Exin lança certificação em proteção de dados e privacidade

O instituto de certificação Exin, divulgou hoje o lançamento de mais uma certificação para compor o seu portfólio na área de segurança cibernética: a Exin Privacy and Data Protection. O conteúdo cobrado no exame de certificação está alinhado com a General Data Protection Regulation européia, que trata sobre as regras para a proteção de dados e privacidade, e que foi efetivada em maio deste ano. Uma versão em português pode ser consultada aqui.

Sob essa nova regulação, qualquer companhia ou indivíduo que processe dados que possam identificar uma pessoa, também será responsável pela proteção desses dados, e isto inclui terceiros, como provedores de serviços em nuvem.

A conformidade com a nova regulação tem seus benefícios, pois realizar negócios com países europeus será menos complicado e dispendioso pois todos os países seguem as mesmas regras. Isto também pode levar a uma maior satisfação dos clientes e atrair novos a partir do conhecimento de que determinada empresa respeita a privacidade de seus clientes.

O novo exame foi desenvolvido em conjunto com a Security Academy, um instituto de treinamento europeu com foco em segurança da informação, gerenciamento da continuidade de negócios e gerenciamento de segurança. A parceria já havia originado outras certificações, como a Ethical Hacking ou a Secure Programming, portanto podemos esperar mais novidades na área de certificações em segurança da informação e tópicos correlatos.

Nova norma trata segurança em serviços na nuvem

Uma nova norma ISO foi publicada dia primeiro deste mês, e trata sobre a questão da segurança em serviços na nuvem, tendo como escopo a definição de parâmetros de suporte à implementação do gerenciamento da segurança da informação para o uso de serviços na nuvem.

A norma ISO/IEC 27036-4 visa orientar a usuários e provedores sobre como obter visibilidade sobre os riscos de segurança da informação, associados ao uso e provimento de serviços na nuvem, formas de gerenciar efetivamente esses riscos, além de responder a riscos específicos à aquisição ou provisionamento destes serviços, que possam ter impacto na segurança da informação das organizações que os utilizam ou fornecem.

Por enquanto, a norma está disponível no site apenas na língua inglesa, o que pode mudar em breve, com as traduções sendo realizadas pelos órgãos vinculados nos diversos países.

Aqui no Brasil, como é sabido, o órgão que realiza essas traduções e publicações é a ABNT, que publicou a parte um desta norma ainda em 2014, porém só pude encontrá-la disponível na língua original, o que causa dúvidas quanto a tradução oficial da parte quatro para o português.

Freak ainda afeta centenas de provedores de serviços em nuvem

Segundo uma pesquisa realizada pela SkyHigh Networks, centenas de provedores de hospedagem em nuvem ainda estão vulneráveis à falha de segurança denominada Freak, que possibilita a atacantes forçarem os navegadores web a utilizarem chaves criptográficas com um nível de encriptação já obsoleto, permitindo então que estas sejam decriptografadas para o roubo de dados sensiveis, como credenciais bancárias, entre outras.

Embora a equipe de desenvolvimento do OpenSSL tenha corrigido a falha em janeiro, a pesquisa revelou que 766 tipos de serviços em nuvem, em um universo de 10.000 tipos de serviços avaliados, ainda estavam sob risco de sofrerem este tipo de ataque. A média é de 122 tipos de serviços vulneráveis por companhia provedora de hospedagem em nuvem, e revela que as empresas estão com processos lentos na correção da falha em seus serviços.

Um em cada dez domínios listados no top 1.000.000 ( um milhão ) da Alexa, ou seja, algo em torno de 9,5% destes, ainda estão vulneráveis à falha, segundo os dados coletados no dia de hoje. A Alexa é uma companhia da Amazon, que fornece ferramentas para análises variadas em websites.

Através da análise dos um milhão de websites melhor colocados no ranking da Alexa, resultados que são atualizados diariamente, um outro website verificou que a correção da falha ainda não havia sido aplicada em centenas deles, além de informar que 26,3% de todos os servidores web ainda permanecem vulneráveis a este tipo de ataque.

“Se o website ou serviço em nuvem que você estiver acessando, for construído sobre o Apache, e muitos são, a Freak é uma séria vulnerabilidade”, disse Nigel Hawtorn, diretor de estratégia na SkyHigh Networks. “Até que as correções sejam aplicadas, será como utilizar tecnologia dos anos 90 contra hackers modernos, o que não representa desafio”.

A companhia contatou cada uma das empresas, provedoras de serviços em nuvem afetadas, e está trabalhando junto às mesmas para assegurar de que estejam cientes quanto a vulnerabilidade e que apliquem as correções necessárias.

Para acessar o artigo original, em inglês, siga o link para o site The Register.