[Notícia] Até 2018, 40% das grandes empresas terão planos de segurança cibernética

Por Editor em 10 de março de 2015 | Enviar comentário

investimento_crescimentoSegundo notícia divulgada pela empresa de consultoria Gartner, ainda que a frequência de ataques cibernéticos de larga escala seja baixa, a estimativa é de que até 2018, 40% das grandes empresas terão planos formais para tratar ataques agressivos visando a interrupção dos seus negócios.

De acordo com a consultora, essa projeção se deve aos ataques de interrupção de negócios exigirem novas prioridades aos diretores de segurança da informação (CISOs) e líderes de gestão de continuidade de negócios (BCM), uma vez que tais ataques podem causar o rompimento prolongado das operações comerciais internas e externas, causando grandes prejuízos financeiros para a empresa afetada.

Não obstante, com o crescimento de equipamentos conectados e a Internet das Coisas, houve uma expansão das superfícies sujeitas a ataques, o que implica em maior atenção e, naturalmente, maiores orçamentos relacionados à segurança digital.

“A expectativa de que os negócios digitais representem um modelo bem sucedido parte da premissa de que equipamentos da Internet das Coisas estejam sempre disponíveis. Uma interrupção em qualquer momento de uma transação fim-a-fim significa que essa transação pode não ser realizada, com impacto na fidelidade dos clientes e no fluxo esperado de receitas das ofertas digitais”, diz a Gartner.

Confira a notícia completa através do link.

AddThis Social Bookmark Button

[Notícia] Curso CompTIA Security+ da Academia Clavis obteve média de 9,05 em avaliação

Por Editor em 10 de março de 2015 | Enviar comentário

Academia ClavisFoi publicado no Blog Clavis a avaliação da última turma do treinamento presencial CompTIA Security+ da Academia Clavis, realizado em janeiro de 2015. Essa foi uma turma In-company e obteve uma média geral de nota 9,05.

Confira o depoimento de Adriano Moura Macedo – Analista de Suporte e Infraestrutura: “Ótimo curso! Abordado de forma aprofundada, o Instrutor com ótima experiência ajudou, para que os conhecimentos teóricos repassados durante o treinamento ficassem ainda mais solidificados. Parabéns Clavis e ao Instrutor!”

Via: Blog Clavis

AddThis Social Bookmark Button

[Notícia] 4 Novas Oportunidades na Clavis – Analista Júnior, Pleno e Sênior com foco em Segurança da Informação

Por Editor em 9 de março de 2015 | Enviar comentário

logo_clavis-150px

4 Novas Vagas:  Analista Júnior, Pleno e Sênior com foco em Segurança da Informação. Só será exigida experiência prévia para os candidatos às vagas de Pleno e Sênior.

Oportunidade para Analista Júnior, Pleno e Sênior de Segurança da Informação, com atuação presencial na cidade do Rio de Janeiro, em horário comercial. São 4 vagas para áreas distintas da área de Segurança da Informação.

Benefícios: CLT + VT + TR + Plano saúde com abrangência nacional TOP (incluindo dependentes) + distribuição do lucro da empresa + até 1 reembolso de certificação a cada 3 meses + participação em eventos de segurança da informação.

ALGUMAS DAS ATIVIDADES ENVOLVIDAS.

Caso se interesse por duas ou mais atividades abaixo, mande seu currículo para nós. (=

  • Realizar testes automatizados de análise de vulnerabilidades;
  • Realização de auditoria de conformidade (ex. com base na ISO27001);
  • Sugerir soluções de curto, médio e longo prazo para os eventuais problemas encontrados – consultoria;
  • Realização de Modelagem de Ameaça em aplicações web;
  • Colaborar com inteligência para times de SOC e NOC. Ter experiência nessa área será um bom diferencial;
  • Trabalhar na implementação e acompanhamento de baselines de segurança;
  • Criação e capacidade de avaliação de políticas, normas e procedimentos na área de segurança da informação;
  • Elaboração de pesquisa e artigos na área técnicas de segurança da informação;
  • Atividades de acompanhamento de projetos e atendimento ao cliente (envolvendo pré-venda técnica e reuniões de acompanhamento de projetos)
  • Elaboração de war games e desafios na área de segurança da informação;
  • Realizar testes manuais em teste de invasão e análise de código;
  • Colaborar com projetos de Gestão de Risco;

REQUISITOS MÍNIMOS

0. Bom inglês técnico para leitura;
1. Experiência prévia com as atividades selecionadas pelo candidato (com exceção para vagas Junior);
2. Domínio da língua portuguesa para elaboração de textos formais e relatórios técnicos/gerenciais.

Os interessados devem enviar CV para clavis at clavis.com.br com a pretensão salarial e com quais atividades deseja trabalhar.

Via: Blog Clavis

AddThis Social Bookmark Button

[Notícia] [Evento] A ISACA-RJ promove hoje evento sobre risco cibernético

Por Editor em 4 de março de 2015 | Enviar comentário

A Diretoria da ISACA-RJ convida para o evento “Risco Cibernético – Risco da TI ou Risco do Negócio?”, que ocorrerá hoje, dia 04 de Março de 2015 no Centro do Rio de Janeiro, das 17h45 às 22h.

O evento, que teve diversos patrocinadores, dentre eles a Clavis Segurança da Informação, tem como objetivo debater o Risco Cibernético, as tendências do mercado, quais as melhores práticas a serem implementadas e os desafios que as empresas enfrentam frente as mudanças e desafios que as inovações e competitividade apresentam.

Não perca essa oportunidade de participar de mais um evento da ISACA-RJ. As vagas são limitadas e as inscrições serão confirmadas conforme disponibilidade, exceto para associados da ISACA, que terão sua confirmação imediata.

Confirme sua presença através do e-mail isaca.rj@isaca.org.br

AddThis Social Bookmark Button

[Notícia] Pesquisa aponta importância da norma ISO 27001

Por Editor em 3 de março de 2015 | Enviar comentário

iso-iec-27001Em um recente estudo sobre a ISO 27001, norma de gestão da segurança da informação, 96% dos entrevistados alegaram que a mesma teve um papel importante na melhoria das defesas de segurança cibernética da empresa.

De acordo com a pesquisa, quase 70% dos entrevistados dizem que a melhoria da segurança da informação foi o maior fator para implementação da ISO 27001, seguido pela exigência de se alinhar com as melhores práticas em segurança da informação (62%) e ganhar uma vantagem competitiva (57%). Entre as empresas entrevistadas, dois terços (66%) foram consultadas por seus clientes, nos últimos 12 meses, sobre o seu estado com relação à norma.

Segundo Alan Calder, presidente executivo da IT Governance, atualmente a norma figura como exigência para contratos, sendo uma maneira simples e credível de demonstrar aos clientes e partes interessadas que a organização é confiável. Esse fato corrobora com a popularidade da mesma: 40% das organizações já obtiveram a certificação ISO 27001, 44% estão trabalhando para isto e apenas 16% não estão planejando se certificar. Não obstante, 68% dos entrevistados caracterizaram a certificação como “um investimento que é totalmente justificado pelos benefícios.”

Por outro lado, um fato preocupante é o de 44% dos entrevistados admitirem que não possuem pessoal com qualificação ISO 27001 para gerir seu SGSI. Apesar desta falta de formação adequada, 28% não estão planejando treinar seus gerentes SGSI, 35% não têm controle sobre essa decisão, e apenas 37% estão planejando o treinamento. Calder acrescenta: “A falta de competências relevantes pode afetar a eficácia eo desempenho do SGSI. Dada a atual escassez de competências em segurança cibernética, é essencial que as empresas apoiem suas equipes profissionais em adquirir as qualificações necessárias. “

De acordo com a pesquisa, 40% dos entrevistados usaram consultores externos para ajudá-los a se preparar para a certificação. A ausência de um gerente SGSI em tempo integral, bem como a falta de treinamento formal para aqueles encarregados desta gestão pode contribuir para esta tendência. A Clavis Segurança da Informação, parceira do SegInfo, realiza auditorias de conformidade com a norma ISO/IEC 27001:2013.

Confira maiores informações através do link.

AddThis Social Bookmark Button

[Vídeos e Dicas] Documentário DEFCON e filme The Algorithm

Por Editor em 23 de fevereiro de 2015 | Enviar comentário

Caso ainda não tenha assistido, não deixe de conferir essas duas excelentes sugestões!

O documentário intitulado DEFCON: The Documentary, foi lançado em 2013 e aborda sobre a maior conferência de hacking do mundo, que completou 20 anos de existência em 2012. O filme segue os quatro dias da vigésima edição da conferência, os eventos e as pessoas (participantes e pessoal), e abrange história e filosofia por trás do sucesso da DEFCON.

O filme ALGORITHM: The Hacker Movie, tem como protagonista um hacker de computador freelance que invade um contratante secreto do governo norte-americano e faz o download de um programa. Ele então deve escolher entre sua própria curiosidade e as vidas de seus amigos.

Essas dicas vieram do Rodrigo Sp0oKeR Montoro, confira através do link.

AddThis Social Bookmark Button

[Notícia] Treinamento de segurança de TI é uma prioridade para CIOs

Por Editor em 23 de fevereiro de 2015 | Enviar comentário

pesquisaDe acordo com a Robert Half Technology, CIOs estão adotando uma abordagem multifacetada para proteger as informações confidenciais de suas empresas, sendo que a maioria está tomando ou planejando tomar medidas nos próximos 12 meses para melhorar sua segurança de TI.

As estratégias mais comuns incluem aumento dos procedimentos de treinamento para empregados em questões de segurança (54 por cento), veto do acesso de parceiros aos dados da empresa (45 por cento) e contratação de profissionais de segurança de TI (41 por cento).

Um plano de comunicação organizacional forte e relações sólidas com fornecedores tende a ajudar na melhoria das medidas de segurança, mas tudo começa com a equipe responsável pela gestão desses esforços. Por fim, os responsáveis pela pesquisa oferecem os três principais atributos de funcionários de segurança eficazes: foco no futuro, certificações de segurança e habilidade no trabalho.

Confira a fonte neste link.

AddThis Social Bookmark Button

[Notícia] Vulnerabilidades críticas afetando Microsoft Windows e Internet Explorer

Por Editor em 16 de fevereiro de 2015 | Enviar comentário

microsoftA Microsoft lançou nove boletins de segurança para resolver um total de 56 vulnerabilidades únicas descobertas no Microsoft Windows, Microsoft Office, Internet Explorer, e Microsoft Server. Dos nove boletins de segurança, três foram classificados como críticos em termos de gravidade, permitindo escalada de privilégios e execução remota de código em caso de exploração.

Entre as três vulnerabilidades consideradas críticas, duas estão presentes no Windows, sendo uma delas referente ao projeto do sistema e existente a pelo menos 15 anos, e a terceira no Internet Explorer. A vulnerabilidade na política de grupo (CVE-2015-0008), descoberta pela empresa de consultoria JAS Global Advisors, afeta componentes centrais do sistema, podendo ser explorada remotamente e conceder privilégios de administrador ao atacante. Dada a natureza da falha, descoberta em Janeiro de 2014, a Microsoft teve um tempo maior para soluciona-la antes que a mesma viesse a público.

Além desta, diversas outras vulnerabilidades foram identificadas no driver do modo kernel do Windows, sendo que a mais grave (CVE-2015-0057) pode permitir a escalada de privilégios. A falha foi descoberta por Udi Yavo, CTO na EnSilo e afeta todas as versões do sistema operacional, incluindo o Windows 10 Technical Preview. Os pesquisadores da empresa foram capazes de criar um exploit que vence todos os mecanismos de proteção do sistema operacional. No entanto, para que o exploit possa ser implantado, o invasor tem que primeiro ter acesso a um computador com o Windows.

Por último, mas não menos importante, a vulnerabilidade no Internet Explorer pode permitir a execução remota de código se um usuário visualizar uma página da Web criada especialmente usando o navegador. Dessa forma, o invasor pode obter os mesmos direitos que o usuário ativo. A falha afeta as versões 6, 7, 8, 9, 10 e 11 do IE. Maiores informações sobre as vulnerabilidades consideradas críticas e as atualizações  podem ser encontradas através dos boletins de segurança da Microsoft. Veja:

Confira maiores informações através do link.

AddThis Social Bookmark Button

[Notícia] Adobe corrige vulnerabilidades críticas no Flash

Por Editor em 13 de fevereiro de 2015 | Enviar comentário

Adobe LogoA Adobe publicou dois boletins de segurança sobre um total de 17 vulnerabilidades 0-day que estavam sendo exploradas. A primeira delas, identificada como CVE-2015-0313, foi descoberta por pesquisadores da Microsoft e Trend Micro, sendo detalhada através de relatório divulgado pela última. As demais foram descobertas através de diversas iniciativas, a citar HP Zero DayChromium Vulnerability Rewards Program e Google Project Zero.

As vulnerabilidades, consideradas críticas, podem permitir a um atacante a obtenção do controle do sistema alvo. A nova versão do Adobe Flash Player, 16.0.0.305, corrige as falhas e pode ser baixada através da central de downloads da Adobe. Maiores informações sobre as vulnerabilidades e o pacote de atualização podem ser encontradas através dos boletins de segurança da Adobe. Veja:

Segundo relatório divulgado pela Trustwave, a CVE-2015-0313 se assemelha com a vulnerabilidade CVE-2013-0311, corrigida na versão anterior do Flash e que estava sendo servida através do Angler Exploit Kit, uma vez que utilizam a mesma técnica de heap spray para obtenção de acesso à memória. Dessa forma, a empresa acredita que o mesmo grupo criminoso pode estar por trás da descoberta inicial e exploração dessas vulnerabilidades.

Confira maiores informações neste link.

AddThis Social Bookmark Button

[Notícia] Volume de ataques DDoS aumentam em 50 vezes comparados com a década passada

Por Editor em 5 de fevereiro de 2015 | Enviar comentário

globe-cyberwarSegundo o relatório anual de segurança elaborado pela Arbor Networks, em conjunto com provedores de serviço e empresas de hospedagem, o tamanho do maior ataque DDoS do ano passado foi cinquenta vezes superior do que o de dez anos atrás. O maior ataque relatado em 2014 foi de 400 Gbps, em comparação com apenas 8 Gbps, em 2004 – e 100 Gbps em 2010.

De acordo com Gary Sockrider, Arquiteto de Soluções da Arbor Networks sediado em Burlingtom, MA e autor do relatório, o crescimento da Internet como um todo, na verdade, ajuda os atacantes uma vez que as botnets podem ficar maiores. Dados da Cisco apontam que a largura de banda total de toda a Internet cresceu 42 vezes em relação ao mesmo período, partindo de uma média de 570 Gbps em 2004 para 24.000 Gbps em 2014.

Ainda segundo o especialista, os ataques estão aumentando não só em número mas também em sofisticação. Enquanto a dez anos atrás os ataques volumétricos estavam entre os mais comuns, atualmente também existem ataques de exaustão e ataques na camada de aplicação, bem como os ataques que combinam todos os três vetores. Não obstante, as causas para os ataques tem gradualmente mudado de questões políticas, ideológicas e vandalismo, para extorsão e marketing criminoso.

Confira mais detalhes neste link.

AddThis Social Bookmark Button