ONG diz que países autoritários querem ITU como órgão regulador da internet

A Access Now, organização não governamental internacional de defesa dos direitos humanos na internet, iniciou uma petição online contra a ampliação do poder da União Internacional de Telecomunicações (ITU), agência da Organização das Nações Unidas (ONU) que trata de assuntos relacionados com as tecnologias de informação e comunicações (TICs). Além de abaixo-assinado online, a ONG pede manifestações nas redes sociais contra a expansão dos domínios do órgão.

O diretor-executivo da Access Now, Brett Solomon, explica que existe um movimento liderado por países como China e Rússia para promover a ITU ao status de órgão regulador mundial da internet. Ele ressalta que os interesses da entidade, porém, não representam democraticamente todo o ecossistema do mundo conectado. "Quando saiu do poder de universidades e militares, a internet se estabeleceu como um meio de comunicação da sociedade civil, empresas e governos. Não é de se espantar esses dois países, com sistemas antidemocráticos, promoverem a ITU, pois é um órgão apenas governamental", defende Solomon.

Ele explica que a regulamentação proposta por essa frente pode contribuir para a limitação da liberdade na internet e cita a mobilização social em todo o mundo contra as leis americanas antipirataria Stop Online Piracy Act (SOPA) e Protect IP Act (PIPA) como exemplos de atuação de internautas para barrar as tentativas de controlar a rede mundial. No caso dessas leis, diz Solomon, a comunidade web se organizou, pois viu a ameaça de grandes empresas, com modelos de negócios anteriores à era digital, controlar o que cada usuário faz na rede.

Na petição atual, ele diz tratar-se da defesa da regulamentação regional da internet, ainda em discussão mesmo nos países mais democráticos, com participação de todas as frentes que atuam online. "A ITU dá a cada país um voto, por isso é importante um alto nível de engajamento para impedir que isso aconteça", explica o executivo. Solomon está no Rio de Janeiro participando do Humans Rights and Tech Conference.

O fundador da Humans Rights Foundation, Thor Halvorssen, diz que até mesmo as empresas do setor de tecnologia, que nasceram em meio ao pensamento inovador do Vale do Silício, na Califórnia, não aplicam a abertura e a transparência em alguns negócios. Foi o que defendeu fundador da Humans Rights Foundation, ONG internacional sobre o tema.

Durante a abertura do evento, Halvorssen citou diversas empresas que forneceram serviços ou produtos para governos totalitários. "A Cisco esteve envolvida na prestação de serviços para a China e o Yahoo revelou e-mails de dissidentes para o governo daquele país.

Entre as europeias, a Ericsson forneceu mecanismos de espionagem a civis para autoridades na Bielorrúsia e a Nokia compactuou com o governo do Irã com uma tecnologia telefônica para localização de jornalistas e ativistas", disparou o dirigente.

Ele defende a punição para essas companhias, um contraponto liderado pelas outras duas frentes que atuam na web - população e governo. Em todos esses casos, as empresas alegaram que não poderiam descumprir as legislações dos países em que atuavam.

Pesquisa revela imaturidade do Brasil em relação à criptografia

Muitas organizações brasileiras têm uma postura fraca de segurança em relação a outros países no que diz respeito à conscientização dos riscos de segurança e implantação de soluções de criptografia. Foi o que relevou o estudo “Tendências de criptografia 2011”, realizado pelo Instituto Ponemon e patrocinado pela Thales e-Security, um dos principais parceiros da Safeway Consultoria. Ele foi desenvolvido com 525 diretores e gerentes de organizações brasileiras de médio à grande porte e de diversas áreas de atuação. A pesquisa no Brasil faz parte de um estudo maior envolvendo cerca de quatro mil negócios e gerentes de TI nos Estados Unidos, Reino Unido, Alemanha, França, Austrália, Japão e Brasil.

De acordo com o estudo, 44% dos entrevistados afirmaram que suas organizações não têm um plano ou estratégia de criptografia. Apenas 12% das organizações brasileiras têm uma estratégia de criptografia completa e 44% têm uma estratégia parcialmente implantada. Entre as empresas brasileiras, o principal “driver” para o uso de criptografia é proteger a reputação da marca ou o dano resultante de uma violação de dados, sendo que apenas 5% delas afirmam fazer uso da criptografia para evitar ter que notificar clientes ou funcionários depois que ocorre uma violação de dados.

Segundo Umberto Rosti, sócio-fundador da SafeWay Consultoria, empresa especializada em Segurança da Informação, o indicativo dessa baixa preocupação é que não existem leis e normas para proteção de informações sensíveis e a privacidade de clientes no Brasil. “O que percebemos é que mesmo entre as empresas que possuem algum projeto de criptografia a grande preocupação está em proteger a marca e o crescimento da companhia, e não os dados sensíveis, de clientes e fornecedores, uma vez que muitas destas empresas não avisam aos seus clientes quando há um vazamento ou roubo de informações como é de praxe nas legislações mais avançadas”, afirma.

Para Rosti, mesmo as empresas que seguem normas internacionais, como é o caso de instituições financeiras, que deveriam informar sobre vazamentos, não o fazem. “Não existe uma lei específica no Brasil. O que existe é um paralelo com as leis normais. Por exemplo, se alguém lê seu email, o crime vai ser considerado uma quebra de correspondência, o mesmo que alguém pegar uma carta do correio e abrir. E com isso fica difícil qualificar o crime de acordo com o prejuízo para a vítima, que muitas vezes acaba tendo sua vida afetada, seja ela pessoal ou profissional”, afirma.

Outro dado da pesquisa revela que mais da metade dos entrevistados disseram não ter uma área ou pessoa que tenha total responsabilidade de determinar o uso de criptografia. Já 22% dos entrevistados disseram que o líder de TI é mais influente na determinação da estratégia de criptografia da empresa, seguido por 14% que dizem que é o líder da unidade de negócio. Apesar dos resultados obtidos no Brasil, em estudos de outros países foi evidenciado que os líderes empresariais estão ganhando influência na escolha de soluções de criptografia e podem refletir uma tendência mais ampla no consumo de TI. “O ideal é que os líderes do negócio entendam que as iniciativas de segurança da informação podem agregar valor aos seus negócios e melhorar os resultados globais”, diz Rosti.

O estudo mostrou também que gerenciamento de acesso e identidade, seguido pela descoberta de dados em risco, são as duas principais prioridades de proteção de dados. Para Rosti, a preocupação com estes dois fatores mostra que as empresas desconhecem onde estão os dados sensíveis. “Muitas companhias são roubadas, mas só ficam sabendo do roubo quando a informação vazada chega, por exemplo, as mãos de um concorrente, ao mercado ou a mídia. Já que o criminoso, na maioria das vezes, faz apenas a cópia da informação, deixando o original intacto” diz.

Investimento

Em média, as organizações brasileiras dedicam uma porcentagem menor de seus orçamentos de TI para tecnologias de criptografia. O percentual atual de gastos de TI destinado a criptografia é uma média de 10% para as organizações brasileiras. No Japão, por exemplo, são investidos cerca de 25%, seguido de 21% na Alemanha e 18% nos Estados Unidos. No Brasil, este investimento deve aumentar para 16,5% no próximo ano.

Apesar dos inúmeros casos de vazamento de dados registrados (ou não) no país, a maturidade acerca da criptografia ainda é muito pequena em relação às fragilidades das empresas. “A criptografia não poderia ser negligenciada, pois caso tenha um vazamento ou o sistema esteja comprometido por uma vulnerabilidade (roubo de equipamento, hacking, etc), ela torna os dados ilegíveis para outras pessoas, resguardando assim a confidencialidade dos dados”, afirma Rosti.

Por isso, mesmo que ainda não tenha legislação para crimes praticados na internet, o uso de criptografia deveria ser olhado com cuidado para proteção não apenas da marca, mas também aos dados de clientes, fornecedores, usuários, que acabam afetados pela dificuldade das empresas brasileiras em entender ou reconhecer a importância do uso de criptografia para segurança dos seus dados protegidos.

COBIT 5: Presunção ou integração?

Numa primeira leitura sobre o COBIT 5, recém lançado globalmente pela ISACA – Information Systems Audit and and Control Association, pareceu-me muita presunção ao ser apresentado como o único Framework de Negócio para Governança e Gestão de TI Corporativa. Passado o susto, entendi perfeitamente que o COBIT 5 veio, de fato, integrar o Negócio com a Tecnologia da Informação.

Ao acompanharmos a evolução do COBIT ao longo de 12 anos, percebemos que começou com foco em auditoria, passando por controle, gerenciamento, governança de TI, atingindo o seu ápice como Framework
de Negócio para Governança e Gestão de TI Corporativa.

Na versão 3 aparecia uma mera citação do Balanced ScoreCard, que nem sequer indicava as suas quatro dimensões ou perspectivas. Já na versão 4, aí sim, foi apresentado o Balanced ScoreCard com todos os detalhes da integração dos objetivos de TI, suportados pelos processos do COBIT atendendo aos objetivos de Negócios, nas suas perspectivas: Financeira, Cliente, Processo, Crescimento e Aprendizado.

Idealmente esperamos que a empresa divulgue o seu BSC para que possamos desenvolver o BSC de TI. Desde a versão 4 do COBIT já não tivemos mais que esperar por isto, pois já podíamos atender às demandas de negócio a partir do suporte do COBIT.

Hoje o COBIT 5 já descreve, no conteúdo do Guia de Referência de Processos, as suas metas de TI totalmente referenciadas aos Objetivos de Negócio do Balanced ScoreCard. Outra forma de ver o quanto o COBIT se propõe a ser, de fato, um integrador de TI com o Negócio é a Matriz de Responsabilidades em que mais que dobrou (26 X 11) a quantidade de stakeholders, não só das funções de TI, mas também das áreas de negócio, em relação à versão 4.1.

Dentre os stakeholders de negócio envolvidos nas práticas-chave de governança e de gestão para cada processo do COBIT destacamos: Conselho, CEO, COO, Executivos de Negócio, Gestor de Processos de Negócio, Comitê Executivo de Estratégia, Comitê Diretivo de Programas/Projetos, PMO, Value Managament Office, Chief Risk Officer, Comitê de Risco Corporativo, Chefe de Recursos Humanos, Compliance, Auditoria, Gerente de Serviços e Privacy Officer. Algumas funções não foram traduzidas de propósito por serem relativamente novas e termos que nos familiarizar com os termos em inglês para depois os traduzirmos.

A ISACA SP está coordenando o Projeto de Tradução do COBIT 5, previsto para ser concluído ainda em 2012.

Outro fator preponderante de integração é a distinção entre Governança e Gestão. Desta forma o COBIT deixa claro o papel dos stakeholders entre Negócios e TI. Para tal foi criado um novo Domínio: Avaliação Direção e Monitoramento, voltado para as questões de Governança, cujos processos são: assegurar a definição e manutenção do framework de Governança, assegurar a ealização de benefícios, assegurar a otimização de riscos, assegurar a otimização de recursos e assegurar a transparência dos stakeholders.

É de se esperar que cada vez mais tenhamos não apenas os profissionais de TI, mas também das áreas de negócios em palestras e workshops de COBIT a exemplo do que já testemunhei nos 4 últimos eventos de COBIT 5 que promovemos, tanto no Brasil quanto no exterior, com participação de Membros de Conselho de Administração, Diretoria, Auditoria Operacional, Recursos Humanos e de Gerenciamento de Projetos.

Outras questões como habilidades, competências, cultura, ética e comportamento, Modelo de Capacidade X Maturidade serão abordadas em outros artigos da Série Governança Corporativa e de TI

Antonio de Sousa – sócio diretor da Big Five Consulting.

Saiba o que mudou no cenário de gestão de riscos depois do lançamento da ISO 31000, de acordo com o Diretor de Tecnologia e Sócio-Fundador da Módulo Alberto Bastos.

Desde o lançamento da ISO 31000, em novembro de 2009, as corporações contam com uma norma de gestão de riscos com reconhecimento internacional. Essa série de orientações da International Organization for Standardization (ISO) fornece diretrizes para implementar a gestão de riscos em organizações de qualquer tipo, tamanho ou área de atuação. Em entrevista à GRC Management, Alberto Bastos, Diretor de Tecnologia e Sócio-Fundador da Módulo e Coordenador, no Brasil, da Comissão Especial da Associação Brasileira de Normas Técnicas (ABNT) sobre as Normas de Gestão de Riscos, fala sobre os benefícios da ISO 31000 e a participação do Brasil nesse cenário.

GRC Management - Quais são os principais pontos tratados na ISO 31000 e o que mudou no cenário de gestão de riscos após o seu lançamento?

Alberto Bastos - A ISO 31000 é hoje a referência internacional em gestão de riscos. Foi lançada mundialmente em 13 de novembro de 2009 e, no Brasil, foi traduzida e publicada pela Associação Brasileira de Normas Técnicas (ABNT) como norma brasileira ainda em novembro. Junto com a ISO 31000, também foi publicada a ISO Guia 73, que contém a terminologia e os conceitos usados em gestão de riscos.

A ISO 31000 é uma norma com apenas 24 páginas e que contém princípios e diretrizes genéricas para a gestão de riscos nas organizações de todos os tipos e tamanhos. A partir do lançamento da norma, pretende-se que ela seja utilizada para harmonizar os processos de gestão de riscos tanto em normas atuais como em futuras. Nesse sentido, foram lançados diversos outros padrões, normas e regulamentações sobre gestão de riscos e que se baseiam nos conceitos e linguagem da ISO 31000, como, por exemplo, a ISO/IEC 27005 – norma específi ca de gestão de riscos em segurança da informação.

GRC Management - Quais são os principais conceitos da gestão de riscos aplicados hoje e que têm base na norma ISO 31000?

Alberto Bastos - A ISO 31000 estabelece onze princípios básicos que devem ser observados para uma gestão de riscos efi caz nas organizações, em todos os níveis.

A norma também descreve os componentes necessários a uma estrutura de gestão de riscos com os fundamentos e arranjos para incorporá-la por toda a organização, em todos os níveis, e a forma como eles se inter-relacionam de maneira interativa. Outra parte importante é a que fornece o processo padrão que contém as atividades de gestão de riscos. Convém que esse processo seja parte da gestão, incorporado à cultura e às práticas, e adaptado aos processos de negócios da organização.

Finalmente, a norma oferece um anexo informativo que contém atributos de uma gestão de riscos avançada para auxiliar as organizações a medirem seu desempenho e indicadores tangíveis para cada atributo.

GRC Management - As organizações estão buscando se adequar à ISO 31000? De que forma?

Alberto Bastos - As empresas vêm utilizando a ISO 31000 como referência para concepção e implementação de planos e estruturas para gestão de riscos, levando em conta as suas necessidades específi cas, segundo seus objetivos, estrutura, processos, funções, produtos, serviços e práticas específi cas empregadas.

GRC Management - Ela é válida também para pequenas empresas ou apenas para as de grande porte?

Alberto Bastos - A norma pode ser utilizada por empresas de todos os tipos e tamanhos, seja empresa pública, privada ou comunitária, associação, grupo ou indivíduo. Portanto, não é específi ca a uma indústria ou um segmento e pode ser aplicada também a todos os tipos de riscos, sejam estratégicos, fi nanceiros ou operacionais.

GRC Management - Qual é o papel da Módulo como parceira das organizações que almejam a excelência em gestão de riscos com base na ISO 31000?

Alberto Bastos - A Módulo tem colaborado ativamente com o desenvolvimento de normas de gestão de riscos e padrões em segurança da informação. No Brasil, coordeno pessoalmente o Comitê de Gestão de Riscos da ABNT, composto por mais de 500 empresas dos mais diferentes setores, como bancos,indústrias, hospitais, universidades, tecnologia, seguradoras, telecomunicações, energia etc. Em TI, o foco da Módulo é contribuir para o desenvolvimento de padrões relacionados à segurança da informação, como a série de normas ISO 27000 e ISO 20000, além de apoiar a tradução de frameworks como o COBIT – Control Objectives for Information and related Technology.

Nos EUA, estamos participando de grupos de trabalho ligados a defesa cibernética e interoperabilidade de sistemas de segurança da informação, como, por exemplo, membros do Conselho do OVAL – Open Vulnerability and Assessment Language e do CCE – Common Confi guration Enumeration.

GRC Management - Existem modelos de aplicação dessa nova norma? Como são?

Alberto Bastos - Recentemente, a ISO criou um comitê internacional composto por 35 países para desenvolver a ISO 31004 – diretrizes para implementação da ISO 31000, que fornecerá orientações práticas e informações detalhadas de como as organizações podem implementar a estrutura e os processos defi nidos na ISO 31000. A primeira reunião desse comitê ocorreu em setembro, em Londres. Eu estive lá, coordenando a delegação brasileira que participou de forma ativa dos trabalhos.

GRC Management - Quais são as diferenças entre o modelo de gestão de riscos baseado na ISO 31000 e os outros?

Alberto Bastos - Por se tratar de norma ISO, tem reconhecimento internacional e está disponível em vários idiomas. É fruto de um trabalho que envolveu centenas de especialistas de vários países, com experiências e conhecimentos nos mais variados tipos de empresas e organizações. Trata de objetivos nos seus mais diferentes aspectos, sejam negativos ou positivos, como metas fi nanceiras, de saúde e segurança ou ambientais, e que podem ser aplicados a diferentes níveis (tais como estratégico, em toda a organização, de projeto, de produto e de processo).

GRC Management - Existem diversos cursos sobre a ISO 31000 e muito se fala dela. Por que essa norma é tão importante?

Alberto Bastos - Todas as atividades de uma organização envolvem risco. Hoje em dia, as empresas estão tratando internamente a gestão de riscos de diferentes modos, áreas e níveis e utilizando termos e conceitos distintos. Isso cria uma verdadeira “Torre de Babel”, onde pessoas, áreas ou funções, dentro da própria organização, falam línguas diferentes. É preciso criar uma linguagem comum, e a ISO 31000 descreve exatamente esse processo de forma sistemática, lógica e em detalhes.

Um novo comportamento na compra de soluções de segurança da informação

O mercado de soluções para segurança da informação nunca foi tão dinâmico. Com ameaças surgindo diariamente, e também com o uso cada vez maior de novas formas de acessar os dados (como tablets, telefones celulares e afins), o investimento das empresas em tecnologia para assegurar a integridade e a privacidade das informações corporativas cresce na mesma velocidade.

Mais do que um maior volume de investimento, o dinamismo deste mercado vem proporcionando uma mudança no comportamento de compra das empresas que optam por soluções de segurança de TI. Se há cerca de cinco anos elas buscavam centralizar toda sua estrutura de hardware e software em um único e grande fornecedor de tecnologia, hoje existe um claro movimento de descentralização e cada vez mais as corporações procuram parceiros que sejam especialistas em sua função.

Isso acontece porque a necessidade por uma melhor segurança vem fazendo com que os departamentos de TI troquem o conforto de gerenciar apenas um fornecedor (geralmente grandes empresas, que oferecem um portfólio abrangente), para contar com soluções que atendam a uma demanda com maior profundidade e eficiência, não deixando brechas para vírus, malwares ou mesmo ataques de hackers.

Em geral, estas soluções são ofertadas por fornecedores especialistas, que justamente por não terem a complexidade das grandes corporações da área de TI, conseguem ter a agilidade necessária para acompanhar as novidades do mercado de segurança.

Diante desse cenário, o papel do distribuidor de soluções de segurança também mudou. Mais do que simplesmente comercializar produtos para as revendas, o distribuidor eficiente tem o dever de acompanhar as tendências, descobrir no mercado as melhores tecnologias e quem são os fornecedores especialistas em cada área, apresentando-os para os canais e dando a eles o treinamento necessário para que comercialize estas soluções para as empresas.

Juntos, a revenda e o distribuidor também assumiram o papel de centralizar o suporte às diferentes tecnologias comercializadas para o cliente, dando ao departamento de TI o mesmo conforto que tinha quando optava por trabalhar com apenas um, ou alguns grandes fornecedores.

Portanto, para poder contar com as tecnologias mais avançadas em segurança, é fundamental que o usuário opte por um canal de sua confiança, e que tenha por trás um distribuidor que efetivamente agregue valor ao seu negócio. É uma escolha que exige cuidado, mas que será fundamental para que sua empresa possa desfrutar de um ambiente de TI mais seguro e produtivo.

* Francisco Gandin é diretor presidente da ApliDigital, distribuidor de valor agregado de TI com foco nas áreas de Segurança, Soluções para Otimização de Performance e Comunicação Unificada

Classe C impulsionará receita de dados das teles no Brasil

O mercado brasileiro tem potencial de chegar a 45,5 milhões de smatphones uma participação de 36% das receitas de dados no faturamento das operadoras até 2015. O grande motor de crescimento será a classe C que, hoje, já é composta de 170 milhões de brasileiros e teve seu poder de compra elevado em 260% nos últimos três anos.

Os dados fazem parte de pesquisa realizada pela Pyramid Research apresentada por Vinícius Caetano, analista sênior da consultoria, durante a 12ª edição do Rio Wireless, evento que acontece no Rio de Janeiro.

“A classe C vem usando seu poder de compra para adquirir produtos de tecnologia, mas ainda é reticente em relação ao uso de smartphone, porque ainda considera os preços altos e porque ainda não enxergou benefícios reais nos serviços de dados”, diz Caetano, para quem quando estas barreiras estiverem superadas isso poderá contribuir para uma aceleração nas vendas de smartphones
Segundo o estudo apresentado o Brasil passará de uma penetração da telefonia celular de 123% para 158% até 2015.

O mercado tem comportamento distinto para voz e dados. No primeiro caso há um descompasso entre a forte expansão do uso de minutos de voz e o Arpu já que a guerra de preços e a luta por market share erodiram as receitas de voz.

“Com o mercado de voz em decadência, é importante que as operadoras foquem em smatphone que é o que faz crescer o uso de serviços de dados onde os valores ainda não foram afetados pela guerra de preços. O potencial de crescimento é grande pois hoje as receitas de dados representam apenas 23% do faturamento das operadoras, ante 39% na Argentina. A expectativa é que em 2015 cheguemos a 36,1% mas ainda estaremos atrás da Argentina, que estará em 48%”, diz Caetano.

Entre as tendências apontadas no estudo está o fato de que o mercado de smartphones continuará evoluindo de forma acelerar a partir do barateamento dos preços que passará dos atuais US$ 190 para US$ 150 até 2015, por meio de incentivos fiscais e ganhos de escala. “A evolução da 3G e o início da cobertura do LTE, bem como a popularização dos aplicativos móveis e planos mais competitivos vão impulsionar o mercado".

Assista a entrevista exclusiva concedida à CDTV, do Convergência Digital, de Vinicius Caetano, analista da Pyramid Research. Na reportagem, Caetano fala sobre a qualidade da rede móvel nacional e avalia a implantação do 4G.

Pesquisa diz que metade dos ataques tem motivo financeiro

A Check Point Software Technologies anuncia os resultados de uma pesquisa em que 57% das empresas que já passaram por ataques direcionados, revelaram que a motivação dos hackers foi a fraude financeira. Isso culminou na interrupção dos negócios e na perda de informações importantes, incluindo propriedade intelectual e confidencialidade dos negócios.

O relatório O Impacto do Crime Virtual sobre as Empresas também informou que as empresas brasileiras registram uma média de 47 novas tentativas de ataque por semana, e os incidentes bem sucedidos geram um custo de US$106.904, em média.

Atualmente, os hackers usam cada vez mais malware, bots e outras ameaças sofisticadas para atacar empresas por diversos motivos – para ganho financeiro e a interrupção de atividades empresariais até o roubo de dados ou ataques direcionados por motivos políticos. Independente da motivação, novas variantes de malware aparecem todos os dias, geralmente atacando vários sites e empresas numa tentativa de aumentar as chances de sucesso inicial do ataque e o potencial das ameaças se espalharem silenciosamente por uma empresa.

“Os criminosos virtuais não são mais amadores isolados. Eles fazem parte de organizações bem estruturadas, geralmente empregando hackers altamente habilidosos para realizar ataques direcionados, muitos dos quais recebem grandes quantias em dinheiro, dependendo da região e da natureza do ataque”, disse Tomer Teller, evangelista em segurança e pesquisador da Check Point Software Technologies. “O crime virtual se tornou um negócio. Com kits de ferramentas para hackers à venda por apenas US$ 500, revela o escopo do problema e a importância de implementar soluções para proteger os ativos mais importantes”.

De acordo com a pesquisa, vírus, worms e cavalos de Tróia foram citados entre os tipos mais graves de ataques sofridos pelas empresas nos últimos dois anos, seguidos pelos ataques de negação de serviço. Após investigações de ameaças direcionadas, os participantes relataram que as maiores consequências foram a perda de informações sensíveis e a interrupção dos negócios.

“Na maioria das vezes, o hacker está em busca de informações valiosas. Hoje em dia, os dados de cartões de crédito dividem o espaço nas vitrines dos hackers com outros itens, como registros de funcionários e dados de login do Facebook ou e-mail, além de explorações de dia zero que podem ser roubadas e vendidas no mercado negro a preços que variam de US$10.000 a US$500.000”, acrescentou Teller. “Infelizmente, existem indicações de um crescimento no volume de crimes virtuais, uma vez que tecnologias como a Web 2.0 e a computação móvel estão cada vez mais presentes em ambientes corporativos -- oferecendo aos hackers mais canais de comunicação e pontos de entrada na rede”.

“As empresas enfrentam novos e caros desafios de segurança de fontes internas e externas, que podem colocar os negócios em risco”, disse o Dr. Larry Ponemon, presidente e fundador do Instituto Ponemon. “O tipo de ameaça e o nível de preocupação das empresas variam entre regiões, mas a boa notícia é que a preocupação com a segurança tem aumentado. Em todas as regiões, os principais executivos apontaram um alto nível de preocupação com os ataques direcionados, e pretendem implementar mais segurança, tecnologia e treinamento para reduzir o risco desses ataques”.

Principais Conclusões do Relatório:

• Principais motivações das ameaças direcionadas - Investigações de ataques virtuais em empresas brasileiras revelam que a maioria dos participantes apontou a fraude financeira (57%) como a principal motivação dos hackers, seguida pela intenção de interromper as operações da empresa (42%) e o roubo de dados de clientes (35%). De acordo com estimativas, aproximadamente 9% dos ataques de segurança foram motivados por questões políticas ou ideológicas.

• O crime virtual existe em todos os formatos – Aproximadamente 55% dos participantes brasileiros dizem que os ataques DoS são os cibercrimes de segurança mais graves dos últimos dois anos, seguidos pelas infecções com malware baseado na web (37%) e Injeções SQL (31%).

• Os ataques direcionados são caros – De acordo com os participantes brasileiros da pesquisa, um único ataque direcionado bem sucedido pode custar, em média, US$ 106.904. As estimativas incluem variáveis como as investigações forenses, investimentos em tecnologia e os custos de recuperar a marca.

• Vetores mais comuns – Ao classificar as atividades de funcionários que representam os maiores riscos, todas as regiões citaram o uso de dispositivos móveis – incluindo smartphones e tablets – como a maior preocupação, seguido por dispositivos de mídia removível, como pendrives e redes sociais.

• Investimentos em tecnologia – Enquanto a maioria das empresas possui peças-chave de segurança, como as soluções de Firewall e Prevenção contra Ataques, menos da metade das companhias brasileiras (40%) pesquisadas estão aptas a combater os botnets e as ameaças avançadas.

• Treinamento e conhecimento de segurança – Apenas 41% das empresas dizem manter programas de conscientização e treinamento atualizados para evitar ataques direcionados.

Os cibercriminosos estão em busca de dados valiosos que justificam o tempo investido e o risco do ataque; por esse motivo as empresas devem focar seus trabalhos de segurança nessa área também. As companhias devem começar a identificar os dados e ativos importantes e aplicar a prevenção contra ameaças em múltiplas camadas. Enquanto milhares de empresas foram alvo de bots e ameaças avançadas, todas têm a responsabilidade de impedir seu alastramento.

O relatório, O Impacto do Crime Virtual sobre as Empresas, pesquisou 2.618 executivos e administradores de segurança de TI nos Estados Unidos, Reino Unido, Alemanha, Hong Kong e Brasil. A amostra da pesquisa representa companhias de vários tamanhos em setores, como finanças, indústria, defesa, varejo, saúde e educação. Para mais informações e visualização do relatório completo, acesse: http://www.checkpoint.com/products/downloads/whitepapers/ponemon-cybercrime-2012.pdf.