Jump to content
    • Julliana Bauer
      Até algumas semanas atrás, os leitores do Mente Binária que acessavam o portal podiam encontrar um link para participar de uma pesquisa sobre o cenário brasileiro de segurança de aplicações que estava sendo realizada pela Conviso, empresa SaaS especialista em AppSec e criadora da Conviso Platform. Nesta semana, os resultados do levantamento foram disponibilizados de forma gratuita por meio de um ebook.
      A pesquisa, que tem o objetivo de fomentar o mercado de AppSec, entrevistou profissionais de empresas brasileiras de todos os setores e portes, que lidam com dados sensíveis de usuários.
      Uma das descobertas é a de que 90,9% dos profissionais de AppSec enxergam que a responsabilidade por garantir a segurança de aplicações é de todos os envolvidos no processo. O relatório mostra também que 61,6% dos entrevistados indicam que existe em suas empresas um setor específico para AppSec.
      Segundo Rodrigo Maués, Tech Lead no time de Consulting da Conviso, é muito comum se deparar com duas visões dentro das empresas: a primeira é que o produto deve ter um ciclo rápido, com foco e peso maiores em entregar funcionalidades de forma rápida, sem uma preocupação direta com segurança. Em uma segunda visão, processos de segurança são vistos como etapas que atrasam a entrega. “E isso não é verdade”, ressalta. 
      “Quando estas fases são ajustadas ao modelo de desenvolvimento ágil, o produto pode continuar sendo entregue com a velocidade esperada e segurança desejada”, afirma o especialista.
      Maués reforça que ainda estamos em um processo bem recente de entendimento da importância das melhores práticas de desenvolvimento seguro. “Mesmo que o cenário já esteja bem diferente do que estava há alguns anos, precisamos evoluir na cultura de segurança de aplicações. Olhar para modelos de maturidade e entender que eles não são ‘travas’ e que podem ser adaptados para trabalhar com modelos ágeis. Isso é muito importante e vai levar uma maior clareza sobre aspectos de AppSec, tanto aos times de desenvolvimento e segurança quanto aos de negócios”, aconselha. 
      Os números indicam também um avanço no entendimento sobre o cenário de segurança de aplicações, que pode ser notado no aumento percentual de empresas que têm interesse em investir no tema e que criaram equipes para atuar com segurança.  “Ainda temos melhorias para este campo. Estou particularmente contente com o resultado, e isso pode mostrar que nosso mercado está amadurecendo e entendendo o valor de entregar um software mais seguro”, finaliza. 
      Para ter acesso aos resultados completos da pesquisa, acesse: 
      https://bit.ly/3p3Uqi4
       

    • A Tempest lançou a 3ª edição da sua Pesquisa de Cibersegurança. A pesquisa, que entrevistou líderes, gestores e técnicos da área de Segurança da Informação de 172 empresas brasileiras, contou com a parceria do Instituto Datafolha para investigar qual a importância e atual fase da cibersegurança nas empresas brasileiras, analisando questões relacionadas a orçamento, estrutura organizacional, presença de CISOs nos conselhos, entre outras.
      Confira alguns dos principais achados da pesquisa, que já está disponível para download neste link : 
      Setor Financeiro é o setor que mais investe em cibersegurança:  A média orçamentária do setor financeiro ultrapassa os R$1.8 milhão anual, ao contrário de empresas de outros segmentos, que investem em média R$ 747 mil.  O orçamento de cibersegurança cresce no mesmo ritmo do orçamento geral das empresas: 69% das pesquisadas expandiram seus investimentos em 2022, ante 44% durante a fase aguda da pandemia. Mas o orçamento de cibersegurança ainda é parte do orçamento de TI em grande parte das empresas: Cyber e TI têm orçamentos independentes em 15% das organizações, e entre grandes empresas financeiras, com mais de 500 colaboradores, o percentual é de 23%. Em um terço das organizações de setores que não são o financeiro, o orçamento de cyber representa entre 10% e 15% do de TI.  Equipes de cibersegurança são enxutas:  Dentre as organizações de grande porte, com mais de 500 colaboradores, 36% possuem time dedicado a cyber com três a cinco pessoas, e 24% com até duas. A cibersegurança está na pauta de negócios: 51% das organizações mencionam esta disciplina em seus Mapas Estratégicos. Metodologia de pesquisa
      A 3° Pesquisa Tempest de Cibersegurança é uma pesquisa quantitativa, com técnica híbrida. Contou com abordagem online através do envio de convite por e-mail para o autopreenchimento pelo respondente, em duas versões de questionário, e abordagem telefônica via CATI com base em questionário estruturado reduzido em relação às versões online.
      O estudo usou a referência do IBGE que é empregada para a classificação das indústrias, onde médias empresas são definidas pela faixa de 100 a 499 colaboradores e grandes as com mais 500. Para as pequenas empresas, a faixa foi adaptada para de 50 a 99 empregados e foram selecionadas dentre as microempresas e empresas de pequeno porte as que possuem entre 20 a 49 pessoas. A margem de erro é de 7,5 pontos percentuais para o total da amostra, considerando um intervalo de confiança de 95%.

    • A Tempest, maior empresa especializada em cibersegurança do Brasil, abriu as inscrições para a 7ª  edição do seu Programa de Estágio 2022. Com 30 vagas abertas, podem participar pessoas com todos os cursos de nível superior (graduação) voltados para tecnologia da informação, administração, marketing, design e direito, com previsão de formatura entre fevereiro de 2023 a fevereiro de 2025. 
      As vagas são para as áreas de SOC, Administração de Dispositivos de Segurança (ADS), Resposta a incidentes, Infra, Marketing, Inteligência de Mercado, Consultoria, Controle de Sistemas Gerenciais (Projetos), Jurídico e Segurança e Privacidade.
      Uma vez aprovados, os estagiários serão acompanhados durante todo o programa por profissionais ‘bússolas’, responsáveis pela tutoria das atividades e do plano de desenvolvimento profissional, com orientações e feedbacks periódicos. Haverá treinamentos técnicos e de soft skills e incentivo à participação em projetos que estejam em andamento dentro da empresa, para que possam vivenciar práticas do mercado.
      “Nossa visão é atuar como um polo formador de talentos que se transformarão em especialistas e líderes de destaque no segmento de cibersegurança. Queremos contribuir para diminuir a defasagem de mão de obra especializada em uma área que é vital para a economia e a sociedade”, afirma Gilberto Pimentel, Gerente de Gente e Gestão da Tempest.
      As inscrições vão até 26 de junho pelo link : https://tempest.com.br/estagio/

    • Ao longo dos últimos meses de 2021, a  Conviso -  empresa de segurança de aplicações - passou por um processo de reestruturação de sua principal plataforma e, no começo de 2022, a reapresentou ao mundo como Conviso Platform. 
      A nova fase reflete o propósito da Conviso, que é o de empoderar profissionais de desenvolvimento na construção de aplicações seguras. “Foi a partir de experiências práticas com empresas dos mais variados setores que nós entendemos que segurança de aplicações é uma questão de desenvolvedor”, explica Wagner Elias, CEO da empresa.  
      Todo o processo teve início com a reestruturação do software, focado em DevSecOps, que além de passar a carregar o nome da empresa, para um melhor posicionamento de mercado, agora é também segmentado em 5 produtos, cada um focado em uma fase do ciclo de desenvolvimento seguro. São eles: Attack Surface, Secure By Design, Secure Pipeline, Protection as a Code e People and Culture. 
      As mudanças seguiram uma maturidade natural do mercado. “Começamos a trabalhar com AppSec em 2008, em um cenário no qual a maturidade do mercado ainda era baixa e AppSec era encarado como uma prática dentro de IT Security.  Hoje, é uma das principais práticas de cibersegurança dentro das organizações, e temos processos maduros e mais tecnologia”, comenta o CEO. 
       
      Para cada fase do ciclo de desenvolvimento seguro, um produto
      A plataforma como um todo foi pensada na otimização do dia a dia de profissionais, solucionando problemas comuns e oferecendo soluções, como maior segurança nos pipelines de CI/CD de clientes, por exemplo. “As práticas de AppSec são implementadas a partir de inúmeras ferramentas complexas e desenvolvemos a plataforma para simplificar a implementação e gestão”, explica Wagner.
      O Attack Surface monitora a segurança externa a partir de scans de rede e web dos ativos expostos para internet. Ele permite a gestão unificada, bem como ações diretas na prevenção e correção de vulnerabilidades. O Secure By Design, por sua vez, visa identificar os riscos associados ao desenvolvimento e fornece requisitos para a construção de aplicações mais seguras.
      Já o Secure Pipeline realiza testes automatizados na esteira de desenvolvimento, proporcionando escala e rastreabilidade, possibilitando a realização da análise dos principais tipos de teste associados a código, infraestrutura e open source. 
      O Protection as a Code aplica correções e monitora os principais ataques a partir da esteira de desenvolvimento, sob a gestão de desenvolvedores.
      Por fim, a capacitação e desenvolvimento contínuo dos times fica por conta do People & Culture, que fornece um ambiente prático, baseado em gamificação, com desafios reais, o que promove capacitação e desenvolvimento contínuo em  segurança.
      Mas queremos saber de você, leitor do Mente Binária: como profissionais de desenvolvimento podem agir para incluir a cultura de segurança na rotina dos times? E se você se encaixa nesse perfil, quais são os canais que busca para se informar sobre cultura de segurança? Deixe nos comentários!

       
      Conheça o novo site da Conviso

    • A transição digital provocada pela pandemia trouxe muitos desafios tecnológicos. Ao mesmo tempo em que as pessoas precisaram se adaptar ao trabalho remoto, as empresas precisaram rever suas estruturas para garantir a funcionalidade dos times, a segurança das informações e de uma maior vulnerabilidade para ataques cibernéticos . 
      No evento realizado no último dia 05 de abril, os executivos da fabricante reforçaram as inovações que o Windows 11 traz para o modelo de trabalho híbrido, com foco em gestão, produtividade e segurança. 
      A atualização do sistema operacional depois de seis anos do lançamento do seu antecessor traz recursos para melhorar a produtividade, e facilitar a integração e colaboração entre as equipes, melhorias  segurança, a integração entre múltiplos devices com a computação  em nuvem, além de recursos que ajudam as empresas na gestão de TI e no suporte remoto aos usuários. 
      Para os usuários, melhoria no design, usabilidade mais intuitiva, na organização da área de trabalho, recursos que integram contas pessoais e profissionais, e melhoram o foco e a produtividade. 
      Aqui estão as novidades enaltecidas pela fabricante: 
      Segurança: 
      A Microsoft trouxe melhorias na detecção de phishing, com o Microsoft Defender Screen, que ao detectar o login em algum site malicioso, traz alertas e solicitação de mudanças de senhas. O Smart App Control impede o que se rode aplicativos não confiáveis ou não assinados dentro do sistema.
      O processador de segurança Microsoft Pluton também está sendo integrado ao sistema. O processador traz uma abordagem Zero Trust, e se integra ao CPU e ao sistema operacional do PC. 
      Flexibilidade com o acesso em nuvem: 
      A maior integração do Windows 11 com o Windows 365 visa remover as barreiras entre o PC local e a nuvem. Essa mudança permite  a mudança de um para outro em apenas um clique. Além disso, o Windows 365 passa a trabalhar também offline, permitindo que a sincronização entre os dois aconteça assim que a conexão for restabelecida. Com isso, o acesso ao seu computador pode acontecer de qualquer device, em qualquer lugar. 
      Para as empresas, o Windows 365 Business traz a possibilidade de uma melhor gestão da infraestrutura e das informações, e permitindo uma escalabilidade mais flexível, o que é bem-vindo quando se tem equipes com funcionários temporários, ou colaboradores externos, por exemplo, facilitando que toda troca de informações ainda aconteça dentro do ambiente da empresa. 
      Gestão de TI nas empresas: 
      O lançamento do Windows 11 também contempla melhorias na plataforma de gestão de devices para as empresas, o Microsoft Endpoint Management. As novas melhorias permitem um serviço de suporte remoto baseado em nuvem, que permite aos administradores verem as telas e assumir o controle das máquinas remotamente.

       
      O novo Microsoft Autopatch, que será lançado em julho, permite que as empresas testem as atualizações e correções com um grupo de usuários antes de passar para toda empresa. O sistema também permite paralisação e reversão total de atualização, caso ocorra algum problema. 
      Também é possível os administradores mandarem mensagens para grupos específicos que apareçam nas barras de tarefas ou nos desktops dos funcionários, isso ajuda a unificar a comunicação e trazer lembretes de avisos importantes, ou treinamentos, e etc. 
      A atualização também traz um novo recurso de aplicação das políticas das empresas, que faz com que o funcionário tenha que entrar no navegador Microsoft Edge antes de acessar recursos corporativos, impedindo que dados sejam copiados. 
      Recursos que favorecem a produtividade:
      Menu personalizado: 
      O Windows 11 também traz novidades no seu design. Primeiro com o menu personalizado, que passa a ficar no centro da tela, e agrupa aplicativos de forma inteligente, de acordo com o histórico e com a necessidade de uso. 

      Organização da área de trabalho: 
      É possível agrupar os aplicativos e dividi-los nas telas que usa. Isso facilita o acesso, e agrupar por atividades e demandas, e ter o que precisa à mão. E as divisões são mantidas mesmo quando você se desconecta de múltiplas telas.  

      Pesquisa inteligente de pastas e arquivos: 
      Outra otimização é o menu de pesquisa de pastas e arquivos, com sugestões contextuais inteligentes, de acordo com o maior uso, e também é possível criar várias abas de pesquisa, o que permite melhor organização do acesso aos arquivos por projetos e assuntos. 

      Melhoria na experiência de reuniões virtuais: 
      Visando deixar o contato virtual por vídeo mais natural, o sistema traz recursos inteligentes, que incluem foco automático de movimento, foco e limpeza da voz, desfoque automático do fundo, um sistema que traz a sensação de contato visual, com o uso de inteligência artificial. 
      E por fim, entre as tantas novidades apresentadas, o a nova versão do Windows permite a instalação de aplicativos Android no PC, e ainda traz recursos que melhoram a acessibilidade, com um sistema aprimorado de Live Caption, e Acesso por Voz, por exemplo; e funcionalidades para melhorar o foco no trabalho, com timer integrado e personalizado e o modo não perturbe inteligente. As atualizações já estão disponíveis e são gratuitas para quem tem a licença do Windows 10, desde que atenda as requisições necessárias.

    • 649 organizações de infraestrutura crítica em diferentes setores foram vítimas de rasomware nos Estados Unidos. A informação consta no relatório de crimes de internet de 2021 do Internet Crime Complaint Center (IC3), ligado ao FBI. 
      Considera-se que o número seja ainda maior, dado que os registros de ataques a empresas de infraestrutura crítica só passou a ser computado em junho do ano passado, e o estudo contém somente os ataques que foram reportados ao FBI. 
      Dos 16 setores de infraestrutura crítica dos Estados Unidos, 14 sofreram ataques, sendo o ranking liderado pelo setor de saúde, seguido de serviços financeiros, e tecnologia de informação. A estimativa é que as perdas tenham somado US$ 6,9 bilhões. 
      Também foi divulgado o ranking das principais gangues por trás dos ataques. A CONTI foi responsável por 87 vítimas, concentrando os ataques nos setores de manufatura, comércio e agricultura e alimentação; a LockBit por 58 ofensivas a organizações do governo, de saúde e de serviços financeiros; e, por fim, a REvil/ Sodinokibi, com 51 invasões nos setores de serviços financeiros, tecnologia de informação e saúde. 
      O FBI salientou ainda que em 2022 o número de incidência de rasomware deve ser ainda maior. 
      Um estudo da Gartner, de dezembro do ano passado apontou que até 2025, 30% das empresas de infraestrutura crítica do mundo sofrerão esse tipo de ataque, o que pode resultar em uma interrupções de um sistema ciberfísico de missão crítica ou operacional. 
       

    • Quase que como uma continuação de 2020, 2021 foi mais um ano atípico no qual empresas e a sociedade como um todo buscaram adaptar-se a uma realidade repleta de incertezas. 
      Sob esse mesmo aspecto, o da continuidade, pudemos observar com um pouco mais de precisão os efeitos da verdadeira corrida para adotar novas tecnologias e digitalizar processos que aconteceu em 2020. 
      Se a cibersegurança já vinha assumindo um crescente papel de protagonismo nas corporações, os eventos dos últimos dois anos tornaram o tema determinante para a continuidade dos negócios, graças aos movimentos citados acima. 
      Na esteira da adoção tecnológica os incidentes cibernéticos cresceram exponencialmente, com graus diferentes de gravidade e prejuízo para as empresas de todos os setores. 
      Em 2021, assistimos à massificação de técnicas e ferramentas ofensivas que permitiram ataques com sérias consequências para a sociedade como um todo, indo além das fronteiras do negócio. 
      Esse cenário inspirou o pesquisador de segurança da Tempest, Carlos Cabral, a produzir o documento “5 ameaças que pautaram a cibersegurança em 2021 e o que esperar de 2022”. 
      Dividido em duas partes, o relatório analisa as ameaças mais significativas de 2021 e, com base nelas, e no que assistimos nessas primeiras semanas de 2022, traça algumas tendências para o ano que acabou de começar.
      Clique aqui e baixe o relatório “5 ameaças que pautaram a cibersegurança em 2021 e o que esperar de 2022”. 
       
      Ameaças que pautaram 2021
      O elo mais fraco da Supply Chain: a crescente dependência de tecnologia e a cada vez maior interdependência entre negócios abriu as portas para uma onda de ataques de cadeia de suprimentos;
      Perdas da Infraestrutura Crítica: os setores de infraestrutura crítica se tornaram um alvo interessante para atacantes a ponto de, em 2021, serviços vitais terem sido interrompidos;
      O Trauma do Ransomware: o ransomware se tornou uma das ameaças de maior destaque em 2021. Em 18 meses, o aumento na sua incidência chegou a 438%;
      Atendente Impostor e os Golpes pelo Whatsapp: com parte do varejo migrando suas operações de vendas e atendimento para ambientes online, estas duas modalidades se mostraram como novas e lucrativas oportunidades para atacantes;
      O Quinto Domínio: o ciberespaço se tornou um novo domínio e palco de conflitos de interesses entre nações, empresas e outros atores da diplomacia global. A ciberguerra se tornou uma realidade e, apesar de não ser tão cinematográfica quanto um conflito real, pode causar danos tão graves quanto uma guerra tradicional. 

      Tendências e Perspectivas para 2022 
      Ransomware passará a mirar alvos mais modestos: com o aumento dos investimentos em segurança por parte das empresas de grande e médio porte, quadrilhas de ransomware devem colocar empresas menores na sua lista de alvos;
      Você pode ser do tamanho dos seus fornecedores: com o aumento da nossa dependência por tecnologia, e da interdependência entre organizações, ataques de cadeia de suprimentos deverão estar no radar de todas as empresas;
      Treinamento, gestão e inteligência no centro das ações de cibersegurança: evitar as fraudes de hoje e do futuro depende de times bem preparados, além de revisão de processos e investimento em inteligência de ameaças.

      Clique aqui e baixe o relatório “5 ameaças que pautaram a cibersegurança em 2021 e o que esperar de 2022”. 
       

×
×
  • Create New...