Qual é o horário de funcionamento?

Segunda-feira 09:00 - 12:00 13:30 - 18:00 Terça-feira 09:00 - 12:00 13:30 - 18:00 Quarta-feira 09:00 - 12:00 13:30 - 18:00 Quinta-feira 09:00 - 12:00 13:30 - 18:00 Sexta-feira 09:00 - 12:00 13:30 - 18:00

BeLegal, Rua Santa Cruz, 2187/Sala 10, São Paulo (2026)

01/10/2024

Como o NIST está propondo transformar a segurança digital

Por anos, nos condicionamos a criar senhas fáceis de serem lembradas, além da reutilização delas em diversos ambientes, até que as aplicações passaram a exigir letras maiúsculas, minúsculas, números e caracteres especiais, o que mais pareciam fórmulas químicas. Sem deixar de mencionar que diversas plataformas exigem a troca da palavra de acesso com regularidade e a recomendação do uso de senhas distintas.

F**a confuso, a gestão de senhas pessoais passou a ser uma batalha para proteger dados e informações relevantes.

O NIST (Instituto Nacional de Padrões e Tecnologia dos EUA) percebeu que essas regras não estavam ajudando e decidiu mudar o jogo, então, propôs eliminar algumas das políticas de senha mais confusas e contraproducentes.

Agora, a sugestão para a troca da senha está condicionada a existência de evidências do comprometimento de segurança.

Em vez de focar em caracteres especiais, o NIST recomenda que as senhas tenham pelo menos oito caracteres, com uma sugestão de 15 caracteres. E, para tornar as coisas ainda mais interessantes, todos os caracteres ASCII imprimíveis, incluindo espaços, são permitidos.

Outro ponto que deve ser eliminado são as perguntas de segurança, que muitas vezes servem como um facilitador para o ciberatacante, a proposta do NIST é a utilização de recursos mais seguros, como a adoção de múltiplos fatores de autenticação ou modelos baseados em chaves de acesso.

Lembre-se, a senha é a chave do cofre que guarda seus segredos, é usada em todos os ambientes onde informações importantes são armazenadas, portanto, criar códigos satisfatoriamente eficazes são uma garantia de proteção.

Mas isso não pode ser sinônimo de problemas, para facilitar, há aplicativos que fazem a gestão de senhas, como “senhas” (Apple), Microsoft Authenticator, Proton Pass, Kaspersky Password Manager, dentre outros.

Precisa definir uma estratégia para aplicação de controles de segurança na sua empresa? Entre em contato!

24/09/2024

Recentemente, a Agência de Segurança Nacional dos Estados Unidos (NSA) em parceria com o FBI e outros aliados internacionais, revelou informações sobre atores cibernéticos ligados à República Popular da China. Esses atores comprometeram dispositivos conectados à internet em todo o mundo para criar uma botnet, uma rede de dispositivos comprometidos prontos para atividades maliciosas.

A botnet mencionada é composta por mais de 260.000 dispositivos na América do Norte, Europa, África e Sudeste Asiático. Esses dispositivos incluem roteadores de pequenos escritórios, firewalls, dispositivos de armazenamento em rede e dispositivos de Internet das Coisas (IoT), como webcams e câmeras IP. É como se cada um desses dispositivos fosse um soldado em um exército de zumbis digitais, pronto para lançar ataques de negação de serviço (DDoS) ou comprometer redes inteiras.

Neste cenário, onde dependemos da tecnologia para o desenvolvimento de nossas atividades pessoais e profissionais, torna-se crucial proteger dispositivos e redes mediante a implementação de controles de segurança da informação. Pense neles como medidas e contramedidas de defesas.

Aqui estão algumas dicas essenciais:

1. Mantenha seus dispositivos atualizados;
2. Desative serviços que você usa;
3. Use senhas fortes;
4. Remova aplicativos suspeitos e piratas;
5. Crie níveis de rede;
6. Fique de olho no tráfego da sua rede de dados;
7. Mantenha a cópia de segurança em dia;
8. Controle o acesso aos dados.

A segurança da informação não é apenas uma necessidade técnica a ser implementadas no meio empresarial, é uma responsabilidade coletiva.

Precisa de ajuda para criar uma estratégia de segurança digital para sua empresa? Entre em contato!

23/09/2024

Imagine que seus dados pessoais formam um diário secreto. Agora, imagine que esse diário está sendo usado para ensinar um robô. Parece um pouco invasivo, não é? Bem, é exatamente isso que está acontecendo no mundo da Inteligência Artificial.

A IA é como aquele aluno superdotado que aprende rápido e quer saber de tudo. Para isso, ela precisa de muitos dados, e é aí que entram as plataformas de redes sociais. Elas são como bibliotecas gigantescas de informações pessoais, perfeitas para alimentar a IA. Mas, como diria o Tio Ben do Homem-Aranha, "com grandes poderes vêm grandes responsabilidades".

Por isso a extrema precaução com a proteção de dados pessoais!

Recentemente, o LinkedIn, a maior rede social profissional do mundo, pausou o uso de dados de usuários do Reino Unido para treinar seus modelos de IA. Isso aconteceu após preocupações levantadas pelo Information Commissioner’s Office (ICO), o órgão regulador do Reino Unido. A questão é: até que ponto estamos dispostos a compartilhar nossos dados para melhorar a tecnologia? E, mais importante, como garantir que nossos dados sejam usados de forma ética?

Proteger seus dados é como colocar um cadeado no seu diário, pois, é certo que você não está disposto a compartilhar suas informações com qualquer um, não é mesmo? É crucial que as empresas respeitem a privacidade dos usuários e ofereçam opções claras de controle sobre como seus dados são utilizados. No caso do LinkedIn, os usuários agora podem optar por não permitir que seus dados sejam usados para treinar modelos de IA. Isso é um passo importante para garantir que a tecnologia avance sem comprometer a privacidade.

A atuação de um órgão regulador, como o ICO no Reino Unido, ou, a ANPD no Brasil, garante que todos joguem de acordo com as regras. No mundo da IA, órgãos reguladores desempenham um papel vital para garantir que as empresas respeitem as leis de privacidade. Além disso, a transparência é essencial. As empresas devem ser claras sobre como os dados são usados, e, oferecer aos usuários a capacidade de controlar suas informações.

13/09/2024

No cenário atual, onde a conectividade digital permeia quase todos os aspectos de nossas vidas, a segurança da informação se torna uma preocupação primordial.

O recente incidente envolvendo a Fortinet, uma gigante do setor de cibersegurança, ilustra de forma contundente os desafios enfrentados por empresas de todos os portes. A alegação de que um ator malicioso conseguiu exfiltrar 440GB de dados de um servidor SharePoint da Fortinet destaca a vulnerabilidade das infraestruturas digitais, mesmo aquelas protegidas por líderes do setor.

Este evento não apenas sublinha a necessidade de medidas de segurança robustas, mas também levanta questões sobre a resiliência das empresas em face de ameaças cibernéticas cada vez mais sofisticadas.

Esses eventos destacam a importância de uma resposta rápida e eficaz a vulnerabilidades, bem como a necessidade de conscientização e ação por parte dos clientes para aplicar correções de segurança em tempo hábil.

Portanto, a capacidade de detectar e mitigar tais ameaças antes que causem danos significativos é crucial para a proteção de dados e a manutenção da confiança do cliente.

A segurança da informação deve ser uma prioridade para todas as organizações em um mundo digitalmente interconectado. Os incidentes enfrentados pela Fortinet servem como um lembrete de que, independentemente do tamanho ou da reputação de uma empresa, a vigilância constante e a prontidão para responder a ameaças são essenciais.

À medida que as ameaças cibernéticas continuam a evoluir, a resiliência e a capacidade de adaptação das empresas serão fundamentais para garantir a segurança dos dados e a confiança dos clientes.

Sua empresa já realizou uma análise de vulnerabilidades?
Entre em contato, podemos te ajudar!

16/09/2023

O relatório IAPP – sobre a Privacidade e Confiança do Consumidor no Brasil, publicado em agosto, destaca alguns pontos que podem servir de baliza para que as empresas adotem, com urgência, padrões de segurança e medidas para garantir a privacidade e proteção dos dados de seus clientes.

Aponta o documento, sobre o nível de preocupação com a privacidade on-line, que 29% dos entrevistados se consideram muito preocupados, enquanto 39% se preocupam de alguma forma, perfazendo a maioria (68%) daqueles que participaram da avaliação.

A mesma pesquisa demonstra que os usuários, quando sentem insegurança quanto a privacidade e a proteção de seus dados:
- 94% deletam o aplicativo de seu dispositivo móvel;
- 89% optam por desativar o compartilhamento de seus dados pessoais;
- 86% evitam acessar determinado conteúdo;
- 79% declinam de prosseguir com uma compra on-line.

Ainda, quando indagados se seus dados já foram vazados, 47% dos entrevistados assinalaram que sim, sendo que, deste percentual, 43% afirmaram que não continuariam a fazer negócios com a empresa.

Trocando em “miúdos”:
- Cresce o número de pessoas preocupadas com a segurança e utilização dos seus dados;
- Empresas de todos os portes não tem acompanhando as exigências dos titulares, relegando o processo de adequação, muitas vezes por que (a) contratam profissionais inexperientes, (b) visam encontrar lacunas que possam permitir a continuidade ilícita do tratamento de dados, ou, (c) preferem a ilegalidade, acreditando que isso é “coisa do momento”.

O rompimento da credibilidade da marca no mercado (reputação), afasta o cliente da sua base de negócios, algo está diretamente relacionado as 5 forças de Poter, especialmente, na rivalidade entre os concorrentes.

Em síntese, não há mais como se eximir, ou a empresa perde cliente e mercado, ou mantem uma relação fiel com seu público.

Se você acredita que precisa de ajuda para impulsionar o processo de adequação na sua empresa, entre em contato, podemos te ajudar!

15/09/2023

Novo malware MetaStealer mira em sistemas macOS baseados em Intel

Um novo malware ladrão de informações chamado MetaStealer está mirando em sistemas macOS baseados em Intel. O malware apareceu à solta, roubando uma grande variedade de informações confidenciais desses computadores.

Os pacotes de aplicativos do malware contêm o essencial, ou seja, um arquivo Info.plist, uma pasta Resources com uma imagem de ícone e uma pasta macOS com o executável Mach-O malicioso. Nenhuma das amostras examinadas pelo SentinelOne foi assinada, apesar de algumas versões apresentarem um Apple Developer ID.

O MetaStealer tenta roubar informações armazenadas nos sistemas comprometidos, incluindo senhas, arquivos e dados de aplicativos, e depois tenta exfiltrá-los via TCP pela porta 3000. Especificamente, as funções do malware permitem exfiltrar as chaves e extrair senhas salvas, roubar arquivos do sistema e direcionar os serviços Telegram e Meta (Facebook).
Em sua versão atual, o MetaStealer roda apenas na arquitetura Intel x86_64, o que significa que não pode comprometer sistemas macOS rodando em processadores Apple Silicon (M1, M2), a menos que a vítima use Rosetta para executar o malware. No entanto, o MetaStealer pode lançar uma nova versão que adicione suporte nativo ao Apple Silicon, por isso é uma ameaça a ser observada.

Fonte: SempreUpdate

15/09/2023

O Tribunal Regional do Trabalho da 3ª Região (MG), em recurso julgado em 06 de setembro de 2023, no processo 0010253-84.###X.5.03.0114, reforçou a sentença prolatada pelo juiz de primeiro grau, mantendo a demissão por justa causa da autora da ação, a ex-funcionária.

O Desembargador André Schmidt de Brito, destacou em seu relatório, pontos relevantes, que atestavam os justos motivos apresentados pela empregadora, demonstrando que a colaboradora:

- Já havia sido repreendida mais de uma vez por conduta inadequada;
- Participou de programa de treinamento e orientação;
- Tinha conhecimento as regras internas, em especial, quanto a proibição do uso de dispositivos móveis;
- Filmava e fazia ‘prints’ de tela dos dados dos clientes.

O que podemos aprender com esse caso?
- A importância da preocupação com os controles internos pautados na segurança da informação e uso adequado dos recursos;
- O gerenciamento do risco humano e o controle dos sistemas internos;
- A preocupação com processos em torno do tema proteção dos dados pessoais;
- A relevância do programa de treinamento e conscientização;
- E, talvez o mais importante (pelo menos a luz das provas em processo judicial), a manutenção da cadeia de evidências, como documentos de participação em treinamentos internos, lógicas (e registros) de controle de acesso e classificação da informação, adequação dos contratos de trabalho e tantos outros.

5 tópicos simples, que facilmente podem ser incorporados em qualquer empresa, mas que neste processo, em virtude da (a) segurança no processo de contratação, (b) garantiu a reputação da empresa, (c) evitando que ela respondesse pelo uso indevido ou vazamento de dados pessoais, e, ainda, (d) assegurou sua defesa em ação judicial.

Se você acredita que sua empresa está vulnerável e precisa de ajuda para tratar de questões sobre os temas jurídico, tecnologia, segurança da informação, defesa cibernética, gestão de risco e privacidade e proteção de dados, podemos te ajudar!

15/09/2023

Usa o Office? Atualize...

A exploração dessa vulnerabilidade requer que um usuário abra um arquivo especialmente criado.
- Em um cenário de ataque por email, um invasor pode explorar a vulnerabilidade enviando ao usuário um arquivo especialmente criado e convencendo-o a abrir esse arquivo.
- Em um cenário de ataque baseado na Web, um invasor pode hospedar um site (ou aproveitar um site comprometido que aceita ou hospeda conteúdo fornecido pelo usuário) que contém um arquivo projetado especialmente para explorar a vulnerabilidade.

Não há como o invasor forçar os usuários a visitarem o site mal-intencionado. Em vez disso, ele teria que convencer os usuários a clicarem em um link, normalmente na forma de atrativos em um email ou mensagem instantânea, e então convencê-los a abrirem o arquivo especialmente criado.

O ataque propriamente dito é realizado localmente por um usuário com autenticação no sistema de destino. Um invasor pode explorar a vulnerabilidade convencendo a vítima, por meio de engenharia social, a baixar e abrir um arquivo especialmente criado de um site que pode levar a um ataque local ao computador da vítima.

A exploração bem-sucedida dessa vulnerabilidade pode levar à perda total de integridade. A vulnerabilidade pode permitir que um invasor não autenticado insira conteúdo mal-intencionado em um documento que passe na verificação de autenticação quando uma assinatura parcial estiver presente.

Se você acredita que sua empresa está vulnerável e precisa de ajuda para tratar de questões sobre os temas tecnologia, segurança da informação, defesa cibernética, gestão de risco e privacidade e proteção de dados, podemos te ajudar!

14/09/2023

Usa o Windows? Atualize...

Esse ataque é limitado a sistemas conectados ao mesmo segmento de rede do invasor. O ataque não pode ser executado em várias redes (por exemplo, uma WAN) e seria limitado a sistemas no mesmo comutador de rede ou na mesma rede virtual.

Um invasor não autorizado poderia explorar essa vulnerabilidade do ICS (Compartilhamento de Conexão com a Internet) enviando um pacote de rede especialmente criado para o Serviço ICS (Compartilhamento de Conexão com a Internet).

Notadamente, a atualização está disponível para as versões de Windows que a Microsoft ainda mantem suporte, portanto, Windows 10 e 11.

Se você acredita que sua empresa está vulnerável e precisa de ajuda para tratar de questões sobre os temas tecnologia, segurança da informação, defesa cibernética, gestão de risco e privacidade e proteção de dados, podemos te ajudar!

07/08/2023

Vamos colocar uma pá de cal neste assunto?

No Brasil não temos uma legislação que regula propriamente o envio de email marketing (SPAM), a exemplo do CAN-SPAM/2003-EUA (Controlling the Assault of Non-Solicited Po*******hy and Marketing Act), que estabelece requisitos para quem envia email comercial não solicitado.

Em uma sociedade dirigida por dados, que impactam as relações comerciais e pessoais, seja em ambiente físico ou digital, há limites legais, e a prova vem com os preceitos que integram o Marco Civil da Internet e Lei Geral de Proteção de Dados, a exemplo, além de diversos códigos e orientações extravagantes sobre o tema.

Assim, é necessário considerar que os direitos e liberdades individuais, como a privacidade, são fundamentos que não podem ser colocados em detrimento por puro interesse comercial.

A mera perseguição do lucro não encontra escora no legítimo interesse, é preciso algo mais, como uma relação prévia entre controlador e titular de dados.

Portanto, o legítimo interesse não é uma pedra filosofal que transmuta (valida) os dados coletados de maneira ilícita e não autorizada, como dados compartilhados entre controladores sem o conhecimento do titular de dados.

Neste sentido, antes de determinar o legítimo interesse como base legal para o envio de email marketing, se faz necessário classificar as informações que integram uma base de dados e que foram regularmente coletadas no desenvolvimento da atividade do controlador, de outras, diametralmente opostas, como aqueles adquiridos por meio de “raspagem” de dados ou outras fontes onde inexiste uma relação entre as partes ou não houve o prévio consentimento por parte do titular de dados.

No primeiro caso, talvez ainda seja necessário o consentimento do titular (analisar o caso concreto), mas, no segundo, o legítimo interesse não se sustenta.

Ficou com dúvidas e não sabe por onde ordenar o processo de adequação, entre em contato, podemos te orientar.

04/08/2023

Gerenciamento de risco não é algo novo!

Há muito se discute possíveis métodos rápidos e eficazes de avaliações dos riscos e as probabilidades dos seus impactos nos negócios, diante do surgimento de eventos, em especial, aqueles inesperados, evidentemente, com o objetivo de manter a continuidade das operações de uma empresa.

É fato que a gestão de risco não se limita ao tratamento de dados pessoais, mais, de toda a gama de informações que circundam as atividades comerciais, como a exemplo, a inteligência do negócio.

Assim, com o advento da Lei Geral de Proteção de Dados, o tema se acomodou como uma luva, não somente em virtude da obrigação (cumprimento) dos requisitos técnicos dispostos na Lei, mas, como um bom argumento para impulsionar os processos de governança de dados, que normalmente estão apoiados na avaliação do “apetite ao risco” do empresário.

Apetite ao risco?

Então, confesso que não gosto do termo, mas, tenho ouvido com frequência nos mais diversos ambientes onde se versa sobre o tema privacidade e proteção de dados.

Isso me lembra os tempos de criança, onde meus pais me davam Biotônico Fontoura ou Sadol para abrir (estimular) o “apetite”, com o objetivo de aguçar minha “vontade” de comer.

Com base nisto, quando escuto alguém falar em “apetite ao risco”, imediatamente vem a minha cabeça: toma aqui um ataquezinho de DDOS para atiçar a tua vontade de experimentar certos problemas (riscos)...

Seguindo a analogia, particularmente prefiro pensar nos intolerantes a lactose, que sabem o quanto podem (pelo menos deveriam) ingerir leite e derivados antes que o risco se torne eminente.

Risco é algo que queremos afastar e não atrair!

Então, me conta, quais medidas e contramedidas foram adotadas na sua empresa para resistir (impedir, tolerar) ataques cibernéticos (risco)?

Se você tem dúvidas sobre como e quais mecanismos podem proteger o seu ambiente (físico e digital) entre em contato comigo, vou te ajudar...

BeLegal

01/10/2024

24/09/2024

23/09/2024

13/09/2024

16/09/2023

15/09/2023

15/09/2023

15/09/2023

14/09/2023

07/08/2023

04/08/2023

Endereço

Horário de Funcionamento

Telefone

Site

Notificações

Atalhos

Compartilhar

Segunda-feira	09:00 - 12:00
	13:30 - 18:00
Terça-feira	09:00 - 12:00
	13:30 - 18:00
Quarta-feira	09:00 - 12:00
	13:30 - 18:00
Quinta-feira	09:00 - 12:00
	13:30 - 18:00
Sexta-feira	09:00 - 12:00
	13:30 - 18:00