Relatório Anual de Segurança da Cisco 2011

Relatório Anual
de Segurança
da Cisco 2011
DESTAQUES DE AMEAÇAS E
TENDÊNCIAS GLOBAIS DE SEGURANÇA

Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. Relatório Anual de Segurança da Cisco 2011 1
O Relatório Anual de Segurança da Cisco®
fornece uma visão geral da inteligência de
segurança combinada de toda a empresa
Cisco. O relatório engloba informações e
tendências de ameaças reunidas entre
janeiro e novembro de 2011. Ele também
fornece um resumo do estado da segurança
para este período, com atenção especial às
principais tendências de segurança previstas
para 2012.
PARTE 1
3 Bem-vindo ao Connected World
5 Seus funcionários no futuro: com inúmeros dispositivos e pouco preocupados com segurança
8 Mídia Social: agora uma ferramenta de produtividade
10 Acesso remoto e BYOD (Bring your Own Device): empresas trabalhando para encontrar
denominador comum com os funcionários
16 A influência de dispositivos portáteis, serviços em nuvem e mídia social na política de segurança
da empresa
PARTE 2
22 Perspectiva de ameaça cibernética para 2012: o fator hacktivismo
23 Tendências geopolíticas: Influência da Mídia Social Ganha Força
24 Anúncio dos vencedores de 2011 do Cisco Cybercrime Showcase
26 A matriz da Cisco para Retorno de Investimento contra o crime cibernético (CROI)
28 Análise de vulnerabilidade e ameças de 2011
29 Atualização global sobre spam: declínio significativo no volume de spam
31 Índice Cisco Global ARMS Race
32 Internet: uma necessidade humana fundamental?
35 Inteligência de Segurança da Cisco

Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. Relatório Anual de Segurança da Cisco 2011 3
PARTE
1
Pense no escritório da década de 60 da agência
de publicidade retratada no programa de televisão
americano “Mad Men”: Em termos de tecnologia, os
funcionários utilizavam máquinas de escrever e telefones
(ambos operados na maior parte do tempo por um
grupo de secretárias)—e esse era basicamente todo
o equipamento de que eles dispunham para aumentar
a produtividade. Os funcionários participavam talvez
de uma ou duas reuniões por dia; o trabalho começava
quando as pessoas chegavam ao escritório e parava
quando elas iam para casa.
Os funcionários de hoje fazem muito mais durante o café
da manhã ou no caminho para o trabalho do que seus
predecessores conseguiam fazer em um dia inteiro de
trabalho na década de 60. Graças à enorme variedade
de inovações tecnológicas que invadem o local de
trabalho— desde tablets a redes sociais e sistemas de
videoconferências como telepresença, os funcionários
de hoje podem trabalhar de praticamente qualquer lugar
e a qualquer hora, contanto que a tecnologia adequada
esteja presente para dar suporte à conectividade e,
principalmente, fornecer segurança. Na verdade, a
diferença mais impressionante entre o local de trabalho
moderno e o seu equivalente na década de 60 é
exatamente a ausência de pessoas: estar fisicamente
presente no escritório é cada vez menos necessário.
Juntamente com a avalanche de inovações tecnológicas,
ocorreu também uma mudança na atitude. Os
trabalhadores de hoje se acostumaram com os
benefícios da produtividade e a facilidade de uso de seus
equipamentos, redes sociais e aplicativos da Web e não
vêem motivo para não utilizarem todas essas ferramentas
tanto para trabalhar como para se divertir. Os limites entre
vida pessoal e profissional praticamente desapareceram:
esses trabalhadores conversam com seus supervisores
pelo Facebook, verificam email de trabalho em seus iPads
da Apple, depois de assistirem a um filme com os filhos, e
transformam seus próprios smartphones em verdadeiras
estações de trabalho.
Não é de surpreender que muitas empresas estejam
questionando o impacto da inovação tecnológica e
de hábitos de trabalho flexível sobre a segurança das
informações corporativas — e, algumas vezes, tomando
a medida drástica de banir totalmente os dispositivos ou
restringir o acesso a serviços da Web que os funcionários
consideram essenciais (o que, na maioria dos casos,
é verdade). Mas empresas que não oferecem essa
flexibilidade a seus funcionários, permitindo, por exemplo,
que eles usem apenas um determinado smartphone
de propriedade da empresa, em breve vão perceber
que estão tendo dificuldades em recrutar talentos ou
manterem o espírito de inovação.
Pesquisa realizada para o estudo Cisco Connected
World Technology Report (www.cisco.com/en/US/
netsol/ ns1120/index.html) documenta as mudanças de
atitude em relação a trabalho, tecnologia e segurança
entre universitários e jovens profissionais de todo o
mundo, agentes da nova onda de mudanças na empresa.
(Funcionários de todas as idades foram responsáveis por
aumentar a adoção dos dispositivos para consumidor
final no local de trabalho e o acesso a informações em
qualquer lugar e a qualquer hora; no entanto, funcionários
mais jovens e recém-formados estão acelerando
consideravelmente o ritmo dessas mudanças.) A edição
deste ano do Relatório Anual de Segurança da Cisco
destaca as principais conclusões desta pesquisa,
explorando o impacto nas empresas e sugerindo
estratégias para permitir a inovação.
Por exemplo, a maioria dos universitários (81%)
entrevistados em todo o mundo acredita que deveria ter
a liberdade de escolher os dispositivos de que precisa
para realizar seus trabalhos, sejam esses dispositivos
pagos pelos empregadores ou seus próprios dispositivos
pessoais. Além disso, quase três quartos dos estudantes
pesquisados acreditam que deveriam poder usar esses
dispositivos para aplicações pessoais e profissionais
simultaneamente. Usar múltiplos dispositivos está se
tornando rotina: entre os profissionais pesquisados em
todo o mundo, 77% tinham vários dispositivos em uso,
como um laptop e um smartphone ou vários telefones e
computadores (Consulte “Seus funcionários no futuro:
com inúmeros dispositivos e pouco preocupados com
segurança”, página 5.)
Uma abordagem equilibrada e flexível da
segurança
As tendências como a chegada de dispositivos para o
consumidor final no local de trabalho exigirão soluções
mais flexíveis e criativas da equipe de TI para manter
a segurança ao permitir acesso a tecnologias de
colaboração. Considerando o desejo dos funcionários
de trazer os dispositivos pessoais para o ambiente
de trabalho, as empresas precisam adotar uma
postura “traga o seu dispositivo” (BYOD – bring your
own device), ou seja, protegendo a rede e os dados,
independentemente de como os funcionários acessam
as informações. (Veja “Acesso remoto e BYOD: empresas
trabalhando para encontrar um denominador comum com
os funcionários”, página 10.)
Bem-vindo ao Connected World

4 Relatório Anual de Segurança da Cisco 2011 Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco.
“Os departamentos de TI precisam viabilizar o caos
originário de um ambiente BYOD”, afirma Nasrin Rezai,
Diretor Sênior de arquitetura de segurança e executivo de
segurança para o Collaboration Business Group da Cisco.
“Isso não significa aceitar altos níveis de risco, mas estar
disposto a gerenciar um nível aceitável de risco em troca de
atrair talentos e promover a inovação. Isso significa entrar em
um novo mundo onde nem todo ativo de tecnologia pode
ser gerenciado pela TI.” A disposição para balancear riscos
e benefícios é uma marca registrada da nova postura de
segurança. Em vez de banir totalmente os dispositivos ou o
acesso às mídias sociais, as empresas devem trocar a
flexibilidade por controles com os quais os funcionários
possam concordar. Por exemplo, a equipe de TI pode dizer,
“Você pode usar seu smartphone pessoal para ler e
responder ao email da empresa, mas nós precisamos
gerenciar esses ativos. E se perder esse telefone, você
precisará apagar remotamente os dados, incluindo seus
aplicativos pessoais e fotos da sua família.”
Os funcionários devem fazer parte deste compromisso:
eles precisam perceber a importância de colaborar com a TI
para que possam usar as ferramentas com as quais estão
habituados e ajudar a preparar o terreno para um processo
que permitirá uma adoção mais rápida de novas tecnologias
no local de trabalho à medida que elas forem surgindo.
Outro ajuste fundamental para as empresas e suas equipes
de segurança é a aceitação da natureza pública da empresa.
De acordo com o estudo Connected World, jovens
profissionais vêem bem menos limites entre a vida pessoal e
profissional: Entre os universitários pesquisados, 33%
disseram que não se importam de compartilhar
informações pessoais online.
“A geração mais antiga acha que tudo é privado, exceto
aquilo que eles optam por tornar público, explica David
Evans, futurologista chefe da Cisco. “Para a nova geração,
tudo é público, exceto aquilo que eles optam por manter
privado. Esta posição padrão — de que tudo é público —
contraria a forma como as empresas trabalhavam no
passado. Elas competiam e inovavam protegendo suas
informações da exposição. No entanto, precisam perceber
que os benefícios obtidos com o compartilhamento de
informações são bem superiores aos riscos de manter as
informações limitadas às suas próprias paredes.”
A boa notícia para a TI é que essa função de capacitadores
de colaboração e compartilhamento deve levar a uma maior
responsabilidade — e, esperamos, a um orçamento maior
— pelo crescimento e o desenvolvimento da empresa. “O
sucesso ocorre quando a TI possibilita essas mudanças
drásticas no local de trabalho, em vez de inibi-las”, explica
John N. Stewart, Vice-Presidente e Diretor de Segurança da
Cisco. “Nós não devemos focar em questões específicas,
como permitir ou não que as pessoas usem seus iPads no
trabalho, porque essa já é uma discussão do passado. Em
vez disso, foque em soluções para o maior desafio da
empresa: permitir que a tecnologia aumente a
competitividade.”
Seus funcionários no futuro:
com inúmeros dispositivos e pouco
preocupados com segurança

Há dez anos, os funcionários recebiam laptops das
empresas com a recomendação de não perdê-los. Eles
recebiam logins da rede da empresa e eram advertidos
para não darem suas senhas a ninguém. E o treinamento
em segurança se resumia a isso.
Hoje, os funcionários da geração do milênio, as pessoas
que você quer contratar para trazer novas ideias e energia
para a sua empresa, aparecem no primeiro dia de
trabalho munidos com seus próprios telefones, tablets e
laptops, e esperam poder integrá-los à vida profissional.
Eles também esperam que os outros, mais precisamente,
a equipe de TI e os Diretores da Informação, descubram
uma forma de permitir que eles utilizem seus preciosos
dispositivos, em qualquer lugar e a qualquer hora que eles
queiram, sem colocar a empresa em risco. Eles acham
que segurança não é problema deles: querem trabalhar
com dedicação, tanto em casa como no escritório, usando
redes sociais e aplicativos em nuvem para executarem
suas tarefas enquanto outra pessoa integra a segurança
em suas interações.
O estudo Connected World oferece um resumo de como
jovens profissionais e universitários prestes a entrarem no
mercado de trabalho encaram questões como
segurança, acesso a informações e dispositivos portáteis.
Aqui temos um resumo sobre quem você estará
contratando, com base nas conclusões do estudo:
O F U N C I O N Á R I O M A I S J O V E M T R A B A L H A N D O
D E Q U A L Q U E R L U G A R , A Q U A L Q U E R H O R A
O E S T U D A N T E U N I V E R S I T Á R I O
C O N E C T A D O
Hesitaria em aceitar um emprego em uma
empresa que baniu o acesso à mídia social.
Quer escolher que dispositivos trazer para o trabalho,
até mesmo seu laptop e gadgets pessoais.
Se tivesse que escolher, preferiria
acesso à Internet, em vez de ter
um carro.
Verifica a página do Facebook
no mínimo uma vez ao dia.
Não está preocupado em
proteger senhas.
Prefere um horário de trabalho não
convencional, trabalhando em qualquer
lugar e a qualquer hora.
Acredita que deve ter direito de acessar a mídia social e os websites
pessoais de dispositivos fornecidos pela empresa.
Acredita que a TI é responsável pela
segurança, e não ele.
Violará as políticas de TI se
considerar necessário para executar
o trabalho.
Possui vários dispositivos, como laptops, tablets e
celulares (frequentemente mais de um).
Permite que outras pessoas, mesmo
estranhos, usem seus computadores e
dispositivos.
Verifica a página do Facebook
no mínimo uma vez ao dia.
Não acredita que precise estar no escritório
regularmente.
Não quer trabalhar no escritório o tempo todo, acredita que é mais
produtivo quando pode trabalhar de qualquer lugar, a qualquer hora.
E N T R E O S U N I V E R S I TÁ R I O S ,
81 ACREDITAM QUE
DEVEM PODER ESCOLHER
OS DISPOSITIVOS
DE QUE PRECISAM
EM SEUS TRABALHOS
%
Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco. Relatório Anual de Segurança da Cisco 2011 76 Relatório Anual de Segurança da Cisco 2011 Todos os conteúdos possuem copyright ©2011-2012 Cisco Systems Inc. Todos os direitos reservados. Este documento é para informações públicas da Cisco.

Mito vs. realidade:
a mídia social representa um perigo para a empresa
Mito:
Permitir que os funcionários usem a mídia social escancara a porta para malware na rede da empresa, e fará
a produtividade disparar. Além disso, divulgará os segredos da empresa e rumores internos no Facebook e
Twitter, prejudicando a competitividade da empresa.
Realidade:
Não resta dúvida de que os criminosos já usaram as redes de mídia social para atrair vítimas para fazer o
download de malware e fornecer senhas de login. Mas o medo das ameaças trazidas pela mídia social pode
estar sendo exagerado. As mensagens de email permanecem sendo a forma mais comum de inserir malware
nas redes.
Certamente, as empresas devem se preocupar com a perda de propriedade intelectual, mas a mídia social não
deve ser totalmente responsabilizada por tais prejuízos. Os funcionários que não foram treinados para proteger
as informações de suas empresas podem revelar segredos por bate-papos indiscretos em locais públicos ou
via email com a mesma rapidez com que tuitam, e podem fazer o download de documentos da empresa em
mini unidades com a mesma facilidade com que trocam informações por Facebook e email. A resposta para
vazamentos de propriedade intelectual não é banir totalmente as mídias sociais. É promover a confiança nos
funcionários para que eles não se sintam compelidos a revelar informações sensíveis.
“A perda de produtividade devido à rede social tem sido pauta constante na mídia”, diz Jeff Shipley, Gerente de
Operações e Pesquisa em Segurança da Cisco. “No entanto, a verdade é que os funcionários podem trabalhar
mais, melhor e com mais agilidade, quando usam ferramentas que lhes permitem colaborar com rapidez em
projetos e conversar com os clientes. Hoje as redes de mídia social são essas ferramentas. Os ganhos de
produtividade compensam a espera ocasional inerente às redes sociais.”
“A verdade é que os funcionários podem trabalhar mais,
melhor e com maior agilidade quando usam ferramentas que
lhes permitem colaborar com rapidez em projetos e conversar
com clientes”.
—Jeff Shipley, gerente de Operações e Pesquisa em Segurança da Cisco
Há algum tempo, o Facebook e o Twitter deixaram de ser
apenas a sensação do momento para adolescentes e
aficionados em tecnologia e passaram a ser canais vitais
de comunicação com grupos e de promoção de marcas.
Jovens profissionais e universitários sabem disso, e utilizam a
mídia social em todos os aspectos de suas vidas. (E embora
o Facebook e o Twitter sejam dominantes em grande parte
do mundo, muitas outras redes sociais regionais estão se
tornando igualmente essenciais para interações online,
Qzone na China, VKontakte na Rússia e países do ex-bloco
soviético, Orkut no Brasil, e Mixi no Japão.)
No entanto, as empresas podem não entender a extensão
em que a mídia social penetrou na vida pública e privada
de seus funcionários e, portanto, não perceberem a
necessidade de atender à crescente demanda da sua
força de trabalho por acesso irrestrito a redes sociais
como o Facebook ou sites de compartilhamento de
conteúdo, como o YouTube. Infelizmente, esta inércia
pode custar a eles o talento de que precisam para
crescerem e terem sucesso. Se o acesso às redes
sociais não for concedido, os profissionais jovens que
esperariam poder contar com eles, provavelmente vão
acabar buscando outras oportunidades profissionais em
empresas que fornecem esse acesso. Essas atitudes são
ainda mais prevalentes entre estudantes universitários,
que usam as mídias sociais desde muito jovens.
De acordo com o estudo Connected World, os
universitários e os jovens profissionais funcionários
centram suas interações pessoais e profissionais no
Facebook. Dentre os estudantes universitários, 89%
verificam suas páginas no Facebook pelo menos uma vez
ao dia; 73% dos jovens profissionais também fazem isso.
Para funcionários jovens, suas conexões de mídia social
frequentemente se estendem para o local de trabalho:
Sete de dez profissionais declararam que adicionaram
seus gerentes e colegas como amigos no site de mídia
social.
Considerando o nível de atividade desses jovens no
Facebook — e a falta de distinção entre uso pessoal e
profissional do site de mídia social — pode-se concluir
que os jovens trabalhadores queiram transferir seus
hábitos de uso do Facebook para o escritório. Entre
alunos universitários pesquisados, quase metade (47%)
declarou que acredita que as empresas devem manter
políticas flexíveis de mídia social, presumivelmente para
permitir que eles permaneçam conectados em suas
vidas profissionais e pessoais a todo momento.
Se os estudantes encontrarem um local de trabalho
que dificulte o uso de mídia social, eles podem acabar
evitando trabalhar para essas empresas ou, se não
tiverem opção, podem tentar subverter as regras que
bloqueiam o acesso a seus sites favoritos. Mais da
metade dos universitários pesquisados globalmente
(56%) declarou que não aceitaria uma proposta de
emprego em uma empresa que proibisse o acesso
à mídia social, ou aceitaria e descobriria uma forma
de acessar a mídia social a despeito das políticas da
empresa. Dois de cada três alunos universitários (64%)
declaram que planejam perguntar sobre as políticas de
uso de mídia social durante as entrevistas de trabalho, e
uma em quatro (24%) declarou que tais políticas seriam
um fator chave na sua decisão de aceitar um emprego.
O Lado Positivo do Acesso à Mídia Social
Como a mídia social já está tão arraigada no cotidiano
de jovens profissionais e trabalhadores futuros, as
empresas não podem mais encará-la como um transtorno
passageiro ou uma força negativa e perturbadora. Na
verdade, as empresas que bloqueiam ou estreitam o
acesso à mídia social provavelmente perceberão uma
perda de competitividade.
Quando as empresas permitem que seus funcionários
utilizem as mídias sociais, elas estão fornecendo as
ferramentas e a cultura de que eles precisam para serem
mais produtivos, inovadores e competitivos.
Por exemplo, gerentes de recursos humanos podem usar
as redes sociais para recrutar novos talentos. As equipes
de marketing podem usar os canais de mídia social para
monitorar o sucesso de campanhas publicitárias ou o
sentimento do consumidor em relação a outras marcas. E
as equipes de atendimento ao cliente podem responder
a consumidores que usam a mídia social para fazer
perguntas e fornecer o feedback da empresa.
Os temores relativos a segurança e perda de dados
são a principal razão pela qual muitas empresas não
adotam mídias sociais, mas essas preocupações estão
fora de proporção em relação ao verdadeiro nível de
risco (veja “Mito x Realidade: a mídia social representa
um perigo para a empresa”, página inicial); em qualquer
caso, os riscos podem ser mitigados em toda a aplicação
da tecnologia (página inicial); em todos os casos, os
riscos podem ser minimizados através da aplicação
de tecnologia e controles de usuário. Por exemplo, os
controles de tráfego na Web podem interromper o fluxo
de malware, como o Koobface1
, que encontra seu
1
“The Evolution of Koobface: Adapting to the Changing Security Landscape” [La evolución de Koobface: Adaptación al panorama cambiante de la seguridad], Informe Annual de Seguridad de Cisco 2010, www.cisco.com/en/US/prod/collateral/vpndevc/security_annual_report_2010.pdf.
Mídia Social:
agora uma ferramenta de produtividade
caminho através do Facebook e do Twitter. Esses
controles não impedem que os funcionários naveguem
em mídia social e a utilizem como meio de comunicação
com colegas, clientes e parceiros comerciais. Eles
impedem a atividade da mídia social apenas quando
existe o risco de fazer o download de um arquivo
infectado ou clicar em um link suspeito. A proteção é
invisível para os usuários, e é incorporada na rede, sem
computadores ou dispositivos. Os funcionários obtêm
o acesso à mídia que exigem, e as empresas obtêm a
segurança de informações de que precisam. (Veja mais
sobre as proteções de mídia social em “O Futuro das
Políticas de Uso Aceitável”, página 19.)
Os próprios sites de mídia social responderam às
solicitações por níveis de controle superiores ao que
os usuários podem ver em uma rede. Por exemplo, uma
empresa pode permitir que os funcionários acessem
o YouTube para ver vídeos relacionados ao seu setor
ou produto, mas bloquear o acesso a conteúdo adulto
ou sites de jogos de azar. E as soluções de tecnologia
podem filtrar o tráfego de mídia social para malware
recebido ou dados enviados (por exemplo, os arquivos da
empresa que não devem ser enviados por email via mídia
social ou outros serviços baseados na Web).
Para proteger um usuário corporativo contra acesso não
autorizado de suas contas, o Facebook frequentemente
introduz novos recursos de privacidade. Embora eles
sejam controles individuais de usuário em oposição
aos controles de rede, as empresas podem debater a
questão com seus funcionários e oferecer treinamento
sobre os recursos de privacidade mais úteis para manter
a segurança das informações.
Antes de limitar o acesso à mídia social, as empresas
devem considerar o valor corporativo da mídia social em
comparação aos riscos que ela traz. Considerando as
conclusões do estudo Connected World e a paixão dos
jovens profissionais pelas mídias sociais e seus poderes
de colaboração, as empresas podem descobrir que os
benefícios superam os riscos, contanto que descubram o
equilíbrio ideal entre aceitação e segurança.

ACCESO
INTERNO
EM
QUALQUER LUGAR
QUALQUER
DISPOSITIVO,
QUALQUER LUGAR
QUALQUER SERVIÇO,
QUALQUER
DISPOSITIVO,
QUALQUER LUGAR
EMPRESA
VIRTUAL
Tinha que ir para
o escritório para
acessar recursos
TENDÊNCIA
DE MERCADO
Consumerização
Acessa recursos
de qualquer lugar,
com qualquer dispositivo
Os serviços dominam
os dados. Os serviços
não estão vinculados
a dispositivos
A empresa
torna-se virtual,
totalmente
independiente da
localização e do serviço
Independênciadedispositivo
TENDÊNCIA
DE MERCADO
de serviços
Consumerização
de dispositivos
Acessa recursos de
qualquer lugar com
os ativos
gerenciados da TI
Embora a principal preocupação da maioria das
empresas seja a dúvida se o acesso às mídias sociais
deve ser liberado durante o horário de trabalho e através
dos equipamentos da empresa, uma preocupação ainda
mais urgente é encontrar o equilíbrio ideal entre permitir
que seus funcionários tenham acesso às ferramentas
e às informações de que eles precisem para fazerem
bem seus trabalhos, a qualquer hora e em qualquer lugar,
mantendo seguros os dados confidenciais da empresa,
como propriedade intelectual e informações pessoais
dos funcionários.
Empresas de todos os setores estão começando
a entender que terão que se adaptar logo à
“consumerização da TI” (introdução e adoção pelos
funcionários de dispositivos para o consumidor na
empresa) e às tendências de trabalho remoto já
presentes. Tem ficado cada vez mais claro que se não
mudarem suas posturas, elas não conseguirão se manter
competitivas, inovadoras, manter uma força de trabalho
produtiva e atrair e manter os maiores talentos. Ao mesmo
tempo, as empresas também estão percebendo que
não é mais possível sustentar as antigas fronteiras de
segurança. “Os departamentos de TI, particularmente
aqueles em grandes empresas, ainda não conseguiram
acompanhar o ritmo do aumento em velocidade de
Internet de novos dispositivos e a adoção imediata
desses dispositivos por funcionários mais jovens”,
contou Gavin Reid, gerente do CSIRT (Computer Security
Incident Response Team) na Cisco.
Claramente, há uma expectativa entre os jovens
profissionais do futuro, bem como os de hoje, de que
eles poderão acessar o que quer que precisem de onde
quer que estejam para executarem suas tarefas. E se não
tiverem esse acesso, as consequências para a empresa
são potencialmente significativas. Como exemplo, o
estudo Connected World revelou que três de dez jovens
profissionais admitem globalmente que a ausência de
acesso remoto influenciaria suas decisões no trabalho,
como sair de um trabalho antes ou depois ou recusar
prontamente algumas propostas de emprego. Eles
também indicam que seria mais provável que ficassem
desconcentrados durante o trabalho e se sentirem
desestimulados.
Já entre os universitários de hoje, a maioria não consegue
nem mesmo imaginar uma experiência profissional futura
que não inclua a capacidade de acessar remotamente o
trabalho. De acordo com a pesquisa Cisco Connected
World Technology, praticamente dois a cada três
universitários esperam que, ao entrar no mercado de
trabalho, possam acessar a rede corporativa usando o
computador doméstico. Enquanto isso, cerca de metade
dos universitários esperam fazer o mesmo usando seus
dispositivos portáteis pessoais. E muito provavelmente
se a empresa não permitisse esses acessos, os futuros
funcionários descobririam alguma forma de superar os
obstáculos de acesso.
O relatório também revela que a maioria dos universitários
(71%) compartilha a ideia de que os dispositivos da
empresa deveriam estar disponíveis tanto para o
trabalho como para o lazer porque “o tempo de trabalho
muitas vezes se mistura ao tempo da vida pessoal …
É assim hoje e será assim no futuro.” Essa afirmação é
totalmente verdadeira, e está fazendo com que mais
empresas adotem uma prática BYOD (traga seu próprio
dispositivo). Outros fatores, incluindo mobilidade de
Acesso remoto e BYOD:
empresas trabalhando para encontrar um denominador comum com
os funcionários
força de trabalho, proliferação de novos dispositivos e
integração de aquisições, bem como gerenciamento de
relacionamentos com fornecedores externos e em outros
países, também são importantes fatores.
A Cisco é uma das empresas que já está fazendo a
transição para o modelo BYOD — e está aprendendo
rapidamente que esta transformação requer um
comprometimento de longo prazo e um envolvimento
multifuncional da empresa. A Figura 1 na página anterior
mostra os cinco estágios do acesso da força de trabalho
juntamente com o que a Cisco chama de jornada
“Qualquer dispositivo” para se tornar uma “empresa
virtual”. Quando a Cisco atingir o último estágio da jornada
planejada, o que levará vários anos, a empresa será cada
vez mais independente de local e serviço e, mesmo
assim, seus dados permanecerão em segurança.2
As demandas específicas de um segmento da indústria
(demandas regulatórias) e a cultura corporativa (tolerância
de risco x inovação) impulsionam as decisões do modelo
BYOD. “Eu acredito que, para muitas empresas hoje, o
BYOD seja menos uma questão de “Não, não podemos
fazer isso, e mais uma questão de ´Como fazemos isso?
Que ações positivas e responsivas devemos tomar
para gerenciar a situação de dispositivos portáteis na
nossa empresa?”, afirma Nasrin Rezai, Diretor Sênior
de Arquitetura de Segurança da Cisco e Chefe de
Segurança do Collaboration Business Group.
Um ponto comum entre as empresas que avançam
para a prática do modelo BYOD é que há uma adesão
dos principais executivos, o que ajuda não só a trazer
a questão para a pauta principal da organização, mas
também a fazer com que ela avance. Rezai explica, “Os
executivos têm um papel fundamental em promover a
adoção do modelo BYOD na empresa.
Como parte da decisão de permitir que os
funcionários usem qualquer dispositivo para trabalhar,
incluindo dispositivos pessoais não gerenciados, a
TI da Cisco, juntamente com o CSIRT, procurou uma
ferramenta que bloqueasse websites maliciosos
antes que eles fossem carregados nos navegadores.
Em resumo, eles querem proteção contra ameaças de
dia zero, especificamente aqueles que não possuem
assinatura conhecida. No entanto, a solução também
precisava preservar a experiência do usuário, não
apenas para garantir a produtividade, mas também
para evitar que os funcionários mudassem as
definições de seus navegadores.
A TI da Cisco e a CSIRT atingiram seu objetivo
implantando o Cisco IronPort®
S670 Web Security
Appliance (WSA), um proxy da web que inspeciona
e depois libera ou solta o tráfego da web por filtros
baseados em reputação ou o resultado de verificação
em linha com os arquivos. (A Cisco não usa os
recursos de filtragem da Web do WSA para bloquear
todas as categorias de website porque a sua política
é confiar em funcionários para usar seu tempo de
forma produtiva.)
Quando um funcionário da Cisco clica em um link
ou insere um URL, a solicitação é enviada pelo
Web Cache Communication Protocol (WCCP) a
um grupo de carga balanceada do Cisco IronPort
S670 WSAs. O WSA determina se deve permitir
ou rejeitar o website inteiro, ou objetos individuais
no website, baseado na pontuação de reputação
a partir do serviço de monitoração de tráfego da
web e de email baseado em nuvens Cisco IronPort
SenderBase Security Network (www.senderbase.
org). O SenderBase®
atribui a cada website uma
pontuação de reputação que vai de –10 a 10. Os
websites com pontuações de -6 a -10 são bloqueados
automaticamente, sem verificação. Os websites
com pontuações de 6 a 10 são autorizados, sem
verificação.
A Cisco implantou o Cisco IronPort S670 WSA em
toda a organização em três fases, que começou com
um programa de prova de conceito de seis meses
em um edifício do campus da Cisco em Research
Triangle Park (RTP), Carolina do Norte, seguido por um
programa piloto de dois anos (2009–2011) em que a
solução foi estendida para todos os 3000 funcionários
no campus do RTP. Em 2011, o WSA foi implementado
em diversos outros grandes campus de todo o
mundo e para dezenas de milhares de funcionários.
Em outubro de 2011, a implantação global do WSA na
Cisco estava 85% completa.
“A Cisco tem agora seu maior nível de proteção
contra ameaças da Web”, declarou Jeff Bollinger,
Investigador sênior de segurança da informação
Cisco. Nós temos uma média de 40.000 transações
bloqueadas por hora. E em apenas um dia, os WSAs
bloquearam 7,3 milhões de transações, incluindo
23.200 tentativas de download de walware, mais de
6800 Cavalos-de-Tróia, 700 worms e praticamente
100 URLs falsas.”
Saiba mais sobre como a Cisco implantou o Cisco
IronPort S670 WSA. (www.cisco.com/web/about/
ciscoitatwork/downloads/ciscoitatwork/pdf/cisco_it_
case_study_wsa_executive_summary.pdf.)
A tecnologia está fazendo uma jornada segura para o modelo BYOD
da Cisco
2
Para dicas adicionais sobre como avançar no modelo BYOD e os cinco estágios da jornada “Qualquer Dispositivo” da Cisco, consulte Cisco Any Device: Planning a Productive, Secure and Competitive Future [Qualquer Dispositivo
da Cisco: planejando um futuro produtivo, seguro e competitivo], www.cisco.com/en/US/solutions/collateral/ns170/ns896/white_paper_c11-681837.pdf.
Figura 1. Os Estágios do
Acesso à Força de Trabalho
ao longo da Jornada Qualquer
Dispositivo.

Eles estão abraçando o caos, mas também estão
afirmando, ‘Faremos isso de forma sistemática e
arquitetônica, e avaliaremos nosso progresso a cada
etapa do processo.’” (Veja a barra lateral, “Perguntas a
fazer ao longo jornada Traga Seu Próprio Dispositivo”,
veja a página ao lado.)
A governança também é fundamental para o sucesso
do modelo BYOD. A Cisco, como exemplo, mantém um
comitê diretor de BYOD, que é liderado pela TI, mas
inclui participantes de outras unidades de negócios,
como os setores de recursos humanos e jurídicos. Sem
uma governança formal, as empresas não conseguem
definir um caminho claro para migrar com sucesso e
estrategicamente do mundo gerenciado para um mundo
não gerenciado ou “sem fronteiras”, onde o perímetro de
segurança não está mais delimitado e a TI não gerencia
mais cada ativo tecnológico em uso na empresa.
“Muitas pessoas imaginam que o BYOD seja um modelo
para terminais, mas é muito mais abrangente do que
isso”, conta Russell Rice, Diretor de Gerenciamento de
Produtos na Cisco. “É sobre garantir a consistência da
experiência do usuário final trabalhando de qualquer
dispositivo, seja em um ambiente com ou sem fio ou em
nuvem. É sobre elementos da política de interação. E é
sobre seus dados, como eles são protegidos, e como
atravessam todos esses ambientes distintos. Tudo isso
deve ser levado em consideração ao migrar para um
modelo BYOD. É realmente uma mudança na forma
de pensar.”
Mito vs. realidade:
os funcionários não aceitarão o controle corporativo de
seus dispositivos portáteis.
Mito:
Os funcionários não aceitarão as exigências das empresas de terem algum controle remoto sobre o
dispositivo portátil pessoal que eles querem usar tanto para o trabalho como para o lazer.
Realidade:
As empresas e funcionários precisam encontrar um denominador comum: a empresa precisa reconhecer
a necessidade dos indivíduos usarem seus dispositivos preferidos e o funcionário deve entender que
a empresa precisa aplicar sua política de segurança e cumprir os requisitos regulatórios relacionados à
segurança de dados.
As empresas precisam ser capazes de identificar os dispositivos de forma única quando eles entram na rede
corporativa, vincular dispositivos a usuários específicos e controlar a postura de segurança dos dispositivos
usados para se conectar aos serviços corporativos. A tecnologia que permitiria a “conteinerização” de um
dispositivo, ou seja, um telefone virtual em um telefone que poderia ser desligado por um funcionário no caso
do dispositivo ser perdido ou roubado, sem comprometer os dados pessoais de um usuário, que é mantido
separado, está em evolução. Nos próximos anos, as soluções viáveis de segurança baseadas nesta tecnologia
devem estar disponíveis para um amplo uso pela empresa.
Até então, os funcionários que quiserem usar seus dispositivos pessoais para trabalhar devem aceitar que a
empresa, por razões de segurança, retenha determinados direitos
para proteger o dispositivo. Isso requer, entre outras coisas:
• Senhas
• Criptografia de dados (incluindo criptografia de dispositivos e
mídia removível)
• As opções de gerenciamento remoto que permitem que a TI
trave ou apague remotamente um dispositivo se ele for perdido,
comprometido ou se o funcionário for demitido.
Se um funcionário não aceitar as exigências de aplicação de
políticas e gerenciamento de ativos que foram estabelecidas para
elevar o status do dispositivo portátil para “confiável” de acordo
com os padrões de segurança da empresa, a TI não permitirá que
esse funcionário acesse ativos protegidos da empresa com seus
dispositivos pessoais.
Perguntas a fazer ao longo da jornada ´qualquer dispositivo´
A Cisco, quando embarcou nessa jornada “Qualquer Dispositivo”, identificou 13 áreas críticas da empresa afetadas por este paradigma. A tabela abaixo destaca estas
áreas de foco e fornece uma lista de perguntas que ajudaram a Cisco a identificar e evitar possíveis armadilhas e determinar como melhor aprovar essas considerações.
As empresas que querem adotar um método BYOD também devem considerar essas perguntas::3
Área de negócios Perguntas para responder sobre a empresa
Planejamento de continuidade dos negócios e
recuperação de desastres
Os dispositivos não pertencentes à empresa devem ter acesso concedido ou restrito no plano de continuidade
dos negócios?
Deve ser possível apagar remotamente qualquer dispositivo final que tenha sido perdido ou roubado e tente
acessar a rede?
Gerenciamento de host (patching) Os dispositivos não corporativos poderão participar de fluxos existentes de gerenciamento de host corporativo?
Gerenciamento de configuração do cliente e
validação de segurança de dispositivos
Como a compatibilidade do dispositivo com os protocolos de segurança será validada e mantida atualizada?
Estratégias de acesso remoto Quem deve ter direito a que serviços e plataformas em que dispositivos?
Um funcionário temporário deve receber o mesmo direito de acesso a dispositivos, aplicativos e dados?
Licenciamento de software A política deve ser modificada para permitir a instalação de software de licença corporativa em dispositivos
não corporativos?
Os contratos de software existentes contabilizam os usuários que acessam o mesmo aplicativo de software
através de dispositivos diferentes?
Requisitos de criptografia Os dispositivos não pertencentes à empresa devem estar em conformidade com os requisitos existentes de
criptografia de discos?
Autenticação e autorização Os dispositivos não pertencentes à empresa devem participar ou ter permissão para participar de modelos
existentes do Microsoft Active Directory?
Gerenciamento de conformidade regulatória Qual será a política corporativa em relação ao uso de dispositivos não pertencentes à empresa em cenários
de alta conformidade ou cenários de alto risco?
Gerenciamento de acidentes e investigações Como a TI da empresa gerenciará os incidentes de segurança e privacidade de dados e as investigações em
dispositivos que não pertencem à empresa?
Interoperabilidade de aplicativos Como a empresa realiza os testes de interoperabilidade entre aplicativos em dispositivos não corporativos?
Gerenciamento de ativos A empresa precisa mudar a forma como identifica os dispositivos que possui para também identificar o que
não possui?
Suporte Quais serão as políticas corporativas para fornecer suporte a dispositivos não pertencentes à empresa?
3
Ibid.

Quando o computador tablet Apple iPad foi lançado
em 2010, ele foi posicionado (e adotado pelo público)
como um dispositivo para o consumidor final: assistir
a filmes com os filhos, navegar na web sentado no
sofá e ler livros eram alguns dos usos preferidos
citados.
No entanto, muitos setores da indústria, como saúde
e manufatura, rapidamente se deram conta da
vantagem de um dispositivo portátil poderoso e fácil
de usar para utilização corporativa, que eliminaria
as lacunas entre smartphones (muito pequenos) e
laptops (muito grandes). Em uma teleconferência
sobre resultados financeiros, o Diretor Financeiro
da Apple declarou que 86% das empresas da lista
da Fortune 500 e 47% das empresas da lista Global
500 estão implantando ou testando o iPad; empresas
como General Electric Co. e SAP estão criando
aplicativos iPad para processos internos; e pilotos da
Alaska Airlines e da American Airlines estão usando
o iPad nos cockpits para substituir informações de
navegação em papel.4
Ao mesmo tempo, os funcionários que usam iPads
e outros tablets em suas casas estão pedindo às
empresas para utilizá-los no escritório, mais um
marco da consumerização da TI. Isso se reflete no
estudo do Cisco Connected World, em que 81%
dos estudantes declararam que esperam poder
escolher o dispositivo a ser usado no trabalho, seja
recebendo uma verba para comprar o dispositivo
que eles preferirem ou trazendo seus próprios
dispositivos pessoais.
Independentemente da adoção dos iPads e outros
tablets ser promovida pelos funcionários ou pelas
empresas, os dispositivos estão gerando perguntas
e preocupações em relação à segurança das
informações corporativas acessadas via tablets.
Ao contrário dos smartphones, iPads e tablets
oferecem plataformas de computação mais robustas,
em que os funcionários podem fazer mais do que
seus smartphones permitem. Empresas mais de
vanguarda querem permitir a inclusão de tablets, sem
comprometer a segurança.
A inovação causou uma mudança constante na
TI e a velocidade da mudança está aumentando.
As empresas que desenvolvem uma estratégia
para seus dispositivos voltada para a opção mais
popular de 2011 (neste caso, o iPad) devem iniciar
a contagem regressiva para uma reengenharia em
seus sistemas em poucos anos, quando novos
fornecedores, produtos e recursos surgirão. Uma
decisão mais inteligente é redirecionar a estratégia
de segurança de dispositivos específicos para
uma estratégia de aplicação do método BYOD,
com acesso conforme o tipo de usuário, função
e dispositivo (para saber mais sobre a prática do
método BYOD, veja a página 10). O segredo para
permitir qualquer dispositivo na empresa, seja ele de
propriedade da empresa ou trazido pelo funcionário,
é o gerenciamento de identidades. Ou seja, entender
quem está usando o dispositivo, onde ele está sendo
usado e que informações eles estão acessando.
Além disso, as empresas que permitem o uso de
tablets no local de trabalho precisarão de métodos
para gerenciamento de dispositivos (ex. apagar
dados de dispositivos perdidos), exatamente como
ocorre com smartphones e laptops.
Para tablets e, na verdade, todos os outros
dispositivos novos e interessantes que sejam
trazidos para a empresa, os profissionais de
segurança precisam preservar a consistência da
experiência do usuário enquanto adicionam novos
recursos de segurança. Por exemplo, os usuários
de iPad adoram os controles de tela de toque dos
dispositivos, como arrastar o dedo na tela para exibir
ou aplicar zoom nas imagens. Se departamentos
de TI incorporarem uma norma de segurança que
restrinja demais esses recursos tão adorados, os
usuários vão relutar em aceitar essa mudança.
“A melhor abordagem de segurança do tablet
permite isolar aplicativos e dados corporativos e
pessoais com confiança, aplicando políticas de
segurança apropriadas a cada um deles, afirmou
Horacio Zambrano, Gerente de Produtos da Cisco. “A
política ocorre na nuvem ou em uma rede inteligente;
embora, para o funcionário, a experiência seja
preservada e ele possa utilizar os recursos dos
aplicativos nativos do dispositivo.”
A revolução do iPad: tablets e segurança
Android
iPhone/iPad/iPod Touch
Nokia/Symbian
BlackBerry
Windows Mobile
A pesquisa Connected World revelou que três de
cada quatro funcionários de todo o mundo (77%)
possuem mais de um dispositivo, como laptop e
smartphone ou vários telefones e computadores.
Dentre os jovens profissionais, 33% (um a cada
três) afirmam usar no mínimo três dispositivos para
trabalho. Mas que plataformas de dispositivo portáteis
são favorecidas pela maioria dos funcionários hoje,
em geral?
Ao conduzir a pesquisa pelo último Cisco Global
Threat Report, o Cisco ScanSafe analisou de perto
os tipos de plataformas de dispositivos portáteis
que os funcionários de todas as partes do mundo
estão usando na empresa.* Surpreendentemente,
os dispositivos RIM BlackBerry que foram aceitos
nos ambientes da maioria das empresas são agora a
quarta plataforma mais popular.
Ainda mais impressionante é que os aparelhos da
Apple - iPhone, iPad e iPod touch - são atualmente
a plataforma mais dominante. O Google Android
ocupa o segundo lugar, com os dispositivos Nokia/
Symbian em terceiro.** Esses resultados enfatizam o
forte impacto que a consumerização da TI teve nas
empresas em um curto período de tempo: O primeiro
iPhone foi lançado em 2007; o primeiro telefone
Android comercialmente disponível chegou aos
mercados em 2008.
A pesquisa Cisco ScanSafe também oferece um
insight sobre que plataformas de dispositivos
portáteis estão sendo contaminadas por malware.
A resposta: todas. (Veja o gráfico abaixo.) Embora
a maioria das ocorrências atualmente seja
em dispositivos BlackBerry - mais de 80%), a
pesquisadora sênior sobre ameaça de segurança
da Cisco, Mary Landesman, diz que o malware não
é direcionado especificamente aos dispositivos
ou usuários do BlackBerry e é questionável que o
malware encontrado tenha infectado ou tenha tido
qualquer outro impacto nesses dispositivos.
Landesman acrescenta, “Onde houver usuários,
haverá também cibercriminosos”. Como o uso de
dispositivos portáteis continua a crescer entre
usuários corporativos, o malware direcionado a
esses dispositivos e, portanto, a esses usuários,
também cresce. (Para saber mais sobre o
investimento crescente de cibercriminosos para
explorar os usuários de dispositivos portáteis, veja a
“Matriz Cisco de Retorno de Investimento no crime
cibernético”, veja a página 26.)
Distribuição de dispositivos portáteis na empresa e identificação de malware
Uso de dispositivo portátil pela empresa Distribuição de ocorrências normalizada
* O Cisco ScanSafe processa bilhões de solicitações diárias da Web. Os resultados de pesquisa são baseados em uma análise de agentes de usuário normalizados pela contagem de clientes.
** Dispositivos Nokia/Symbian lançados até outubro de 2011.
4
“Os aplicativos corporativos para iPhone e iPad da Apple trazem uma péssima notícia para os concorrentes”, ZDNet, 20 de julho de 2011, www.zdnet.com/blog/btl/apples-corporate-iphone-ipad-app-strength-bad-news-for-rivals/52758.

O custo de uma única violação de dados pode ser
descomunal para uma empresa. O Ponemon Institute
estima algo em torno de US$1 a US$58 milhões.5
O
custo também não é exclusivamente financeiro: danos
à reputação da empresa e perda de clientes e de
participação no mercado são alguns dos efeitos colaterais
possíveis de um incidente de perda de dados de grande
repercussão.
À medida que mais funcionários se tornam móveis
e usam vários dispositivos para acessar os ativos
da empresa e também dependem de aplicativos de
colaboração para trabalhar com outros enquanto estão
fora dos limites tradicionais físicos da empresa, o
potencial de perda de dados aumenta. Como exemplo,
o estudo Cisco Connected World (www.cisco.com/en/
US/ netsol/ns1120/index.html) concluiu que praticamente
metade (46%) dos jovens profissionais já enviou emails de
trabalho através de contas pessoais.
“O potencial para perda de dados é elevado”, afirma David
Paschich, gerente de produtos de segurança da Web
da Cisco. “As empresas estão registrando uma perda
progressiva do controle sobre quem acessa a sua rede
corporativa. E o simples fato de que mais funcionários
estão usando dispositivos portáteis para trabalhar,
e algumas vezes, vários dispositivos, significa que o
potencial para perda de dados decorrente de roubo ou
perda de um dispositivo é ainda maior.”
A crescente preferência dos cibercriminosos pelos
ataques direcionados de baixo volume, como campanhas
spearphishing (veja Atualização Global sobre Spam:
o dramático declínio no volume de spam, página 29),
para roubar informações de alvos de alto valor, e o
crescente uso dos serviços de compartilhamento de
arquivos baseados em nuvem pelas empresas para
aumentar a eficiência e reduzir custos (consulte a próxima
seção, Proteção para Dados Corporativos em Nuvem)
também estão aumentando o potencial de roubo ou
comprometimento de dados.
Neste cenário, não é surpreendente que mais empresas
estejam renovando seu foco em esforços de preservação
de perda de dados (DLP). “Hoje, as empresas estão
avaliando seus programas DLP para determinar dois
pontos: se eles estão protegendo os dados corretos e se
estão fazendo o que é necessário para manter os dados
seguros”, contou John N. Stewart, vice-presidente e
diretor de segurança da Cisco.
Ao categorizar os dados que devem ser mantidos
seguros, um bom ponto de partida para muitas empresas
é determinar que tipos de dados requerem proteção e
segurança, com base nas legislações e regulamentações
em vigor, que podem variar por indústria e localização
geográfica (ex. estado, país). “Você não pode construir
anéis de segurança em torno do que precisa proteger
se não souber o que são essas coisas”, declarou Jeff
Shipley, Gerente de Operações e Pesquisa de Segurança
da Cisco. “Essa é uma grande mudança na forma de
pensar de muitas empresas que focam seus controles de
segurança nos sistemas e na rede, e não na granularidade
dos dados reais nos vários sistemas, entre inúmeros
sistemas ou na rede.” Ele acrescentou que as empresas
não devem negligenciar a propriedade intelectual ao
categorizar os dados a serem protegidos.
Shipley também recomenda aos departamentos de TI
corporativos que não percam oportunidades óbvias para
evitar que os dados escapem pela porta da frente. Ele
disse, “Aqui temos um exemplo: se uma empresa fosse
proteger seus arquivos confidenciais, como planilhas
Excel que contêm dados de clientes, com controles
para evitar o download ou a transferência de dados de
aplicativos ou banco de dados centralizados, a chance
de um funcionário fazer o download de dados para um
dispositivo pessoal ou portátil antes de sair da empresa é
altamente reduzida.”
Paschich também adverte às empresas de que elas não
devem negligenciar uma ameaça menos conhecida,
mas muito potente, os dispositivos USB. “Enquanto as
empresas estão preocupadas se devem ou não permitir
que um funcionário conecte-se à rede com um iPhone
porque estão preocupados em prejudicar a segurança
corporativa, elas estão permitindo que seus funcionários
conectem dispositivos USB a seus laptops e copiem os
dados que desejarem.”
Ele oferece uma dica adicional para reforçar a proteção
de dados da empresa: estabelecer metas de DPLP
e políticas de uso aceitáveis (AUPs) em documentos
separados. “Esses esforços estão integrados, certamente,
mas são diferentes”, declarou Paschich. (Veja “O Futuro
das Políticas de Uso Aceitável,” página 19.)
Proteção de dados corporativos em nuvem
O compartilhamento de arquivos baseado em nuvem
tornou-se um método conveniente e popular para
compartilhar grandes arquivos pela Internet, e representa
outra possível área de risco para a segurança de dados
corporativos. A ideia de informações corporativas
confidenciais circulando pelos serviços de nuvem
baseados na Web, que não são gerenciados pela
empresa, pode fazer os profissionais de segurança
perderem noites de sono.
A influência de dispositivos portáteis, serviços
em nuvem e mídia social na política de
segurança da empresa
5
Ataque de email: Já era hora de ser pessoal, Cisco, Junho de 2011, www.cisco.com/en/US/prod/collateral/vpndevc/ps10128/ps10339/ps10354/targeted_attacks.pdf.
O compartilhamento de arquivos baseados em nuvem
está ganhando terreno porque é fácil de usar: O processo
de assinatura de serviços como o Box.net ou o Dropbox é
rápido e simples, os serviços não requerem hardware ou
software avançado, e são gratuitos ou de baixo custo.
Eles também simplificam a colaboração entre
funcionários e consultores externos e parceiros, visto
que os arquivos podem ser compartilhados sem gerar
processos demorados e complexos para acessar as
redes corporativas. A força de trabalho mais jovem,
que está condicionada a confiar nos serviços de rede
como webmail e redes sociais não hesitará em adotar o
compartilhamento de arquivos em nuvem e promover sua
maior adoção na empresa.
Ceder o controle dos dados corporativos para a nuvem,
especialmente, uma parte da nuvem sob a qual uma
empresa não tem controle, levanta dúvidas legítimas
sobre a segurança das informações. “Muitos novos
fornecedores neste mercado são novas empresas com
experiência limitada em fornecer serviços para toda a
corporação e em todos os desafios que isso apresenta”,
declarou Pat Calhoun, Vice-Presidente e Gerente Geral
da Unidade de Negócios de Serviços Seguros de
Rede da Cisco. “Além disso, os padrões de segurança e
criptografia podem variar amplamente de fornecedor
para fornecedor. Os benefícios do compartilhamento
de arquivos em nuvem são muitos, mas as empresas
devem fazer perguntas diretas aos provedores de
compartilhamento de informações sobre suas políticas
para manter a segurança.”
Essas perguntas incluem:
• Que tipo de controles de criptografia o fornecedor
oferece?
• Que pessoas possuem acesso a dados de clientes?
• Quem gerencia a resposta a incidentes e monitoração,
o fornecedor ou o cliente?
• O fornecedor terceiriza alguns serviços para outros
fornecedores? Esses fornecedores estão colocando
os dados em cache?
• As políticas DLP estão implantadas?
• O fornecedor conduz avaliações periódicas de
segurança?
• Que medidas de segurança estão implantadas? Como e
onde os arquivos de backup são armazenados?
Juntamente com a avaliação de fornecedores, as prevén
empresas que estiverem planejando estabelecer política
corporativa sobre compartilhamento de arquivos em
nuvem devem tomar as seguintes providências:
Estabelecer um sistema para classificar dados.
Os documentos podem ser classificados por grau de
confidencialidade — por exemplo, “público”, “confidencial”,
“altamente confidencial” e outros, dependendo das
necessidades corporativas. Os funcionários devem
ser treinados em como aplicar essas designações e
em entender como elas podem afetar a capacidade de
compartilhar arquivos em nuvem.
Estabelecer um sistema para utilizar dados
especializados. Os dados que possuam implicações
jurídicas ou de conformidade em termos de políticas
de retenção, localização física e requisitos de mídia de
backup. As empresas precisam definir políticas para
enviar esses dados para públicos externos, além de sua
classificação por grau de confidencialidade.
Implemente uma solução DLP. Os fornecedores de
compartilhamento de arquivos podem não oferecer
o grau de detalhamento de controle DLP que as
empresas exigem. Uma solução DLP na rede pode
impedir que os dados sejam carregados para serviços
de compartilhamento de arquivos baseados em
classificações, por exemplo, arquivos de impostos ou
código-fonte.
Fornece gerenciamento de identidade para controlar
acesso. Os usuários devem ser autenticados pela rede
antes de terem permissão para fazer upload ou download
de arquivos. Aproveitar a identidade corporativa e a
federação de identidades para colaboração interna e
externa e gerenciar o ciclo de vida de contas provisionadas
são fundamentais.
Defina as expectativas do fornecedor. Políticas e
serviços claros e bem definidos devem fazer parte do
contrato de nível de serviços (SLA), por exemplo, os
sistemas de redundância e controles de criptografia,
as práticas em torno do acesso a dados por terceiros
(ex., aplicação da lei), definindo responsabilidades
compartilhadas que podem incluir resposta a incidentes,
funções de monitoração e administrativas, e atividades
transferência e depuração de de dados antes do
encerramento do contrato.

Diversas violações de dados de grande repercussão
em 2011, incluindo incidentes que envolveram a Sony
Corp.6
e o Citigroup Inc.7
, fizeram os legisladores
americanos trabalharem para aprovar leis que
afetarão a maneira como as empresas protegem as
informações do consumidor e notificam o público
sobre incidentes de cibersegurança.
Três leis sobre violação de dados e privacidade
foram aprovadas pela Comissão de Justiça do
Senado Americano em setembro de 2011; a Câmera
de Comércio do Senado e a Câmara de Energia
e Comércio estão trabalhando em suas versões.
No Senado, qualquer versão sancionada será um
compromisso de todas as versões aprovadas pelas
comissões e, talvez, incorporadas em leis cibernéticas
mais abrangentes que estejam em trâmite pelo
Senado. As versões aprovadas pelo Comitê Judiciário
do Senado são:
Lei de Notificação de Violação de Dados de 20118
Esta medida deverá exigir que agências e empresas
federais envolvidas em comércio interestadual e
que possuam dados que contenham informações
pessoalmente identificáveis e confidenciais revelem
toda e qualquer violação de seus sistemas.
Lei de Responsabilização por Violação e Proteção
de Dados Pessoais9
A lei estabeleceria um processo para auxiliar as
empresas a criarem padrões mínimos de segurança
para proteger informações confidenciais do
consumidor. Ela também exigiria que as empresas
emitissem uma notificação para os indivíduos após a
violação de dados.
Lei de Privacidade e Segurança de Dados
Pessoais de 201110
A lei estabeleceria um processo para auxiliar as
empresas a criarem padrões mínimos de segurança
para proteger informações confidenciais do
consumidor. Ela também exigiria que as empresas
emitissem uma notificação para os indivíduos após
uma violação de dados.
Quando o Relatório Anual de Segurança da Cisco
2011 foi concluído, a legislação de notificação de
dados federais ainda estava em trâmite no Congresso
americano, juntamente com uma ampla legislação
sobre segurança cibernética para ajudar a proteger
as redes financeiras, os sistemas de transporte e as
empresas de energia. O Senado estava trabalhando
em uma ampla legislação de segurança cibernética
há mais de um ano; em maio de 2011, a administração
de Obama compartilhou sua visão sobre o que a
legislação deveria incluir. 11
Legisladores dos EUA buscam medidas para revelação de violação de dados
6
“Sony Playstation sofre violação maciça de dados”, de Liana B. Baker and Jim Finkle, Reuters.com, 26 de abril de 2011, www.reuters.com/article/2011/04/26/us-sony-stoldendata-idUSTRE73P6WB20110426
7
“Citi declara que muitos outros clientes tiveram os dados roubados por hackers” de Eric Dash, The New York Times, 16 de junho de 2011, www.nytimes.com/2011/06/16/technology/16citi.html
8.
Lei de Notificação de Violação de Dados de 2011: www.govtrack.us/congress/billtext.xpd?bill=s112-1408
9
Lei de Responsabilização por Violação e Proteção de Dados Pessoais: http://judiciary.senate.gov/legislation/upload/ALB11771-Blumenthal-Sub.pdf
10
Lei de Segurança e Privacidade de Dados Pessoais: www.govtrack.us/congress/billtext.xpd?bill=s112-1151
11
“Cartas para os Membros do Congresso e do Senado sobre a proposta de segurança cibernética da Administração”, WhiteHouse.gov, 12 de maio de 2011, www.whitehouse.gov/sites/default/files/omb/legislative/letters/
Cybersecurity-letters-to-congress-house-signed.pdf.
Muitas políticas de uso aceitável (AUPs Acceptable Use
Policies) surgiram de uma necessidade das empresas
estabelecerem regras sobre como os funcionários
deveriam acessar a Internet durante o horário comercial
utilizando os ativos da empresa. Com o passar do tempo,
muitas dessas políticas se tornaram uma verdadeira
coletânea inflada de documentos para cobrir tudo
desde acesso à Internet ao uso de mídia social até o que
os funcionários não podem dizer sobre sua empresa
enquanto interagem em canais online fora do expediente
de trabalho. Como resultado, essas políticas, apesar de
bem intencionadas, eram difíceis de absorver e aderir
para os funcionários, e quase impossível de aplicar para
as empresas.
Considerando os resultados da pesquisa Cisco
Connected World, pareceria que a maioria das AUPs
é ineficiente por outro motivo: Os funcionários não
acham que caiba a eles ajudar a empresa a aplicar
essas políticas. A pesquisa revela que três a cada cinco
funcionários (61%) acreditam que não são responsáveis
por proteger informações corporativas e dispositivos; em
vez disso, sua visão é que essa responsabilidade cabe à
TI e/ou aos provedores de serviço. Portanto, a pergunta é,
qual a finalidade de ter um AUP?
“As políticas de uso aceitável são importantes por muitos
motivos, incluindo a conformidade regulatória, mas a
maioria dessas políticas não é nada realista”, segundo
o gerente Gavin Reid, Cisco CSIRT. “Muitas parecem
uma longa lista de lavanderia repleta de proibições.
Na verdade, elas são apenas uma forma de a empresa
dizer ao funcionário, seu departamento jurídico ou
investigadores, no caso de um incidente de segurança,
“Bem, nós avisamos que isso não deveria ser feito.”
Reid diz que uma melhor abordagem seria as empresas
repensarem a AUP para torná-la relevante e aplicável e
acrescenta que muitas empresas já estão fazendo isso.
As novas AUPs resultantes desse processo são mais
enxutas e sólidas. Em geral, elas são listas bem menores,
algumas incluem inúmeros itens, como deixar claro para
os usuários que eles não podem utilizar aplicativos ponto
a ponto (P2P) ou enviar spam de seu desktop. E todos
os itens dessas listas são “tecnicamente aplicáveis”,
de acordo com Reid, o que significa que a empresa
implantou a tecnologia necessária para identificar
violações de AUP.
“A tendência atual das AUPs é que as empresas assumam
uma abordagem de maior risco”, explica Nilesh Bhandari,
gerente de produtos da Cisco. “As empresas estão se
concentrando naquilo que elas absolutamente precisam
incluir em uma AUP e o que é mais importante para a
empresa, especialmente em termos de custo e tempo
necessários para monitorar a adesão dos funcionários à
política.”
Ele acrescenta que uma AUP bem definida é mais fácil de
ser entendida e seguida pelos funcionários e fornece à
empresa uma maior margem de manobra com a sua força
de trabalho. “Os usuários prestam atenção a uma AUP
quando entendem inteiramente o que acontecerá se eles
não aderirem à política”, conta Bhandari.
O Futuro para Políticas de Uso Aceitável
“A tendência atual das Políticas de Uso Aceitável é que as
empresas adotem uma postura bem mais propensa a riscos”.
—Nilesh Bhandari, Gerente de Produto, Cisco
Mito vs. realidade:
As AUPs não são aplicáveis
Mito:
As AUPs não possuem impacto porque é
impossível implementá-las e, antes de tudo, elas
são simplesmente muito complexas para serem
elaboradas pela empresa.
Realidade:
As empresas não conseguem aplicar com eficácia
uma política geral. Embora seja preciso dedicar
tempo e pesquisa para determinar o que uma
AUP deve incluir e se cada item pode realmente
ser implantado, o resultado final será uma política
mais fácil para os funcionários entenderem e
seguirem, e que é mais provável que ela aprimore
a segurança da empresa.
Deve-se dar um foco especial ao treinamento dos
funcionários no uso seguro de email e da web, visto
que essas são as trilhas que os cibercriminosos
costumam traçar para se infiltrarem e infectarem
redes, roubar propriedade intelectual e outros
dados confidenciais e comprometer os usuários
individuais.

Como começar a
adotar a segurança de
colaboração
As empresas podem usar as seguintes etapas
para ajudar a estabelecer políticas de segurança,
tecnologias e processos relacionados para
colaboração e segurança de mídia social:
• Crie um plano comercial para soluções de
colaboração e rede social, iniciando com a
necessidade da empresa.
• Elabore mecanismos claros de governança de
segurança para colaboração.
• Crie políticas sobre confidencialidade das
informações e expectativas para as interações
dos funcionários em sites de colaboração.
• Defina políticas relativas às medidas de
segurança de rede, como acesso remoto por
dispositivos portáteis, nível de proteção de rede
e uso de compartilhamento de arquivos diretos.
• Identifique requisitos regulatórios e de
conformidade que possam restringir o uso ou a
revelação de informações sobre mídia social.
• Crie recursos de treinamento para todos os
usuários.
A julgar pelos resultados do estudo Connected World,
os universitários e jovens profissionais provavelmente
encontrarão formas de burlar as restrições de acesso
à mídia social se considerarem isso necessário, a
despeito das políticas corporativas. Três de cada quatro
profissionais pesquisados acreditam que suas empresas
deveriam permitir que eles acessassem a mídia social e
seus sites pessoais com os dispositivos fornecidos pela
companhia.
Além disso, 40% dos alunos de faculdade declararam que
quebrariam as regras de mídia social da empresa. Essa
é uma parte considerável da força de trabalho potencial
pesquisada no estudo e serve como advertência para
as empresas que estão definindo suas AUPs para mídia
social. Em outras palavras, você pode banir totalmente
ou restringir a mídia social, mas é bem provável que seus
funcionários acabem acessando-a mesmo assim.
Empresas com AUPs que limitam o acesso às mídias
sociais para seus funcionários provavelmente terão
dificuldades de atrair os melhores e mais brilhantes
talentos. Vinte e nove por cento dos alunos pesquisados
declararam que recusariam uma proposta de trabalho
de uma empresa que não lhes permitisse acessar mídia
social durante o horário comercial. E dentre os alunos
que aceitariam tal emprego, apenas 30% declararam que
obedeceriam a essas políticas.
“O acesso à mídia social e a liberdade tecnológica
passarão a ser benefícios decisivos para os jovens
em busca de emprego para começar suas carreiras”,
declarou Chris Young, vice-presidente sênior do Security
Group da Cisco. “As organizações de RH precisam
levar esses fatores em conta na cultura e na política da
empresa se quiserem se manter altamente competitivas.
As empresas devem encontrar um meio termo viável
entre os desejos dos funcionários de compartilhar e as
necessidades da empresa de manter a segurança da TI e
dos dados, a privacidade e a proteção de ativos.”
Tal solução conciliatória envolve conceder acesso à mídia
social e a outras tecnologias de colaboração utilizando
controles de tecnologia para eliminar ameaças como
mensagens de malware ou phishing. Na maioria dos
casos, as configurações de segurança são controladas
pelos usuários, não pela TI. Para compensar essa falta
de controle, medidas adicionais de segurança podem
ser implementadas — por exemplo, um sistema de
prevenção de invasão para proteger contra ameaças
de rede e filtro de reputação para detectar atividade e
conteúdo suspeito.
Os controles de tecnologias devem ser combinados com
um treinamento de usuário que esclareça as expectativas
da empresa em relação a comportamentos e práticas
apropriados enquanto acessam mídia social em dispositivos
da empresa ou através de redes corporativas. Como
discutido antes (consulte Mídia Social: agora uma ferramenta
de produtividade”, página 8), os jovens profissionais
sentem-se muito confortáveis com o compartilhamento
de informações no ambiente de mídia social de forma
que não percebem - e não foram ensin ados a perceber
- que mesmo pequenas informações postadas em uma
mídia social podem trazer prejuízos a uma empresa.
Falta de treinamento de usuário sobre preocupações
de segurança de colaboração e diretrizes para revelar
informações online pode trazer riscos de exposição.
Mídia Social: políticas combinadas com controles
de tecnologia
PARTE
2

Perspectiva de ameaça cibernética para 2012: O Fator Hacktivismo Tendências Geopolíticas: Influência da Mídia Social Ganha Força
As empresas de hoje precisam lidar com uma grande
variedade de problemas de segurança trazidos por
mudanças de atitude e hábitos de trabalho entre seus
funcionários e as dinâmicas de um universo mais
móvel, cooperativo e conectado. Conforme analisado
por esta metade do Relatório Anual de Segurança da
Cisco 2011, as empresas também devem continuar a
se proteger contra uma grande variedade de ameaças
potentes com as quais os cibercriminosos já estão
obtendo vantagens e nas quais estão investindo
recursos adicionais para refiná-las, entre elas temos
ameaças persistentes e avançadas (APTs), Cavalos-de-
Tróia que roubam dados e explorações da web.
No entanto, as empresas agora também precisam
considerar outra possível ameaça à segurança
que pode ser ainda mais perturbadora caso suas
operações sejam atingidas: o hacktivismo.
“Hacktivismo é uma variação do hacking tradicional”,
expôs John N. Stewart, vice-presidente e diretor de
segurança da Cisco. “Os hackers costumavam hackear
para se divertir e conquistar fama. Depois, passaram
a buscar recompensas financeiras. Agora, muitas
vezes querem transmitir uma mensagem e você pode
nunca saber por que se transformou em alvo. Estamos
defendendo um novo domínio agora.”
EO Hacktivismo— uma combinação de hacking
e ativismo — saltou para a metade superior das
preocupações de segurança no fim de 2010 quando
os defensores do WikiLeaks.org lançaram ataques
distribuídos de negação de serviços (DDoS) contra
instituições como PayPal e Mastercard; a iniciativa
foi chamada de “Operação Payback”.12
De muitas
formas, o hacktivismo é uma extensão natural de
como as pessoas estão usando a Internet hoje, para
se conectarem a pessoas com afinidades em todas as
partes do globo. A Internet serve como uma plataforma
poderosa para aqueles que querem divulgar uma
mensagem, chamar a atenção de um público amplo e
motivar os outros a realizarem ações semelhantes. (Veja
a seção “Influência da Mídia Social Ganha Força” na
página oposta.)
Por trás da Operação Payback, havia um grupo
conhecido como coletivo Anonymous que tem
ganhado adeptos e influência no mundo inteiro desde
então. (Para saber mais sobre os Anonymous, veja
“Apresentação Cibernética da Cisco”, página 24.) Mais
recentemente, os Anonymous estabeleceram um
vínculo com o movimento de ocupação de Wall Street.13
Os protestos do “Occupy” começaram em Nova Iorque,
mas rapidamente geraram movimentos semelhantes
em mais de 900 cidades em todo o mundo. Ativistas
representando os Anonymous coletivamente
incentivaram seus simpatizantes a participarem do
movimento, que na sua maioria tem sido pacífica, mas
registrou alguns confrontos mais violentos com a polícia
em algumas cidades, incluindo Roma, Itália,14
e Oakland,
Califórnia.15
Muitas vezes, facções dos Anonymous que
se identificam com o movimento Occupy ameaçaram
maiores interrupções, como campanhas de hacking
para interromper as operações de grandes mercados
financeiros.
Os incidentes de outros grupos de hacktivismo no
último ano ajudaram a elevar esta ameaça para a
metade superior das preocupações cibernéticas
das empresas. A LulzSec, por exemplo, concentrou
seus esforços em organizações de aplicação da lei,
executando ataques DDoS e roubos de dados contra
organizações de crime cibernético no Reino Unido.16
Em julho, um grupo associado, conhecido como “Script
Kiddies”, hackeou as contas de Twitter da Fox News
para postar que o presidente dos EUA Barack Obama
havia sido assassinado.17
O Hacktivismo pode ocorrer de forma repentina e
inesperada, embora os Anonymous tenham anunciado
alguns de seus alvos, como a HBGary Federal, uma
empresa contratada pelo governo federal dos EUA para
monitorar as companhias que são alvos preferenciais
dos ciberativistas por terem retirado o apoio ao
WikiLeaks.org. Embora a ameaça de hacktivismo possa
parecer remota, ela é muito real e representa uma
mudança na natureza do próprio crime cibernético.
“Entender a motivação dos criminosos tem sido o
princípio que orienta a definição de uma estratégia
de segurança. No entanto, a meta dos hacktivistas de
provocar o caos prejudica este modelo, visto que as
empresas podem ser alvo a qualquer hora, por qualquer
motivo e por qualquer um”, explica Patrick Peterson,
pesquisador sênior de segurança da Cisco. “Aquilo que
normalmente as empresas tentariam proteger em uma
´violação de segurança tradicional´ como a propriedade
intelectual, pode não representar nenhum interesse
para este tipo de hacker. O verdadeiro objetivo da ação
é perturbar, causar situações embaraçosas ou fazer
com que seu alvo sirva de exemplo ou mesmo tudo isso
ao mesmo tempo.”
Stewart acrescenta, “O planejamento avançado de
um incidente de hacktivismo significa criar um plano
de ação que defina o que a organização diria e faria
após tal evento ter ocorrido. A elaboração deste plano
seria um esforço multifuncional que inclui equipes de
gerenciamento e segurança, o setor jurídico e mesmo
profissionais de segurança. Se isso acontecer na sua
empresa, é preciso administrar bem a situação, pois
isso pode resultar em prejuízos de longa duração à
imagem da sua marca. Como é verdade em muitas
outras coisas, esteja preparado para ter um plano antes
que ocorra um incidente.”
Se alguém ainda tinha alguma dúvida de que a mídia
social é capaz de promover mudanças sociais na
velocidade da luz, 2011 foi o ano em que este poder
foi definitivamente comprovado. Os protestos da
“Primavera Árabe” no início do ano e os tumultos
em Londres e em outras cidades britânicas durante
o verão demonstraram que a mídia social tem uma
capacidade de mobilização que nenhum outro meio
de comunicação jamais teve. Nos dois casos, o Twitter
e o Facebook foram usados para convocar o público
para aglomerações públicas e, também, nos dois casos,
as entidades governamentais sugeriram bloquear o
acesso à mídia social cortando o acesso à Internet ou
assumindo o controle de registros de contas pessoais.
Um estudo de setembro de 2011 da Universidade de
Washington conclui que a mídia social, especialmente
o Twitter” teve um papel central no direcionamento dos
debates políticos da Primavera Árabe”, especialmente
no Egito e na Tunísia, de acordo com um resumo do
estudo. “As conversas sobre a revolução muitas vezes
precederam grandes eventos na região, e a mídia social
divulgou histórias inspiradoras sobre protestos em outros
países.”18
Os observadores da mídia social acreditam que
essa tendência continuará, à medida que as frustrações
dos protestos contra os governos ganham voz nas redes
de mídia social. 19
As implicações para as empresas e sua segurança estão
na possibilidade de a mídia social estar sendo usada para
gerar reviravoltas dentro de suas próprias organizações
ou direcionadas a suas marcas ou indústrias. (Veja
“Perspectiva de ameaça cibernética para 2012: o fator
hacktivismo,” página 22.) “A percepção de anonimato
online aumenta o risco de consequências imprevistas
se os chamados neizens se sentirem livres para fazer
acusações sem se preocuparem em verificar os fatos”,
explica o analista global da Cisco Jean Gordon Kocienda.
“Para as empresas e seus executivos, principalmente
no ambiente globalizado de frustração em relação a
grupos percebidos como privilegiados, isso aumenta as
preocupações de segurança física e virtual.”
Além disso, as empresas podem esperar passar por
sérias interrupções de atividade se os escritórios ou
funcionários estiverem baseados em áreas onde essas
revoltas possam estar ocorrendo, por exemplo, corte
do acesso à Internet pelas autoridades como medida
de segurança. Também é possível que as organizações
consideradas como apoiadoras ou colaboradoras de um
regime corrupto sejam alvos ou sofram algum tipo de
represália se forem consideradas como uma instituição
repressora dos movimentos revolucionários.
Também está no radar das empresas o aumento na
tendência dos governos tentarem bloquear a mídia
social ou mesmo os serviços da Internet em uma
escala mais ampla, ou solicitar acesso à conta de
mídia social ou informações de dispositivos portáteis
que normalmente são privados. Por exemplo, durante
os protestos no Reino Unidos, as pessoas usaram o
BlackBerry Messenger (BBM), o serviço de mensagens
instantâneas para usuários de BlackBerry, para trocar
informações sobre locais a serem saqueados ou sobre
pontos de concentração de manifestantes. O BBM é uma
mensagem telefônica ponto a ponto que, em geral, é mais
difícil de ser rastreada pelas autoridades policiais. A RIM,
desenvolvedora do BlackBerry, concordou em cooperar
com a polícia do Reino Unido na tentativa de identificar
os usuários do BBM que incitaram os tumultos, embora a
empresa não tenha revelado que tipo de informações da
conta do BBM ela revelaria.20
Como consequência das revoltas, as autoridades
britânicas advertiram que, no futuro, o governo pode
solicitar poderes de polícia mais amplos para controlar
tumultos e propôs solicitar aos provedores de mídias
sociais que restringissem o acesso a seus serviços
durante tais situações de emergência.
O Twitter respondeu citando uma postagem de blog
no início de 2011 reafirmando o compromisso da
empresa em manter o seu serviço em funcionamento
independentemente de que eventos de grande impacto
estivessem sendo discutidos via tweets: “Nós nem
sempre concordamos com as coisas que as pessoas
optam por tuitar, mas mantemos o fluxo de informações
independentemente de qualquer opinião que possamos
ter a respeito de seu conteúdo.”21
Os responsáveis pela segurança prevêem um cabo-de-
guerra entre governos, que cada vez mais exigirão acesso
aos dados de usuários para manter a lei e a ordem— e
os defensores da privacidade, que protestaram contra
tais revelações dos provedores de tecnologia. Como
exemplo, a Índia expressou preocupação com sua
capacidade de ter acesso a tais dados (por exemplo, para
rastrear atividades terroristas), e firmou um acordo com
a RIM segundo o qual o governo pode solicitar dados
privados de usuários da empresa caso a caso. A Diretiva
de Retenção de Dados Européia, que foi criada em 2006
e exige que os dados de comunicação sejam retidos
em caso de necessidade pelas autoridades policiais, foi
implantada por alguns países da União Europeia, e adiada
por outros.22
“Ficou claro que os governos globais estão lutando para
aplicar os novos cenários de tecnologia e comunicação
aos princípios básicos da lei e da sociedade”, contou
Adam Golodner, Diretor de Segurança Global e Política de
Tecnologia da Cisco. “À medida que a tecnologia progride
e avança no ciberespaço, esta aplicação de novos
cenários a princípios antigos passará a ser a questão
central da política para um futuro imprevisível.”
12
“‘O Anonymous lança ataques de DDoS contra os inimigos do WikiLeaks,” de Leslie Horn, PCMag.com, 8 de dezembro de 2010, www.pcmag.com/article2/0,2817,2374023,00.asp#fbid=jU1HvGyTz7f.
13
Website do Occupy Wall Street: http://occupywallst.org/.
14
“Protestos de Ocupação se espalham pelo mundo; 70 feridos em Roma”, de Faith Karimi e Joe Sterling, CNN.com, 15 de outubro de 2011, www.cnn.com/2011/10/15/world/occupy-goes-global/index.html.
15
“Violência no Occupy Oakland: os protestos pacíficos do Ocuppy acabam em caos, Associated Press, The Huffington Post, 3 de novembro de 2011, www.huffingtonpost.com/2011/11/03/occupy-oakland-violence-_n_1073325html.
16
“Lulzec divulga dados da polícia do Arizona, alegando retaliações pela Lei da Imigração”, de Alexia Tsotsis, TechCrunch.com, 23 de junho de 2011, http://techcrunch.com/2011/06/23/lulzsec-releases-arizona-law-enforcementdata-
in-retaliation-for-immigration-law/.
17
”Script Kiddies hackeia conta da Fox News e envia tweet anunciando morte de Obama”, de Nicholas Jackson, The Atlantic, 4 de julho de 2011, www.theatlantic.com/technology/archive/2011/07/script-kiddies-hack-fox-news-account-tweet-
obamas-death/241393/.
18
“Abrindo os regimes fechados: Qual foi o papel das mídias sociais durante a Primavera Árabe?,” Projeto sobre Tecnologia da Informação e o Islã Político, http://pitpi.org/index.php/2011/09/11/opening-closed-regimes-what-was-the-role-of-
social-media-during-the-arab-spring/.
19
“Os controles de mídia social do Reino Unido apontam para uma intensificação da ‘guerra das informações’” Reuters, 18 de agosto de 2011, www.reuters.com/article/2011/08/18/us-britain-socialmedia-idUSTRE77H61Y20110818.
20
“O amor não correspondido dos manifestantes de Londres pelo BlackBerry”, FastCompany.com, 8 de agosto de 2011, www.fastcompany.com/1772171/london-protestors-unrequited-love-for-blackberry.
21
“Os Tweets não serão interrompidos,” blog do Twitter, 28 de janeiro de 2011, http://blog.twitter.com/2011/01/tweets-must-flow.html.
22
“Suécia adia a lei de retenção de dados da UE”, The Register, 18 de março de 2011, www.theregister.co.uk/2011/03/18/sweden_postpones_eu_data_retention_directive/.

Anunciando os
vencedores de 2011
na Apresentação de
Crime Cibernético
da Cisco
Sempre teremos vilões e heróis, e a
indústria da segurança não é nenhuma
exceção. Os personagens podem
mudar, mas todos os anos indivíduos
mal-intencionados estão fazendo de tudo
para descobrir novas formas de roubar
dinheiro e informações e provocar caos
em canais online, e os combatentes do
crime cibernético estão trabalhando sem
descanso para detê-los. Nesta terceira
Apresentação Anual de Crime Cibernético
da Cisco, mais uma vez reconheceremos
representantes do “bem” e do “mal’ no
campo de batalha de segurança que
tiveram um impacto notável no cenário da
segurança cibernética no passado.
23
“Desativando botnets para criar uma Internet mais segura e
confiável”, Microsoft.com: www.microsoft.com/mscorp/twc/
endtoendtrust/vision/botnet.aspx.
24
“O desmantelamento da Rustock prova que é possível
enfraquecer os botnets, declara a Microsoft,” Computerworld.
com, 5 de julho de 2011, www.computerworld. com/s/
article/9218180/Rustock_take_down_proves_botnets_can_
be_crippled_says_Microsoft.
25
“Como a Microsoft Derrubou a Gigantesca Botnet Kelihos”,
The Huffington Post, 3 de outubro de 2011, www.huffingtonpost.
com/2011/10/03/microsoft-kelihos-botnet_n_992030. html.
MICROSOFT
DO BEM
ANONYMOUS
DO MAU
A tecnologia da Microsoft sempre atraiu a atenção de
criminosos devido à sua penetração nos mercados
corporativos e de usuários domésticos. Em particular,
os criadores de botnets exploraram as vulnerabilidades
do sistema operacional Windows utilizando engenharia
social, ataques baseados na Web e vulnerabilidades não
corrigidas. Nos últimos anos, a Microsoft combateu os
botnets de três formas principais.
Primeiro, a Microsoft melhorou
consideravelmente a segurança dos seus
produtos. Os principais desenvolvimentos
incluem descoberta agressiva de
vulnerabilidades e ciclos semanais de
patches; implementações de Microsoft
Security Development Lifecycle
(SDL) para aumentar drasticamente a
segurança do produto; sistemas de atualização automática
para o Windows Internet Explorer, incluindo um novo
modelo de segurança para controles ActiveX; e para o
desenvolvimento de Malicious Software Removal Tool
(MSRT), que remove cirurgicamente o malware dos PCs.
O MSRT foi implantado contra famílias de malware que
alimentam mais de 150 dos maiores botnets do mundo,
incluindo o Zeus (Zbot), Cutwail, Waledac e Koobface, para
remover centenas de milhões de infecções de malware em
PCs. A pesquisa da Cisco demonstrou grandes declínios
ano após ano na exploração bem-sucedida realizada com
kits de ferramentas para exploração da Web.
ESegundo, a Microsoft liderou a comunidade de segurança
na luta contra o crime cibernético. A Unidade de Crimes
Digitais da Microsoft realiza o Digital Crimes Consortium
(DCC) anual, que é uma oportunidades para autoridades
da polícia e membros da comunidade de segurança da
tecnologia discutirem os esforços policiais relativos aos
crimes cibernéticos no mundo inteiro. O evento deste ano
englobou 340 participantes de 33 países.
Em terceiro lugar, a Microsoft realizou agressivamente ações
legais contra criminosos cibernéticos. Em 2010, a Microsoft
entrou com uma ação para fechar o botnet Waledac, que
infectou centenas de milhares de computadores em todo o
mundo e estava enviando até 1,5 bilhões de mensagens de
spam diariamente ,solicitando a um juiz federal que emitisse
uma ordem de proteção judicial contra quase 300 domínios
da Internet supostamente controlados por criminosos da
Waledac. Esta ação cortou a comunicação entre os centros
de comando e controle dos botnets e os computadores que
eles controlavam, “matando” efetivamente o botnet.23
No início de 2011, os advogados da Microsoft e autoridade
dos EUA confiscaram os servidores de comando e
controle do botnet Rustock, que era hospedado em
vários provedores de hospedagem dos Estados Unidos.
O malware difundido pela Rustock, que era operada
por criminosos russos e, na sua maioria, distribuía
spams farmacêuticos, registrou um declínio dramático
e a atividade do botnet foi reduzindo até ser totalmente
interrompida. Além disso, a Microsoft ofereceu uma
recompensa de US$250.000 para informações que
levassem à prisão dos criadores do Rustock.24
De acordo
com a Cisco IronPort SenderBase Security Network,
desde que a Rustock foi desmantelada, o volume diário de
spam caiu consideravelmente em todo o mundo.
Em setembro de 2011, a Microsoft usou táticas jurídicas
semelhantes para fechar o botnet Kelihos e pela primeira
vez, colocou no banco dos réus o suposto proprietário de
um domínio da web que controlava o botnet.25
As ações anti-botnet da Microsoft combinadas com os
números recordes de fornecimento pela empresa de
patches para redução de vulnerabilidades, que também
ajudou a limitar a ação das atividades criminosas, a
transformaram em uma verdadeira combatente do crime
cibernético. O projeto MARS (Microsoft Active Response
for Security) da empresa, que supervisiona esses esforços
para derrubar botnets, também compartilhou suas
conclusões em relação a botnets com membros do setor
de segurança.
A O
O Anonymous, descrito como uma “comunidade online
descentralizada atuando anonimamente de forma
coordenada” é uma “coalizão frouxa de internautas”
que já existe há muitos anos, e tem chamado a atenção
dos jornais com mais frequência ultimamente à medida
que o grupo se torna cada vez mais associado com
hacktivismo colaborador e internacional. (Para mais
informações sobre hacktivismo, veja “Perspectiva de
ameaça cibernética para 2012: o fator hacktivismo,”
página 22.)
Os simpatizantes do grupo
Anonymous estão espalhados
por todas as partes do mundo e
conectam-se entre eles através de
fóruns da Internet, imageboards, e
outros pontos de encontro na Web
como 4chan, 711chan, Encyclopedia
Dramatica, os canais IRC e mesmo
sites mais convencionais como o
YouTube e o Facebook. “Esse é um
grupo bem organizado, embora tenha
poucos afiliados”, conta Patrick Peterson, pesquisador
sênior de segurança da Cisco. “As pessoas envolvidas
são altamente talentosas e incrivelmente ambiciosas.
Em muitos casos, suas ações não são impulsionadas
por motivos financeiros. É mais uma questão de ‘Vejam
só o que eu sou capaz de fazer’. E quando acabam, eles
desmantelam tudo e desaparecem sem deixar rastros.”
Em 2011, o Anonymous foi associado a diversos
incidentes de hacking de grande repercussão, alguns
previamente anunciados e todos com a intenção de
passar alguma mensagem, incluindo ataques diretos
aos websites de:
• Diversas instituições de polícia americanas, o que
acabou na divulgação de informações pessoais
confidenciais de negociadores de paz e informantes
do governo
• O governo da Tunísia, como parte do movimento
“Primavera Árabe” (veja Influência da Mídia Social
Ganha Força, página 23)
• Empresa de segurança HBGary Federal
• Sony Computer Entertainment America
Que ameaças o Anonymous oferece no futuro? “Este
grupo tem a capacidade de infligir danos reais”, afirma
Scott Olechowski, gerente de pesquisa de ameaças da
Cisco. “A maior parte das atividades que pude observar
no movimento não era radical, muito provavelmente,
eles são mais capazes de provocar perturbações do
que danos reais. Você poderia defini-los como nocivos
mesmo assim. Mas se pessoas que realmente querem
causar danos se infiltrarem no Anonymous ou se o
grupo se radicalizar um pouco mais ao tentar passar
suas mensagens, poderemos ter um problema real.”
Considere que esse quase-incidente teria o potencial
de repercutir em uma economia global já incerta: Em
outubro, facções do Anonymous tinham o grande
objetivo de “apagar” a Bolsa de Valores de Nova
Iorque em 10 de outubro de 2011, através de um
ataque distribuído de DDoS em uma demonstração de
suporte ao movimento Occupy Wall Street.27
Uma razão
possível para o grupo não ter cumprido suas ameaças
de derrubar a bolsa é que “o grito de guerra suscitou
críticas tanto entre os defensores quanto entre seus
críticos, condenando o esforço.”28
Portanto, parece
que o Anonymous, com suas conexões enfraquecidas
no momento, pode ser influenciado pela consciência
coletiva para não provocar danos sérios, ao menos
neste caso.
“As pessoas envolvidas são altamente
talentosas e incrivelmente ambiciosos.
Em muitos casos, suas ações não são
impulsionadas por motivos financeiros. É mais uma
questão de ‘Vejam só o que eu sou capaz de fazer’”.
—Patrick Peterson, pesquisador sênior de segurança, Cisco
27
“O grupo de hackers Anonymous ameaça derrubar a Bolsa de Valores de Nova Iorque” de Ned Potter, ABC
News, 10 de outubro de 2011, http://abcnews.go.com/Technology/anonymous-hackers-threaten-erase-
york-stock-exchange-site/story?id=14705072.
28
“Basta piscar e você nem vai ver: O Anonymous ataca a NYSE”, de Chris Barth, Forbes.com, 10 de outubro de
2011, www.forbes.com/sites/chrisbarth/2011/10/10/blink-and-you-missed-it-anonymous-attacks-nyse/.

Relatório Anual de Segurança da Cisco 2011

Relatório Anual de Segurança da Cisco 2011

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Relatório Anual de Segurança da Cisco 2011

Similaire à Relatório Anual de Segurança da Cisco 2011 (20)

Plus de Cisco do Brasil

Plus de Cisco do Brasil (20)

Relatório Anual de Segurança da Cisco 2011