Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Monitor das Fraudes

>> Visite o resto do site e leia nossas matérias <<

CLIPPING DE NOTÍCIAS


Acompanhe nosso Twitter

20/10/2008 - SEGS Escrever Comentário Enviar Notícia por e-mail Feed RSS

Quanto custa as falhas de segurança da informação

Por: Luciana Praxedes


Como mensurar as perdas de se ter o sistema invadido por hackers? Basta administrar o vazamento de informações confidenciais, sejam elas internas ou externas?

Na verdade, é preciso adicionar a essa conta o impacto negativo de imagem, a perda de credibilidade e provavelmente de clientes, o possível pagamento de indenizações e, para empresas de capital aberto, a inevitável queda no valor das ações.

Mesmo com todos estes problemas, as empresas ainda investem erroneamente, mantendo seus sistemas vulneráveis e prontos para serem atacados. Esses equívocos ocorrem porque os gestores aumentam a segurança da rede, mas não se preocupam adequadamente com a integridade e confidencialidade na aplicação. Pesquisa do Gartner revela que 75% dos ataques acontecem na camada das aplicações. Já o National Institute of Standards and Technology (NIST) afirma que 92% das vulnerabilidades residem nas aplicações. Entretanto, para que o sistema seja realmente seguro é preciso instalar uma camada de aplicativos de firewall na frente dos aplicativos voltados para a web, prática que não acontece na maioria das companhias.

Os hackers usam esta fragilidade para roubar informações confidenciais e até conduzir ataques mais estruturados. As atuais credenciais de acesso e os chamados "token de sessão" não são protegidos apropriadamente, o que compromete a proteção das senhas, chaves ou tokens de autenticação. Isso faz com o que invasor, facilmente, assuma a identidade de outros usuários.

São raras as aplicações de web que utilizam funções criptográficas de forma correta. Os hackers se aproveitam de dados indevidamente protegidos para cometer diversos crimes, entre eles, fraudar cartões de crédito, ilícito que tem se tornado cada vez mais comum. Isso porque, freqüentemente, uma aplicação protege suas funcionalidades críticas somente pela eliminação de informações, como links ou URLs, para usuários não autorizados. E é justamente na falha de restrição de acesso à URL que os hackers agem para realizar operações não autorizadas.

É por essa razão que as instituições bancárias são os principais alvos deste tipo de invasão. Para se ter uma idéia, o custo de uma quebra de segurança é superior a U$300 por registro perdido, o que representa perdas imensuráveis às empresas desse setor. Em 2006, segundo informações do Privacy Rights Clearinghouse, as companhias financeiras perderam mais de 5,8 milhões de registros por causa destes tipos de invasões.

Para tentar bloquear os ataques, a Indústria de Cartões de Pagamento (PCI) criou um Padrão de Segurança de Dados (DSS), em conjunto com as principais empresas do setor, como Visa e MasterCard. O objetivo é facilitar a adoção de medidas eficientes para segurança de informações e melhor proteger os clientes contra fraudes de cartões de crédito, entre outras ameaças e vulnerabilidades.

O PCI-DSS, como é chamado, estabelece 12 requisitos obrigatórios, que incluem gerenciamento de segurança, políticas, procedimentos, arquitetura de redes, desenho de software e outras medidas críticas de proteção. Todas as empresas participantes do PCI-DSS, desde administradoras de cartões, até comerciantes que processam, armazenam ou transmitem dados de cartões precisarão aderi-lo. A idéia é que todos mantenham a aplicação segura e diminuam os enormes gastos com recuperação de informações perdidas ou invadidas.[14]

O próprio Gartner afirma que, atualmente, o maior passo para as empresas reduzirem seus riscos é forçar melhorias substanciais em aplicações e em sistemas inseguros ou inadvertidamente projetados. Portanto, mãos a obra. Ter sistema seguro é, sobretudo, cuidar do que a sua companhia tem de mais valioso: a imagem.

Luis Schedel é diretor técnico da BSA Brasil.

Página principal do Clipping   Escreva um Comentário   Enviar Notícia por e-mail a um Amigo
Notícia lida 210 vezes




Comentários


Nenhum comentário até o momento

Seja o primeiro a escrever um Comentário


O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. Os comentários publicados são de exclusiva responsabilidade dos respectivos autores. O site "Monitor das Fraudes" e seus administradores, autores e demais colaboradores, não avalizam as informações contidas neste artigo e/ou nos comentários publicados, nem se responsabilizam por elas.


Patrocínios




NSC / LSI
Copyright © 1999-2016 - Todos os direitos reservados. Eventos | Humor | Mapa do Site | Contatos | Aviso Legal | Principal