a holandesa Gemalto, essa fusão representa um marco histórico em sua trajetória de sucesso. Afinal, são tecnologias inteligentes que ajudam as pessoas a fazer as melhores escolhas em momentos decisivos.

A aquisição é um marco para os 80 mil funcionários do grupo. Visto que juntos eles criam uma gigante em identidade digital e segurança com capacidade de competir nas grandes operações de negócios em todo o mundo.

Dessa forma, a Gemalto formará uma nova divisão de identidade digital e segurança da Thales. O negócio continuará a ter como alvo bancos, operadoras de telecomunicações, agências governamentais e provedores de serviços públicos.

O processo de fusão das empresas foi um desafio

Além de toda a negociação que envolve valores de compra e ações, a Thales teve que eliminar vários obstáculos regulatórios antes de finalmente concluir o negócio. Ao comprar a Gemalto, ela aumenta sua receita global e sua presença na América Latina, América do Norte e Ásia.

A aquisição só foi autorizada depois que a Thales concordou em vender o nCipher. Trata-se do seu negócio de módulo de segurança de hardware (HSM) de propósito geral. A venda foi realizada à empresa de tecnologia de identidade e transações confiadas Entrust Datacard.

O nCipher foi adquirido pela Thales em 2008. Porém agora, várias agências antitruste, incluindo a Comissão Europeia (CE) foram contra a aquisição da Gemalto. Porque, de acordo com a alegação, a compra criaria um monopólio de mercado de HSM de uso geral.

A CE considerou que a concentração proposta poderia levar a quotas combinadas muito elevadas. Isto eliminaria as restrições concorrenciais que Thales e Gemalto exercem entre si no mercado de HSM para fins gerais.

Ao final, com a venda do nCipher, a aquisição da Gemalto foi aprovada pela CE e pela Comissão de Comércio da Nova Zelândia. Em setembro do ano passado, a fusão também foi autorizada pelo Comitê de Investimentos Estrangeiros dos Estados Unidos. Canadá, China, Israel e Turquia já haviam aprovado a conclusão do negócio.

Qual é o impacto desta aquisição para a EVAL

A Thales planeja expandir suas operações nas cinco regiões do mundo, aumentando sua força de trabalho na América Latina para 2.500 pessoas; triplicando sua presença no norte e sudeste da Ásia para 1.980 e 2.500, respectivamente; expandindo seu pessoal na Índia de 400 para 1.150; e reforçando a América do Norte de 4.600 para 6.660.

Com a fusão e toda essa previsão de crescimento, vem a seguinte pergunta: qual é o impacto dessa mudança para a EVAL?

Caso você não saiba, a EVAL é parceira oficial de ambas. Assim, através desta parceria, oferecemos aos nossos clientes tecnologia e soluções de segurança cibernética e identidade digital de última geração.

Por fim, com a fusão desses parceiros tecnológicos, quem têm a ganhar são os nossos clientes. Afinal elas se tornam mais fortes, resultando em um crescimento exponencial para o desenvolvimento de novos produtos e serviços.

Se você já é um cliente da EVAL, não se preocupe! A convergência entre Gemalto e Thales nos torna ainda mais fortes no desenvolvimento de soluções ligadas a proteção de dados, assinatura digital, autenticação e criptografia.

O que você pensa a respeito dessa fusão? Fale conosco, nossa equipe está a disposição para esclarecer suas dúvidas!

Sobre a EVAL

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags Gemalto e Thales, liderança global em segurança da informação e proteção de dados, proteção de dados, segurança da informação

Proteção de dados

O que fazer em caso de violação de dados?

Autor do post Por Editorial Eval
Data de publicação 29 de janeiro de 2019

As informações mais comprometidas em uma violação de dados são as pessoais. Por exemplo, números de cartão de crédito, CPFs e históricos de assistência médica. Já entre as corporativas, podemos citar informações como listas de clientes, processos de fabricação e código-fonte de softwares.

O acesso não autorizado a essas informações caracteriza uma clara violação de dados, resultando em roubo de identidade ou violação de requisitos de conformidade frente ao governo ou a setores regulatórios. Incidentes como esse levam empresas a sofrer multas e outros litígios civis, fora as perdas de dinheiro e credibilidade.

O problema é que qualquer empresa pode sofrer ataques virtuais atualmente. Por mais que ações preventivas sejam tomadas, a grande questão levantada — e que deve ser uma prioridade para organizações de diferentes tamanhos e setores — é: o que fazer em caso de violação de dados?

Recentemente houve um vazamento enorme, no qual dados de aproximadamente 800 milhões de contas de e-mail foram roubados. Aliás, caso você queira verificar se dados do seu e-mail também foram roubados, acesse: https://haveibeenpwned.com.

Principais causas de violação de dados

É comum pensar que a violação de dados se caracteriza por alguém atacando um site corporativo e roubando informações confidenciais. No entanto, nem tudo acontece dessa forma.

Entretanto, basta um funcionário não autorizado visualizar informações pessoais de um cliente na tela de um computador autorizado para constituir violação de dados.

O roubo ou a violação de dados acontece por diferentes motivos:

Senhas fracas;
Correções de software que são exploradas;
Computadores e dispositivos móveis roubados ou perdidos.
Usuários que se conectam a redes sem fio não autorizadas;
Engenharia social, especialmente ataques realizados por e-mail phishing;
Infecções por malware.

Os criminosos podem usar as credenciais obtidas por meio de seus ataques para entrar em sistemas e registros confidenciais — acesso que, muitas vezes, não é detectado por meses, se não indefinidamente.

Além disso, invasores podem segmentar seus ataques por meio de parceiros de negócios para obter acesso a grandes organizações. Tais incidentes geralmente envolvem hackers comprometendo empresas menos seguras para obter acesso ao alvo principal.

A prevenção ainda é o melhor remédio

Garantir um ambiente completamente seguro é um grande desafio.

Atualmente temos diversos recursos e tecnologias que conseguem minimizar consideravelmente o risco de ataques. Entretanto, esse é um ambiente muito dinâmico em diferentes aspectos que possibilitam os ataques virtuais. Desse modo, a prevenção é o melhor caminho.

Em suma, os meios mais razoáveis para impedir violações de dados envolvem práticas de segurança e bom senso. Isso inclui noções básicas bem conhecidas:

Realizar testes contínuos de vulnerabilidade e penetração;
Aplicar proteção contra malwares;
Usar senhas fortes;
Aplicar os patches de software necessários em todos os sistemas;
Usar criptografia em dados confidenciais.

Medidas adicionais para prevenir violações e minimizar seus impactos incluem políticas de segurança bem escritas para os funcionários, além de treinamentos contínuos para promovê-las.

Além disso, deve-se ter um plano de resposta a incidentes que possa ser implementado no caso de invasão ou violação. Ele precisa incluir um processo formal para identificar, conter e quantificar um incidente de segurança.

Como Lidar com as Consequências da Violação de Dados

Considerando que uma violação de dados pode acontecer em qualquer empresa e a qualquer momento, um plano de ação é a melhor tática.

O problema mais básico é que as pessoas ainda não consideram os ataques cibernéticos como inevitáveis. Afinal, acreditam que suas defesas são boas o suficiente ou não acham que serão alvos.

Além disso, outro problema é que as organizações não entendem o verdadeiro valor dos planos eficazes de resposta a incidentes. Desse modo elas podem levar semanas para entender o que aconteceu.

As etapas recomendadas durante uma violação de dados são:

Identificação do que acontece;
Reunião de todos os setores relacionados;
Colocar as coisas sob controle;
Redução dos efeitos colaterais;
Gestão da comunicação externa;
Recuperação das operações de negócios;
Identificação das lições aprendidas;
Melhoria dos processos.

A prioridade é interromper a violação de dados confidenciais, garantindo assim que todos os recursos necessários estejam disponíveis para impedir qualquer perda adicional de informações.

Identificação

Entenda o que aconteceu – como os invasores entraram ou como os dados foram divulgados – e, além disso, certifique-se de que não há vazamento.

Saber qual é a sua situação, definir a postura a ser adotada e ser capaz de tomar as ações necessárias a partir dessa posição são os primeiros passos a serem dados.

Contenção

Os atacantes vieram de fora? Garantir que nada mais saia da empresa também deve ser um dos estágios iniciais da resposta aos incidentes. As próximas ações serão executadas a partir desse ponto.

Erradicação

Lide com o problema, focando na remoção e na restauração dos sistemas afetados.

Assegure que sejam tomadas medidas para remover material malicioso e outros conteúdos ilícitos, fazendo, por exemplo, uma recriação completa do disco rígido e verificando os sistemas e arquivos afetados com o software anti-malware.

Comunicação

O próximo passo é alinhar os discursos quando se trata da comunicação externa.

A política de TI deve incluir cuidados relacionados às redes sociais e aos demais canais de comunicação da organização. Afinal, toda informação relacionada ao problema deve sair por um lugar só, sempre alinhada com as ações realizadas pela empresa.

É muito comum atualmente incluir o setor jurídico da organização nas questões de comunicação e no tratamento das situações junto aos clientes e órgãos oficiais.

No site da saferweb, que é uma associação civil com foco na promoção e defesa dos Direitos Humanos na Internet no Brasil, você pode encontrar uma relação de delegacias de crimes virtuais para fazer a denúncia.

Além dos órgãos oficiais, lembre-se de avisar quem foi afetado pelo vazamento, sejam colaboradores, fornecedores ou mesmo clientes.

Por fim, não se esqueça que a lei geral de proteção de dados (LGPD) também trata desse assunto.

Lições aprendidas com a Violação de Dados

Se a sua empresa conseguir resolver o problema de violação de dados e se recuperar rapidamente, então ela está no caminho certo para restaurar os negócios e minimizar os impactos.

Entretanto, em alguns casos, o problema chega até a imprensa e toma uma proporção maior, afetando a reputação e os negócios da companhia.

Siga as nossas dicas e os exemplos de outras organizações que já enfrentaram situações semelhantes, a fim de entender o que deu errado e certificar-se de que você tem as melhores táticas para evitar uma recorrência.

Outra dica importante é assinar nossa newsletter e ficar por dentro das novidades!

Sobre a Eval

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags cibersegurança, segurança da informação, violação de dados

Proteção de dados

Prevenção de Perda de Dados: O que Você Precisa saber

Autor do post Por Editorial Eval
Data de publicação 21 de novembro de 2018

A prevenção de perda de dados é definida em segurança da informação como a estratégia certa para garantir a proteção das empresas e clientes.

A prevenção de perda de dados é definida como a estratégia utilizada para garantir em segurança da informação que usuários digitais e corporativos não enviem informações confidenciais ou críticas fora de uma rede corporativa ou até mesmo de uma rede doméstica.

O termo também define softwares que ajudam um administrador de rede a controlar quais dados os usuários finais podem transferir.

Com a aprovação recente da Lei Geral de Proteção de Dados Pessoais (LGPD), legislação brasileira que determina a forma como os dados dos cidadãos brasileiros podem ser coletados e tratados, a preocupação sobre o tema da prevenção de perda de dados terá ainda mais destaque.

Separamos neste post, as principais informações para você tirar suas dúvidas sobre o assunto e assim dar os próximos passos na proteção de dados de sua empresa.

A prevenção de perda de dados terá impacto nas decisões de compra

Em plena era da Transformação Digital, onde dados e informações passaram a ter um peso fundamental no processo de compra, previnir a perda de dados se torna uma prioridade na proteção dos clientes e na imagem das empresas.

Dessa forma, basta um ataque virtual ou uma falha de segurança para resultar no roubo de dados. Assim, afeta-se diretamente a credibilidade da organização atingida e a decisão de compra de seus clientes.

A prevenção de perda de dados não se aplica apenas às grandes empresas, afinal ela é estratégica para qualquer negócio. Envolvendo assim, todos os tamanhos de empresas e segmentos de atuação. Estarem sujeitas a ciberataques, sequestros e roubos de dado mudou completamente a visão das organizações quanto à segurança da informação. Por isso, a proteção dos dados passou a fazer parte do modelo de negócio de qualquer empresa.

O Investimento em Tecnologia é Fundamental

Os produtos de software desenvolvidos para a proteção de dados utilizam regras e políticas de negócios para classificar e proteger informações confidenciais e críticas. Elas buscam evitar que usuários finais não autorizados compartilhem, acidentalmente ou não, dados que a divulgação traga risco à organização.

Na prática, por exemplo, se um funcionário tentar encaminhar um e-mail comercial fora do domínio corporativo ou carregar um arquivo considerado estratégico para um serviço de armazenamento na nuvem, como Dropbox, Drive e etc, ele teria a permissão negada.

A adoção da proteção de dados está acontecendo em decorrência de ameaças internas e leis de privacidade mais rigorosas. Além de poder monitorar e fazer o controle de atividades, as ferramentas de proteção de dados podem, através de filtros, controlar o fluxo de informações na rede corporativa e proteger dados ainda em movimento.

Proteção de dados é uma responsabilidade compartilhada

As perdas de dados podem acontecer por razões diferenciadas. Algumas empresas podem estar mais preocupadas com vulnerabilidades e ataques externos, enquanto outras se preocupam principalmente com erros humanos.

Para se ter uma ideia, a perda de dados pode ocorrer durante um procedimento padrão de TI como uma migração. Ela também pode acontecer após ataques de ransomware ou outro malware. Além disso, essas ameaças conseguem ser disparadas através de um simples e-mail.

O impacto da perda de dados também pode variar de acordo com o segmento de atuação ou tamanho da organização. Além de impactar informações internas, perder dados traz risco à posição legal de uma empresa diante das leis de conformidade.

Porém, a cobrança e o desafio não podem ficar apenas com gestores e equipes de T. Afinal, a responsabilidade pela prevenção de perda de dados precisa ser compartilhada entre todos.

Em muitos casos, são os próprios funcionários que enviam de forma acidental informações consideradas sensíveis. Além disso, as vezes eles também executam alguma operação que abre espaço para um ataque virtual.

Por isso, mais do que implementar um programa de prevenção de perda de dados, é preciso conscientizar. E para isso, a equipe responsável pela segurança da informação precisa fornecer treinamentos para executivos e usuários finais sobre os benefícios da proteção de dados para a empresa, para os próprios funcionários e clientes.

O desafio da proteção de dados

Causas não intencionais comuns de perda de dados incluem mau funcionamento de hardware, software corrompido, erro humano e desastres naturais.

Os dados também podem ser perdidos durante as migrações e em quedas de energia ou desligamentos incorretos dos sistemas. Isso já nos mostra o quanto a prevenção de perda de dados se tornou um grande desafio.

O mau funcionamento do hardware

Essa é a causa mais comum de perda de dados nas empresas. Basta um disco rígido travar devido a um superaquecimento, problemas mecânicos ou simplesmente o tempo de uso.

A manutenção preventiva do disco rígido ajuda a evitar a perda de dados. Além disso, habilita as equipes de TI para a substituição da unidade em situações de risco.

Software corrompido

Outra problema comum no desafio da prevenção de perda de dados é o software corrompido. Esta situação pode ocorrer quando os sistemas são desligados incorretamente. Geralmente eles podem ser atribuídos a quedas de energia ou erros humanos. Por isso é fundamental que a equipe de infraestrutura esteja preparada para incidentes e garanta o desligamento adequado dos sistemas.

Desastres naturais

Desastres naturais estão relacionados a todos os itens descritos acima. Dessa forma, pode causar tanto danos ao hardware, quanto a corrupção dos sistemas. Um plano de recuperação em caso de desastre e backups frequentes são as estratégias mais indicadas para evitar esse tipo de perda de dados.

Além desses exemplos, vírus de computador e ataques virtuais são fatores em potencial para perda de dados. E eles também causam grandes prejuízos para organizações e seus clientes.

O impacto direto para o negócio

Como você pode perceber, além do desafio, evitar a perda de dados pode ser um processo caro, exigindo a compra de soluções de software e hardware, além de serviços de backup e proteção de dados.

Porém, embora os custos desses serviços possam ser altos, o investimento para a prevenção completa contra a perda de dados geralmente vale a pena a médio e longo prazo. Especialmente quando comparado aos impactos da falta de proteção.

No caso de grandes perdas de dados, a continuidade dos negócios e os processos são severamente afetados. Tempo e recursos financeiros da empresa geralmente precisam ser desviados para resolver os incidentes e recuperar as informações perdidas, para que assim outras funções de negócios possam ser restauradas.

Próximos passos

Com a convergência dos negócios em direção à economia digital, preocupar-se com segurança da informação e prevenção de perda de dados se tornou fundamental.

Não só a participação das empresas nesse período de transformação digital fica comprometida, mas qualquer tipo de iniciativa visando o crescimento futuro dificilmente será alcançada caso perdas financeiras e de credibilidade atinjam as empresas.

Sobre a EVAL

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a Lei Geral de Proteção de Dados (LGPD). Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags EKM, HSM, prevenção de perda de dados, proteção de dados, segurança da informação

Posts recentes

Comentários

Arquivos

Categorias

Onde Estamos

Rua Paulistânia, nº 381, 2º andar,
Sumarezinho, São Paulo - SP,
CEP: 05440-000

Contato

(11) 3670 - 3825
(11) 3865 - 1124
[email protected]

Copyright © 2023, EVAL TECNOLOGIA EM INFORMÁTICA. Todos os direitos reservados - CNPJ 05.278.889/0001-97