PCI com programa de certificação para profissionais de TI

O PCI Security Standards Council LLC, criado pela Visa, MasterCard, American Express e outras companhias de cartões de crédito, anunciou hoje um novo programa, denominado Internal Security Assessors (ISA), destinado a retalhistas e empresas de processamento de pagamentos obrigadas à conformidade com o standard.

Ao abrigo do novo programa, o conselho de segurança irá formar e certificar profissionais da área da segurança em TI, para que possam conduzir auditorias e assegurar a conformidade das suas companhias ao standard PCI. O programa mensal, de três dias de duração, será aplicado por todo o mundo e concebido para melhorar a qualidade das auto-auditorias realizadas por retalhistas e empresas de processamento de pagamentos com cartões, de acordo com Bob Russo, director-geral do PCI Security Council.

O standard PCI foi criado então pelas maiores companhias de cartões de crédito do mundo e cobre todas as organizações que aceitem transacções com cartões de crédito e débito. O standard especifica vários controlos de segurança de nível elevado que todas as companhias que lidam com este tipo de transacções são obrigadas a implementar.

As empresas, sobretudo as de média e grande dimensão, são obrigadas a submeter actualizações periódicas da sua conformidade com os requisitos do standard. Cada companhia de cartões de crédito conta com os seus próprios requisitos de validação. A Visa, por exemplo, obriga todos os retalhistas que processem mais de seis milhões de transacções anuais a passarem por auditorias presenciais realizadas com auditores externos qualificados para o efeito. Aos retalhistas mais pequenos é lhes dada a opção de conduzirem auto-auditorias anuais para validação da sua conformidade. A MasterCard tem requisitos semelhantes, mas determina que as auto-auditorias só possam ser feitas por elementos do departamento de tecnologia certificados pelo PCI Security Standards Council para o efeito.

O novo programa agora anunciado vem responder a uma necessidade muito importante, na opinião de Avivah Litan, analista do Gartner. “Este é um dos anúncios mais positivos que o conselho de segurança fez nos últimos tempos. Existe muito interesse neste tipo de formação por parte dos retalhistas, porque sabem que é importante conseguirem cumprir o standard PCI”, afirma a analista.

A exigência, por parte da MasterCard, de que as auto-auditorias apenas sejam feitas por auditores PCI qualificados veio estabelecer a necessidade urgente de se criar um programa de certificação ISA, diz Avivah Litan, para quem o programa de formação permitirá às companhias, sobretudo as maiores, maximizarem os conhecimentos e valências das suas próprias equipas de segurança em TI. “Existem muitas empresas com profissionais de segurança TI muito talentosos e especializados, sendo que muitos deles estão ainda mais capacitados para realizar auditorias que alguns auditores externos”, sublinha, acrescentando que o programa de formação deverá também ajudar as empresas a melhor compreenderem os requisitos para validação de conformidade. Cada sessão de três dias terá um custo de 2495 dólares por pessoa, sendo que este valor baixa para os 1495 dólares para as empresas que forem membros do PCI Security Standards Council.

Fonte: Computer World

Cibercrime cresce mais sofisticado

“Os atacantes evoluíram desde simples fraudes para campanhas de espionagem altamente sofisticadas, que tiveram como alvo algumas das maiores empresas mundiais e entidades governamentais”, constata Stephen Trilling, vice presidente sénior da área Security Technology e Response da Symantec. O fabricante lançou o seu último relatório sobre o estado da segurança na Internet durante o ano de 2009.

As principais tendências observadas no relatório deste ano incluem:
– Um aumento do número de ameaças-alvo focadas nas empresas. Tendo em conta o potencial de ganho monetário a partir da propriedade intelectual (IP) empresarial comprometida, os cibercriminosos estão a dirigir a sua atenção para as empresas. O relatório conclui que os atacantes estão a aproveitar-se da informação pessoal disponível, de forma aberta, em sites de redes sociais, para arquitectar ataques de engenharia social em indivíduos chave dentro de empresas alvo. O Hydraq adquiriu uma elevada notoriedade no início de 2010, mas esse foi apenas o mais recente de uma longa lista de ataques do género, incluindo o Shadow Network, em 2009, e o Ghostnet, em 2008.

Fonte: ComputerWorld

Cloud computing eleva o risco de conflitos legais com patentes

Pode ser um risco reduzido, mas é uma questão a ter em conta quando se determinam os prós e contras do cloud computing, na opinião de Nolan Goldberg, advogado especialista em patentes e propriedade intelectual da firma norte-americana Proskauer Rose.

“Eu acredito que a propriedade intelectual vai constituir uma grande barreira à adopção do cloud computing. Utilizar um serviço cloud cria mais riscos acrescidos de violação de patentes do que as versões tradicionais do mesmo serviço”, defende.

O sistema judicial está inundado de processos de violação de patentes e os clientes que utilizam um serviço que, alegadamente, infringe propriedade intelectual alheia podem ser processados sem terem culpa alguma, avisou Nolan Goldberg, durante a sua apresentação na conferência Interop Las Vegas.

O advogado diz que os mesmos métodos aplicados em caso de violação de patente por meio de um produto físico podem ser também utilizados no mundo do cloud computing, mas os efeitos para os tribunais seriam de dimensão muito superior. “Normalmente, processa-se o fabricante que resolveu violar patente alheia para produzir um produto. Mas, no caso do cloud computing, trata-se de processar todos os clientes, arrastando eternamente os processos em tribunal”, alerta.

Goldberg deu um exemplo do “mundo real” para ilustrar o seu ponto de vista: “se o fabricante produz uma máquina capaz de realizar as funções A, B e C, mas for o cliente a pressionar o botão que permite a realização dessas funções, nesse caso o cliente poderá incorrer em violação directa de propriedade intelectual alheia, sendo imputada ao fabricante a violação indirecta”.

No mundo do retalho é relativamente fácil determinar o risco, porque o processo de fabrico e a cadeia de distribuição prevê passos claros e definidos que tanto os clientes como os fabricantes compreendem e respeitam, diz Goldberg. Mas, por outro lado, os utilizadores do serviço cloud da Amazon, Google ou similares podem não ter qualquer noção do que está por detrás dessa utilização e das regras que podem estar a infringir. “Existe uma certa falta de transparência que torna mais difícil determinar o risco”, considera o advogado.

Mas, então, qual será esse risco? Será o suficiente para travar o sucesso do cloud computing? Estas questões, como a maioria das relacionadas com o mundo legal, são difíceis de responder.
“É muito difícil afirmarmos que existe um aumento de dois ou três por cento no risco de se violar patente alheia. Mas, mesmo determinando esse risco, será que as empresas se importariam com tão pequena percentagem? Só que, se analisarmos o principal motivo pelo qual a adopção ao cloud computing está a ser um sucesso – a redução de custos – temos que perguntar – será que essa poupança não poderá, mais tarde, ser obliterada por uma multa penal gigantesca decretada pelo tribunal?”, alerta Nolan Goldberg.

Mas os riscos legais vão para além dos processos em tribunal por violação de patente, adianta o advogado, que aconselha os seus clientes a não confiarem as suas informações mais preciosas aos serviços de cloud computing, sob o risco de exporem os seus segredos comerciais. Os clientes devem, na sua opinião, avaliar a importância dos dados com cuidado, examinar as potenciais ramificações e determinar, assim, o perfil do risco do serviço cloud, pesando esta análise com os potenciais benefícios e, só então, tomar uma decisão informada.

Os fornecedores de serviços recebem muitos pedidos para alojarem dados privados de entidades governamentais, o que levanta questões adicionais relativas à capacidade de esses serviços alojarem os dados de outros clientes, influenciando a disponibilidade das informações. Além disso, os dados residentes nos serviços cloud podem estar espalhados por múltiplas localizações, o que faz com que se corra o risco de a informação estar ao abrigo de legislações e jurisprudências diferentes. Os contratos normais deste tipo de serviços asseguram que o fornecedor possa mudar os seus termos em qualquer momento, o que torna difícil aconselhar os clientes sobre o risco a que estão sujeitos, sustenta Goldberg, segundo o qual os termos exactos de um contrato muitas vezes só são conhecidos realmente quando este entra em processo de litígio entre as partes.

Fonte: ComputerWorld

Segurança de cartões de crédito em risco

O executivo da The 451 Group, Josh Corman, diz mesmo que nem as actualizações previstas para o segundo semestre deste ano não trarão melhorias significativas. E vai ainda mais longe: o chamado padrão de segurança para a indústria dos cartões de pagamento (PCI DSS) está a condicionar os investimentos das empresas em segurança, fazendo-as muitas vezes optar pelas soluções mais adequadas à protecção dos seus activos.

O analista considera que uma das principais falhas do PCI DSS é que não tem em conta o cloud computing, o que faz com que as empresas que estão a adoptar esta nova platafroma, na expectativa de poupar recursos e dinheiro, não possam utilizar o standard de maneira a conseguirem cumprir os requisitos de conformidade. E as alterações que se espera entrem em vigor no próximo Outono não irão, segundo Corman, resolver esta lacuna.

O problema é que, com a actual situação de crise, os CIO e os CISO das empresas são obrigados a limitar os seus orçamentos de segurança e, uma vez que o PCI DSS é obrigatório para todos os que tenham que transaccionar operações com cartões de crédito, os seus requisitos têm que ser cumpridos, muitas vezes à custa de outras medidas de segurança não implementadas, diz o analista do The 451 Group.

Por outro lado, o analista admite que o PCI tem criado orçamentos onde estes não existiam. Uma afirmação comum é dizer que a segurança é à prova de recessões, mas a conformidade com o padrão PCI tem obrigado muitas empresas a fazer investimentos que, de outra forma, teriam sido cortados. “Seria certamente mais correcto afirmar que a obrigação de cumprir com este standard foi o que tornou a segurança à prova de recessão”, sustenta.

Pode ser discutível se o PCI DSS faz, ou não, um bom trabalho na protecção dos dados dos cartões de crédito, mas o que é indiscutível, na óptica de Josh Corman, é que fez um bom trabalho na protecção de todos os activos corporativos, o que, todavia, não corresponde à sua função principal. “O PCI não foi feito para proteger as empresas, mas os dados de clientes pelos quais são responsáveis”, sublinha.

A ideia comungada pela indústria é, no entanto, que o PCI DSS é um standard feito para proteger as redes das empresas. E, uma vez que é obrigatório para muitas delas, acaba por determinar as iniciativas corporativas na área da segurança, nem sempre as melhores opções, diz Corman. Muitos responsáveis de segurança dizem a este analista que os seus investimentos em segurança são condicionados pela necessidade de cumprirem o PCI DSS e passarem as respectivas auditorias. “Temos hoje mais medo dos auditores do que dos ciber-criminosos. Acham que isso está certo?”, perguntou à audiência.

A natureza das ameaças está constantemente em evolução, com os criminosos a tentarem todos os dias entrar nas redes alheias pelos métodos mais sofisticados que encontram. Entretanto, o PCI DSS é apenas actualizado a cada dois anos, o que faz com que fique para trás no combate às mais recentes técnicas no campo do cibercrime, acusa Josh Corman. O analista do The 451 Group afirma que alguns dos princípios que sustentam o standard não resistem a uma análise mais detalhada. Por exemplo, a correcção rápida e regular de falhas de segurança em sistemas operativos e aplicações é um dos argumentos promovidos pelos criadores do PCI. Mas das 90 intrusões que deram origem a roubo de dados em 2009, apenas seis teriam sido evitadas se fossem feitas correcções mais atempadas, de acordo com dados da Verizon Business citados pelo analista.

Da mesma forma, a ideia generalizada de que a maioria das intrusões são causadas por pessoal interno está também sobrevalorizada, porque apenas 20 por cento dos incidentes reportados pela Verizon podem ser ligados a este tipo de causa. E, destes 20 por cento, metade ficou a dever-se a erros de utilizador, não a intenções maliciosas. “Esse é um mito urbano que não corresponde à verdade”, diz Corman.

85% das fugas de dados resultam de malware personalizado

Os sistemas antivírus, obrigatórios pelo PCI, absorvem a maior fatia dos investimentos em segurança, mas 85 por cento das fugas de dados tiveram na sua origem a acção de malware personalizado para o efeito, que o software antivírus não consegue detectar, segundo o analista. A posição do PCI Council é que nenhum roubo de dados conseguiu ser bem sucedido numa rede totalmente cumpridora do standard PCI. “O conselho alega a infalibilidade do standard”, diz.

Fonte: Computer World

Segurança é desafio para virtualização, diz pesquisa

De acordo com a pesquisa divulgada pela Trend Micro, cerca de 66% das companhias, que já virtualizaram seus ambientes, ainda não utilizam soluções de segurança focadas nesta tecnologia.

O levantamento foi realizado com 188 empresas nacionais de diversos estados brasileiros e de todos os portes, sendo que 22% delas tem mais de 5 mil estações de trabalho; 31% possui de mil a 5 mil; 16% de 500 a mil; 25% de 100 a 500 e 5% menos de 100. Aproximadamente 64% das empresas já possui servidores virtualizados; 17% está virtualizando e 13% pretende virtualizar em 2010.

A pesquisa mostra ainda que 87% das companhias consideram a segurança um grande desafio para os ambientes virtualizados. Embora 72% considere a virtualização mais segura, 66% ainda não possui solução de segurança com foco nos ambientes virtuais.

Sobre os pontos de proteção dos ambientes virtuais utilizados hoje, a solução mais usada é o antivírus para o sistema operacional da máquina virtual (aplicado por 132 empresas). Em segundo lugar, aparece o IDS/IPS de proteção para a máquina virtual.

Fonte: Risk Report

Bug no Facebook expôs chats privados

Empresa teve de desativar o recurso por algumas horas até que o problema fosse resolvido.

Uma falha no Facebook, que permitia aos usuários o acesso às sessões de chat de seus amigos no site, fez com que a rede social tivesse de desativar o recurso de mensagem instantânea. O problema também deixava exposto os pedidos de amizade ainda não respondidos, informou a empresa nesta quarta-feira (5/5), em comunicado.

Para explorar o bug, era necessário que o membro do site utilizasse uma ferramenta do portal – que consiste na opção que exibe o próprio perfil do mesmo jeito que os amigos o veem – de “maneira bem específica”, afirma o comunicado da empresa em sua página corporativa.

O site TechCrunch foi o primeiro a reportar o erro ao exibir um vídeo que demonstrava como se aproveitar da falha.

Às 16:45, o recurso já estava funcionando normalmente.
(Juan Carlos Perez)

Fonte: IDG Now!

Novo projeto de lei nos EUA tenta regulamentar proteção à privacidade

Mas iniciativa tem sido atacada tanto por grupos que defendem o consumidor quanto por representantes da indústria de publicidade na web.

Dois legisladores dos Estados Unidos lançaram nesta terça-feira (4/5) um projeto de lei que, se aprovado, exigirá que as empresas que coletam dados pessoais de seus clientes expliquem de forma transparente como os dados são obtidos e compartilhados.

No entanto, diversos grupos de defesa da privacidade e do consumidor disseram que, na prática, a proposta poderia legalizar atos que hoje são considerados violações à privacidade na web.

O projeto dos deputados Rick Boucher e Cliff Stearns aplica-se às informações coletadas online e no mundo real. A lei exige que as empresas que coletam dados pessoais forneçam aos consumidores a opção de sair da base de dados (opt out). Essas empresas ainda teriam de pedir permissão antes de compartilhar informações pessoais com terceiros.

Mas diversos grupos, incluindo a Federação dos Consumidores da América, a Electronic Frontier Foundation e a Electronic Privacy Information Center, critiracam o projeto, afirmando que essa codificação beneficiaria mais as empresas que o consumidor.

Melhor sem lei
“Com essa lei, seria melhor não ter lei alguma”, disse o editor e publisher do boletim Privacy Times, durante entrevista à imprensa.

Para John Simpson, diretor de um projeto da Google voltado a privacidade e responsabilidade, esse projeto transformaria em lei uma prática predominante fraca em termos de privacidade, que permite às empresas coletar dados pessoais se eles avisarem e, em algum casos, conseguirem o consentimento dos usuários.

“Não posso dizer muita coisa boa sobre isso”, disse. “Essa lei realmente adota um regime falido de aviso-e-consentimento que todos sabemos que não funciona.”

Os grupos também reclamaram que a lei proibiria os Estados de criarem suas próprias leis de privacidade online, impediria os consumidores de entrarem com ações na Justiça contra empresas que não protegem a privacidade, e permitiria às empresas manter informações pessoals por até 18 meses.

Proteção do IP
Segundo o projeto, as empresas não precisariam de permissão opt-in para coletar dados operacionais ou transacionais, como web logs ou cookies. No entanto, elas precisariam do consentimento para coletar informações importantes, como registros médicos, números de seguridade social, orientação sexual e localização geográfica precisa.

O vice-presidente para políticas públicas do Interactive Advertising Bureau (IAB), Michael Zaneis, disse que o projeto é “inspirado e um bom ponto de partida” para uma discussão sobre privacidade online. Mas ele também tem questões sobre a proposta, porque ela parece estender a definição de informação pessoal para incluir cookies e endereços IP.

“Nós nunca regulamos cookies e endereços de IP ou os tratamos como se eles fossem pessoalmente identificáveis”, disse.
(Grant Gross)

Fonte: IDG Now!

  • Calendário

    • Julho 2017
      S T Q Q S S D
      « Maio    
       12
      3456789
      10111213141516
      17181920212223
      24252627282930
      31  
  • Pesquisar