 Então, a tarde, pessoal. Oi, está alto isso daqui, hein? Vou falar com vocês um pouquinho agora, a tarde, sobre 30 minutos para a gente falar sobre segurança da informação, uma visão do ISAC, e eu vou passar mais uma pesquisa que nós publicamos agora, há dois meses atrás, sobre a questão da cyberseqüit em 2018 e as previsões para o próximo ano. Acho que é bom a gente entender um pouquinho. Antes de eu começar, deixa eu perguntar uma coisa, quem aqui conhece o ISAC? Eu já ouvi o falar do ISAC, é razoável, uns 40% do público. Então tem 60% do público que não ouviu falar do ISAC. Deixa eu falar um pouquinho, quem é o ISAC? Então, quem nós somos? O ISAC é uma associação internacional, que o ano que vem faz 50 anos. Nós fomos fundados em 1969. É uma associação hoje que conta com mais de 450 mil membros espalhados pelo mundo. Já tivemos um pouco mais, 450 mil profissionais. E o foco do ISAC é trabalhar com conteúdo. Que tipo de conteúdo? Quem aqui já ouviu falar do Côbit como modelo de governança? Mais do que quem já ouviu falar do ISAC. Então, para quem conhece o Côbit e não conhece o ISAC, o ISAC é o que promuga o Côbit. O ISAC é que prove o conteúdo do Côbit. O Côbit nasceu dentro do ISAC. Então, nós fazemos hoje, nós trabalhamos como capítulos espalhados pelos países. Nós estamos em 188 países. O Brasil tem três capítulos. Aliás, quatro, porque abriu em Belo Horizonte. Tem um capítulo de São Paulo, um capítulo do Rio de Janeiro, um capítulo de Brasília e foi aberto um capítulo em Belo Horizonte. E esses capítulos fazem o quê? Eles fazem o que eu estou fazendo aqui? Eles divulgam o ISAC para que vocês conheçam o que o ISAC faz. Então, um resumo rápido aqui é criado em 69 mais de 450 mil profissionais envolvidos. E é isso que dá base para a criação dos nossos documentos, dos nossos materiais. Temos ativos, ativos do ano passado 135 mil associados e já emitimos ao longo desses 49 anos mais de 165 mil certificações. Que tipo de certificação a gente emite? O ISAC nasceu emitindo uma certificação de auditoria, chamado CISA, que é o Certify Information System Auditor. Esse certificado foi o que começou o ISAC. Logo depois da sequência veio um certificado de risco, um certificado de segurança da informação e um certificado de governança, que é o CIGAIT. E, além disso, nós temos o produto COBIT, que nós também fazemos a certificação do COBIT em três camadas. Nós fazemos o COBIT Foundation, o Expert and Implementation. São três certificações que nós damos para quem quer conhecer ou quer implantar governança da informação. Mudando agora e vindo para o conceito Open Group, dizendo aonde o Open Group trabalha junto com o ISAC, esse é um modelo do COBIT que fala da implantação de governança, da informação, a governança de sistemas de ITI ou governança da tecnologia dentro de uma empresa. Então, o COBIT diz o seguinte, para você implantar governança, você tem que ter esses 37 processos que estão aqui divididos nesses cinco domínios que estão aqui em cima. Esse aqui é um domínio, esse aqui é outro, outro e outro aqui. Então, o COBIT divide a área de tecnologia em cinco grandes domínios e diz que esses cinco grandes domínios têm que ter 37 processos para que se possa implementar a governança de tecnologia. E o terceiro processo dentro do alinhar planejário e organizar é exatamente gerenciar a arquitetura da organização. Esse processo, ele diz como deve ser implementado ou como deve ser governado um processo de arquitetura de informação dentro da tecnologia. Pessoal, existe uma diferença muito grande, isso a gente vê essa confusão muito grande acontecendo entre governar e gerir. São coisas completamente diferentes. Gerir a gestão do dia a dia. O COBIT não diz o que deve ser feito para implantar uma arquitetura, seja ela de ITI, seja ela corporativa. O COBIT não diz, ele diz como deve ser controlado. Então, o COBIT diz algo do tipo. Para você implantar uma governança, você tem que desenvolver a arquitetura, aliás, para você implantar uma arquitetura de governança, você tem que desenvolver a arquitetura, você tem que definir a arquitetura de referência, selecionar oportunidades, definir a implantação da arquitetura e fornecer serviço de arquitetura. São 37 processos, esse é o AP03 e dentro do AP03 eu tenho 5 sub-processos. E o COBIT diz exatamente como devem ser esses sub-processos, como eles devem ser monitorados, como eles devem ser controlados e qual é o raci-charte desse projeto, desses processos. E depois de tudo isso, o COBIT ainda diz, olha, use o Togafi. Porque assim que o COBIT funciona, o COBIT não está preocupado em abraçar o mundo e dizer que ele faz tudo. O ISACA não é assim. O ISACA desenvolveu uma metodologia, uma forma de governança. Aqui estão os mesmos 5 processos que eu mostrei lá. Só que ele diz o seguinte, como o meu intuito é governar, então eu dou o que são os princípios, como são os indicadores, a quem esses indicadores devem ser dirigidos. Vocês ouviram falar aqui em algumas palestras de como alinhar o negócio com tecnologia, falar a linguagem do negócio. O COBIT se preocupa em falar a linguagem do negócio. E aí ele diz o seguinte, você quer implantar uma boa governança? Use o Togafi. Você quer implantar uma boa gestão de projetos? Você escolhe, que é por o Príncipe, que é por o Príncipe 2, que é por o Pemboque, desçam sua. Você quer implantar uma boa gestão de infraestrutura de TI? Pode usar o WIKE, pode usar ISO 20.000, e use o que você quiser. Porque esse é o padrão do COBIT. É como o ISACA trabalha. O ISACA também publica algumas coisas de segurança da informação. Um quadro que saiu dentro de um livro de segurança da informação que está dentro do ISACA. Dentro do ISACA é só para associados? Não. O ISACA tem documentos, publicações abertas para qualquer pessoa que quer entrar lá dentro. Por exemplo, o material de COBIT Foundation, se você quer conhecer os princípios de implementar uma boa governança de TI, ele está aberto, está à sua disposição. Você não precisa ser associado. Você pode entrar no site do ISACA, ISACA.org, e você baixa o material de fundamentos do COBIT. Agora, se eu quiser saber como eu implemento e como esses processos trabalham interligados, aí você precisa ser associado. Porque aí você não baixa os outros dois materiais. Mas só o Foundation já dá uma visão extraordinária do que implementar uma governança de TI, tá bom? Esse documento de segurança, que faz parte de um documento de uma disciplina de segurança que o ISACA implementa, ele mostra aqui dentro como é que é a relação entre os domínios da segurança da informação. Eu gosto muito de mostrar esse exemplo porque como tudo parece que virou crime cibernético, algumas pessoas têm a falsa impressão que fazer uma defesa cibernética na sua empresa, ele está fazendo segurança da informação. Desculpa, se você pensa assim, é errado. Porque cyber segurança é uma parte da disciplina de segurança da informação. E é uma parte, porque dentro da segurança da informação, eu tenho segurança de aplicação que não tem nada a ver com defesa cibernética. É saber se o meu código está ou não sendo escrito de maneira segura. Eu tenho a segurança da rede, eu tenho a segurança da própria internet, do wi-fi, dos meus equipamentos, do meu WAF, do meu spam email, que não tem nada a ver com ciber segurança, porque as defesas são outras. E eu tenho também a segurança de acesso, a sua segurança de identificação. Então vocês estão vendo que muitas vezes a gente fala ciber segurança e o pessoal confunda e fala, se eu fizer uma boa defesa de ciber segurança, eu protejo a minha empresa. Não, você não protege, porque faltarão outros componentes para serem protegidos. E gosto muito disso. E um outro slide que eu gosto bastante é esse, que se vocês tiverem ele em mente, vocês vão entender toda a engenharia de um ataque, de um porquê de um ataque. E também tudo aquilo que vocês precisam fazer para defender-se de um ataque, num único quadro. Porque esse quadro diz assim, olhando pela perspectiva do dono do negócio, que é o stakeholder, o stakeholder sabe que dentro da organização existem ativos. E esses ativos trazem valor. Se esses ativos têm valor para a organização, o que o dono do negócio quer? O dono do negócio quer minimizar, ele tem um desejo de minimizar o risco que esse ativo seja exposto. Se isso é o desejo dele, como é que ele faz isso? Ele impõe controles. E ele impõe controles para quê? Para que esses controles reduzam possíveis vulnerabilidades ou reduzam o risco? Eu posso ter controles que reduzem o risco? Ou eu posso ter controles que reduzam a vulnerabilidade e que como consequência reduzem o risco? É isso que o dono do negócio pensa, de maneira muito simples. E aí quem trabalha com segurança da informação, aqui, ou já trabalhou com segurança da informação, o dono do negócio chega e diz assim, eu quero que você proteja aquele servidor. Como é que você vai fazer isso? É problema seu, porque ele é muito valioso. E você tem que pensar assim, se eu tenho que proteger, tenho que diminuir. Eu tenho que ter controles que reduzam a vulnerabilidade ou que reduzam o risco do quê? De um agente externo, de um agente de ameaça, poder de alguma maneira, através de uma ameaça, conseguir acesso ao meu ativo diretamente ou explorando um risco, acessar o meu ativo ou explorando uma vulnerabilidade, diminuindo o risco, chegar no meu ativo. Por isso que eu falo, se você tem essa sequência na sua memória, quando está falando em segurança da informação, você fecha todo o ciclo daquilo que é importante. O restante aqui dentro, como é que analiso isso? É técnica. Como é que eu faço isso? É técnica. Como é que eu faço isso daqui para melhorar esses controles? São controles que são técnicas. O conceito em si está feito num único slide. E esse slide, para vocês verem como não é uma criação do Isaac, do Isaac é uma fonte da ISO 27. Então, o Isaac usa o que tem de melhores práticas, de melhores informações aonde elas estiverem. Não há preocupação de ficar criando coisas. Muito bem. Um outro material que tem bastante em questão de segurança, nesse mesmo material de segurança, é assim, aqui a famosa CIA, Confidência de Integrity Availability. Então, eu digo o seguinte, se eu tenho alguma coisa que é confidencial e essa coisa que é confidencial sofre uma exposição não autorizada, eu posso ter impactos e consequências, mas eu também tenho métodos de controle. Então, se eu olho para aquele meu ativo, e não quero que aquele meu ativo tenha informações não autorizadas, sendo disponibilizadas, quais são os melhores métodos de controle que eu tenho? Controle de acesso, controle de permissões de arquivo, criptografia. E, se meu dado vazar, o que acontece? Eu posso perder dados protegidos por lei, GDPR. Agora temos daqui 16 meses, já passaram dois. Nós vamos ter, entrando em ação, a lei geral de proteção de dados. Então, já foram dois meses e ninguém está se mexendo. Daqui 16, ela vira lei. Então, quando estiver faltando três meses a lei, o mundo de empresa vai pedir para o governo postregar um pouquinho mais, porque não deu tempo a fazer nada. Mas nós já estamos há dois meses e eu não estou vendo ninguém fazer nada. E essa lei parece que é muito séria, porque ela está sendo uma imposição. E essa lei vai mudar o relacionamento de negócio. Relacionamentos de negócios que existem hoje vão mudar profundamente com a implantação dessa lei. Então, vocês percebem que está tudo ali. Eu posso, se eu tiver um vazamento de informação, eu posso perder confiança com o meu público. Eu posso perder vantagem competitiva. Por que esses materiais no ISACA acabam sendo interessantes? Porque via de regra, quando nós estamos desenhando um processo de segurança, nós estamos pensando tudo isso. Alguém já pensou, o ISACA tem 450 mil profissionais de tecnologia ao redor do mundo que participam dos nossos grupos de estudo e vão dando sugestões nessas metodologias. E aí isso é fruto desses grupos de estudo. Tá bom? Muito bem. O Coby tem esse quadro que eu acho muito bacana, que é por que governar a informação? Porque é isso que a gente vê no mundo hoje. Eu não sei se na empresa de vocês é um pouco diferente disso. É essa bagunça aqui, ó. Eu tenho informação para tudo quanto é lado. Eu tenho os famosos biotites entrando a entrar. Eu tenho cybercriminosos correndo atrás de brechas. Eu tenho riscos acontecendo por causa de mídias social dentro da minha empresa. E por aí vai. E vocês pensam que é brincadeira, não é? Contar um caso rápido, apesar de ter pouco tempo, uma vez eu fui fazer um acéssima de segurança numa empresa e eu cheguei lá nessa empresa e quando eu estava fazendo o acéssima de segurança, foi simples. A empresa não deixava acessar a rede social por causa de perigo de vírus, aquela coisa toda. Mas por acaso o que o nosso amigo aqui falou da geração que existe hoje. E eu cheguei lá e de repente, no meio do acéssima, quando a gente faz acéssima, a gente é meio auditora, meio chato, é um cara meio picoinha para procurar as coisas. Eu vi uma ponta de uma anteninha de wi-fi escondida atrás de um armário. E eu descobri que era um suite. Mas como é que tem um suite aqui? Aí eu fui descobrir que o pessoal daquela sessão não conseguia. Fiquei sem acessar o Facebook de jeito nenhum. E eles contrataram por conta própria um link de uma provedora e estavam lá. Então durante o dia, no horário, eles usavam um link. Mas que problema tem? É um link que a gente usou, como se a máquina não tivesse na rede da empresa. O servidor eu falei, essa é a cultura de segurança que a gente tem. A gente dá risada, mas é fato real. Isso acontece. Segurança é um problema pessoal. E a gente pensa que é um problema corporativo. Não é pessoal. Então a gente tem que tomar cuidado com isso. Falando um pouquinho, então, do que é que eu quero mostrar para vocês, esse relatório está de graça. Quem quiser é só acessá-lo. www.cybersacres.exaca.org. State of Cyber Security. Está lá a disposição para vocês baixarem. São dois volumes, volume 1 e volume 2, onde eles mostram o como está sendo desenvolvido, os ataques e o que isso, ou como esses ataques, essa terra desses ataques, acontecem em as técnicas, vale a pena conhecê-los. E eu destaquei alguns pontos desse relatório para vocês. Primeiro ponto, e são alguns desafios, são alguns pontos, alguns highlights que existem nesse relatório. Primeiro deles, os desafios técnicos, eles estão crescendo. Mas hoje eles são melhores compreendidos. Não que eles conseguem ser defendidos, mas as áreas de segurança começam a entender melhor a arquitetura de um ataque. Então se alguém for atacado com o Anaclai, hoje a pessoa já sabe como ele escala uma memória, como é que ele busca a privilégio, o que ele tenta fazer. A pessoa de segurança é uma noção melhor. Ele consegue evitar o Anaclai? Provavelmente não. Porque os ataques são muito mutáveis, você não consegue. Já deve ter ouvido falar dos ataques de dia zero. O ataque de dia zero é um ataque que nenhum antivírus consegue pegar, porque ele não tem a assinatura daquele ataque, ele não sabe como ele funciona. É um ataque que foi criado novo, por isso que eles passam. Existe uma disparidade muito grande entre mulheres e homens que atuam na área de segurança. Isaac se preocupa com isso. Estou vendo que tem bastante mulheres aqui na área de arquitetura, mas na área de segurança é o contrário. Se eu tivesse num fórum de segurança, teria 10% de mulheres sentadas num fórum de segurança. Eu não sei porquê, não tem uma explicação lógica do porquê, mas ainda é uma área muito utilizada por homens. Os orçamentos de segurança estão crescendo, não crescendo barbaramente e também não crescendo porque as empresas querem, elas estão crescendo porque as empresas perceberam que estão perdendo dinheiro com a cyber segurança, então eu tenho que investir alguma forma de protegê-los. A confiança do borde nas questões de segurança está aumentando, porém o alinhamento estratégico ainda é inconsistente. Não é todo mundo, não é todos os bords que é bom. Eu sei o que é cyber segurança, eu entendo, mas eu ainda não consigo transferir isso para o meu negócio, o que significa. Esse é um problema. Os ataques estão aumentando muito, mas os métodos empregados na defesa permanecem relativamente inalterados. Ou seja, os hackers são muito mais criativos do que quem defende. E isso é uma verdade. Eles têm tempo de ficar pensando bobagem, a gente tem que trabalhar para ganhar dinheiro o tempo todo. Então eles têm tempo de produzir cada vez mais ataques sofisticados e complicados. Motivação continua sendo monetária e as contras-medidas estão se aproximando de uma proteção mais efetiva. Deixa eu dizer uma coisa para vocês, eu gosto de falar isso cada vez que eu falo de segurança. Quer dizer, a gente às vezes assistiu o filme, o que o hacker é aquele cara que é um cara idealista, que é um cara que faz o e-mail. Deixa eu dizer uma coisa para vocês, o hacker cybernético é bandido. Ele é tão bandido quanto um cara que põe uma arma na cara de uma pessoa. Ele é bandido, ele não se preocupa com ninguém. O negócio dele é granar. Pô, você está exagerando. Estou exagerando? Quantos aqui souberam do ataque que houve o ano passado no Hospital do Câncer de Barretos? Pouca gente. Mas em junho do ano passado, o Hospital de Câncer de Barretos, que é um hospital de câncer referência nacional em tratamento de câncer, foi atacado por um conjunto de hackers e eles tiveram todos os seus equipamentos criptografados por um onacry. E eles ficaram naquele jogo de braço, paga, não paga, paga, não paga. Detalhe, eles não tinham backup para voltar. Três semanas o hospital ficou parado. O que vocês acham que significa para uma pessoa que está em tratamento de câncer não poder receber a quimioterapia ou a radioterapia no momento que precisa quando a gente sabe que tratamento de câncer é extremamente sensível ao momento que você recebe e as doses têm que ser exatamente em períodos corretos. Então o hacker que fez isso é bandido, porque ele não se preocupou se pessoas com tratamento de câncer iam ou não morrer pela falta do tratamento. Ele estava preocupado que o hospital pagasse o resgate das máquinas. Por isso que eu falo para vocês, cuidado, criminoso cibernético, a única diferença é que ele não põe uma arma na sua cara, mas ele é tão bandido de índole quanto aquele que põe a arma. Porque se ele parar um hospital desse, ele pode matar muito mais pessoas. E é uma visão romântica, que às vezes eu pego, não está exagerando, o hacker não é bem assim, o hacker é pior. A inteligência por trás das ameaças tem prevalecido, infelizmente. E a melhor forma de contramedida tem sido a implantação de defesas mais ativas, defesas encamadas. Um exemplo de defesa encamada que a gente vê. Às vezes você vai conversar e fazer alguma coisa de cyber segurança e a própria pesquisa falar isso. Não, eu já tenho antivírus. Mas a gente sabe que os antivírus têm falhas porque você não usa dois. Já que uma coisa baratinha, um antivírus hoje custa 40, quando muito 50 dólares por ano, por máquina, se você comprar em larga escala, isso cai para menos da metade. Você não usa dois, você só usa um. Porque o que um não vai pegar, a chance do outro pegar é maior. Isso chama-se defesa encamada. Mas a pessoa não já tem, eu não preciso. Mas você já foi atacado. Você perguntar por qualquer empresa que já foi atacado, todo mundo vai dizer que nunca foi. Até entrar em ação a lei geral de proteção de dados. Porque ela diz que as empresas atacadas serão obrigadas a divulgar que foram atacadas, como é na Europa. Então não vai dar mais para a gente esconder. Muito bem. Quais são os principais pontos desse relatório? Primeiro deles. Nós estamos num mundo ainda desconhecido para nós que defendemos. É um mundo muito nebuloso ainda. Por que nebuloso? Porque 50% das pessoas que responderam dizem, ou têm a percepção, que os ataques vão continuar crescendo. São corretos. Ataques continuam crescendo dia a dia. 4, entre 5 entrevistados, e só foram entrevistados pessoas de segurança da informação, eles disseram o seguinte. Existe uma possibilidade, uma grande possibilidade de nós sermos atacados em 2018. Puxa, 4 entre 5 é um número muito grande. 3 entre 5 organizações eles não têm uma pessoa capacitada na área de segurança da informação. Eles pegaram quem acha que gosta de segurança da informação e colocaram lá para cuidar da área de segurança da informação. Mais ou menos eu acompanho outro open-group já na Incoberto, desde 2015 mais ou menos, quando a gente ouvi a história que na arquitetura eles pegavam aquele analista de processo que era um pouquinho melhor e punhê na arquitetura. É mais ou menos a coisa que nós estamos passando na segurança da informação. Pega aquele cara que gosta um pouco mais de técnica, e o cara não manja de estratégia, não manja de arquitetura de ataque, não entende o que significa uma arquitetura de um ataque e é técnico. Isso a gente vai ver que aparece também. E outro que é pior, 54% das empresas que precisam repor 54% das empresas que têm um bom gestor de segurança e de polo, levam três meses ou mais para repor esse profissional. Então existe uma carência, um déficit muito grande de pessoas com competência na área de segurança da informação. Aqui, a maioria é técnico quando nós estamos precisando de gestores de informação. Um técnico não sabe fazer um plano estratégico de defesa. Primeiro porque ele só pensa na técnica. O cara vai me atacar com o vírus tal, com o vírus tal, se for isso, eu faço isso, mas não é isso. Vocês viram que segurança de informação está muito acima só da cyber-segurança. Então se precisar de um cara com uma palavra que eu acho bonita, o cara tem que ter uma visão holística de segurança. Ele tem que entender onde podem instalar as vulnerabilidades daqueles ativos que são importantes. Por isso que hoje existe muita pessoa técnica e isso é um problema. Dos profissionais entrevistados que são interessantes, 39% dos entrevistados esse número é muito alto para esse tipo de posição de segurança dizem que eles são inabilitados para entender as questões de negócio. E 33 responderam que só tem perfil técnico. Ou seja, as pessoas que estão cuidando de segurança da informação não sabem o que o negócio quer. A preocupação delas é como eu vou defender de um vírus, como eu vou defender de um ataque. E não é só isso que é segurança. Essaquela parte que eu falei da disparidade existe uma disparidade muito grande 51% das organizações estão tentando fazer programas para que as mulheres tenham mais penetração. 82% que responderam foram homens que responderam essa pesquisa e o Isaac se preocupa com isso. E o Isaac nos seus eventos internacionais tem foros especificamente para mulheres para ver se motivam mulheres a vir para a área de governança para vir para a área de segurança da informação. Uma coisa interessante que os orçamentos têm aumentado não porque eles resolveram investir em segurança, mas porque eles estão com medo dos ataques que possam sofrer. É uma questão do medo fazendo a necessidade. A questão do cyberataque continuarão e irão aumentar. Então 50% de quem respondeu dizem que existe a possibilidade de um alto volume de ataque nos próximos anos. 4 entre 5 acham que podem ser atacados. E 50% das respondentes disseram a principal motivador é dinheiro. Ninguém ataca mais por brincadeira. As pessoas querem o dinheiro em troca do ataque. Não deu tempo se não ia colocar algumas coisas aqui. Tem mais uns 5 minutinhos, não é Roberto? Eu não sei quantos aqui conhecem o Swift bancário. 5 minutos. Não sei quantos conhecem o Swift bancário. Swift bancário é o mecanismo que faz transição de dinheiro internacionais. Então é quando você faz uma ordem de envio de dinheiro o Swift é o mecanismo que faz isso. Ele recebe desde valores de pessoa física até valores de países. Em 2018 2015 um grupo de hackers usou o banco central das Filipinas. Ele fez uma movimentação de 1 bilhão de dólares de empresas que não existiam. Mandando esse dinheiro para empresas que também não existiam. Quando esse processo caiu no primeiro crivo porque 1 bilhão de dólares o Banco das Filipinas não tinha limite de acesso, não tinha autorização de acesso para fazer esse envio. Então ela transferiu essas ordens para o Fede Americano. O Fede Americano foi fazer as liberações e quando eles foram fazer a liberação por erro bobinho, erro bobo que um ponto não podia ter ponto tinha alguma coisa que não batia alguma coisa escrita errada mas sobrou 200 milhões de dólares que passaram para o segundo crivo. Nesse segundo crivo pegou-se mais 120 milhões de dólares porque o destinatário tinha um nome errado, tinha um nome que não fazia sentido. Pois bem, 80 milhões de dólares passaram para quatro empresas. Nunca descobriram onde foram parar esses 80 milhões de dólares. Eu não sei quem são as empresas e até hoje o FBI também não descobriu. Por causa disso, o Swift e o Fede Americano mudaram em 2015 e a partir de 2017 ele ficou muito mais crítico na emissão de ordens de pagamento porque alguém roubou 80 milhões de dólares que se não tivesse errado o português ou a língua que o inglês teria passado bem mais do que isso porque o que eles pegaram foram por erros de digitação. Muito bem, terminando o mais comum dos vetores de ataque continua sendo Fishing. Fishing, eu poderia somar 44,28 50,72% dos ataques são engenharia social porque Fishing é uma engenharia social é aquele meio malicioso abra aqui, olha o seu tio na África morreu e te deixou um milhão de dólares clique aqui para ver como é que você resgata isso. Pessoal, eu acho que muitos riram porque receberam esse e-mail Agora, vocês estão rindo mas esse e-mail foi para tanta gente e quantos vocês não acham que clicaram nesse e-mail? É engenharia social é o que a gente chama de Fishing Então se eu pegar Fishing para a engenharia social engenharia social pura é aquela que você senta do lado da pessoa ou como é que vai, tudo bem e aí na conversa você roba a senha dela roba informações privilegiadas roba informação da onde ela trabalha, qual é o cargo qual é o e-mail e aí você começa a fazer fraudes com esse tipo de informação fraude com e-mail? Sim, fraude com e-mail Existem mecanismos eu vou falar que o Outlook tem brecha tem porque o Windows tinha brecha mas Outlook tem falas de segurança que se explorar dele, rouba tua identidade e a pessoa vai mandar um e-mail como se fosse você do teu originador de P passando por uma simulação e quem vai receber vai achar que é um e-mail seu e é um e-mail que dentro dele tá? Os comuns, porque os mais comuns ataques cyber criminosos hackers que para mim é um cyber criminoso também, não tem muita distinção geralmente pessoas internas da organização sem malícia isso acontece, o cara fez um erro então 14% são erros, mas dentro das empresas existem os caras maliciosos, 11% dos ataques vêm de dentro das empresas e aí você tem ataques entre nações e os activistas que são aqueles que derrubam sites de empresa 40% que responderam não estão familiarizados com as estratégias de defesa alguns respondem que usam estratégia de defesa e aqui eu acho que eles são mentirosos porque 87% dos 53 que responderam dizem que são bem sucedidos nas suas defesas e a gente sabe que não é bem assim a estatística de mercado ainda há uma grande barreira para implementar que é o skill reduzido e limitado das pessoas de segurança que não conseguem vender para o borde a importância de uma boa segurança, questão de orçamento questões legais e questões técnicas se nós tivermos conhecimento de tudo isso, aquele primeiro quadro lá fica mais fácil a gente consegue administrar aquele caos da informação e o que eu preciso para administrar melhor aquele caos eu preciso de informação, eu preciso de conhecimento eu preciso saber o que está acontecendo pessoal obrigado com que dúvida estou aí com vocês até daqui a pouco