{"id":22846,"date":"2024-08-02T15:10:38","date_gmt":"2024-08-02T18:10:38","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=22846"},"modified":"2024-08-02T17:18:38","modified_gmt":"2024-08-02T20:18:38","slug":"managing-cybersecurity-risks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/managing-cybersecurity-risks\/22846\/","title":{"rendered":"Uma prote\u00e7\u00e3o de confian\u00e7a"},"content":{"rendered":"

J\u00e1 faz um m\u00eas desde que o Departamento de Com\u00e9rcio dos EUA emitiu sua determina\u00e7\u00e3o final com rela\u00e7\u00e3o \u00e0 venda e ao uso de produtos da Kaspersky por pessoas dos EUA. A decis\u00e3o da ag\u00eancia, caso voc\u00ea n\u00e3o esteja ciente disso, em termos gerais, foi de proibir a comercializa\u00e7\u00e3o dos produtos da Kaspersky, com algumas exce\u00e7\u00f5es para produtos e servi\u00e7os informativos e educacionais. O resultado \u00e9 o seguinte: os usu\u00e1rios nos EUA n\u00e3o podem mais escolher livremente o software de seguran\u00e7a cibern\u00e9tica com base na qualidade e na experi\u00eancia.<\/p>\n

Ao longo de seus 27 anos de hist\u00f3ria, nossa empresa sempre foi reconhecida por fornecer a melhor prote\u00e7\u00e3o do mercado contra todos os tipos de amea\u00e7as cibern\u00e9ticas, n\u00e3o importa de onde elas venham. Eis alguns exemplos: no in\u00edcio deste ano, nossos produtos mais uma vez receberam o pr\u00eamio de Produto do Ano<\/a> de um renomado laborat\u00f3rio de testes independente; ano ap\u00f3s ano, nossas solu\u00e7\u00f5es t\u00eam demonstrado<\/a> 100% de prote\u00e7\u00e3o contra a amea\u00e7a mais significativa: ransomwares. E \u00e9 a equipe de pesquisa de amea\u00e7as da Kaspersky, respeitada tanto pela comunidade InfoSec global quanto por nossos usu\u00e1rios, que descobre, analisa e, o mais importante, revela ao mundo as maiores e mais sofisticadas campanhas de espionagem patrocinadas pelo Estado.<\/p>\n

Ent\u00e3o, qual pode ser o motivo para proibir as melhores solu\u00e7\u00f5es de seguran\u00e7a cibern\u00e9tica da categoria, nas quais milh\u00f5es de pessoas confiam? O problema foi definido de forma clara e objetiva? Voc\u00ea viu alguma evid\u00eancia desses riscos aos quais o governo dos EUA se refere h\u00e1 anos? N\u00f3s tamb\u00e9m n\u00e3o.<\/p>\n

Apesar de termos que enfrentar os resultados do crescente protecionismo e seus impactos significativos, como alega\u00e7\u00f5es infundadas de m\u00e1 conduta e acusa\u00e7\u00f5es baseadas apenas em riscos te\u00f3ricos, continuamos a desenvolver uma metodologia universal para a avalia\u00e7\u00e3o de produtos de seguran\u00e7a cibern\u00e9tica. Permanecemos sempre fi\u00e9is ao nosso princ\u00edpio fundamental: ser o mais transparentes e abertos poss\u00edvel sobre a forma como realizamos nosso trabalho.<\/p>\n

Nos tornamos a primeira e continuamos sendo a \u00fanica grande empresa de seguran\u00e7a cibern\u00e9tica a fornecer a terceiros acesso ao nosso c\u00f3digo-fonte e tamb\u00e9m permitimos que nossos stakeholders e parceiros de confian\u00e7a verifiquem nossas regras de detec\u00e7\u00e3o de amea\u00e7as e atualiza\u00e7\u00f5es de software em um gesto de boa vontade nunca visto. H\u00e1 v\u00e1rios anos, temos nossa Iniciativa de Transpar\u00eancia Global<\/a> em vigor. Ela \u00e9 \u00fanica em seu escopo e valor pr\u00e1tico, o que mais uma vez reflete nossa atitude cooperativa e determina\u00e7\u00e3o em abordar quaisquer preocupa\u00e7\u00f5es potenciais sobre como nossas solu\u00e7\u00f5es funcionam. No entanto, ainda enfrentamos apreens\u00e3o em rela\u00e7\u00e3o \u00e0 confiabilidade de nossos produtos, geralmente decorrentes de fatores externos, como conjecturas geopol\u00edticas. Por isso, fomos al\u00e9m, sugerindo uma estrutura ainda mais completa, que avaliaria a integridade de nossas solu\u00e7\u00f5es de seguran\u00e7a ao longo de seu ciclo de vida.<\/p>\n

O que vou descrever abaixo \u00e9 uma estrutura que estamos compartilhando proativamente com as partes que expressam preocupa\u00e7\u00f5es sobre a credibilidade das solu\u00e7\u00f5es da Kaspersky, incluindo aquelas no governo dos Estados Unidos. Acreditamos que a estrutura \u00e9 abrangente o suficiente para abordar as preocupa\u00e7\u00f5es mais comumente expressas e \u00e9 capaz de formar uma cadeia de confian\u00e7a confi\u00e1vel.<\/p>\n

Os principais pilares da metodologia de avalia\u00e7\u00e3o de seguran\u00e7a cibern\u00e9tica que estamos apresentando (que, ali\u00e1s, acreditamos ter o potencial de formar a base de uma metodologia para todo o setor) incluem: (i) a localiza\u00e7\u00e3o do processamento de dados, (ii) a revis\u00e3o dos dados recebidos e (iii) a revis\u00e3o das informa\u00e7\u00f5es e das atualiza\u00e7\u00f5es entregues \u00e0s m\u00e1quinas do usu\u00e1rio (como parte das atualiza\u00e7\u00f5es do software e do banco de dados de amea\u00e7as). Assim como em nossa Iniciativa de Transpar\u00eancia Global, o objetivo principal da estrat\u00e9gia \u00e9 o envolvimento de um revisor externo para verificar os processos e as solu\u00e7\u00f5es da empresa. As novidades sobre metodologia s\u00e3o a extens\u00e3o e a profundidade de tais revis\u00f5es. Vejamos os detalhes\u2026<\/p>\n

Localiza\u00e7\u00e3o do processamento de dados<\/h2>\n

A quest\u00e3o do processamento e armazenamento de dados tem sido uma das mais delicadas, n\u00e3o apenas para a Kaspersky, mas para todo o setor de seguran\u00e7a cibern\u00e9tica. Frequentemente, recebemos perguntas relevantes sobre quais dados nossos produtos podem processar, como esses dados s\u00e3o armazenados e, mais fundamentalmente, por que precisamos desses dados. O objetivo principal do processamento de dados da Kaspersky \u00e9 fornecer aos nossos usu\u00e1rios e clientes as melhores solu\u00e7\u00f5es de seguran\u00e7a cibern\u00e9tica ao coletar dados sobre arquivos maliciosos e suspeitos que detectamos nas m\u00e1quinas dos usu\u00e1rios, podemos treinar nossos algoritmos, ensinando-os a detectar novas amea\u00e7as e conter sua dissemina\u00e7\u00e3o.<\/p>\n

A estrutura que estamos apresentando tamb\u00e9m implica uma maior localiza\u00e7\u00e3o da infraestrutura de processamento de dados<\/strong> e a implementa\u00e7\u00e3o de controles t\u00e9cnicos e administrativos que restringem o acesso a essa infraestrutura de processamento para funcion\u00e1rios fora de um determinado pa\u00eds ou regi\u00e3o. J\u00e1 implementamos essa abordagem ao fornecer nosso servi\u00e7o de Detec\u00e7\u00e3o e Resposta Gerenciada (MDR)<\/a> na Ar\u00e1bia Saudita, e os mesmos mecanismos foram sugeridos em nossas discuss\u00f5es com as autoridades dos EUA para aliviar suas preocupa\u00e7\u00f5es. Essas medidas garantiriam que os dados locais fossem armazenados e processados \u200b\u200bem um ambiente f\u00edsico onde o controle final sobre os dados caberia a pessoas sob a jurisdi\u00e7\u00e3o local ou de um pa\u00eds estreitamente aliado, conforme considerado apropriado por essas pessoas. Assim como nas etapas acima mencionadas, um validador terceirizado independente pode ser convidado a revisar a efic\u00e1cia das medidas implementadas.<\/p>\n

O processamento de dados locais requer an\u00e1lise de amea\u00e7as locais e o desenvolvimento de assinaturas locais de detec\u00e7\u00e3o de malware, e nossa metodologia fornece exatamente isso. A localiza\u00e7\u00e3o do processamento de dados requer a expans\u00e3o dos recursos humanos para dar suporte \u00e0 infraestrutura local, e estamos preparados para desenvolver ainda mais nossas equipes regionais de P&D e TI<\/strong> em determinados pa\u00edses. Essas equipes seriam exclusivamente respons\u00e1veis por dar suporte ao processamento de dados dom\u00e9sticos, gerenciar o software do data center local e analisar malware para identificar novos APTs espec\u00edficos para uma determinada regi\u00e3o. Essa medida tamb\u00e9m garantiria que houvesse mais especialistas internacionais envolvidos no desenvolvimento de futuras linhas de produtos da Kaspersky, tornando nossa \u00e1rea de P&D ainda mais descentralizada.<\/p>\n

Revis\u00e3o do processo de recupera\u00e7\u00e3o de dados<\/h2>\n

Protegemos os dados que coletamos contra riscos potenciais usando pol\u00edticas, pr\u00e1ticas e controles internos rigorosos. Nunca atribu\u00edmos os dados coletados a um indiv\u00edduo ou organiza\u00e7\u00e3o espec\u00edfica, os tornamos an\u00f4nimos sempre que poss\u00edvel. Al\u00e9m disso, limitamos o acesso a esses dados dentro da empresa e processamos 99% deles automaticamente.<\/p>\n

Para mitigar ainda mais quaisquer riscos potenciais para os dados de nossos clientes, sugerimos a contrata\u00e7\u00e3o de um revisor autorizado de terceiros para revisar periodicamente nosso processo de recupera\u00e7\u00e3o de dados<\/strong>. Esse revisor em tempo real avalia periodicamente os dados que recebemos com ferramentas de an\u00e1lise de dados e plataformas de processamento de dados para garantir que nenhuma informa\u00e7\u00e3o pessoalmente identific\u00e1vel ou outros dados protegidos sejam transferidos para a Kaspersky e para confirmar que os dados recuperados sejam usados \u200b\u200bexclusivamente para detec\u00e7\u00e3o e prote\u00e7\u00e3o contra amea\u00e7as, e tratados adequadamente.<\/p>\n

Revis\u00e3o de atualiza\u00e7\u00f5es e dados entregues \u00e0s m\u00e1quinas do usu\u00e1rio<\/h2>\n

Como uma pr\u00f3xima etapa em rela\u00e7\u00e3o ao produto, a estrutura de mitiga\u00e7\u00e3o seria fornecida para revis\u00f5es regulares de terceiros de nossas atualiza\u00e7\u00f5es de banco de dados de amea\u00e7as e desenvolvimento de c\u00f3digo de software relacionado ao produto<\/strong> para mitigar os riscos da cadeia de suprimentos para nossos clientes. \u00c9 importante destacar que o terceiro seria uma organiza\u00e7\u00e3o independente, subordinada diretamente a um regulador local. Isso se somaria ao rigoroso e seguro processo de desenvolvimento de software existente da Kaspersky, que se concentra na mitiga\u00e7\u00e3o de riscos, incluindo um cen\u00e1rio em que h\u00e1 um intruso no sistema, para garantir que ningu\u00e9m possa adicionar c\u00f3digo n\u00e3o autorizado aos nossos produtos ou bancos de dados de antiv\u00edrus.<\/p>\n

Mas, para aprimorar ainda mais as garantias de seguran\u00e7a, a contrata\u00e7\u00e3o de um revisor externo em tempo real tem como objetivo avaliar a seguran\u00e7a do c\u00f3digo desenvolvido pelos engenheiros da Kaspersky, sugerir melhorias, identificar riscos potenciais e, ent\u00e3o, determinar as solu\u00e7\u00f5es apropriadas.<\/p>\n

Um dos cen\u00e1rios de como essa verifica\u00e7\u00e3o de atualiza\u00e7\u00f5es do banco de dados de amea\u00e7as pode ser organizada \u00e9 descrito a seguir:<\/p>\n

\"Um<\/a>

Um dos cen\u00e1rios de revis\u00e3o em tempo real dos bancos de dados de amea\u00e7as<\/p><\/div>\n

\u00c9 importante enfatizar que a revis\u00e3o de terceiros pode ser cr\u00edtica ou menos cr\u00edtica, conduzida regularmente ou depois que um n\u00famero suficiente de atualiza\u00e7\u00f5es\/componentes para revis\u00e3o \u00e9 acumulado, bem como aplicada a todos ou apenas a uma sele\u00e7\u00e3o de componentes. A op\u00e7\u00e3o de revis\u00e3o mais avan\u00e7ada proposta envolve o bloqueio em tempo real, permitindo que os revisores controlem totalmente o c\u00f3digo entregue \u00e0s m\u00e1quinas do usu\u00e1rio. Uma revis\u00e3o cr\u00edtica impediria que qualquer c\u00f3digo durante o processo de revis\u00e3o fosse inclu\u00eddo em um produto ou atualiza\u00e7\u00f5es e, portanto, chegasse aos clientes da Kaspersky.<\/p>\n

Esse processo de revis\u00e3o abrangente pode ser aprimorado ainda mais, exigindo a assinatura do revisor em todas as atualiza\u00e7\u00f5es entregues \u00e0s m\u00e1quinas do usu\u00e1rio ap\u00f3s o c\u00f3digo subjacente ter sido confirmado e compilado. Isso garantiria que o c\u00f3digo n\u00e3o fosse alterado depois de ser revisado em tempo real.<\/p>\n

A revis\u00e3o proposta n\u00e3o apenas permite a verifica\u00e7\u00e3o em tempo real da seguran\u00e7a do c\u00f3digo recentemente desenvolvido, mas tamb\u00e9m fornece acesso a todo o c\u00f3digo-fonte, incluindo seu hist\u00f3rico. Isso permite que o revisor avalie completamente o c\u00f3digo recentemente desenvolvido, entenda suas altera\u00e7\u00f5es ao longo do tempo e veja como ele interage com outros componentes do produto.<\/p>\n

Essa revis\u00e3o de c\u00f3digo absoluta tamb\u00e9m seria acompanhada com o acesso a uma c\u00f3pia do ambiente de compila\u00e7\u00e3o de software da empresa, que espelha o usado na Kaspersky, incluindo instru\u00e7\u00f5es e scripts de compila\u00e7\u00e3o, documenta\u00e7\u00e3o de projeto detalhada e descri\u00e7\u00f5es t\u00e9cnicas dos processos e da infraestrutura. Portanto, o revisor em tempo real pode construir\/compilar o c\u00f3digo de forma independente e comparar os bin\u00e1rios e\/ou os objetos intermedi\u00e1rios de constru\u00e7\u00e3o com as vers\u00f5es distribu\u00eddas. O revisor tamb\u00e9m seria capaz de verificar a infraestrutura de constru\u00e7\u00e3o e o software em busca de altera\u00e7\u00f5es.<\/p>\n

Al\u00e9m disso, um terceiro independente confi\u00e1vel poderia ter acesso \u00e0s pr\u00e1ticas de desenvolvimento de software da empresa. Essa an\u00e1lise independente teria como objetivo fornecer garantias adicionais de que as medidas e processos aplicados pela Kaspersky correspondem \u00e0s principais pr\u00e1ticas do setor. O acesso cobriria toda a documenta\u00e7\u00e3o de seguran\u00e7a relevante, incluindo, mas n\u00e3o se limitando a: defini\u00e7\u00e3o de requisitos de seguran\u00e7a, modelagem de amea\u00e7as, revis\u00e3o de c\u00f3digo, verifica\u00e7\u00e3o de c\u00f3digo est\u00e1tico e din\u00e2mico, teste de penetra\u00e7\u00e3o etc.<\/p>\n

O resultado \u00e9 que, em nossa opini\u00e3o, a estrat\u00e9gia acima pode abordar a maioria dos riscos da cadeia de fornecimento de TIC relacionados ao desenvolvimento e distribui\u00e7\u00e3o de produtos de maneira eficaz e verific\u00e1vel. E, como mencionei acima, essas s\u00e3o de fato as medidas de mitiga\u00e7\u00e3o que enviamos em uma proposta para discuss\u00e3o ao Departamento de Com\u00e9rcio dos EUA, mais uma vez confirmando nossa abertura ao di\u00e1logo e determina\u00e7\u00e3o em fornecer o n\u00edvel m\u00e1ximo de garantias de seguran\u00e7a. No entanto, nossa proposta foi simplesmente ignorada. Isso me leva a acreditar que a raz\u00e3o \u00e9 baseada em ideias preconcebidas do Departamento. Parece que, em vez de avaliar nossa proposta com base na sua efic\u00e1cia em lidar com os riscos, ela foi analisada apenas para encontrar uma justificativa para rejeit\u00e1-la.<\/p>\n

Embora tenhamos que admitir que mais uma vez estamos tendo que lidar com um ato de protecionismo digital, sei que o mundo precisa urgentemente de uma estrat\u00e9gia global de gerenciamento de riscos de seguran\u00e7a cibern\u00e9tica. \u00c9 essencial ser capaz de lidar com o cen\u00e1rio de amea\u00e7as em evolu\u00e7\u00e3o de forma eficaz e garantir uma abordagem unificada para gerenciar os riscos de seguran\u00e7a cibern\u00e9tica em diversos dom\u00ednios de seguran\u00e7a de TI. Essa abordagem tamb\u00e9m poderia ajudar a evitar decis\u00f5es focadas em benef\u00edcios imediatos que privem milh\u00f5es de usu\u00e1rios de sua liberdade de escolha em rela\u00e7\u00e3o \u00e0 prote\u00e7\u00e3o confi\u00e1vel de seguran\u00e7a cibern\u00e9tica e a cria\u00e7\u00e3o de restri\u00e7\u00f5es artificiais \u00e0 troca de dados entre profissionais de seguran\u00e7a cibern\u00e9tica. Vamos permitir que esses especialistas se concentrem em seu trabalho importante sem a carga adicional da geopol\u00edtica, cuja influ\u00eancia beneficia apenas os cibercriminosos.<\/p>\n

Em um mundo interconectado no qual as amea\u00e7as cibern\u00e9ticas transcendem as fronteiras, uma estrat\u00e9gia global \u00e9 vital para refor\u00e7ar as defesas de seguran\u00e7a cibern\u00e9tica, aumentar a confian\u00e7a e promover um ecossistema digital mais seguro. Nossa estrutura abre as portas para uma discuss\u00e3o dentro do setor sobre como deve ser uma avalia\u00e7\u00e3o universal de seguran\u00e7a cibern\u00e9tica da cadeia de suprimentos, com o objetivo final de desenvolver uma prote\u00e7\u00e3o confi\u00e1vel e, consequentemente, um mundo mais seguro.<\/p>\n","protected":false},"excerpt":{"rendered":"

Gerenciar riscos de seguran\u00e7a cibern\u00e9tica por meio de uma abordagem baseada em evid\u00eancias.<\/p>\n","protected":false},"author":13,"featured_media":22847,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,1655,1656,1029],"tags":[136],"class_list":{"0":"post-22846","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-smb","11":"category-technology","12":"tag-kaspersky"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/managing-cybersecurity-risks\/22846\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/managing-cybersecurity-risks\/27775\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/managing-cybersecurity-risks\/23106\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/managing-cybersecurity-risks\/11987\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/managing-cybersecurity-risks\/30458\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/managing-cybersecurity-risks\/27986\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/managing-cybersecurity-risks\/27573\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/managing-cybersecurity-risks\/30259\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/managing-cybersecurity-risks\/29135\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/managing-cybersecurity-risks\/51786\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/managing-cybersecurity-risks\/22090\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/managing-cybersecurity-risks\/31517\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/managing-cybersecurity-risks\/36919\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/managing-cybersecurity-risks\/29273\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/managing-cybersecurity-risks\/33919\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/managing-cybersecurity-risks\/33584\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/kaspersky\/","name":"Kaspersky"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/22846","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=22846"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/22846\/revisions"}],"predecessor-version":[{"id":22853,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/22846\/revisions\/22853"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/22847"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=22846"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=22846"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=22846"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}