A segurança da informação é um tema muito necessário e, mais do que isso, importante para o seguimento das atividades de uma empresa. Atualmente, fica cada vez mais comum encontrarmos notícias tratando sobre ataques maliciosos que expõem uma empresa por completo.

Pensando nisso, você pode contratar o serviço de palestras de conscientização para a sua empresa, onde os funcionários de todos os níveis podem aprender mais sobre como se proteger e proteger a empresa. Em outras palavras, as palestras vão dar insumos para um trabalho mais seguro e com práticas melhores.

É claro que cada empresa possui seu modelo de atuação e sua necessidade própria quanto ao que se espera no quesito segurança. Por exemplo, uma empresa do ramo financeiro tende a precisar de um número maior de etapas de segurança para proteger a base de dados, por serem mais sensíveis.

O grande problema da segurança da informação hoje em dia é a falta de informação da grande maioria das pessoas, principalmente para quem não tem tanta vivência no lado mais técnico do negócio. Por outro lado, mesmo pessoas que tenham vivência na área de tecnologia podem não ter tanta proximidade com temas que envolvem segurança da informação. Por conta disso, palestras de conscientização são muito eficientes para trazer essa realidade para o dia a dia.

Ofertamos três principais temas como centrais de uma palestra realizada, podendo se adequar para o seu modelo de empresa:

Como o nome já sugere, o principal objetivo é conscientizar, trazer ideias e pensamentos para fazer com que as pessoas pensem e reflitam suas próprias atitudes. Da mesma forma, é uma maneira de fazer com que pessoas que não conheçam o tema, saibam da importância e dos perigos da ausência de segurança.
Dito isso, alguns pontos são os mais debatidos nesse tipo de atuação, sendo:

Geralmente, quanto mais os colaboradores aprendem sobre o tema, mais difícil é de conseguir efetuar um ataque bem-sucedido.

Campanha de phishing é o nome dado para um ataque que consiste em enviar vários e-mails usando endereços falsos, se fazendo passar como algum órgão público. Assim, o invasor coloca em seu conteúdo um malware em formato de notas fiscais, ativado assim que a vítima clicar no documento. Diferente do que a maioria das pessoas espera, esse é mais um dos malwares que não vai esboçar nenhuma reação no momento do clique. Na verdade, o malware é apenas colocado dentro da máquina afetada, permanecendo sem reação até que o invasor o execute de fato.

Atualmente, a campanha de phishing vem sendo usada para aplicar golpes no setor financeiro, principalmente relacionados a bancos. Geralmente, o uso dos e-mails se dá com nomes importantes como "prefeitura municipal" ou algo nesse sentido.

Nosso serviço é ideal para quem deseja se proteger desse tipo de ataque, entendendo mais sobre como ele funciona e quais são as melhores práticas para não cair nas armadilhas mais tradicionais. Para isso, uma série de recomendações é dada, como verificar o e-mail do remetente, não apenas o seu nome vindo na mensagem.

Muitas vezes, apesar de um nome correto, o usuário do e-mail vem cercado de letras aleatórias, deixando claro que se trata de algo perigoso e não oficial como parecia em um primeiro momento.

O primeiro passo para começar a se proteger mais de um ataque de campanha de phishing, é entender na essência o que vem a ser, de fato, um phishing. Nesse sentido, podemos conceituá-lo como o ato de pescar informações e dados de um determinado usuário, usando da enganação.

Essa enganação ocorre de maneira muito mascarada, onde os invasores apenas colocam informações falsas ou uma página web falsa para que o usuário preencha com suas informações. Para isso, o invasor monta uma página completamente parecida com a original, deixando quase impossível a percepção de primeira.

Além disso, também pode ser feita por telefone ou e-mail, se fazendo passar por outra pessoa, geralmente que causa confiança na vítima, ocasionando a liberação dos dados buscados. Dessa forma, o phishing é considerado um dos ataques mais comuns e mais efetivos, pois sua taxa de roubo de dados é extremamente alta.

O grande ofensor para isso é a falta de informação e de cuidado dos usuários na hora de navegarem pelas páginas web. Assim, nosso serviço é voltado completamente para mostrar quais são os melhores caminhos para quem deseja se proteger desse tipo de problema.
Além disso, realizamos um serviço de instalação de sistemas para bloquear qualquer tipo de captura das informações empresariais. 

Dentro do serviço de campanha de phishing, sua empresa pode receber:

Os principais benefícios da contratação do serviço são:

A capacitação de profissionais vem sendo a principal forma de combater o alto número de casos de ataques virtuais e roubos de dados e informações importantes. Nesse sentido, uma das possibilidades para essa capacitação é o uso de simulador de ataques para validar o momento atual da rede.

Na prática, o simulador de ataques irá atuar para simular ataques comuns e bem elaborados, mostrando todo seu funcionamento, desde a criação do arquivo malicioso até o seu ataque efetivo. Ou seja, é possível entender como é todo o processo de crescimento desse arquivo.
Com esse tipo de simulação, a equipe responsável pelas validações de segurança podem ter uma visão macro de tudo que ocorre fora do alcance dos olhos. Para isso, diversas estratégias são usadas para tentar trazer esse realismo ao simulador.
Normalmente, o ideal é que a simulação seja feita com o máximo de pessoas possíveis para conhecer e tirar suas conclusões de cada situação apresentada. Por exemplo, desde a pessoa que de fato manuseia o software até o vendedor que oferece a solução.
Lembre-se que os ataques são direcionados para qualquer pessoa da equipe que tenha a mínima possibilidade de ofertar informações importantes. Por isso, o ideal é que todos conheçam bem sobre o processo e as formas de evitar possíveis invasões.

Para entender se o serviço é ideal para sua empresa, listamos as principais ações realizadas durante a execução do mesmo:

São diversas opções, de acordo com o seu mercado de atuação e principalmente os sistemas usados pela empresa. Geralmente, para cada sistema, dependemos de sua versão, característica de uso e configurações básicas para entender como ele se comporta e quais seriam os prováveis ataques.
Com isso, as possibilidades de simulação são bem variadas e direcionadas para atender o sistema determinado. Assim, podemos citar como principais simulações a de ataques por injeção de SQL, ou os famosos phishings e malwares conhecidos como o backdoor e trojan horse.
As possibilidades são infinitas, mas todas as que envolvem ataques comuns e rotineiros são colocadas a prova. No fim, o grande objetivo é determinar o quanto seu sistema estaria apto para combater e neutralizar a ação.
Outra possibilidade do simulador é validar como estão as barreiras não só de entrada, mas de manutenção. Por exemplo, quanto tempo um malware conseguiria ficar dentro do seu sistema sem ser identificado. Todas essas variações de um ataque estão presentes no plano de simulações.

Como falamos, primeiramente realizamos uma verificação completa do sistema que será simulado, para entender quais são suas características e como realizar o procedimento.
Além disso, é importante que todos os sistemas sejam colocados para os testes, de modo a não deixar nenhuma brecha.
Junto a isso, o desenvolvedor responsável não pode saber sobre quais serão os ataques realizados, ou perde todo o objetivo do serviço. Quem vai observar o ataque precisa ter a capacidade de identificar qual ataque está ocorrendo e o que ele pretende fazer.
Dessa forma, o simulador vai trazer insights para essa identificação, principalmente em uma situação cotidiana. Depois disso, será realizada toda a parte de combate ao ataque, como deve ser feito, quais medidas tomar, até que ponto deve-se agir para impedir algo sem afetar os sistemas, entre outros.
Combater um ataque em execução exige cuidado, para que não se tenha impacto direto no próprio servidor. Por fim, são simuladas também as situações de retirada e neutralização completa da ameaça, inclusive traçando possíveis rotas de retorno.

O honeypot é uma das estratégias de segurança da informação mais conhecida e mai eficiente para proteger determinado sistema ou aplicação. Muito disso por conta de lidar diretamente com o lado mais emocional do que racional de um determinado invasor. Na sua tradução literal, significa pote de mel e, de fato, funciona como um grande atrativo para quem se depara com ele. Na prática, um honeypot vai agir atraindo um invasor para determinado local, fazendo com que o distraia para não conseguir chegar no alvo, ou até mesmo para destruir naquele momento. 

Usando dessa armadilha, o objetivo é fazer com que se obtenha algumas informações sobre quem estaria atacando o sistema, criando um mecanismo de defesa contra ataques futuros.
Para isso, o honeypot vai se fantasiar de arquivo indefeso para atrair o ataque diretamente até ele.
Geralmente, em grandes corporações, o honeypot está estruturado como se fosse uma base de dados pessoais de clientes ou até mesmo um sistema de gerenciamento de informações financeiras. Ou seja, a parte mais sensível de qualquer empresa.
Quando o invasor é atraído e de fato chega até o honeypot, seu local de origem pode ser rastreados e o problema solucionado. Por ser mais um ambiente do que um sistema de atuação direta, não pode ser configurado ou customizado como um firewall, por exemplo.

Por ter essa atuação generalista, ou seja, pode ser aplicado nos mais diversos modelos de atuação da empresa para atrair o invasor, existe uma série de aplicativos possíveis. Sabendo disso, os três mais comuns são:

Além de várias aplicações diretas, o honeypot pode possuir intensidades diferentes, dependendo da sua necessidade e, principalmente, do tamanho da sua base de dados. Ao contratar o serviço de honeypot, é importante determinar qual dessas intensidades realmente se adéqua ao seu negócio.
Muitas vezes, apesar de melhor, o mais intenso pode colocar a empresa em uma situação delicada, já que é mais exposto na rede. Por isso, é importante o acompanhamento de profissionais especializados.