Empresas e PCI-DSS

Leis federais e estaduais, bem como as regulamentações da indústria, são os principais motores da indústria de segurança e nenhum é provavelmente de longo alcance e controverso do que o Payment Card Industry Data Security Standard (PCI DSS) .

Fortinet fornece uma visão geral do PCI DSS e o que você precisa saber sobre o presente regulamento.

PCI DSS

Por que isso é importante. que torna PCI DSS tão importante é que ela afeta todos os comerciantes que aceitam cartões de crédito / débito para pagamento. Níveis de cumprimento podem variar, dependendo do tamanho e o alcance do comerciante. Por exemplo, os comerciantes Nível I (existem 4 níveis) são aqueles que processam mais de 6 milhões de transações de cartões de crédito por ano. Eles têm o mais alto padrão de conformidade para atender, inclusive varreduras de rede trimestrais por um Assessor de Segurança Qualificado. Outros comerciantes, dependendo do volume de suas transações de cartão de crédito, só podem ter que se submeter a uma revisão uma vez por ano. A execução é feita pelo fornecedor do cartão de crédito e não pelo Conselho PCI ou qualquer outra agência de aplicação da lei. As violações vão desde multas até potencialmente perder a capacidade de processar transações de cartão de crédito.

O que ele faz. O principal objetivo do PCI DSS é o de proteger os dados dos portadores de cartões. Em sua estrutura mais simples, PCI DSS é composta de apenas 12 regras que são agrupados em seis categorias. Estas regras são:

1.) Construir e MANTER uma rede segura:

  • Instalar e manter um firewall para proteger os dados do portador de cartão.
  • Não usar padrões disponibilizados pelo fornecedor para senhas e outros parâmetros de segurança.

2.) Proteger os dados do portador do cartão

  • Proteger os dados armazenados.
  • Criptografar os dados do titular do cartão enquanto ele é transmitido através de redes públicas.

3.) Manter um programa de gerenciamento de vulnerabilidades

  • Use antivírus atualizados regularmente.
  • Desenvolver e manter sistemas e aplicações seguras.

4.) Implementar medidas de controle de acesso

  • Restringir o acesso aos dados do cartão de crédito em uma base de conhecimento.
  • Atribuir IDs únicos para cada pessoa com acesso ao computador.
  • Restringir o acesso físico aos dados do portador do cartão.

5.) Regularmente Monitorar e testar as redes

6.) Manter uma Política de Segurança da Informação

Embora estas 12 regras pareçam simples, incluem uma infinidade de definições e sub-regras que devem ser seguidas para ajudar os comerciantes a aderirem ao regulamento.

Compliance vs Segurança. Muitas vezes, depois de uma grande perda de dados, como a recente violação Target, críticos atacam o PCI DSS como sendo um fracasso. É importante a compreensão da conformidade de segurança, que é dinâmica. Um comerciante pode ser compatível com PCI DSS e ainda durante o curso de um ano, também apresentar falhas de segurança. E ao longo do tempo, o padrão continua a ser aperfeiçoado e melhorado para enfrentar a dinâmica da constante mudança de cenário de ameaças de hoje, bem como no ambiente de rede do comerciante e portador do cartão.

PCI DSS não é uma panaceia. Mas, ele fornece uma base sólida que muitas empresas, e não apenas os comerciantes, deveriam examinar como uma metodologia para ajudar a reduzir os riscos e evitar a perda de dados.

Fonte: Security 101: PCI DSS por Chris McKie

Produtos Fortinet

Anúncios

Cinco erros comuns a evitar na segurança de TI

Fazer este trabalho bem feito na era da virtualização, smartphones e cloud computing é um grande desafio.

A segurança pode ser uma tarefa ingrata, porque só se percebe quando não é feita. E para fazer este trabalho bem feito na era da virtualização, smartphones e cloud computing, é preciso evitar erros técnicos e políticos. Em particular, cinco muito comuns:

1. Pensar que o seu papel na organização não mudou nos últimos cinco anos
O seu poder e influência estão sendo atacados enquanto a organização para a qual trabalha escancara as portas para permitir que os funcionários usem dispositivos móveis pessoais no trabalho, e empurra os recursos de computação tradicional e aplicações para a nuvem – às vezes sem o seu conhecimento.

Cada vez mais é preciso ser pró-ativo na introdução de práticas de segurança razoáveis para escolhas “fast-moving” de tecnologia que às vezes são feitas por quem está totalmente fora do departamento de TI. É uma “missão impossível” de atribuição, mas é a sua. Pode envolver o desenvolvimento de uma nova política de segurança para explicitar claramente os fatores de risco e para que não haja espaço para falsas premissas.

2. Não construir relações de trabalho entre as equipes de TI e os gestores de nível superior
Grupos de segurança de TI são geralmente pequenos em relação ao resto do departamento. Normalmente os profissionais de segurança precisam do apoio do restante do pessoal de TI para realizar funções básicas.

O profissional de segurança pode ter conhecimento especializado e um bolso cheio de certificações como CISSP, mas isso não significa que seja necessariamente admirado por causa disso – especialmente porque as pessoas da segurança são normalmente as que mais dizem “não” aos projetos de outras pessoas.

Além disso, não pense que a estrutura de poder está sempre apontando para o diretor de informática (CIO) como um decisor de nível superior. Uma mudança fundamental está ocorrendo: o papel tradicional do CIO como comandante dos projetos de TI está em declínio a favor do aumento do poder do diretor financeiro (CFO) como dono da palavra final sobre os projetos de TI. Algumas evidências mostram que o CFO nem sequer gosta do departamento de TI. As ideias do CFO sobre a segurança podem ir apenas até à ideia legal de “compliance”. O trabalho do profissional de segurança deve ser comunicar, comunicar, comunicar.

3. Não entender que a virtualização tem puxado o tapete do mundo da segurança
As organizações estão no caminho para alcançar 80% de virtualização da sua infraestrutura de servidores, e os projetos de virtualização de desktops estão aumentando. Mas a segurança está atrasada, com muitos profissionais assumindo erradamente que ela começa e termina com as VLANs. A realidade é que arquiteturas de virtualização mudam tudo a partir da abertura de novos caminhos que podem ser explorados. Como já aconteceu tantas vezes na indústria de TI, tecnologias revolucionárias passaram a ser usadas sem atenção adequada ao impacto da segurança.

Alguns produtos de segurança tradicionais, como software de antivírus, por exemplo, não funcionam muitas vezes bem em máquinas virtuais. Dispositivos físicos podem ter novos “pontos cegos”. Hoje, produtos de segurança especializados para ambientes virtualizados estão chegando finalmente ao mercado – e os profissionais de segurança precisam descobrir se algum deles deve ser usado e, ao mesmo tempo, se devem se manter a par da evolução dos planos de segurança de fornecedores como a VMware, Microsoft e Citrix. A virtualização é uma promessa tremenda, eventualmente, para melhorar a segurança, especialmente na recuperação de desastres.

4. Não se preparar para uma violação de dados
É o cenário de pesadelo em que dados sensíveis são roubados ou acidentalmente divulgados. Além da detecção e correção técnica, a lei precisa ser aplicada às violações de dados. Mas que leis? Quase todos os países têm agora as suas próprias legislações sobre a violação de dados e algumas regras com impacto em algumas indústrias mais que em outras, como é o caso da área de saúde. Quando isso acontece, uma violação de dados vai ser um evento – e caro – que exige uma ação coordenada pelo gestor de segurança de TI, envolvendo o departamento de TI, o departamento jurídico, os recursos humanos e o departamento de comunicação, se não mais. As organizações devem-se reunir para planejar os piores cenários, realizando internamente exercícios de violação de dados e formas de combatê-las e mitigá-las.

5. Complacência com os fornecedores de segurança de TI
É necessário ter sólidas parcerias com os fornecedores de TI e de segurança. Mas o perigo em qualquer relação com fornecedores é esquecer como olhar para produtos e serviços com um olhar crítico, especialmente para confrontar o que eles têm em relação à concorrência ou encontrar novas abordagens para problemas básicos de autenticação e de autorização, avaliação de vulnerabilidades e proteção contra malware. Muitos fabricantes estão tentando adaptar controles de segurança tradicionais para estruturas geradas a partir da virtualização e da computação em nuvem. E isso tem se transformado em um verdadeiro caos, que demonstra claramente o quanto a área de segurança vai ter de se esforçar para conseguir o que acredita que a organização precisa agora ou no futuro.

Fonte: http://idgnow.uol.com.br/seguranca/2011/07/27/cinco-erros-comuns-a-evitar-na-seguranca-de-ti/

*******************

Conheça o WebTitan,  poderosa solução de “Web Filtering” que provê ricas funcionalidades e permite o gerenciamento e a proteção dos usuários quando estão navegando na internet.

Mais de 40% das empresas já teve problemas de segurança com a cloud

Por REDAÇÃO COMPUTERWORLD

Segundo estudo da Trend Micro, 43% dos decisores de TI tiveram falhas ou problemas de segurança com o seu fornecedor cloud no último ano.

A maioria das empresas tem algum receio de adoção do modelo de cloud computing, e com razão: quase metade (43%) dos responsáveis pela tomada de decisões em TI já registrou uma falha ou um problema de segurança com o seu fornecedor cloud nos últimos 12 meses, segundo recente estudo da Trend Micro.

Participaram da pesquisa 1.200 responsáveis pela tomada de decisões em TI em empresas dos Estados Unidos, Reino Unido, Alemanha, Índia, Canadá e Japão. A maioria deles já começou a mover serviços para nuvem, a bom ritmo, iniciando uma maré gigante que multiplica o número de novas implementações. Mais da metade trabalham em diversas fases-piloto de aplicações na nuvem.

Mas apesar da crescente popularidade na maioria dos países, as empresas ainda se sentem confusas quanto à identificação de serviços de cloud. Diante de uma lista de serviços de cloud apresentada pelos pesquisadores, 93% dos entrevistados já disse estar trabalhando atualmente com pelo menos um deles, enquanto que 7% asseguraram que a sua empresa não tem intenção de implementar nenhum serviço.

A segurança continua a ser o principal obstáculo quando chega a hora de apostar na adoção de cloud computing, e muitas empresas consideram que o rendimento e a disponibilidade também variáveis igualmente relevantes.

Ainda segundo o estudo, são dois os principais obstáculos para a adoção de serviços de cloud: a preocupação com a segurança, seja dos dados ou da infraestrutura (com 50%), e o rendimento e a disponibilidade dos serviços (48%).

Quando se trata de salvaguardar os dados sensíveis armazenados na nuvem, as empresas apostam na criptografia, segundo 85% dos pesquisados. E antes de dar o passo para a adoção da cloud computing, mais da metade assegura estar mais disposto a escolher um determinado fornecedor de cloud se este incluir na sua oferta a criptografia das informações.

Fonte: idgnow.uol.com.br

***************************

Conheça as soluções de Virtualização e Antispam da consultoria DANRESA e não tenha mais problemas de segurança com a cloud na sua empresa.

Um em cada 20 PCs tem malware, alerta Microsoft

Por Computerworld/EUA

Essa foi a proporção de máquinas infectadas encontradas por software de segurança da empresa em um universo de quase meio milhão de micros.

Um em cada 20 dos PCs com Windows que passaram pela análise da ferramenta de limpeza da Microsoft estava infectado com malware, afirmou a empresa na semana passada.

Esta e outras estatísticas foram obtidas pela Microsoft por meio de seu novo Safety Scanner, uma ferramenta gratuita de detecção e limpeza de malware que foi relançada em 12 de maio.

As 420 mil cópias da ferramenta que foram baixadas na primeira semana de sua disponibilidade limparam malwares ou sinais de infiltração de mais de 20 mil PCs com Windows, informou o Centro de Proteção contra Malwares da Microsoft (MMPC) na quarta-feira (25/5). O número representa uma taxa de infecção de 4,8%.

Na média, cada um dos PCs infectados tinha 3,5 ameaças, que a Microsoft definiu ou como malware real ou pistas de que um ataque bem sucedido foi lançado contra a máquina.

Java na mira
Das 10 maiores ameaças detectadas pelo Safety Scanner, sete eram exploits Java, afirmaram Scott Wu e Joe Faulhaber, do MMPC, em blog. Wu é gerente de programa do MMPC e Faulhaber é um engenheiro de software.

Os números reforçam um relatório recente de segurança, divulgado pela Microsoft, que apontou um grande pico em exploits baseados em Java no segundo semestre de 2010. O indicador rastreado pela Microsoft saltou de 1 milhão na primeira metade de 2010 para quase 13 milhões no período seguinte.

A Microsoft afirmou que apenas dois tipos de vulnerabilidades no Java da Oracle foram responsáveis por 85% de todos os ataques a Java na segunda metade de 2010. Não por acaso, essas duas vulnerabilidades aparecem no ranking das dez maiores ameaças da Microsoft nas posições 1 e 6.

Um dos bugs do Java mais explorados foi corrigido em dezembro de 2008 pela Sun – que, depois, seria engolida pela Oracle. O outro foi consertado em novembro de 2009.

Sem surpresa
A Microsoft já fez ecoar o alarme sobre a explosão de exploits Java em outras oportunidades. Em outubro de 2010, Holly Stewart, outra gerente do MMPC, afirmou que o volume de ataques era “assustador” e “sem precedentes”.

Para Marc Fossi, diretor da equipe de resposta a questões de segurança da Symantec, a insistência dos hackers no Java faz sentido. Em uma entrevista no ano passado, o diretor afirmou que “como o Java é tanto multibrowser como multiplataforma, pode ser atraente para hackers”, referindo-se ao fato de o Java ser usado por todo grande navegador nos sistemas Windows, Mac e Linux.

O Safety Scanner encontrou 2.272 PCs com Windows com sinais de um exploit do bug Java mais explorado, chamado de “CVE-2008-5353” no banco de dados de Vulnerabilidades e Exploits Comuns. Dessas máquinas, 7,3% também continham o notório rootkit Alureon, ao passo que 5,7% tinham sido infectadas com um dos programas falsos de antivírus da família “Winwebsec”.

“Na hora em que um usuário baixa e roda o Microsoft Safety Scanner para detectar malware, a máquina já pode ter sido infectada caso estivesse vulnerável à época”, reconheceram Wu e Faulhaber.

O Alureon ganhou destaque em fevereiro de 2010 quando os sistemas Windows XP infectados com o rootkit foram danificados depois de uma atualização de segurança da Microsoft. E o Winwebsec, que é como a Microsoft chama a linha de software antivírus falso que engana a vítima fazendo com que pague por um programa inútil, tem sido ligado ao MacDefender, um scareware que tem assombrado os usuários de Mac.

O Safety Scanner, que entrou no lugar de uma velha ferramenta online, usa a mesma tecnologia e assinaturas de detecção que o programa gratuito Security Essentials, também da Microsoft, e de seu produto corporativo Forefront Endpoint Protection.

O scanner gratuito pode ser baixado no site da Microsoft.

(Gregg Keizer)
fonte: uol.com.br
****************************************
 

Criadores de conteúdo on-line precisam ser orientados, diz professor

JORDANA VIOTTO

O crescimento da internet no mundo tem levantado questões sobre privacidade, liberdade de expressão, segurança e confiança on-line, inclusive dentro das empresas.

Na tentativa de desvendar alguns desses pontos, o Fórum Econômico Mundial, a escola de negócios francesa Insead, a empresa de pesquisas comScore e o Oxford Internet Institute desenvolveram a pesquisa “O Novo Mundo da Internet”, divulgado em abril de 2011.

Soumitra Dutta, professor do Insead e um dos coordenadores do relatório, concedeu entrevista à Folha sobre aspectos das mudanças do ambiente on-line e hábitos dos profissionais diante dessas ferramentas dentro das empresas.

Muitas empresas utilizam conteúdo gerado por usuários como ferramenta de comunicação interna e de gestão do conhecimento. A pesquisa, no entanto, mostra que poucas pessoas, em geral, produzem conteúdo on-line. Podemos supor que muitas dessas iniciativas podem fracassar?

Isso é um fenômeno mundial. Poucas pessoas produzem conteúdo enquanto muitas consomem esse conteúdo. Isso vale para nações desenvolvidas, como os EUA, e para corporações também.

As políticas de gerenciamento de comunidades nas empresas precisam levar em consideração essa tendência e selecionar líderes para manter a comunidade viva.

É preciso trabalhar com os poucos criadores ativos de conteúdo, mas ele precisa ser relevante para os muitos que vão ler, para que se beneficiem ao consumi-lo.

Na pesquisa, muitas pessoas apoiam a regulamentação da internet pelo governo. Isso não seria arriscar a liberdade de expressão e também os negócios baseados na web?

Deve haver um equilíbrio exato de regulação e abertura on-line. Acredito que é importante preservar a liberdade de expressão. O que aconteceu no Egito [o governo desconectou os servidores em janeiro, durante as revoltas populares pela saída do então líder Hosni Mubarak] é um bom exemplo a ser citado.

Mas os governos perceberam o valor da internet. Tanto o novo governo no Egito como o da Tunísia [onde a população foi às ruas pela saída do general Ben Ali do poder] estão utilizando a rede para se comunicar com os cidadãos.

A respeito da segurança, muitas pessoas não tomam precauções em suas atividades on-line –inclusive nas empresas, onde “alguém deve estar tomando conta disso”. Você diria que as empresas precisam investir na conscientização dos empregados a respeito da necessidade das precauções on-line?

Educação é vital nesse ponto. Os colaboradores precisam ser educados sobre os riscos, inclusive de postar conteúdo on-line. Esse conteúdo pode ser inapropriado ou mal interpretado. Uma comparação que podemos fazer é com a tatuagem: o que colocamos na internet nunca sai.

fonte: Folha.com

*******************************

Leia: Avanço da tecnologia exige especialização

Brasileiros estão entre os mais temerosos com segurança

fonte: computerworld.uol.com.br

De acordo com índice de segurança da Unisys, País só perde para a Colômbia em preocupação com diversas ameaças, apesar de ligeira queda em relação há 6 meses.

Pesquisa da Unisys sobre segurança manteve um quadro estável por quase cinco anos, mas mudou no último relatório divulgado, com aumento súbito nos quatro índices avaliados: pessoal, nacional, financeira e Internet.

Em março de 2011, a segurança financeira (bancos e cartões de crédito) chegou ao topo das preocupações com o índice 159, ante 142 seis meses antes. Seguindo a mesma base de comparação, a preocupação com segurança pessoal foi de 129 a 151, o temor em relação à segurança nacional evoluiu de 123 para 145 e a área de internet chegou ao índice de 135, número significativamente maior ao registrado há um semestre (112).

O estudo também foi separado por países e o Brasil ocupa um surpreendente segundo lugar no índice geral de desconfiança entre os 14 países pesquisados, com um índice de 180. Mas, ao contrário da tendência mundial, a taxa de preocupação no País caiu, já que há seis meses o índice estava em 185. O país mais preocupado é a Colômbia, que aparece pela primeira vez no estudo, com 186 de índice.

Na divisão por áreas, os brasileiros mostram-se bem preocupados com segurança nacional (199), segurança pessoal (184) e segurança financeira (184). O menor dos índices, ainda considerado alto se comparado à média do estudo, é a segurança de internet, no qual o Brasil obteve índice de 155.

A pesquisa identificou também quais são as ameaças que provocam mais medo nos brasileiros: fraudes em cartão de crédito aparecem em primeiro lugar, seguido de epidemias, roubos de identidade e segurança nacional.

Ainda que a área de segurança seja a de menor fonte de preocupações para os brasileiros, ela ainda é alta. Segundo o estudo, 18% dos brasileiros pesquisados se mostram extremamente preocupados com vírus e e-mails não solicitados e 43% se declaram muito preocupados.

Curiosamente, os índices de preocupação quanto a compras online e internet banking são menores, mas ainda altas. A pesquisa mostra que 17% dos brasileiros estão extremamente preocupados e 36% muito preocupados com esses elementos.

A maior preocupação brasileira, no entanto, é quanto a roubo de identidade. O levantamento indicou que 77% dos brasileiros estão seriamente preocupados com roubo de identidade.

Os países que apresentam números de contraste foram Austrália e Holanda, que tiveram queda nos quatro índices de preocupação. A Holanda, menos preocupada de todos os países, teve pontuação de 64 no índice, contra um valor médio global de 147.

************************************

Conheça os serviços de Service Desk e Web Filtering oferecidos pela DANRESA Consultoria.

Como se propagam os malwares

Fonte: http://esquadraodigital.internetsegura.terra.com.br/

Na nossa última ordem unida começamos a falar sobre as formas de propagação dos Malwares, tema essencial para saber como conter seu avanço. Hoje, vamos continuar analisando mais algumas técnicas:

Arquivos corrompidos – Além de oferecer arquivos infectados, que parecem legítimos, os criadores de Malwares usam outra técnica bem semelhante: contaminam programas “legítimos” com vírus. Dessa forma, colocam em sites de download da Internet uma versão de um aplicativo conhecido (o compactador Winrar, por exemplo), dizendo que é uma versão “especial” gratuita. Quando o programa é instalado, o Malware é instalado também. Cuidado! Quando a esmola é muita, até santo desconfia!

Spam e Phishing – Atualmente a forma mais usada para enganar os usuários e fazê-los instalar Malwares em suas máquinas é por meio de Spam e de Phishing. Os criminosos enviam mensagens de e-mail não solicitadas (Spam) com um link que aponta para um programa que parece legítimo, mas na verdade “dispara” a instalação de Malwares.

No caso do Phishing, a coisa é mais sofisticada, pois o link aponta para um site, que “copia” um portal legítimo e faz parecer o internauta acreditar que está no site verdadeiro. O objetivo é roubar informações tais como: senhas, nome de usuários e dados de cartão de crédito. Além disso, podem ser colocados no site falsos arquivos que parecem legítimos, mas contém Malwares.

Os criadores de Malwares têm usado novas técnicas além dos e-mails para o Phishing. Eles postam comentários em Fóruns ou Blogs com links para os sites falsos. Ou seja, cuidado quando aceitar aquela “dica” em um fórum ou blog que você frequenta.

Programas de e-mail com filtros contra Spam e navegadores (“browsers”) com ferramentas anti-phishing (como o Internet Explorer 8, Google Chrome, etc.) são nossos grandes aliados contra essas ameaças virtuais.

A ordem unida de hoje termina aqui. Para ser um recruta do nosso esquadrão, mande um comentário a este post com sua dúvida ou pedido de dica de segurança na internet. As melhores perguntas serão respondidas neste espaço e a partir dos comentários poderemos abordar outros temas.

Amanhã continuaremos nosso treinamento, terminando de descrever as formas de propagação dos Malwares e já poderemos mostrar as armas para combater nossos inimigos. Até lá recrutas!