SlideShare uma empresa Scribd logo

Segurança da Informação na era do IoT: conectividade, e ameaças, por todos os lados

Symantec Brasil
Symantec Brasil

O documento discute os desafios crescentes de segurança da informação na era da Internet das Coisas (IoT). Com o aumento exponencial de dispositivos conectados, também crescem as ameaças de invasão e roubo de dados. Isso exige novas estratégias de proteção corporativa que integrem segurança em toda a cadeia de valor desde o desenvolvimento de produtos.

1 de 12
Baixar para ler offline
A SEGURANÇA DA INFORMAÇÃO NA ERA DA IOT HIPERCONECTADA E ALTAMENTE EXPOSTA, NOVA REALIDADE EXIGE REVOLUÇÃO NA ESTRATÉGIA DE PROTEÇÃO CORPORATIVA
IoT2
IoT3 ÍNDICE 1. Um mundo de coisas conectadas .................................................. 05 2. Cenário preocupante .......................................................................... 07 3. Tarefa fácil para o invasor ................................................................ 08 4. Como a companhia se previne ...................................................... 09 5. Referências .............................................................................................. 11
IoT4 Produção
IoT5 1. UM MUNDO DE COISAS CONECTADAS Apesar da cidade nas alturas e dos carros voadores não terem se tornado realidade, muito do que antigamente era somente visão futurista no desenho animado Os Jetsons já faz parte do dia a dia. Parecia improvável ler notícias em uma tela, como fazia o pai da família espacial, mas as checamos em tablets ou notebooks. As ligações por vídeo, que pensávamos ser muito inovadoras, atualmente são uma forma de comunicação usual, e inclusive os relógios que realizavam chamadas se materializaram nos chamados smartwatches. Mesmo que o espaço não seja compartilhado com empregados robóticos, é possível afirmar que o futuro chegou. Wearable devices, nome dado aos acessórios conectados carregados junto ao corpo e que podem medir frequência cardíaca, pressão sanguínea ou quantidade de passos, por exemplo, e eletrodomésticos inteligentes, como televisores e aspiradores autônomos, estão incorporados à rotina. Com distintas funcionalidades, esses dispositivos formam uma rede de “coisas”, independentes entre si, que são capazes de se comunicar diretamente, sem intermediação humana, utilizando a internet como base. Essa é a definição que a consultoria internacional IDC dá para Internet das Coisas (cuja sigla em inglês é IoT, em referência a Internet of Things). Há 13 bilhões de “coisas” conectadas no mundo e, até 2020, a projeção é que sejam 30 bilhões, segundo perspectiva da IDC. Com o crescimento da oferta, as transformações se dão em ritmo acelerado. Falando sobre casas inteligentes, por exemplo, já é possível controlar à distância aspectos como iluminação, climatização, informação sobre vazamentos de gás e entrada de pessoas e há, até mesmo, geladeiras que avisam seus donos sobre a hora de repor o estoque de alimentos. ONDE ESTÃO, OU ESTARÃO, OS DISPOSITIVOS CONECTADOS: Fonte: IDC CONSUMIDOR GOVERNO EMPRESAS veículos compras saúde atividade física entretenimento serviços de emergência usuários meio ambiente energia gestão do trânsito serviços de inteligência transporte público cadeia de valor manufatura serviços e automação transporte serviços
IoT Médicos podem acompanhar remotamente condições do coração de pacientes graças a marca-passos que enviam informações de forma instantânea; sensores comunicam sobre a necessidade de manutenção de equipamentos; e, na agricultura, aparatos medem espessura de caule e altura dos vegetais, indicando o momento ideal para a colheita. É um universo enorme de oportunidades, que promete otimizar processos e gerar benefícios econômicos. No entanto, na medida em que aumentam os pontos de conexão, elevam- se, também, as ameaças de invasão de sistemas, multiplicando o risco de roubo de dados. Imagine, por exemplo, que por meio de uma geladeira inteligentesejapossívelacessareinfectarcomputadores de uma empresa ou que invasores tomem o controle de um veículo no meio de uma estrada. Tais eventos também não são ficção científica e merecem atenção tanto por parte dos usuários quanto pelas companhias. No mundo corporativo, o aumento da exposição e possibilidades de vazamentos de informação mudam o perfil dos investimentos destinados à segurança e à hierarquização de profissionais orientados à proteção de dados. Embora ainda haja um longo caminho a ser percorrido, a necessidade de fazer da segurança da informação uma estratégia estruturada ganha cada vez mais protagonismo. OS NÚMEROS NÃO MENTEM Fontes: IDC e Symantec Fonte: Gartner Press Release do Gartner - Gartner diz que até 2020, mais da metade dos principais processos de negócios e sistemas incorporará algum elemento de Internet das Coisas (14 de Janeiro, 2016): http://www.gartner.com/newsroom/id/3185623 6 de “coisas” conectadas no mundo Atualmente há em 2020 Este número vai chegar a dos wearables vão se converter em uma alternativa aos smartphones $$ dos investimentos em IoT vêm de: Manufatura Transporte Cidades inteligentes Aplicativos dirigidos ao usuário Em 2020, um mercado negro superior a vai existir para vender dados de vídeo e de falsos sensores para permitir atividades criminais e estimular a adoção de produtos e serviços de privacidade
IoT7 2. CENÁRIO PREOCUPANTE Apesar da praticidade e otimização de processos do mundo hiperconectado, é importante fazer um cálculo básico. Se, atualmente, registra-se a criação de mais de um milhão de malwares por dia, segundo o estudo Internet Security Threat Report 2016 (ISTR 2016), da Symantec, como será o cenário de ameaças em 2020, quando o número de dispositivos conectados deve ser duas vezes maior do que o existente hoje em dia? Ao somar a esse cenário a falta de consciência dos usuários sobre os riscos de não proteger seus dados e dispositivos, a combinação pode ser catastrófica. As coisas conectadas podem servir tanto como “aliados” estratégicos quanto “alvos” em ataque DDoS (Distributed Denial of Service, ou negação de serviço), explica Arthur Oreana, gerente de vendas da Symantec no Brasil e especialista em segurança com a certificação CISSP (Certified Information Systems Security Professional). No primeiro caso, os atacantes invadem dispositivos de IoT e os utilizam para formar redes que perpetram as ações, sem que os donos das “coisas” percebam. Isso significa que seu smartwatch pode ser utilizado como um “zumbi” para ajudar a tirar do ar os serviços online de diferentes empresas, sem que você sonhe com essa possibilidade. Na segunda opção, são ataques feitos diretamente às coisas conectadas: uma invasão a algum aparelho que incide na saúde do usuário ou a sensores instalados em turbinas de aviões, para citar apenas alguns exemplos. Atualmente, 43% dos investimentos em IoT vêm dos setores de manufatura e transporte, além de cidades inteligentes e aplicativos dirigidos ao usuário, segundo a consultoria IDC. Nos próximos cinco anos, todas as empresas vão precisar de um plano de negócios que inclua o conceito, já que todas as indústrias, em certa medida, terão começado a adotar iniciativas do tipo, estima a entidade. OS RISCOS VÊM DE TODOS OS LADOS Fonte: Symantec Quase um milhão de malwares criados por dia Transmissão de dados pessoais, logins e senhas sem criptografar Aplicativos sem políticas de privacidade Aplicativos conectados a diferentes domínios ao mesmo tempo Uso de dispositivos para ataque DDoS sem que o usuário saiba Invasões a aparelhos pessoais, colocando o usuário em risco WWW
IoT8 Já o Gartner prevê que até 2020 mais da metade dos principais processos e sistemas de negócios vai incorporar algum elemento da IoT, seja em grande ou pequena parte de sua composição. Como resultado, analistas de negócio e desenvolvedores de processos centrados na informação deverão adquirir experiência e ferramental para conseguir executar seu trabalho. A natureza das soluções das coisas conectadas, a forma como são implementadas e o tipo de dados que geram e consomem exigem nova abordagem de segurança e privacidade. Os riscos trazidos por esse complexo e pouco familiar ambiente avançam rapidamente. Em uma pesquisa realizada pela Symantec, 68% dos entrevistados afirmaram que negociariam sua privacidade para utilizar gratuitamente uma aplicação. “Isso é sumamente alarmante, dado que as pessoas ainda não têm consciência suficiente sobre até onde essa informação vai. Muitos consumidores se preocupam com segurança mas, ironicamente, a maioria está disposta a permitir acesso à sua informação pessoal”, compara Juan Ávila, diretor de engenharia e pré-venda da Symantec para México e Colômbia. “Temos leis que protegem dados pessoais mas, como usuários, temos de começar a nos educar”, ressalta. Outro levantamento da Symantec revelou que 20 de cem aplicativos de saúde - setor no qual cada vez há mais dispositivos conectados - transmitem informação pessoal de usuários, logins e senhas sem qualquer tecnologia de criptografia. Mais de 50 deles não dispunha de políticas de privacidade e cada um se conectava, em média, a cinco domínios diferentes para serviços de propaganda e análise de dados. 3. TAREFA FÁCIL PARA O INVASOR Quando o comportamento despreocupado do usuário e a tecnologia mais acessível se aliam, o resultado é um trabalho cada vez mais simples para o invasor. Com diferentes portas de acesso a redes pessoais, atualmente pode-se comprar um ataque ou aprender por tutorial como promover um. A imagem de um atacante altamente especializado em sistemas, sentado diante de uma tela preta com letras verdes, está cada vez mais ultrapassada. Ele utiliza, hoje, engenharia social para identificar os interesses do usuário – aonde vai, quais são suas redes sociais e atividades regulares - e, por spam ou spear-phishing, envia um ataque que pareça vir de uma pessoa ou entidade conhecida, como empresa bancária ou clube esportivo. “A preocupação dos fabricantes deveria ser, a priori, a segurança para todos os dispositivos conectados e geralmente não é”, analisa Jessica González, gerente de pré-vendas para o México da Nexsys, distribuidor parceiro da Symantec. “Há uma indústria onde toda a informação que geramos tem um preço”, diz Ivan Anaya, engenheiro de sistemas da Symantec para o México. Marca-passos ou aparelhos de medição de insulina podem ser monitorados por internet e retroalimentam bases de dados de hospitais e médicos. No cibercrime, a área da saúde é o maior alvo de ataques e um registro médico vale muito mais que dados de um cartão de crédito porque não pode, simplesmente, ser destruído ou substituído. Isso leva os hospitais a soluções de segurança para que seus pacientes estejam protegidos. O NOVO INVASOR Fonte: Symantec Tarefa mais facilitada Encontra, na internet, tutoriais que ensinam a cometer cibercrimes Envia ataques direcionados Mira o empregado como porta de entrada para ataques corporativos Usa engenharia social para identificar hábitos das vítimas Contrata serviços de organizações especializadas em invadir sistemas
IoT9 Se um invasor divulgar contratos, dados confidenciais, estratégia comercial ou, inclusive o estado de saúde de um diretor, há impacto direto na companhia. “A percepção de um líder fraco pode afetar os mercados”, exemplifica Anaya, citando como exemplo o valor das ações, que oscila conforme elevação ou redução da confiança em determinada marca ou mercado. Tal característica também amplia as chances do ataque conhecido como ransomware, ou o sequestro de dispositivos e aplicações, que exige o pagamento de um resgate para restabelecimento do acesso ao device ou sistema. O custo chega a alguns milhares de dólares e costuma ser a única forma de resolução conhecida. É possível se prevenir, mas para isso é imprescindível tocar em um aspecto sólido como rocha na empresa: sua cultura estratégica organizacional. 4. COMO A COMPANHIA SE PREVINE Por conta da Internet das Coisas, todas as empresas, inclusive as de origem puramente analógica e que, hoje, não têm qualquer intimidade com tecnologia, deverão considerar segurança da informação em toda sua cadeia produtiva: desde o desenho do produto ou serviço até entrega ao cliente final. Dessa forma, a indústria automotiva, por exemplo, terá de garantir que os sistemas de seus carros sejam impenetráveis, do mesmo modo que bancos protegem seus caixas eletrônicos e os departamentos de atendimento de companhias de diferentes setores asseguram informações pessoais de seus clientes. A IDC estima que para 2017, 90% dos centros de dados e gestão de sistemas empresariais vão se adaptar rapidamente a novos modelos de negócio, incluindo planos formatados para IoT que integrem mobilidade, cloud computing e analytics, entre outros. Há quatro passos essenciais para o plano de negócios em IoT, segundo a IDC: Fonte: IDC PLANO DE NEGÓCIOS DE IOT Integrar ofertas de mobilidade, cloud computing e analytics em uma única e coerente plataforma IoT Investir em soluções de segurança que unam governança, regulação e compliance Tornar-se o ponto focal e central de um amplo ecossistema baseado em indústria e Tecnologia da Informação Ser disruptivo com a cadeia de suprimentos e agregar inteligência a cada ponto da cadeia de valor
IoT10 Além disso, a ampla rede de coisas conectadas dilui a barreira entre dispositivos para uso pessoal e profissional. Como os aparelhos pessoais não têm os mesmos níveis de segurança que equipamentos corporativos, os ataques miram os empregados, que são o alvo mais fraco de acesso às redes. Cinco de cada seis companhias com mais de 2,5 mil empregados são vítimas de ataque cibernéticos e com tantos objetos conectados simultaneamente à internet, o controle e proteção dos dados transmitidos viram tarefas ainda mais complexas. Para tablets ou smartphones, o plano de proteção pode ser mais simples, baseado em soluções de gerenciamento de dispositivos, política de troca de senhas e backups periódicos. Contudo, com IoT, não há ação direta em grande parte dos dispositivos, apesar de se tratarem de objetos inteligentes, que capturam e transmitem informações. Se até um eletrodoméstico aparentemente inofensivo como uma geladeira já foi identificado como o canal de envio maciço de e-mails maliciosos, manter uma visão estratégica antiga sobre segurança da informação é um verdadeiro perigo. “A rotina de segurança tem que ser muito melhor estabelecida porque independe de intervenção humana”, explica Anderson Figueiredo, consultor e e palestrante de TI e Telecom. Segundo Jessica González, com frequência as empresas se baseiam em medidas tecnológicas individuais sem fazer um esquema generalizado para identificar a eficácia das iniciativas de segurança. Como muitos dispositivos usam sistemas operacionais desatualizados ou não alinhados a protocolos de proteção, a vulnerabilidade aumenta. “Aindasofremosparacriarprocessoseprocedimentos mas, acima de tudo, para segui-los”, diz Figueiredo. O principal equívoco é encarar o investimento em segurança da informação como um gasto. O tema deve estar totalmente intrínseco à estratégia global do negócio. “Quando a organização chega a esse nível, atingiu o ponto ideal. Uma falha pode jogar pelo ralo o lucro de muito tempo.” 1º 2º 3º 4º 5º Se o futuro chegou para trazer mais facilidade e tecnologia para nosso dia a dia, é hora de adequar a forma de pensar a segurança da informação para que o benefício não se transforme no motivador de um generalizado – e hiperconectado – caos. Fonte: “Internet Threat Security Report (ISTR) 2016”, Symantec SETORES MAIS VIOLADOS QUANTO AO NÚMERO DE IDENTIDADES EXPOSTAS 60,6% 28% 6,5% 2,7% 1,4% Serviços Financeiro Administração pública Atacado Varejo 259,9 120,12 27,86 11,79 5,8 Identidades Expostas (milhões)
IoT11 5. REFERÊNCIAS 2016 Internet Security Threat Report (ISTR 2016) - Symantec Gartner diz que 6,4 bilhões de coisas conectadas estarão em uso em 2016, um aumento de 30% em relação a 2015 - Gartner Gartner diz que em 2020, mais da metade dos principais novos processos de negócios e sistemas vai incorporar algum elemento de Internet das Coisas - Gartner Conectando a IoT: a estrada para o sucesso (1) – IDC Conectando a IoT: a estrada para o sucesso (2) – IDC Projetos IDC – Internet das Coisas - IDC Instaurada Câmara de Gestão para comunicações máquina a máquina – Ministério das Comunicações
Symantec do Brasil 12º - Av. Dr. Chucri Zaidan, 920 - Morumbi, São Paulo - SP, 04583-904 (11) 3527-1900 www.symantec.com.br Copyright © 2016 Symantec Corporation. All rights reserved. Symantec, the Symantec Logo, and the Checkmark Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners 04/15 21,500-21347932

Mais conteúdo relacionado

Segurança da Informação na era do IoT: conectividade, e ameaças, por todos os lados

  • 1. A SEGURANÇA DA INFORMAÇÃO NA ERA DA IOT HIPERCONECTADA E ALTAMENTE EXPOSTA, NOVA REALIDADE EXIGE REVOLUÇÃO NA ESTRATÉGIA DE PROTEÇÃO CORPORATIVA
  • 3. IoT3 ÍNDICE 1. Um mundo de coisas conectadas .................................................. 05 2. Cenário preocupante .......................................................................... 07 3. Tarefa fácil para o invasor ................................................................ 08 4. Como a companhia se previne ...................................................... 09 5. Referências .............................................................................................. 11
  • 5. IoT5 1. UM MUNDO DE COISAS CONECTADAS Apesar da cidade nas alturas e dos carros voadores não terem se tornado realidade, muito do que antigamente era somente visão futurista no desenho animado Os Jetsons já faz parte do dia a dia. Parecia improvável ler notícias em uma tela, como fazia o pai da família espacial, mas as checamos em tablets ou notebooks. As ligações por vídeo, que pensávamos ser muito inovadoras, atualmente são uma forma de comunicação usual, e inclusive os relógios que realizavam chamadas se materializaram nos chamados smartwatches. Mesmo que o espaço não seja compartilhado com empregados robóticos, é possível afirmar que o futuro chegou. Wearable devices, nome dado aos acessórios conectados carregados junto ao corpo e que podem medir frequência cardíaca, pressão sanguínea ou quantidade de passos, por exemplo, e eletrodomésticos inteligentes, como televisores e aspiradores autônomos, estão incorporados à rotina. Com distintas funcionalidades, esses dispositivos formam uma rede de “coisas”, independentes entre si, que são capazes de se comunicar diretamente, sem intermediação humana, utilizando a internet como base. Essa é a definição que a consultoria internacional IDC dá para Internet das Coisas (cuja sigla em inglês é IoT, em referência a Internet of Things). Há 13 bilhões de “coisas” conectadas no mundo e, até 2020, a projeção é que sejam 30 bilhões, segundo perspectiva da IDC. Com o crescimento da oferta, as transformações se dão em ritmo acelerado. Falando sobre casas inteligentes, por exemplo, já é possível controlar à distância aspectos como iluminação, climatização, informação sobre vazamentos de gás e entrada de pessoas e há, até mesmo, geladeiras que avisam seus donos sobre a hora de repor o estoque de alimentos. ONDE ESTÃO, OU ESTARÃO, OS DISPOSITIVOS CONECTADOS: Fonte: IDC CONSUMIDOR GOVERNO EMPRESAS veículos compras saúde atividade física entretenimento serviços de emergência usuários meio ambiente energia gestão do trânsito serviços de inteligência transporte público cadeia de valor manufatura serviços e automação transporte serviços
  • 6. IoT Médicos podem acompanhar remotamente condições do coração de pacientes graças a marca-passos que enviam informações de forma instantânea; sensores comunicam sobre a necessidade de manutenção de equipamentos; e, na agricultura, aparatos medem espessura de caule e altura dos vegetais, indicando o momento ideal para a colheita. É um universo enorme de oportunidades, que promete otimizar processos e gerar benefícios econômicos. No entanto, na medida em que aumentam os pontos de conexão, elevam- se, também, as ameaças de invasão de sistemas, multiplicando o risco de roubo de dados. Imagine, por exemplo, que por meio de uma geladeira inteligentesejapossívelacessareinfectarcomputadores de uma empresa ou que invasores tomem o controle de um veículo no meio de uma estrada. Tais eventos também não são ficção científica e merecem atenção tanto por parte dos usuários quanto pelas companhias. No mundo corporativo, o aumento da exposição e possibilidades de vazamentos de informação mudam o perfil dos investimentos destinados à segurança e à hierarquização de profissionais orientados à proteção de dados. Embora ainda haja um longo caminho a ser percorrido, a necessidade de fazer da segurança da informação uma estratégia estruturada ganha cada vez mais protagonismo. OS NÚMEROS NÃO MENTEM Fontes: IDC e Symantec Fonte: Gartner Press Release do Gartner - Gartner diz que até 2020, mais da metade dos principais processos de negócios e sistemas incorporará algum elemento de Internet das Coisas (14 de Janeiro, 2016): http://www.gartner.com/newsroom/id/3185623 6 de “coisas” conectadas no mundo Atualmente há em 2020 Este número vai chegar a dos wearables vão se converter em uma alternativa aos smartphones $$ dos investimentos em IoT vêm de: Manufatura Transporte Cidades inteligentes Aplicativos dirigidos ao usuário Em 2020, um mercado negro superior a vai existir para vender dados de vídeo e de falsos sensores para permitir atividades criminais e estimular a adoção de produtos e serviços de privacidade
  • 7. IoT7 2. CENÁRIO PREOCUPANTE Apesar da praticidade e otimização de processos do mundo hiperconectado, é importante fazer um cálculo básico. Se, atualmente, registra-se a criação de mais de um milhão de malwares por dia, segundo o estudo Internet Security Threat Report 2016 (ISTR 2016), da Symantec, como será o cenário de ameaças em 2020, quando o número de dispositivos conectados deve ser duas vezes maior do que o existente hoje em dia? Ao somar a esse cenário a falta de consciência dos usuários sobre os riscos de não proteger seus dados e dispositivos, a combinação pode ser catastrófica. As coisas conectadas podem servir tanto como “aliados” estratégicos quanto “alvos” em ataque DDoS (Distributed Denial of Service, ou negação de serviço), explica Arthur Oreana, gerente de vendas da Symantec no Brasil e especialista em segurança com a certificação CISSP (Certified Information Systems Security Professional). No primeiro caso, os atacantes invadem dispositivos de IoT e os utilizam para formar redes que perpetram as ações, sem que os donos das “coisas” percebam. Isso significa que seu smartwatch pode ser utilizado como um “zumbi” para ajudar a tirar do ar os serviços online de diferentes empresas, sem que você sonhe com essa possibilidade. Na segunda opção, são ataques feitos diretamente às coisas conectadas: uma invasão a algum aparelho que incide na saúde do usuário ou a sensores instalados em turbinas de aviões, para citar apenas alguns exemplos. Atualmente, 43% dos investimentos em IoT vêm dos setores de manufatura e transporte, além de cidades inteligentes e aplicativos dirigidos ao usuário, segundo a consultoria IDC. Nos próximos cinco anos, todas as empresas vão precisar de um plano de negócios que inclua o conceito, já que todas as indústrias, em certa medida, terão começado a adotar iniciativas do tipo, estima a entidade. OS RISCOS VÊM DE TODOS OS LADOS Fonte: Symantec Quase um milhão de malwares criados por dia Transmissão de dados pessoais, logins e senhas sem criptografar Aplicativos sem políticas de privacidade Aplicativos conectados a diferentes domínios ao mesmo tempo Uso de dispositivos para ataque DDoS sem que o usuário saiba Invasões a aparelhos pessoais, colocando o usuário em risco WWW
  • 8. IoT8 Já o Gartner prevê que até 2020 mais da metade dos principais processos e sistemas de negócios vai incorporar algum elemento da IoT, seja em grande ou pequena parte de sua composição. Como resultado, analistas de negócio e desenvolvedores de processos centrados na informação deverão adquirir experiência e ferramental para conseguir executar seu trabalho. A natureza das soluções das coisas conectadas, a forma como são implementadas e o tipo de dados que geram e consomem exigem nova abordagem de segurança e privacidade. Os riscos trazidos por esse complexo e pouco familiar ambiente avançam rapidamente. Em uma pesquisa realizada pela Symantec, 68% dos entrevistados afirmaram que negociariam sua privacidade para utilizar gratuitamente uma aplicação. “Isso é sumamente alarmante, dado que as pessoas ainda não têm consciência suficiente sobre até onde essa informação vai. Muitos consumidores se preocupam com segurança mas, ironicamente, a maioria está disposta a permitir acesso à sua informação pessoal”, compara Juan Ávila, diretor de engenharia e pré-venda da Symantec para México e Colômbia. “Temos leis que protegem dados pessoais mas, como usuários, temos de começar a nos educar”, ressalta. Outro levantamento da Symantec revelou que 20 de cem aplicativos de saúde - setor no qual cada vez há mais dispositivos conectados - transmitem informação pessoal de usuários, logins e senhas sem qualquer tecnologia de criptografia. Mais de 50 deles não dispunha de políticas de privacidade e cada um se conectava, em média, a cinco domínios diferentes para serviços de propaganda e análise de dados. 3. TAREFA FÁCIL PARA O INVASOR Quando o comportamento despreocupado do usuário e a tecnologia mais acessível se aliam, o resultado é um trabalho cada vez mais simples para o invasor. Com diferentes portas de acesso a redes pessoais, atualmente pode-se comprar um ataque ou aprender por tutorial como promover um. A imagem de um atacante altamente especializado em sistemas, sentado diante de uma tela preta com letras verdes, está cada vez mais ultrapassada. Ele utiliza, hoje, engenharia social para identificar os interesses do usuário – aonde vai, quais são suas redes sociais e atividades regulares - e, por spam ou spear-phishing, envia um ataque que pareça vir de uma pessoa ou entidade conhecida, como empresa bancária ou clube esportivo. “A preocupação dos fabricantes deveria ser, a priori, a segurança para todos os dispositivos conectados e geralmente não é”, analisa Jessica González, gerente de pré-vendas para o México da Nexsys, distribuidor parceiro da Symantec. “Há uma indústria onde toda a informação que geramos tem um preço”, diz Ivan Anaya, engenheiro de sistemas da Symantec para o México. Marca-passos ou aparelhos de medição de insulina podem ser monitorados por internet e retroalimentam bases de dados de hospitais e médicos. No cibercrime, a área da saúde é o maior alvo de ataques e um registro médico vale muito mais que dados de um cartão de crédito porque não pode, simplesmente, ser destruído ou substituído. Isso leva os hospitais a soluções de segurança para que seus pacientes estejam protegidos. O NOVO INVASOR Fonte: Symantec Tarefa mais facilitada Encontra, na internet, tutoriais que ensinam a cometer cibercrimes Envia ataques direcionados Mira o empregado como porta de entrada para ataques corporativos Usa engenharia social para identificar hábitos das vítimas Contrata serviços de organizações especializadas em invadir sistemas
  • 9. IoT9 Se um invasor divulgar contratos, dados confidenciais, estratégia comercial ou, inclusive o estado de saúde de um diretor, há impacto direto na companhia. “A percepção de um líder fraco pode afetar os mercados”, exemplifica Anaya, citando como exemplo o valor das ações, que oscila conforme elevação ou redução da confiança em determinada marca ou mercado. Tal característica também amplia as chances do ataque conhecido como ransomware, ou o sequestro de dispositivos e aplicações, que exige o pagamento de um resgate para restabelecimento do acesso ao device ou sistema. O custo chega a alguns milhares de dólares e costuma ser a única forma de resolução conhecida. É possível se prevenir, mas para isso é imprescindível tocar em um aspecto sólido como rocha na empresa: sua cultura estratégica organizacional. 4. COMO A COMPANHIA SE PREVINE Por conta da Internet das Coisas, todas as empresas, inclusive as de origem puramente analógica e que, hoje, não têm qualquer intimidade com tecnologia, deverão considerar segurança da informação em toda sua cadeia produtiva: desde o desenho do produto ou serviço até entrega ao cliente final. Dessa forma, a indústria automotiva, por exemplo, terá de garantir que os sistemas de seus carros sejam impenetráveis, do mesmo modo que bancos protegem seus caixas eletrônicos e os departamentos de atendimento de companhias de diferentes setores asseguram informações pessoais de seus clientes. A IDC estima que para 2017, 90% dos centros de dados e gestão de sistemas empresariais vão se adaptar rapidamente a novos modelos de negócio, incluindo planos formatados para IoT que integrem mobilidade, cloud computing e analytics, entre outros. Há quatro passos essenciais para o plano de negócios em IoT, segundo a IDC: Fonte: IDC PLANO DE NEGÓCIOS DE IOT Integrar ofertas de mobilidade, cloud computing e analytics em uma única e coerente plataforma IoT Investir em soluções de segurança que unam governança, regulação e compliance Tornar-se o ponto focal e central de um amplo ecossistema baseado em indústria e Tecnologia da Informação Ser disruptivo com a cadeia de suprimentos e agregar inteligência a cada ponto da cadeia de valor
  • 10. IoT10 Além disso, a ampla rede de coisas conectadas dilui a barreira entre dispositivos para uso pessoal e profissional. Como os aparelhos pessoais não têm os mesmos níveis de segurança que equipamentos corporativos, os ataques miram os empregados, que são o alvo mais fraco de acesso às redes. Cinco de cada seis companhias com mais de 2,5 mil empregados são vítimas de ataque cibernéticos e com tantos objetos conectados simultaneamente à internet, o controle e proteção dos dados transmitidos viram tarefas ainda mais complexas. Para tablets ou smartphones, o plano de proteção pode ser mais simples, baseado em soluções de gerenciamento de dispositivos, política de troca de senhas e backups periódicos. Contudo, com IoT, não há ação direta em grande parte dos dispositivos, apesar de se tratarem de objetos inteligentes, que capturam e transmitem informações. Se até um eletrodoméstico aparentemente inofensivo como uma geladeira já foi identificado como o canal de envio maciço de e-mails maliciosos, manter uma visão estratégica antiga sobre segurança da informação é um verdadeiro perigo. “A rotina de segurança tem que ser muito melhor estabelecida porque independe de intervenção humana”, explica Anderson Figueiredo, consultor e e palestrante de TI e Telecom. Segundo Jessica González, com frequência as empresas se baseiam em medidas tecnológicas individuais sem fazer um esquema generalizado para identificar a eficácia das iniciativas de segurança. Como muitos dispositivos usam sistemas operacionais desatualizados ou não alinhados a protocolos de proteção, a vulnerabilidade aumenta. “Aindasofremosparacriarprocessoseprocedimentos mas, acima de tudo, para segui-los”, diz Figueiredo. O principal equívoco é encarar o investimento em segurança da informação como um gasto. O tema deve estar totalmente intrínseco à estratégia global do negócio. “Quando a organização chega a esse nível, atingiu o ponto ideal. Uma falha pode jogar pelo ralo o lucro de muito tempo.” 1º 2º 3º 4º 5º Se o futuro chegou para trazer mais facilidade e tecnologia para nosso dia a dia, é hora de adequar a forma de pensar a segurança da informação para que o benefício não se transforme no motivador de um generalizado – e hiperconectado – caos. Fonte: “Internet Threat Security Report (ISTR) 2016”, Symantec SETORES MAIS VIOLADOS QUANTO AO NÚMERO DE IDENTIDADES EXPOSTAS 60,6% 28% 6,5% 2,7% 1,4% Serviços Financeiro Administração pública Atacado Varejo 259,9 120,12 27,86 11,79 5,8 Identidades Expostas (milhões)
  • 11. IoT11 5. REFERÊNCIAS 2016 Internet Security Threat Report (ISTR 2016) - Symantec Gartner diz que 6,4 bilhões de coisas conectadas estarão em uso em 2016, um aumento de 30% em relação a 2015 - Gartner Gartner diz que em 2020, mais da metade dos principais novos processos de negócios e sistemas vai incorporar algum elemento de Internet das Coisas - Gartner Conectando a IoT: a estrada para o sucesso (1) – IDC Conectando a IoT: a estrada para o sucesso (2) – IDC Projetos IDC – Internet das Coisas - IDC Instaurada Câmara de Gestão para comunicações máquina a máquina – Ministério das Comunicações
  • 12. Symantec do Brasil 12º - Av. Dr. Chucri Zaidan, 920 - Morumbi, São Paulo - SP, 04583-904 (11) 3527-1900 www.symantec.com.br Copyright © 2016 Symantec Corporation. All rights reserved. Symantec, the Symantec Logo, and the Checkmark Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners 04/15 21,500-21347932