Cuidados com Senhas Bancárias

Atualmente estamos vivendo um tempo em que tudo está sendo “Automatizado”, de forma que a maioria das nossas rotinas estão sendo transferidas para o mundo “on-line”. E todo lugar onde você precisa se conectar é necessário um Login de acesso e uma senha. Em todo sistema é dessa forma que funciona e até hoje não se conseguiu uma forma mais clara e precisa que identifique você em um sistema.

Apesar de parecer seguro, esse método de autenticação se torna inviável quando deparados por pessoas que não conseguem memorizar a senha. É muito comum ver uma pessoa idosa ou ate mesmo de meia idade olhando um papel para digitar a senha do cartão do banco.

Antigamente não existiam muitas tecnologias que asseguravão de forma precisa a autenticação que não fosse por login e senha. Mas hoje, existem diversas formas de autenticação que não necessitam de senha digitada, por exemplo: autenticação por identificação biométrica, por identificação facial, por identificação por voz e até mesmo pela íris dos olhos.

Mas porque esses métodos não foram implementados? Por que temos que ficar em filas para pegar o dinheiro? Porque temos que frequentemente cadastrar senhas e mais senhas????

Tudo se resume a uma só palavra, custo!!! Essas metodologias de autenticação são muito caras, e implementa-las seria muito custoso para todas as empresas e principalmente aos bancos. Imagine adaptar todos os mais de 30 mil terminais de atendimento espalhados por todo país. Adaptar, é dificíl leva tempo e dinheiro, e nenhum banco está interessado em gastar todo esse dinheiro, simplismente para dar “conforto aos clientes”.

A unica maneira que eles o façam é se for obrigatório por uma medida de lei, mas todos sabemos que a influência que os banqueiros tem sobre o congresso é muito grande e uma lei dessas nao sairia do papel.

Então, como sabemos que isso continuará do jeito que está, temos que seguir algumas dicas para não nos complicarmos. Eis algumas….

1)Jamais forneça sua senha a alguem que não seja de confiança e caso você tenha anotado, deve muda-la após a pessoa utilizar.

2)Coloque alguns numeros na frente e atras da senha, caso alguem achar o seu papel, será mais dificil descobrir a senha.

3)Caso tenha problemas em ir ao caixa, solicite ajuda de alguem de casa, normalmente um neto ou o filho, para que não seja necessário pedir auxilio a algum estranho.

4)Faça o possivel para efetuar pagamentos e compras por caixa ou on-line, também utilize a função pagamento em débito no cartão. Isso deixa seu dinheiro mais seguro, evitando roubos de quantias enormes.

5)Nunca deixe o cartao junto com o papel da senha, se possivel coloque no bolso da calça ou em outro lugar que nao seja junto.

6)Tenha sempre na mão o numero do 0800 do banco ou operadora para cancelar o cartão que foi roubado ou perdido.

7)Vote em alguem que faça uma lei que nos ajude!!! 🙂

Brincadeiras a parte, devemos lembrar que somente se votarmos consciente é que teremos pessoas conscientes la nos representando.

Obrigado e até a próxima

cuidados com fotos on-line

Notei muito ultimamente que a maioria das pessoas que possuem uma ou até mesmo várias contas de sites de relacionamento, como por exemplo o orkut. Que postam suas fotos de qualquer maneira. Seja com pouca roupa, seja com outras pessoas, seja com crianças ou até mesmo com o animal de estimação.
Isso em primeiro momento pode-se não parecer muito sério, pois, o que a de errado em postar minhas fotos na internet? Só pessoas em que eu confio é que vão acessar! Será mesmo???
Você sabia que se você clicar com o botão direito do mouse sobre uma foto o seu browser irá lhe disponibilizar uma opção parecida como: salvar imagem como…. Aí vem a pergunta, e daí????
Hoje em dia todo mundo reconhece que existem várias ferramentas que manipulam imagens, algumas até são on-line, e outras é claro são muito caras e necessitam ser instaladas. Com essas ferramentas qualquer pessoa com acesso a sua foto poderia por você em outra foto, por seu filho, retirar o biquine e colocar partes intimas de outras pessoas… E por aí vai… Você já imaginou se seu filho, ou amigo dele, ou o pessoal do seu trabalho ou colégio receber um e-mail com fotus de você pelado ou pelada???? Você vai dizer: “Meu Deus, eu nunca fiz isso! Essa não sou eu!” Você nem sabe, mas o sujeito que é amigo de um amigo seu que te adicionou anteontem e você simplismente aceito para que tenha mais amigos, pegou uma fotu sua de biquine e “adaptou” de forma a torna-la nua.
Isso é apenas um exemplo, tambem existem as contas fantasmas, pessoas que se fazem passar por outras, que fingem ser homem ou mulher que pesquisam você para te sequestrar e tudo mais. Isso sem falar nas conversas por webcam que podem ser facilmente gravadas e mostradas a todo o mundo através de um site de hospedagem gratis de filmes.
Diante desse perigo todo, tenho uma grande recomendação a você que está lendo esse post: Nunca, jamais adicione alguem que ja tenha conhecido pessoalmente, ou que você conhece alguem que ja o viu pessoalmente. E jamais coloque fotos que podem ser facilmente manipuladas. O melhor são aquelas fotos pequenas de celular. E principalmente, não post fotos de seu filho sem camisa, sem calção ou até mesmo com trage de banho. Pois você corre o risco de seu filho ser usado em uma rede de pedofilia de fotos.
Por fim, tomem cuidado, usem de forma correta, dessa forma as chances de ser vítima é bastante baixa.
Ate mais!!!

Segurança da Informação Parte – 5

GESTÃO DA SEGURANÇA DA INFORMAÇÃO –  Parte 5

Conclusão

            A informação foi definida em graus de importância. Quanto maior o nível de importância, maior será a chance de um vazamento dessas informações causar prejuízos a instituição.

            Toda informação para se tornar segura, deve obedecer aos princípios que a segurança da informação rege. Tornando os mesmos, autênticos, disponíveis, com integridade e confidencialidade mantidos.

            A instituição deve se precaver das ameaças internas e externas. Essas ameaças exploram um ponto vulnerável, que pode ser por exemplo, uma medida de segurança mal feita, ou até mesmo a ausência dela. As medidas de segurança com certeza podem amenizar as ameaças, juntamente com as normas de segurança.

            Existem também vários aspectos que devem ser analisados e previsto nas normas e políticas de segurança. Tendo o meio físico, tecnológico e principalmente a conscientização de todo e qualquer funcionário normatizados, previstos e politizados. Tornando assim segura as informações.

            A atribuição de um security officer como um agente da segurança é de modo crucial para que as normas e políticas sejam de fato implantadas e readaptadas. Para que a segurança das informações possa ser mantida é importante que a diretoria juntamente com ele esteja interessada nas normas e políticas de segurança. Tornando assim o ambiente mais seguro.

            Será mostrado no próximo post um problema muito pouco divulgado que é pouco previstos nas normas e políticas de segurança: a engenharia social. Serão explicados suas definições, importância de estudo e alguns exemplos.

Segurança da Informação Parte – 4

GESTÃO DA SEGURANÇA DA INFORMAÇÃO –  Parte 4               

Aspectos da Segurança

               São divididos em três partes, sendo eles: Segurança Física, Segurança tecnológica e Conscientização de Pessoal (PEIXOTO, 2006).

Segurança Física

               Na segurança física podemos citar a estrutura em que a instituição se encontra. São as formas como as pessoas tem acesso ao seu interior, os métodos de identificação, seguranças envolvidos, ou seja, tudo aquilo que assegura que ninguém sem autorização possa entrar.

               Na maioria das instituições tem uma preocupação excessiva com essa parte, colocando rigorosos protocolos de acessos e dificultando ao máximo a entrada das pessoas. 

              Como podemos observar, esse é um ponto da segurança em que podemos nos precaver, pois alguém sem autorização não conseguirá passar pela segurança sem ser notado, tornando assim a instituição mais segura e protegendo suas informações. 

Segurança Tecnológica

               A segurança tecnológica se baseia nos equipamentos envolvidos no processo da segurança. Ou seja, os equipamentos que a instituição se disponibiliza para dificultar o acesso de pessoas não autorizadas ao seu sistema e ou computadores. Muitos sistemas são feitos sem a preocupação de uma autenticação segura. Podendo um Hacker invadir o sistema e extrair informações sigilosas.

               Neste ponto a instituição precisa preocupar-se em sempre ter uma vistoria em seus sistemas por consultores, se assegurando que está segura e que todos os seus softwares estão sendo atualizados com freqüência. 

Conscientização de Pessoal

                 Este é o ponto crucial da segurança. De nada vale se tivermos uma segurança física impecável e um sistema fortemente seguro, caso não seja feito um programa de conscientização de todo o pessoal envolvido na organização, desde a diretoria até o pessoal da limpeza devem ter consciência daquilo que devem ou não fazer.

                 Muitas instituições não se preocupam ou até mesmo desconhecem esta forma de  prevenção. Sendo ela uma das mais importantes, pois, todos que manipulam uma informação da instituição devem protegê-la. Não citando coisa alguma por telefone a alguém que não se tem confirmação de quem seja.

Hoje através de redes de relacionamento, comunicadores instantâneos, dentre outros meios pode-se alguém com um perfil falso, feito com esse intuito, extrair informações das pessoas que trabalham na instituição, e elas na maioria das vezes nem se darão conta que foram vítimas de um engenheiro social.

Security Officer

            Um Security Officer é uma pessoa cuja responsabilidade é tornar o ambiente corporativo seguro. Sendo algumas delas citadas a seguir (PEIXOTO,2006):

1. Planejar: Juntamente com a diretoria, o Security Officer planeja como será feita a segurança, expõe as vulnerabilidades e cita casos onde ocorrem incidentes. Mostrando a devida importância que se deve ter com a informação que todos manipulam.
2. Analisar: Após o planejamento ele faz uma análise de como se encontrar a segurança. Observando os riscos e as principais vulnerabilidades.
3. Implementar: Neste ponto ele põe em prática aquilo que planejou, corrigindo as falhas, e dando o treinamento devido as pessoas que manipulam a informação.
4. Coordenar: Agora ele precisa coordenar aquilo que foi implementado, atualiza os softwares, e faz treinamentos rotineiros para explanar os diversos tipos de ameaças.

                 Vale ressaltar que o Security Officer tem autonomia semelhante a diretoria, sendo imprescindível sua participação nas reuniões, pois é ele quem mantém seguras as informações.

                 Para que ele tenha êxito no seu trabalho é imprescindível que a diretoria tenha interesse na implementação, implantação e manutenção de uma política de segurança e normas internas. Sem tal interesse de nada valerá as políticas e normas criadas por ele.

Segurança da Informação Parte – 3

GESTÃO DA SEGURANÇA DA INFORMAÇÃO –  Parte 3         

Segurança e Ativos

            A segurança de uma instituição pode ser comparada com a segurança de uma casa. Você tem dois tipos de bens, um material, que são os móveis, utensílios, dinheiro, jóias e etc. E outro bem, que julgue ser o mais importante, a família. Para defendermos nossa casa, colocamos muros altos, cadeados, sistemas de segurança, cerca elétrica, etc. Agora, se deixamos apenas um cadeado aberto, toda essa segurança vai por água a baixo. Ou seja, todo o investimento de segurança vale de nada se o fator humano não for administrado(PEIXOTO, 2006).

            Da mesma forma é a instituição, quando falamos em segurança num ambiente corporativo não falamos apenas de firewalls, sistemas de autenticação, e até mesmo segurança física. Sempre o fator humano será o “elo mais fraco”.

            Neste ponto que chamamos a atenção para a segurança ativa. A mesma pode ser comparada a um “sentinela”, alguém que fica a todo momento de guarda. Deste modo a segurança deve ser tratada por todos os funcionários, e é a instituição que deve se preocupar com isso, pois, com apenas uma brecha pode-se ter prejuízos irreversíveis.

Diferenciando Ameaça de Vulnerabilidade

            Existem muitas diferenças entre ameaça e vulnerabilidade. As ameaças são fatos que podem acontecer e devem ser prevenidos, ou seja, deve-se agir antes de acontecer. Já a Vulnerabilidade, pode ser um problema ou defeito dependendo do caso. Também pode ser uma brecha que fora encontrada e solucionada. Ou seja, ao contrário da ameaça, a vulnerabilidade é algo que deve ser corrigido assim que é encontrado.

            As ameaças podem ser divididas em (PEIXOTO,2006):

1. Ameaças naturais: Fenômenos da natureza;
2. Ameaças involuntárias: Fatos ocorridos de forma acidental, sem o consentimento ou conhecimento;
3. Ameaças voluntárias: Fatos ocorridos de forma proposital, são tentativas de invasões por hackers, engenheiros sociais, funcionário descontente e etc.

As vulnerabilidades podem ser divididas em (PEIXOTO,2006):

1. Físicas: Local da sala de TI mal localizado, acesso facilitado, estrutura de segurança mal planejada.
2. Naturais: Computadores, equipamentos de rede, e qualquer outro componente eletrônico é propenso a ter falhas, sendo elas por falta de energia, incêndio, acúmulo de poeira, umidade alta.
3. Hardware: Desgaste do equipamento, obsolescência e ou má utilização.
4. Software: Perda de dados, má instalação, falta de configuração adequada, uso inapropriado de senhas.
5. Mídias: O mal uso de disquetes e CDs, podem perder informações preciosas. A má manipulação dos mesmos podem fazer com que sejam perdidos e encontrados por pessoas que não tem autorização para a visualização dos mesmos.
6. Comunicação: Perda de comunicação com o servidor, queda do acesso a internet(rede mundial de computadores), conexão com a rede interna perdida.
7. Humanas: São os ataques de um engenheiro social. Não sendo obrigatoriamente um atacante, pode ser um funcionário ou até mesmo alguém contratado recentemente.

Segurança da Informação Parte 2

GESTÃO DA SEGURANÇA DA INFORMAÇÃO –  Parte 2

Conceitos Básicos da Segurança

            Existem muitas vulnerabilidades em um ambiente corporativo e  muitas delas são desconhecidas e até mesmo despercebidas. Tal fato ocorre na maioria das organizações. No entanto para se gerir segurança da informação deve-se levar em conta todo o processo de manipulação da informação, desde o computador, os documentos, impressora, até ser chegado ao usuário. Para administrar  tudo isso que a gestão de segurança existe.

            De acordo com PEIXOTO (2006) a segurança da informação pode ser classificada em quatro partes. 

Secreta

            As informações que possuem esta definição só podem ser acessadas por um número restrito de pessoas. Normalmente no caso de uma instituição, o Presidente e ou diretor financeiro. São definidas dessa forma para que possa ser preservada a integridade total das informações, visto que essas informações são essenciais para a instituição.

            O acesso a essas informações normalmente se dá por meio seguro e interno, mas também pode ser acessado de forma externa em um ambiente seguro de conexão.

            O uso dessas informações por pessoas não autorizadas, e principalmente a extração delas, pode acarretar em danos irreversíveis a organização. Podendo ela vir á falência. Por esse motivo é importante manter o mais seguro possível essas informações.

Confidencial

            Nesta classificação, estão as informações que pertencem á instituição e que não podem ser utilizados por pessoas de fora. Os funcionários só terão acesso onde necessitam para executar suas tarefas. O acesso a essas informações por pessoas não autorizadas podem acarretar dados a organização de natureza média. Não tão nocivos quanto as informações confidenciais. Um exemplo seria danos financeiros por perda de mercado para um concorrente que obteve informações de valores de lançamento antes que o mesmo fosse informado em público.

Interna

            São classificados neste ponto as informações pertencentes a instituição que não podem vir a público, mas caso venham a público, não ocorrerá danos nocivos. Desta forma o ponto que mais pode afetar a organização seria o fator moral. Sendo este um agravante futuro, pois negócios podem ser perdidos pela falta de confiança que o cliente possui diante dos “vazamentos” de informações sofridos pela organização. 

Publicas

            São informações que o público em geral possui acesso. Por exemplo: clientes, fornecedores, imprensa. Toda e qualquer pessoa terá acesso a elas. Normalmente neste ponto são dadas as informações a respeito de produtos e serviços oferecidos pela instituição. Essas informações podem ser oferecidas em um Web Site da instituição.

Segurança da Informação Parte 1

GESTÃO DA SEGURANÇA DA INFORMAÇÃO –  Parte 1

Introdução

            A gestão da segurança da informação é um assunto que deveria estar em pauta a todo o momento em uma instituição. Da mesma forma que um corpo não sobrevive sem sangue, a mesma não sobrevive sem sua base de informações. Se olharmos para os bens de qualquer instituição, veremos que o bem maior com toda a certeza será aquilo que está armazenado em sua maioria nos arquivos de computador.

            Desta forma neste capítulo veremos como a segurança é importante para o meio corporativo, suas características e demonstraremos quão é importante dar atenção a mesma.

Definição

              O significado da palavra informação segundo o dicionário Aurélio: Ato ou efeito de informar(-se); Dados acerca de alguém ou de algo; Conhecimento, participação; Comunicação ou notícia trazida ao conhecimento de uma pessoa ou do público e Instrução, direção.

              “A informação representa a inteligência competitiva dos negócios e é reconhecida como ativo crítico para a continuidade operacional da instituição” ( Peixoto apud  SÊMOLA, 2003).

            Desta forma podemos definir que a Gestão da Segurança da Informação é a área de conhecimento que salvaguarda as informações de uma pessoa ou instituição através de métodos e diretrizes pré-estabelecidos.

 

                                                            “A informação pode existir de diversas formas, ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou através de meio eletrônico, mostrada em filmes ou falada em conversas. Seja qual for a forma apresentada ou meio através do qual a informação é compartilhada ou armazenada, é recomendado que seja sempre protegida adequadamente.” (NBR ISO/IEC 17799, setembro 2005)

Princípios da segurança da Informação

            A segurança da informação pode ser dividida em quatro princípios básicos de acordo com PEIXOTO (2006).

Confidencialidade

            Para que se possa proteger as informações do acesso não autorizado de algum indivíduo ou sistema, é necessário que exista a confidencialidade das informações. Protegendo a informação contra leitura e/ou cópia por algum outro sistema ou pessoa não autorizada de forma que a informação esteja da mesma forma que fora enviada.

             Ela deve ser de toda forma confidencial, não devendo passar por lugares não autorizados. Alguns recursos são utilizados nesse processo, como criptografia simétrica ou assimétrica.           

Integridade

            Após a informação ser recebida pela pessoa correta, a mesma não deve ter sofrido nenhum tipo de modificação ou alteração no percurso origem destino. A mesma mensagem enviada deve ser recebida pelo destino.

            Neste contexto a integridade evita que dados sejam modificados ou até mesmo apagados sem a devida permissão da pessoa que enviou.

            Existe uma diferença entre integridade e confidencialidade, enquanto a confidencialidade  torna as informações seguras para que ninguém as veja, a integridade por sua vez se preocupa com que ela não seja alterada no meio transmitido.

Disponibilidade

            A disponibilidade protege os serviços prestados contra a degradação e também para que esteja sempre disponíveis, assegurando assim que o acesso sempre esteja disponível a quem precise.

           Ainda que tenhamos uma mensagem confidencial e íntegra, de nada vale se a mesma não estiver disponível no momento em que é necessária sua utilização. Sendo assim, as informações necessárias devem estar disponíveis a quem deseja de forma incorruptível e confidencial. 

Autenticidade

            A autenticidade está ligada a identificação do usuário ou de um host. O serviço no qual faz a autenticação deve ter a certeza que quem está recebendo a mensagem é realmente a pessoa que devia receber. Portanto, ocorre normalmente por mecanismos de senhas ou de uma assinatura digital.

            A autenticidade é a medida que assegura que a identificação de um usuário ou host é verdadeira. Tornando segura a conexão entre cliente/servidor para que ninguém possa se fazer por outra pessoa.