Últimas notícias

Fique informado

Hardwares: Sucatas valiosas, por Eder Souza

30 de maio de 2022

Spotlight

Nuvens Tempestuosas: Navegando pelo Panorama Complexo da Cibersegurança na Nuvem

Enquanto as organizações migram cada vez mais dados e serviços para a nuvem, a complexidade e a magnitude das ameaças cibernéticas também crescem.

15 de maio de 2024

Cancelamento de hipotecas – Assinatura avançada versus qualificada – Parte II

Essa segunda parte discute os padrões e requisitos para o processamento eletrônico de documentos no registro de imóveis no Brasil.

15 de maio de 2024

Cancelamento de hipotecas – Assinatura avançada versus qualificada – Parte I

Questão das assinaturas eletrônicas no Registro de Imóveis é incerta, mesclando aspectos tecnológicos e jurídicos.

14 de maio de 2024

Por que é tão complexo se proteger de ataques cibernéticos? Por Rodrigo Fragola

“A meta agora não é alcançar segurança absoluta, mas sim segurança relativa no mercado em que se atua.” Fragola

13 de maio de 2024

Edmar Araujo, o novo diretor-executivo da ANCD concede sua 1ª entrevista ao Crypto ID

Edmar Araujo diretor-executivo da Associação Nacional de Certificação Digital e fala com exclusividade ao Crypto ID.

13 de maio de 2024

Confira 7 dicas para a redução do uso de papel nas empresas

São sete dicas essenciais para ajudar as empresas a reduzirem o uso de papel e promoverem práticas mais sustentáveis.

9 de maio de 2024

Fabricantes de hardwares não adotam processos seguros para eliminação de dados

Outro dia eu estava conversando com um amigo e acabamos discutindo sobre um vídeo que apresentava os riscos envolvidos no processo de venda de diversos hardwares obsoletos para empresas de sucata.

Eder Alvares P. Souza

Eder Souza, Senior security consultant, CTSO (Chief Technology & Security Officer) and co-founder at e-Safer Consultoria em Tecnologia da Informação

No vídeo eram retratados os riscos existentes no processo de venda de multifuncionais obsoletas pelas delegacias de um estado americano para empresas de reciclagem de equipamentos de informática.

Os funcionários dessa empresa mostraram como era possível recuperar diversos documentos sigilosos e que foram enviados para impressão, já que esses equipamentos normalmente possuem discos para armazenamento de dados e um Sistema Operacional embarcado.

O processo de impressão consistia em receber os documentos eletrônicos provenientes das estações, utilizando a conexão de rede, persistir esses documentos no disco local, efetuar a impressão e logo após, excluir os documentos.

O ponto é que a maioria dos fabricantes não adotam um processo de exclusão seguro e com isso, qualquer utilitário destinado a recuperar arquivos apagados pode ser utilizado para recuperar os arquivos enviados.

Durante o vídeo é possível ver alguns funcionários recuperando estes arquivos e muitos possuíam conteúdos sensíveis que muitas vezes estavam relacionados aos processos de investigação e informações pessoais.

Ainda sobre esse tema, há alguns anos atrás eu presenciei uma situação muito semelhante, onde alguns bancos brasileiros vendiam seus ATMs (Caixas Eletrônicos) para empresas nacionais de sucata e não adotavam qualquer procedimento de exclusão (sanitização) segura dos dados existentes nos discos ou descaracterização física do equipamento e isso criava condições para a recuperação de dados sensíveis ou até o uso de um equipamento desses com o objetivo de enganar os clientes do banco e roubar dados de acesso.

Também já presenciei o descaso na venda de smartphones obsoletos para empresas terceiras, onde não era adotado qualquer procedimento para verificação e remoção dos dados dos usuários anteriores, um cenário muito rico para exposição de informações sensíveis e ataques de engenharia social.

Tudo isso pode ser evitado adotando procedimentos de segurança já bem conhecidos e soluções tecnológicas destinadas a proteger informações e seus proprietários, como a criptografia.

O Brasil ainda está engatinhando na adoção dessa tecnologia e apesar do tema estar ganhando destaque na mídia internacional devido às discussões iniciada

electronic scrap in trash can. keyboard, power supply, cables, logicboard, hard drive - isolated on white background

s pelo governo americano e diversos países europeus, por aqui o tema ou é uma novidade ou não é tratado com a seriedade que deveria.

Empresas no Brasil ainda armazenam dados sensíveis para os negócios de forma completamente negligente e com o agravante das informações estarem onipresentes, pois agora colaboradores tem esses dados em seus laptops, tabletes e smartphones.

Ainda, na maioria dos casos, ações e decisões só são tomadas após a constatação do vazamento e a partir desse momento o estrago já está feito, restando apenas para a empresa a contenção e a responsabilidade pelo dano causado aos seus clientes e para a própria imagem da empresa.

O mais surpreendente é que já existe um portfólio muito grande de soluções destinadas a proteger esses dados, sendo possível proteger dados em movimento e em repouso com um investimento muito inferior ao dano causado por um incidente e com capacidade de atender diversas necessidades e plataformas.

Hoje podemos criptografar dados em dispositivos removíveis como pendrives, discos removíveis, cartões de memória usados em dispositivos móveis e wearables, além de discos de laptops e até diretórios em servidores de aplicações.

Também podemos aplicar a criptografia no transporte dos dados, protegendo essas informações do acesso indevido mesmo quando os dados precisam ser compartilhados entre múltiplas pessoas, até de empresas distintas.

O poder da criptografia tem até despertado a atenção dos governantes, que em muitos casos, por não entenderem completamente os benefícios da sua adoção e os riscos que um mundo conectado possui, tentam nesse momento proibir seu uso com discursos antiquados e sem fundamento.

Deixar de adotar ferramentas para criptografia acaba colocando em risco empresas, cargos e até clientes, mesmo tudo isso podendo ser evitado com investimentos simples e em muitas situações, com implantações rápidas e sem grandes impactos operacionais.

Com isso, cabe ao responsável pela segurança corporativa assumir os riscos pela decisão de não adotar uma tecnologia madura e expor a empresa em um momento onde os vazamentos de informações estão fazendo parte do dia a dia das corporações.

Até a próxima

Eder Alvares P. Souza

Leia outros artigos do Colunista Eder Souza. Aqui!

TBT: Publicação original em 20 de janeiro de 2016

CATEGORIAS

Destaques Notícias