Thursday 31 May 2012

Pesquisa revela imaturidade do Brasil em relação à criptografia

Muitas organizações brasileiras têm uma postura fraca de segurança em relação a outros países no que diz respeito à conscientização dos riscos de segurança e implantação de soluções de criptografia. Foi o que relevou o estudo “Tendências de criptografia 2011”, realizado pelo Instituto Ponemon e patrocinado pela Thales e-Security, um dos principais parceiros da Safeway Consultoria. Ele foi desenvolvido com 525 diretores e gerentes de organizações brasileiras de médio à grande porte e de diversas áreas de atuação. A pesquisa no Brasil faz parte de um estudo maior envolvendo cerca de quatro mil negócios e gerentes de TI nos Estados Unidos, Reino Unido, Alemanha, França, Austrália, Japão e Brasil.

De acordo com o estudo, 44% dos entrevistados afirmaram que suas organizações não têm um plano ou estratégia de criptografia. Apenas 12% das organizações brasileiras têm uma estratégia de criptografia completa e 44% têm uma estratégia parcialmente implantada. Entre as empresas brasileiras, o principal “driver” para o uso de criptografia é proteger a reputação da marca ou o dano resultante de uma violação de dados, sendo que apenas 5% delas afirmam fazer uso da criptografia para evitar ter que notificar clientes ou funcionários depois que ocorre uma violação de dados.

Segundo Umberto Rosti, sócio-fundador da SafeWay Consultoria, empresa especializada em Segurança da Informação, o indicativo dessa baixa preocupação é que não existem leis e normas para proteção de informações sensíveis e a privacidade de clientes no Brasil. “O que percebemos é que mesmo entre as empresas que possuem algum projeto de criptografia a grande preocupação está em proteger a marca e o crescimento da companhia, e não os dados sensíveis, de clientes e fornecedores, uma vez que muitas destas empresas não avisam aos seus clientes quando há um vazamento ou roubo de informações como é de praxe nas legislações mais avançadas”, afirma.

Para Rosti, mesmo as empresas que seguem normas internacionais, como é o caso de instituições financeiras, que deveriam informar sobre vazamentos, não o fazem. “Não existe uma lei específica no Brasil. O que existe é um paralelo com as leis normais. Por exemplo, se alguém lê seu email, o crime vai ser considerado uma quebra de correspondência, o mesmo que alguém pegar uma carta do correio e abrir. E com isso fica difícil qualificar o crime de acordo com o prejuízo para a vítima, que muitas vezes acaba tendo sua vida afetada, seja ela pessoal ou profissional”, afirma.

Outro dado da pesquisa revela que mais da metade dos entrevistados disseram não ter uma área ou pessoa que tenha total responsabilidade de determinar o uso de criptografia. Já 22% dos entrevistados disseram que o líder de TI é mais influente na determinação da estratégia de criptografia da empresa, seguido por 14% que dizem que é o líder da unidade de negócio. Apesar dos resultados obtidos no Brasil, em estudos de outros países foi evidenciado que os líderes empresariais estão ganhando influência na escolha de soluções de criptografia e podem refletir uma tendência mais ampla no consumo de TI. “O ideal é que os líderes do negócio entendam que as iniciativas de segurança da informação podem agregar valor aos seus negócios e melhorar os resultados globais”, diz Rosti.

O estudo mostrou também que gerenciamento de acesso e identidade, seguido pela descoberta de dados em risco, são as duas principais prioridades de proteção de dados. Para Rosti, a preocupação com estes dois fatores mostra que as empresas desconhecem onde estão os dados sensíveis. “Muitas companhias são roubadas, mas só ficam sabendo do roubo quando a informação vazada chega, por exemplo, as mãos de um concorrente, ao mercado ou a mídia. Já que o criminoso, na maioria das vezes, faz apenas a cópia da informação, deixando o original intacto” diz.

Investimento

Em média, as organizações brasileiras dedicam uma porcentagem menor de seus orçamentos de TI para tecnologias de criptografia. O percentual atual de gastos de TI destinado a criptografia é uma média de 10% para as organizações brasileiras. No Japão, por exemplo, são investidos cerca de 25%, seguido de 21% na Alemanha e 18% nos Estados Unidos. No Brasil, este investimento deve aumentar para 16,5% no próximo ano.

Apesar dos inúmeros casos de vazamento de dados registrados (ou não) no país, a maturidade acerca da criptografia ainda é muito pequena em relação às fragilidades das empresas. “A criptografia não poderia ser negligenciada, pois caso tenha um vazamento ou o sistema esteja comprometido por uma vulnerabilidade (roubo de equipamento, hacking, etc), ela torna os dados ilegíveis para outras pessoas, resguardando assim a confidencialidade dos dados”, afirma Rosti.

Por isso, mesmo que ainda não tenha legislação para crimes praticados na internet, o uso de criptografia deveria ser olhado com cuidado para proteção não apenas da marca, mas também aos dados de clientes, fornecedores, usuários, que acabam afetados pela dificuldade das empresas brasileiras em entender ou reconhecer a importância do uso de criptografia para segurança dos seus dados protegidos.

COBIT 5: Presunção ou integração?

Numa primeira leitura sobre o COBIT 5, recém lançado globalmente pela ISACA – Information Systems Audit and and Control Association, pareceu-me muita presunção ao ser apresentado como o único Framework de Negócio para Governança e Gestão de TI Corporativa. Passado o susto, entendi perfeitamente que o COBIT 5 veio, de fato, integrar o Negócio com a Tecnologia da Informação.

Ao acompanharmos a evolução do COBIT ao longo de 12 anos, percebemos que começou com foco em auditoria, passando por controle, gerenciamento, governança de TI, atingindo o seu ápice como Framework
de Negócio para Governança e Gestão de TI Corporativa.

Na versão 3 aparecia uma mera citação do Balanced ScoreCard, que nem sequer indicava as suas quatro dimensões ou perspectivas. Já na versão 4, aí sim, foi apresentado o Balanced ScoreCard com todos os detalhes da integração dos objetivos de TI, suportados pelos processos do COBIT atendendo aos objetivos de Negócios, nas suas perspectivas: Financeira, Cliente, Processo, Crescimento e Aprendizado.

Idealmente esperamos que a empresa divulgue o seu BSC para que possamos desenvolver o BSC de TI. Desde a versão 4 do COBIT já não tivemos mais que esperar por isto, pois já podíamos atender às demandas de negócio a partir do suporte do COBIT.

Hoje o COBIT 5 já descreve, no conteúdo do Guia de Referência de Processos, as suas metas de TI totalmente referenciadas aos Objetivos de Negócio do Balanced ScoreCard. Outra forma de ver o quanto o COBIT se propõe a ser, de fato, um integrador de TI com o Negócio é a Matriz de Responsabilidades em que mais que dobrou (26 X 11) a quantidade de stakeholders, não só das funções de TI, mas também das áreas de negócio, em relação à versão 4.1.

Dentre os stakeholders de negócio envolvidos nas práticas-chave de governança e de gestão para cada processo do COBIT destacamos: Conselho, CEO, COO, Executivos de Negócio, Gestor de Processos de Negócio, Comitê Executivo de Estratégia, Comitê Diretivo de Programas/Projetos, PMO, Value Managament Office, Chief Risk Officer, Comitê de Risco Corporativo, Chefe de Recursos Humanos, Compliance, Auditoria, Gerente de Serviços e Privacy Officer. Algumas funções não foram traduzidas de propósito por serem relativamente novas e termos que nos familiarizar com os termos em inglês para depois os traduzirmos.

A ISACA SP está coordenando o Projeto de Tradução do COBIT 5, previsto para ser concluído ainda em 2012.

Outro fator preponderante de integração é a distinção entre Governança e Gestão. Desta forma o COBIT deixa claro o papel dos stakeholders entre Negócios e TI. Para tal foi criado um novo Domínio: Avaliação Direção e Monitoramento, voltado para as questões de Governança, cujos processos são: assegurar a definição e manutenção do framework de Governança, assegurar a ealização de benefícios, assegurar a otimização de riscos, assegurar a otimização de recursos e assegurar a transparência dos stakeholders.

É de se esperar que cada vez mais tenhamos não apenas os profissionais de TI, mas também das áreas de negócios em palestras e workshops de COBIT a exemplo do que já testemunhei nos 4 últimos eventos de COBIT 5 que promovemos, tanto no Brasil quanto no exterior, com participação de Membros de Conselho de Administração, Diretoria, Auditoria Operacional, Recursos Humanos e de Gerenciamento de Projetos.

Outras questões como habilidades, competências, cultura, ética e comportamento, Modelo de Capacidade X Maturidade serão abordadas em outros artigos da Série Governança Corporativa e de TI

Antonio de Sousa – sócio diretor da Big Five Consulting.

Tuesday 29 May 2012

Saiba o que mudou no cenário de gestão de riscos depois do lançamento da ISO 31000, de acordo com o Diretor de Tecnologia e Sócio-Fundador da Módulo Alberto Bastos.

Desde o lançamento da ISO 31000, em novembro de 2009, as corporações contam com uma norma de gestão de riscos com reconhecimento internacional. Essa série de orientações da International Organization for Standardization (ISO) fornece diretrizes para implementar a gestão de riscos em organizações de qualquer tipo, tamanho ou área de atuação. Em entrevista à GRC Management, Alberto Bastos, Diretor de Tecnologia e Sócio-Fundador da Módulo e Coordenador, no Brasil, da Comissão Especial da Associação Brasileira de Normas Técnicas (ABNT) sobre as Normas de Gestão de Riscos, fala sobre os benefícios da ISO 31000 e a participação do Brasil nesse cenário.

GRC Management - Quais são os principais pontos tratados na ISO 31000 e o que mudou no cenário de gestão de riscos após o seu lançamento?

Alberto Bastos - A ISO 31000 é hoje a referência internacional em gestão de riscos. Foi lançada mundialmente em 13 de novembro de 2009 e, no Brasil, foi traduzida e publicada pela Associação Brasileira de Normas Técnicas (ABNT) como norma brasileira ainda em novembro. Junto com a ISO 31000, também foi publicada a ISO Guia 73, que contém a terminologia e os conceitos usados em gestão de riscos.

A ISO 31000 é uma norma com apenas 24 páginas e que contém princípios e diretrizes genéricas para a gestão de riscos nas organizações de todos os tipos e tamanhos. A partir do lançamento da norma, pretende-se que ela seja utilizada para harmonizar os processos de gestão de riscos tanto em normas atuais como em futuras. Nesse sentido, foram lançados diversos outros padrões, normas e regulamentações sobre gestão de riscos e que se baseiam nos conceitos e linguagem da ISO 31000, como, por exemplo, a ISO/IEC 27005 – norma específi ca de gestão de riscos em segurança da informação.

GRC Management - Quais são os principais conceitos da gestão de riscos aplicados hoje e que têm base na norma ISO 31000?

Alberto Bastos - A ISO 31000 estabelece onze princípios básicos que devem ser observados para uma gestão de riscos efi caz nas organizações, em todos os níveis.

A norma também descreve os componentes necessários a uma estrutura de gestão de riscos com os fundamentos e arranjos para incorporá-la por toda a organização, em todos os níveis, e a forma como eles se inter-relacionam de maneira interativa. Outra parte importante é a que fornece o processo padrão que contém as atividades de gestão de riscos. Convém que esse processo seja parte da gestão, incorporado à cultura e às práticas, e adaptado aos processos de negócios da organização.

Finalmente, a norma oferece um anexo informativo que contém atributos de uma gestão de riscos avançada para auxiliar as organizações a medirem seu desempenho e indicadores tangíveis para cada atributo.

GRC Management - As organizações estão buscando se adequar à ISO 31000? De que forma?

Alberto Bastos - As empresas vêm utilizando a ISO 31000 como referência para concepção e implementação de planos e estruturas para gestão de riscos, levando em conta as suas necessidades específi cas, segundo seus objetivos, estrutura, processos, funções, produtos, serviços e práticas específi cas empregadas.

GRC Management - Ela é válida também para pequenas empresas ou apenas para as de grande porte?

Alberto Bastos - A norma pode ser utilizada por empresas de todos os tipos e tamanhos, seja empresa pública, privada ou comunitária, associação, grupo ou indivíduo. Portanto, não é específi ca a uma indústria ou um segmento e pode ser aplicada também a todos os tipos de riscos, sejam estratégicos, fi nanceiros ou operacionais.

GRC Management - Qual é o papel da Módulo como parceira das organizações que almejam a excelência em gestão de riscos com base na ISO 31000?

Alberto Bastos - A Módulo tem colaborado ativamente com o desenvolvimento de normas de gestão de riscos e padrões em segurança da informação. No Brasil, coordeno pessoalmente o Comitê de Gestão de Riscos da ABNT, composto por mais de 500 empresas dos mais diferentes setores, como bancos,indústrias, hospitais, universidades, tecnologia, seguradoras, telecomunicações, energia etc. Em TI, o foco da Módulo é contribuir para o desenvolvimento de padrões relacionados à segurança da informação, como a série de normas ISO 27000 e ISO 20000, além de apoiar a tradução de frameworks como o COBIT – Control Objectives for Information and related Technology.

Nos EUA, estamos participando de grupos de trabalho ligados a defesa cibernética e interoperabilidade de sistemas de segurança da informação, como, por exemplo, membros do Conselho do OVAL – Open Vulnerability and Assessment Language e do CCE – Common Confi guration Enumeration.

GRC Management - Existem modelos de aplicação dessa nova norma? Como são?

Alberto Bastos - Recentemente, a ISO criou um comitê internacional composto por 35 países para desenvolver a ISO 31004 – diretrizes para implementação da ISO 31000, que fornecerá orientações práticas e informações detalhadas de como as organizações podem implementar a estrutura e os processos defi nidos na ISO 31000. A primeira reunião desse comitê ocorreu em setembro, em Londres. Eu estive lá, coordenando a delegação brasileira que participou de forma ativa dos trabalhos.

GRC Management - Quais são as diferenças entre o modelo de gestão de riscos baseado na ISO 31000 e os outros?

Alberto Bastos - Por se tratar de norma ISO, tem reconhecimento internacional e está disponível em vários idiomas. É fruto de um trabalho que envolveu centenas de especialistas de vários países, com experiências e conhecimentos nos mais variados tipos de empresas e organizações. Trata de objetivos nos seus mais diferentes aspectos, sejam negativos ou positivos, como metas fi nanceiras, de saúde e segurança ou ambientais, e que podem ser aplicados a diferentes níveis (tais como estratégico, em toda a organização, de projeto, de produto e de processo).

GRC Management - Existem diversos cursos sobre a ISO 31000 e muito se fala dela. Por que essa norma é tão importante?

Alberto Bastos - Todas as atividades de uma organização envolvem risco. Hoje em dia, as empresas estão tratando internamente a gestão de riscos de diferentes modos, áreas e níveis e utilizando termos e conceitos distintos. Isso cria uma verdadeira “Torre de Babel”, onde pessoas, áreas ou funções, dentro da própria organização, falam línguas diferentes. É preciso criar uma linguagem comum, e a ISO 31000 descreve exatamente esse processo de forma sistemática, lógica e em detalhes.

Um novo comportamento na compra de soluções de segurança da informação

O mercado de soluções para segurança da informação nunca foi tão dinâmico. Com ameaças surgindo diariamente, e também com o uso cada vez maior de novas formas de acessar os dados (como tablets, telefones celulares e afins), o investimento das empresas em tecnologia para assegurar a integridade e a privacidade das informações corporativas cresce na mesma velocidade.

Mais do que um maior volume de investimento, o dinamismo deste mercado vem proporcionando uma mudança no comportamento de compra das empresas que optam por soluções de segurança de TI. Se há cerca de cinco anos elas buscavam centralizar toda sua estrutura de hardware e software em um único e grande fornecedor de tecnologia, hoje existe um claro movimento de descentralização e cada vez mais as corporações procuram parceiros que sejam especialistas em sua função.

Isso acontece porque a necessidade por uma melhor segurança vem fazendo com que os departamentos de TI troquem o conforto de gerenciar apenas um fornecedor (geralmente grandes empresas, que oferecem um portfólio abrangente), para contar com soluções que atendam a uma demanda com maior profundidade e eficiência, não deixando brechas para vírus, malwares ou mesmo ataques de hackers.

Em geral, estas soluções são ofertadas por fornecedores especialistas, que justamente por não terem a complexidade das grandes corporações da área de TI, conseguem ter a agilidade necessária para acompanhar as novidades do mercado de segurança.

Diante desse cenário, o papel do distribuidor de soluções de segurança também mudou. Mais do que simplesmente comercializar produtos para as revendas, o distribuidor eficiente tem o dever de acompanhar as tendências, descobrir no mercado as melhores tecnologias e quem são os fornecedores especialistas em cada área, apresentando-os para os canais e dando a eles o treinamento necessário para que comercialize estas soluções para as empresas.

Juntos, a revenda e o distribuidor também assumiram o papel de centralizar o suporte às diferentes tecnologias comercializadas para o cliente, dando ao departamento de TI o mesmo conforto que tinha quando optava por trabalhar com apenas um, ou alguns grandes fornecedores.

Portanto, para poder contar com as tecnologias mais avançadas em segurança, é fundamental que o usuário opte por um canal de sua confiança, e que tenha por trás um distribuidor que efetivamente agregue valor ao seu negócio. É uma escolha que exige cuidado, mas que será fundamental para que sua empresa possa desfrutar de um ambiente de TI mais seguro e produtivo.

* Francisco Gandin é diretor presidente da ApliDigital, distribuidor de valor agregado de TI com foco nas áreas de Segurança, Soluções para Otimização de Performance e Comunicação Unificada

Sunday 27 May 2012

Classe C impulsionará receita de dados das teles no Brasil

O mercado brasileiro tem potencial de chegar a 45,5 milhões de smatphones uma participação de 36% das receitas de dados no faturamento das operadoras até 2015. O grande motor de crescimento será a classe C que, hoje, já é composta de 170 milhões de brasileiros e teve seu poder de compra elevado em 260% nos últimos três anos.


Os dados fazem parte de pesquisa realizada pela Pyramid Research apresentada por Vinícius Caetano, analista sênior da consultoria, durante a 12ª edição do Rio Wireless, evento que acontece no Rio de Janeiro.


“A classe C vem usando seu poder de compra para adquirir produtos de tecnologia, mas ainda é reticente em relação ao uso de smartphone, porque ainda considera os preços altos e porque ainda não enxergou benefícios reais nos serviços de dados”, diz Caetano, para quem quando estas barreiras estiverem superadas isso poderá contribuir para uma aceleração nas vendas de smartphones
Segundo o estudo apresentado o Brasil passará de uma penetração da telefonia celular de 123% para 158% até 2015.

O mercado tem comportamento distinto para voz e dados. No primeiro caso há um descompasso entre a forte expansão do uso de minutos de voz e o Arpu já que a guerra de preços e a luta por market share erodiram as receitas de voz.


“Com o mercado de voz em decadência, é importante que as operadoras foquem em smatphone que é o que faz crescer o uso de serviços de dados onde os valores ainda não foram afetados pela guerra de preços. O potencial de crescimento é grande pois hoje as receitas de dados representam apenas 23% do faturamento das operadoras, ante 39% na Argentina. A expectativa é que em 2015 cheguemos a 36,1% mas ainda estaremos atrás da Argentina, que estará em 48%”, diz Caetano.


Entre as tendências apontadas no estudo está o fato de que o mercado de smartphones continuará evoluindo de forma acelerar a partir do barateamento dos preços que passará dos atuais US$ 190 para US$ 150 até 2015, por meio de incentivos fiscais e ganhos de escala. “A evolução da 3G e o início da cobertura do LTE, bem como a popularização dos aplicativos móveis e planos mais competitivos vão impulsionar o mercado".


Assista a entrevista exclusiva concedida à CDTV, do Convergência Digital, de Vinicius Caetano, analista da Pyramid Research. Na reportagem, Caetano fala sobre a qualidade da rede móvel nacional e avalia a implantação do 4G.

Thursday 24 May 2012

Pesquisa diz que metade dos ataques tem motivo financeiro

A Check Point Software Technologies anuncia os resultados de uma pesquisa em que 57% das empresas que já passaram por ataques direcionados, revelaram que a motivação dos hackers foi a fraude financeira. Isso culminou na interrupção dos negócios e na perda de informações importantes, incluindo propriedade intelectual e confidencialidade dos negócios.

O relatório O Impacto do Crime Virtual sobre as Empresas também informou que as empresas brasileiras registram uma média de 47 novas tentativas de ataque por semana, e os incidentes bem sucedidos geram um custo de US$106.904, em média.

Atualmente, os hackers usam cada vez mais malware, bots e outras ameaças sofisticadas para atacar empresas por diversos motivos – para ganho financeiro e a interrupção de atividades empresariais até o roubo de dados ou ataques direcionados por motivos políticos. Independente da motivação, novas variantes de malware aparecem todos os dias, geralmente atacando vários sites e empresas numa tentativa de aumentar as chances de sucesso inicial do ataque e o potencial das ameaças se espalharem silenciosamente por uma empresa.

“Os criminosos virtuais não são mais amadores isolados. Eles fazem parte de organizações bem estruturadas, geralmente empregando hackers altamente habilidosos para realizar ataques direcionados, muitos dos quais recebem grandes quantias em dinheiro, dependendo da região e da natureza do ataque”, disse Tomer Teller, evangelista em segurança e pesquisador da Check Point Software Technologies. “O crime virtual se tornou um negócio. Com kits de ferramentas para hackers à venda por apenas US$ 500, revela o escopo do problema e a importância de implementar soluções para proteger os ativos mais importantes”.

De acordo com a pesquisa, vírus, worms e cavalos de Tróia foram citados entre os tipos mais graves de ataques sofridos pelas empresas nos últimos dois anos, seguidos pelos ataques de negação de serviço. Após investigações de ameaças direcionadas, os participantes relataram que as maiores consequências foram a perda de informações sensíveis e a interrupção dos negócios.

“Na maioria das vezes, o hacker está em busca de informações valiosas. Hoje em dia, os dados de cartões de crédito dividem o espaço nas vitrines dos hackers com outros itens, como registros de funcionários e dados de login do Facebook ou e-mail, além de explorações de dia zero que podem ser roubadas e vendidas no mercado negro a preços que variam de US$10.000 a US$500.000”, acrescentou Teller. “Infelizmente, existem indicações de um crescimento no volume de crimes virtuais, uma vez que tecnologias como a Web 2.0 e a computação móvel estão cada vez mais presentes em ambientes corporativos -- oferecendo aos hackers mais canais de comunicação e pontos de entrada na rede”.

“As empresas enfrentam novos e caros desafios de segurança de fontes internas e externas, que podem colocar os negócios em risco”, disse o Dr. Larry Ponemon, presidente e fundador do Instituto Ponemon. “O tipo de ameaça e o nível de preocupação das empresas variam entre regiões, mas a boa notícia é que a preocupação com a segurança tem aumentado. Em todas as regiões, os principais executivos apontaram um alto nível de preocupação com os ataques direcionados, e pretendem implementar mais segurança, tecnologia e treinamento para reduzir o risco desses ataques”.

Principais Conclusões do Relatório:

• Principais motivações das ameaças direcionadas - Investigações de ataques virtuais em empresas brasileiras revelam que a maioria dos participantes apontou a fraude financeira (57%) como a principal motivação dos hackers, seguida pela intenção de interromper as operações da empresa (42%) e o roubo de dados de clientes (35%). De acordo com estimativas, aproximadamente 9% dos ataques de segurança foram motivados por questões políticas ou ideológicas.

• O crime virtual existe em todos os formatos – Aproximadamente 55% dos participantes brasileiros dizem que os ataques DoS são os cibercrimes de segurança mais graves dos últimos dois anos, seguidos pelas infecções com malware baseado na web (37%) e Injeções SQL (31%).

• Os ataques direcionados são caros – De acordo com os participantes brasileiros da pesquisa, um único ataque direcionado bem sucedido pode custar, em média, US$ 106.904. As estimativas incluem variáveis como as investigações forenses, investimentos em tecnologia e os custos de recuperar a marca.

• Vetores mais comuns – Ao classificar as atividades de funcionários que representam os maiores riscos, todas as regiões citaram o uso de dispositivos móveis – incluindo smartphones e tablets – como a maior preocupação, seguido por dispositivos de mídia removível, como pendrives e redes sociais.

• Investimentos em tecnologia – Enquanto a maioria das empresas possui peças-chave de segurança, como as soluções de Firewall e Prevenção contra Ataques, menos da metade das companhias brasileiras (40%) pesquisadas estão aptas a combater os botnets e as ameaças avançadas.

• Treinamento e conhecimento de segurança – Apenas 41% das empresas dizem manter programas de conscientização e treinamento atualizados para evitar ataques direcionados.

Os cibercriminosos estão em busca de dados valiosos que justificam o tempo investido e o risco do ataque; por esse motivo as empresas devem focar seus trabalhos de segurança nessa área também. As companhias devem começar a identificar os dados e ativos importantes e aplicar a prevenção contra ameaças em múltiplas camadas. Enquanto milhares de empresas foram alvo de bots e ameaças avançadas, todas têm a responsabilidade de impedir seu alastramento.

O relatório, O Impacto do Crime Virtual sobre as Empresas, pesquisou 2.618 executivos e administradores de segurança de TI nos Estados Unidos, Reino Unido, Alemanha, Hong Kong e Brasil. A amostra da pesquisa representa companhias de vários tamanhos em setores, como finanças, indústria, defesa, varejo, saúde e educação. Para mais informações e visualização do relatório completo, acesse: http://www.checkpoint.com/products/downloads/whitepapers/ponemon-cybercrime-2012.pdf.

Estudo revela receio de apropriação e uso indevido dos cartões

A nova edição do Índice de Segurança Unisys, pesquisa semestral que mede a percepção sobre a segurança no País em diversas áreas, revela sensível queda da preocupação dos brasileiros com fraudes de cartões de crédito e débito. Na medição atual, 73% dos entrevistados afirmaram ter esse receio, ante 86% da apuração realizada no primeiro semestre de 2011.

Outra preocupação apontada pelos brasileiros diz respeito ao cumprimento de suas obrigações financeiras: 62% dos pesquisados se disseram seriamente preocupados com sua capacidade de honrar compromissos como hipoteca, empréstimos, faturas de cartão de crédito e até mesmo pagamentos de contas. No ano passado, esse número correspondia a 57%.

O Índice de Segurança Unisys avaliou a percepção da população nas áreas de segurança financeira, pessoal, na internet e nacional. O tema Segurança Financeira registrou 178 pontos (em uma escala que vai até 300), o que faz do Brasil o quarto mais preocupado do mundo com o assunto – dentre os 12 países que participaram do levantamento. Nos três primeiros lugares do ranking sobre Segurança Financeira, aparecem respectivamente Hong Kong, Colômbia e México.

Já a pontuação global do Brasil – abrangendo as quatro divisões da segurança pesquisadas, inclusive financeira – foi de 176 pontos no Índice, a quarta mais alta entre as nações pesquisadas.

A pesquisa entrevistou 10 mil pessoas em 12 países. No Brasil, foram ouvidas 934 pessoas, porta-a-porta, em 70 grandes áreas metropolitanas de todo o País no período de 20 de fevereiro a 12 de março de 2012.

Tuesday 22 May 2012

Anatel publica nova tabela de EILD Padrão

A Anatel publicou no Diário Oficial da União desta segunda, 21, a nova tabela de Exploração Industrial de Linha Dedicada (EILD Padrão) aprovada pela resolução 590 de 15 de maio de 2012.

Os novos preços são aproximadente 30% menores do que os preços que vigoravam desde 2005. A agência ainda tem um importante trabalho a fazer de atualização das velocidades constantes da nova tabela. O link com maior velocidade é de 2 Mbps, o que é muito baixo para a realidade atual do mercado.

O conselho diretor da Anatel aprovou também que se faça em 90 dias, contados a partir do começo do mês, um estudo para a revisão das velocidades da tabela de EILD para adequá-la à realidade das velocidades atuais praticadas pelo mercado.

Acessos em banda larga quase dobram e totalizam 73 milhões em abril

Os acessos à internet banda larga fixa e móvel no Brasil totalizaram 73 milhões em abril, o que representa um crescimento de 73%, quase o dobro em relação ao mesmo período do ano passado, segundo levantamento da Associação Brasileira de Telecomunicações (Telebrasil).


Do total de acessos, 54,3 milhões foram de banda larga móvel e 18,7 milhões de banda larga fixa. O mês de abril fechou com 8,6 milhões de modems e 45,7 milhões de celulares 3G. Nesse segmento, que inclui os smartphones, houve crescimento de 139% desde abril de 2011, período em que foram ativados 26,6 milhões de novos acessos móveis 3G. A banda larga fixa, por sua vez, cresceu 12,2% nos últimos doze meses, com a ativação de dois milhões de novos acessos.


Conforme revelou a presidente Dilma Rousseff nesta segunda-feira (21), cerca de seis milhões de famílias que não tinham acesso à internet em casa passaram a contar com o serviço por meio do Plano Nacional de Banda Larga. Desde o início do ano, a rede de 3G foi instalada em 265 municípios e, ao fim de abril, a banda larga móvel já atendia um total de 2.915 municípios, onde moram 85% da população brasileira.


Ainda de acordo com Dilma, 95% das escolas públicas de ensino fundamental no Brasil já contam com conexão de internet banda larga, atingindo um total de 32 milhões de estudantes e 1,5 milhão de professores. Sobre o acesso à internet banda larga nas universidades, hospitais universitários e escolas técnicas, a previsão do governo é que a Rede Nacional de Educação e Pesquisa permita a inclusão de 735 campi brasileiros até 2014.

Com informações da Agência Brasil.

Friday 18 May 2012

A penhora sobre os créditos de natureza salarial no curso da execução trabalhista

Ante a proteção constitucional e o caráter alimentar dos vencimentos, salários e subsídios, a legislação não admite sua penhora, arresto ou seqüestro (arts. 649, IV, 821 e 823, CPC). Nas relações de emprego, tem-se o princípio da intangibilidade salarial.[1]

A preocupação do constituinte com a subsistência do servidor fizeram com que os créditos de natureza alimentar fossem excluídos do sistema geral de pagamento dos créditos contra a fazenda pública – sistema de precatórios, assim considerados aqueles decorrentes de salários, vencimentos, proventos, pensões e suas complementações, benefícios previdenciários e indenizações por morte ou invalidez, fundadas na responsabilidade civil, em virtude de sentença transitada em julgado (art. 100, § 1º-A, CF).

O subsídio não foi previsto expressamente pelo constituinte no § 1º-A do art. 100, mas, considerando a sua natureza remuneratória e alimentar, não há motivos para que créditos dele decorrentes também não sejam postos fora do sistema de precatório geral.

Também é absolutamente impenhorável a quantia depositada em caderneta de poupança até o limite de 40 salários-mínimos (art. 649, X).

Dentro do sistema de proteção, o art. 114, Lei nº 8213/91, prevê que o benefício previdenciário, exceto quanto a valor devido à Previdência Social, a descontos autorizados por lei e derivados da obrigação de prestar alimentos reconhecida em sentença judicial, “não pode ser objeto de penhora, arresto ou seqüestro, sendo nula de pleno Direito a sua venda ou cessão, ou a constituição de qualquer ônus sobre ele, bem como a outorga de poderes irrevogáveis ou em causa própria para o seu recebimento.”

O próprio legislador excepcionou a regra do Código de Processo Civil, ao admitir a penhora no caso de pagamento de prestação de natureza alimentícia (art. 649, § 1º, CPC, com redação da Lei nº 11.382/06).

Poderá também sofrer seqüestro ou perdimento de bens o servidor que pratique crime que resulte em prejuízo para a Fazenda Pública ou que promova seu enriquecimento ilícito (arts. 16 a 18, Lei nº 8.429/92).

Podem ser penhorados, à falta de outros bens, os frutos e rendimentos dos bens inalienáveis, salvo se destinados à satisfação de prestação alimentícia (art. 650, CPC, com a nova redação dada pela Lei nº 11.382/06).

Acrescente-se que tramita no Congresso Nacional o projeto de Lei da Câmara nº 51, de 2006 (nº 4.497, de 2004, na Casa de Origem), que promove alteração no CPC para que se permita a penhora de salários para pagar dívidas. Pelo projeto, 40% do valor que passar de 20 salários-mínimos do rendimento mensal do devedor poderão ser bloqueados para o acerto de contas. Nesse caso, uma pessoa inadimplente com renda de R$ 10 mil, por exemplo, tem garantido R$ 7 mil, mas 40% dos R$ 3 mil restantes vão automaticamente para quitar a dívida, ou seja, R$ 1,2 mil.

O entendimento jurisprudencial dominante é no sentido de que a proteção salarial é absoluta, não admitindo exceções, além das hipóteses expressamente previstas em lei.

“MANDADO DE SEGURANÇA. PENHORA SOBRE PARTE DOS SALÁRIOS. ILEGALIDADE. Os salários são alcançados pela impenhorabilidade absoluta prevista no artigo 649, inciso IV, do Código de Processo Civil. Portanto, reveste-se de ilegal a determinação de penhora dos salários recebidos por sócio da empresa Executada, ainda que limitada a determinado percentual dos valores recebidos mensalmente. Recurso ordinário conhecido e provido” (TST – SDI-II – ROMS nº 284.2006.000.10.00 – Rel. Min. Emmanoel Pereira – j. 20/11/2007 – DJ 14/12/2007).“RECURSO ORDINÁRIO EM MANDADO DE SEGURANÇA. ORDEM DE PENHORA DE PROVENTOS DE APOSENTADORIA DAS EXECUTADAS. CABIMENTO DO WRIT.

IMPOSSIBILIDADE DA PENHORA. VEDAÇÃO EXPRESSA NO INCISO IV DO ART. 649 DO CPC. Recurso Ordinário interposto contra acórdão que extinguiu o feito sem resolução do mérito, nos termos do art. 267, VI, do CPC, por considerar incabível no caso dos autos o mandado de segurança contra ato da Juíza da 5ª Vara do Trabalho de Goiânia que determinou a penhora e o bloqueio de 10% (dez por cento) dos proventos mensais das Executadas, considerando haver recurso próprio para atacá-lo.

Este TST tem admitido que se ultrapasse a barreira de cabimento do writ em hipóteses excepcionais onde a inexistência de remédio jurídico imediato possa causar dano de difícil reparação e seja flagrante a ilegalidade ou abusividade do ato impugnado. O art. 649, IV, do CPC contém norma imperativa que não admite interpretação ampliativa, no sentido de se permitir a penhora de salários e proventos do executado, para pagamento de créditos trabalhistas, ainda que considerada a sua natureza alimentar. Recurso Ordinário provido” (TST – SDI-II – ROMS nº 407.2005.000.18.00 – Rel. Min. José Simpliciano Fontes de F. Fernandes – j. 13/3/2007 – DJ 23/3/2007).

“PROVENTOS DE APOSENTADORIA. IMPENHORABILIDADE ABSOLUTA.

Nos termos do art. 649, inciso IV, do CPC, de aplicação subsidiária à esfera trabalhista, consoante o art. 769/CLT, são absolutamente impenhoráveis os vencimentos, subsídios, soldos, salários, proventos de aposentadoria, pensões, pecúlios e montepios; as quantias recebidas por liberalidade de terceiro e destinadas ao sustento do devedor e sua família, os ganhos de trabalhador autônomo e os honorários de profissional liberal.

A impenhorabilidade absoluta dos bens enumerados no art. 649 do CPC é norma de ordem pública, não subsistindo a penhora sobre valores que decorrem de remuneração, salário, aposentadoria ou pensão paga a qualquer título, pois provisão de subsistência do seu beneficiário. Ademais, a pretensão do exeqüente encontra óbice nos termos do artigo 114 da Lei 8213/91, in verbis: ‘o benefício não pode ser objeto de penhora, arresto ou seqüestro, sendo nula de pleno Direito a sua venda ou cessão, ou a constituição de qualquer ônus sobre ele, bem como a outorga de poderes irrevogáveis ou em causa própria para o seu recebimento’. Recurso a que se nega provimento” (TRT – 3ª R – 4ª T – Proc. nº 00746.1995.032.03.00.1 – Rel. Júlio Bernardo do Carmo – DJMG 12/10/2007 – p. 14).

Independentemente de alterações legais, no curso da execução trabalhista, é possível da penhora parcial do salário, vencimentos, aposentadoria e pensão em situações excepcionais, como ocorre quando o mesmo é do empregador ou dos sócios da empresa que deixou de cumprir as obrigações trabalhistas e não existem outros bens a serem penhorados.

Justificam a nossa posição os preceitos constitucionais de valorização do trabalho humano, bem como a natureza alimentar do crédito e sua abrangência definida no art. 100-A, § 1º-A, da CF, a efetividade das decisões judiciais, o princípio da razoabilidade e a responsabilidade dos sócios pelo cumprimento da obrigação trabalhista (art. 50, CC).

A restrição legal de impenhorabilidade não pode ser vista de forma absoluta dentro do sistema jurídico. Não se pode admitir a prevalência de um bem jurídico protegido pelo sistema normativo sobre outro bem jurídico também protegido pelo sistema.

Contudo, essa posição doutrinária não há de ser vista como regra geral e sim de acordo com o caso concreto, aplicando-se o princípio da proporcionalidade: “Indiscutível a necessidade de se respeitar à dignidade da pessoa humana do executado, mas do outro lado, o do credor, há uma pessoa, que também precisa se sustentar e aos seus, que tem sua dignidade, e que, para mantê-la, vê-la respeitada, necessita e tem o direito de receber o que já foi reconhecido judicialmente como lhe sendo devido, e mais: uma pessoa à qual não pode ser jogado o peso de uma iniciativa empresarial que não logrou êxito, porquanto, claro é, se todos podem tentar vencer na vida, os escolhos que então se apresentarem, não podem ser contornados, colocando-se os mesmos no caminho de quem, útil quando se tentou uma atividade empresarial, incomoda quando o prosseguimento da mesma não se afigurou mais como possível, isso me parece óbvio!

Sinto que essa tela não pode receber cores de aprovação da Justiça do Trabalho, o que caminharia para a própria negação de sua razão de ser, e para obstar seja emoldurada, repoduzindo a triste cena de um trabalhador desesperado, que teve seus direitos reconhecidos, mas frustrados por ulterior falta de quitação, pelos motivos aqui expostos, com seus filhos, chorando, esfomeados, e sua mulher, amargurada, decepcionada e já sem forças, há de ser aplicado o princípio da proporcionalidade, por meio do qual, sem agredir o artigo 649, IV, do Estatuto processual, dar-se-á resposta ao direito e à necessidade do credor/trabalhador/certamente desempregado.”[2]

A penhora parcial do salário deve observar o quantum recebido mensalmente e o valor devido podendo, inclusive, ser fixada em prestações mensais, até a devida satisfação do crédito trabalhista que esteja sendo executado.

Nesse sentido, temos algumas decisões dos Tribunais Regionais do Trabalho:

“PENHORA EM SALÁRIO. PAGAMENTO DE DÍVIDA TRABALHISTA. ART. 649, IV, DO CPC. Quando o art. 649, IV, do CPC, determina a impenhorabilidade dos salários, faz a ressalva quanto ao pagamento de prestação alimentícia. A interpretação da expressão ‘prestação alimentícia’ deve ser buscada no art. 100, § 1º-A, da Constituição Federal. Assim, e em face dos princípios da proporcionalidade e da razoabilidade, é passível de penhora os salários do executado quando a dívida se refere ao pagamento de títulos trabalhistas, no limite de 15% do valor salarial percebido pelo executado, mensalmente, até a integral satisfação do crédito exeqüendo” (TRT – 3ª R – 3ª T – Proc. nº 00634.2002.022.03.00.3 – Rel. César Pereira da Silva Machado Júnior – DJMG 24/6/2006 – p. 8).

“MANDADO DE SEGURANÇA. PENHORA. CONTA-SALÁRIO. Embora o art. 649, IV, do CPC verse acerca da ilegalidade da penhora salarial, este Relator entende que a imunidade versada no dispositivo civil adjetivo não pode ter aplicação ampla irrestrita em sede trabalhista, por uma só razão: se de natureza alimentícia se reveste o salário do executado, esta é também e exatamente a qualidade inerente ao crédito exeqüendo. Creio, ademais, que tão-logo transferida à entidade bancária a remuneração perde sua intangibilidade, deixa de se revestir de tais honras, passando a configurar numerário comum, sujeito a gravame, cf. Precedente 60, da SDI-2/TST. Ademais, a impenhorabilidade não é regra absoluta, devendo ser examinado individualmente cada caso. Invocando a sabedoria popular ‘sempre pertinente –, de que não se pode despir um santo para vestir outro, limito a 50% do saldo a ordem de penhora da conta-salário’” (TRT – 3ª R – SDI – MS nº 00461.2005.000.03.00.9 – Rel. Fernando Antonio Veigas Peixoto – DJMG 15/7/2005 – p. 6).

“EXECUÇÃO TRABALHISTA. PENHORA DE SALÁRIO. PERCENTUAL. O bloqueio judicial de 20% do salário da Executada para o pagamento de débitos trabalhistas não viola o princípio da dignidade da pessoa humana, pois visa resguardar as condições de sustento e sobrevivência do Exeqüente, possuindo também natureza alimentícia. Ademais, esta Egrégia Turma vem decidindo no sentido de que a penhora referente a 30% do salário está em consonância com as disposições legais e constitucionais que regem a matéria. Recurso a que se nega provimento” (TRT – 10ª R – 1ª T – AP nº 01317-1998-018-10-00-0 – Rel. Oswaldo Florêncio Neme Junior – J. 13/9/2006).

“MANDADO DE SEGURANÇA. PENHORA DE SALÁRIO EXISTENTE EM CONTA-CORRENTE BANCÁRIA. POSSIBILIDADE A EGR – 2. Seção Especializada desde Regional firmou posicionamento no sentido de que a penhora mensal de parcela até 30% do salário do Executado, respeitado o limite do valor da execução, não configura ofensa ao inciso IV do artigo 649 do CPC. Tal entendimento se assenta no fato da penhora realizada nessas circunstâncias visar o pagamento de parcela de mesma natureza daquela penhorada, qual seja: Salário. Além disso, a incidência da penhora apenas sobre pequeno percentual do salário do devedor, preserva seu poder aquisitivo frente a suas necessidades básicas, bem como garante ao empregado credor a satisfação das mesmas necessidades vitais (Precedente - MS 00347-2005-000- 10-00-0 - Redator Designado Juiz Pedro Foltran - Julgado em 14.03.2006). Ordem denegada” (TRT –10ª R – 2ª SE – MS nº 00106-2006-000-10-00-2 – Relª Heloisa Pinto Marques – j. 4/7/2006).

“DESCONSIDERAÇÃO DA PERSONALIDADE JURÍDICA. PENHORA DE BENS DOS SÓCIOS. ESGOTAMENTO DOS MEIOS CONTRA A PESSOA JURÍDICA. PROCEDIMENTO. NÃO ENCONTRADOS BENS PERTENCENTES À PESSOA JURÍDICA, AUTORIZADA ESTÁ A CONSTRIÇÃO DO PATRIMÔNIO DOS SÓCIOS. O pedido do benefício de ordem formulado pelo sócio deve vir acompanhado do endereço e da indicação de bens da pessoa jurídica suficientes para o pagamento da dívida, do contrário, a alegação cai no vazio e não pode ser atendida. Sendo este o caso dos autos, não há como atender a pretensão da agravante. Penhora de salários para saldar dívida trabalhista. Possibilidade. Legalidade. A impenhorabilidade prevista no art. 649, IV, do CPC, cede na presença de débito de natureza alimentícia. Os créditos trabalhistas têm natureza alimentícia (art. 100. 1º-a, da CF), portanto, autorizada está a penhora de salários para saldá-los. A determinação de penhora de trinta por cento dos salários da executada para saldar dívida trabalhista está em consonância com as disposições legais que regem a espécie, não havendo falar em violação dos artigos 5º, II, LIV, LV, da CF e 649, IV, do CPC. Agravo conhecido e não provido” (TRT – 10ª R – 1ª T – AP nº 01185-1998-015-10-00-7 – Relª Cilene Ferreira Amaro Santos – j. 22/3/2006).

“Penhora de salários para saldar dívida trabalhista. Possibilidade. Legalidade. A impenhorabilidade prevista no artigo 649, IV, do CPC, cede na presença de débito de natureza alimentícia. Os créditos trabalhistas têm natureza alimentícia (artigo 100, § 1º-A, da CF), portanto, autorizada está a penhora de salários para saldá-los. A determinação da penhora de trinta por cento dos salários da executada para saldar dívida trabalhista está em consonância com as disposições legais que regem a espécie, não havendo falar em violação dos artigos 5º, II, LIV, LV, da CF e 649, IV, do CPC. Agravo conhecido e não provido” (TRT – 10ª R – 1ª T – AP nº 1002/2001.007.10.85-8 – Relª. Cilene Ferreira A. Santos – DJDFJ 2/12/2005 – p. 7).

“Salário. Impenhorabilidade. Possibilidade. A norma contida no art. 649, IV, do CPC, tem o condão de proteger o trabalhador, impedindo que se avilte o seu direito ao salário. Entretanto, a natureza prospectiva das normas permite ao julgador reavaliar seu entendimento para melhor adequação da norma frente ao contexto social. Não havendo dúvida sobre a natureza jurídica do crédito trabalhista, possível é a penhora de parcela do salário para pagamento de crédito trabalhista, desde que observado o respeito a um mínimo que garanta a subsistência do devedor. Recurso conhecido e ao qual se nega provimento” (TRT – 10ª R – 2ª T – Proc. nº 1400/1997.001.10.00-6 – Rel. Mário Macedo F. Caron – DJ 12/5/2006 – p. 23).

“Penhora sobre salário. Possibilidade. A impenhorabilidade absoluta dos salários prescrita no art. 649, IV, do CPC encontra exceção exclusivamente nas prestações alimentícias. Sendo incontestável o caráter alimentício do crédito do exeqüente, correto o enquadramento desse na exceção prevista na citada norma. Agravo de petição conhecido e desprovido” (TRT – 10ª R – 3ª T – Proc. nº 941/1998.018.10.00-0 – Rel. Braz Henriques de Oliveira – DJ 17/3/2006 – p. 27).

“Penhora em conta corrente destinada ao recebimento de aposentadoria. Crédito de natureza alimentar. Exceção à regra. A impenhorabilidade dos vencimentos e pensões dos servidores públicos é excepcionada pela própria lei quando o crédito for de natureza alimentar, neste incluído o decorrente de sentença trabalhista, como preconizado no § 1º-A do artigo 100 da Constituição da República” (TRT – 15ª R – 1ª T – Proc. nº 499.199.019.15.00-1 – Rel. Eduardo B. de O. Zanella – DJSP 6/5/2005 – p. 12).

A 3ª Turma do Tribunal Regional do Trabalho da 3ª Região, quando da análise de um caso concreto, determinou a penhora parcial dos subsídios recebidos por um vereador (Proc. nº 01931.2000.079.03.00.5 – Rel. Bolívar Viégas Peixoto – j. 17/5/2006 – DJMG 3/6/2006 – p. 9).

Notas:

[1] O art. 7º, X, CF, declina a proteção do salário na forma da lei, constituindo crime sua retenção dolosa. A Convenção nº 95, da OIT, aprovada pelo Decreto Legislativo nº 24, de 29/5/56, promulgada pelo Decreto nº 41.721, de 25/6/57, tem regras de proteção para o pagamento do salário. O art. 462, CLT, cuida dos descontos feitos pelo empregador nos salários pagos aos seus empregados.

[2] Giordani, Francisco Alberto da Motta Peixoto. “O Princípio da Proporcionalidade e a Penhora de Salário”, in Revista do TRT da 15ª Região, nº 27, p. 78.

Informações Sobre os Autores
Jouberto de Quadros Pessoa Cavalcante

Advogado. Professor da Faculdade de Direito Mackenzie. Ex-coordenador do Curso de Direito da Faculdade Integrada Zona Oeste (FIZO). Ex-procurador chefe do Município de Mauá. Mestre em Direito Político e Econômico pela Universidade Presbiteriana Mackenzie. Mestre em Integração da América Latina pela Universidade de São Paulo (USP/PROLAM). Autor de várias obras jurídicas em co-autoria com Francisco Ferreira Jorge Neto, com destaques para: Direito do Trabalho (4ª ed., no prelo) e Direito Processual do Trabalho (3ª ed., 2007), todos pela Lumen Juris.

Francisco Ferreira Jorge Neto

Desembargador Federal do Trabalho (TRT 2ª Região). Coordenador e Professor da Pós-Graduação Lato Sensu do Pró-Ordem em Direito do Trabalho e Processo do Trabalho em Santo André (SP). Professor Convidado: Curso de Pós-Graduação Lato Sensu da Escola Paulista de Direito. Mestre em Direito das Relações Sociais – Direito do Trabalho pela PUC/SP. Autor de livros, com destaques para: Direito do Trabalho (5ª edição) e Direito Processual do Trabalho (4ª edição), publicados pela Lumen Juris, em co-autoria com Jouberto de Quadros Pessoa Cavalcante

Thursday 17 May 2012

Dicas para proteger seu e-mail

Com o recente caso envolvendo a invasão da conta de e-mail e o vazamento de fotos pessoais de uma conhecida atriz brasileira, fica evidente o grau de vulnerabilidade a que estão expostos os usuários de internet, que no Brasil já somam quase 80 milhões de pessoas, de acordo com o IBOPE Nielsen Online.

Apesar da maioria dos internautas já possuir uma solução de proteção em seus desktops e notebooks, a mesma preocupação não acontece quando se pensa no universo móvel, nos milhões de smartphones e tablets vendidos a cada ano e que cada vez mais substituem as tarefas executadas no PC.

Muitos desses internautas acessam suas contas de e-mails pessoais e corporativos, redes sociais e outras aplicações na web por meio desses dispositivos. Na medida em que aumenta o tráfego na internet gerado por meio desses novos canais (somente os tablets respondem por 42% do tráfego na web gerado fora do ambiente PC, segundo dados da comScore), cresce na mesma proporção o interesse dos criminosos cibernéticos pelo tipo de informação que pode ser coletada e que tenha algum valor comercial, tais como dados bancários, senhas, número de cartões de crédito, fotos, e-mails sigilosos etc.

O grau de sofisticação dos criminosos é tamanho que alguns programas maliciosos (conhecidos como malwares) são capazes de identificar o tipo de proteção que o usuário possui antes de invadir o equipamento.

“A pergunta agora não é mais se você vai ser atacado ou não, mas sim quando você será atacado por um hacker ou cracker”, afirma Ascold Szymanskyj, vice-presidente de vendas e operações da F-Secure para a América Latina. “Por isso devemos nos precaver de todas as formas para evitar prejuízos financeiros e de imagem, seja para pessoas físicas ou empresas”.

A seguir estão algumas dicas úteis de segurança fornecidas pela F-Secure, tanto para usuários que acessam a internet via desktops e notebooks quanto para aqueles que fazem uso dos dispositivos móveis.

Dicas de proteção

1 - Mantenha seu sistema atualizado


Um sistema operacional atualizado permite que você aproveite ao máximo os recursos do equipamento ao mesmo tempo em que protege sua informação. Evite falhas de segurança ou vulnerabilidades mantendo sempre atualizado o software em seu dispositivo móvel.

2 - Combinação antivírus e backup


Ao adquirir um lote de equipamentos para os funcionários de sua empresa é importante que o gestor de TI contemple também um pacote de segurança que combine antivírus e backup.

3 - Solução antirroubo


Uma solução de segurança confiável protege os dados contidos no equipamento contra pragas virtuais, além de permitir a localização do aparelho em caso de perda ou roubo. Soluções como essa permitem ainda que a empresa possa bloquear ou mesmo apagar totalmente os conteúdos armazenados no aparelho.

4 - Cuidado ao clicar em links desconhecidos


É comum recebermos emails com ofertas simulando o contato de uma fonte confiável (banco, loja, operadora de telefonia). Conhecido como ataque ‘phishing’, ele induz o usuário a clicar em links, que na verdade irão direcioná-lo para sites maliciosos, onde os dados serão coletados para roubo de informações de cartão de crédito, por exemplo. Sempre verifique se o site começa com “https” antes de digitar informações pessoais e verifique também se o mesmo possui Certificado Digital SSL. Se desconfiar, não abra!

5 - Evite efetuar transações bancárias em redes públicas


Tenha em mente que a rede Wi-Fi na qual seu celular ou tablet está conectado pode não ser segura. Limite sua atividade de navegação nestas redes e evite fazer qualquer transação eletrônica que inclua informações e senhas de sua conta bancária, assim como dados cadastrais e outras informações pessoais.

6 - Cuidados nas redes sociais


Utilize os critérios de filtro das redes sociais para acessá-la via dispositivo móvel. Evite se expor demais. Uma estatística interessante sobre o Facebook: em geral a média de amigos que um usuário possui é de 120 contatos. Logo, um dado postado na rede social é transmitido a 120 pessoas. Se a informação for postada por um dos usuários para outros 120 contatos e assim sucessivamente, após três saltos na cadeia essa informação terá sido acessada por 1,73 milhão de pessoas. Logo, antes de postar mensagens em sua página, pense se realmente não haverá problemas que outras pessoas acessem esse conteúdo.

7 - Baixe aplicativos de fonte segura


Mesmo utilizando o dispositivo para tarefas profissionais, é comum termos em nosso smartphone ou tablet uma quantidade razoável de aplicativos. Existem muitos tipos de apps, sendo que alguns são oferecidos de forma independente, sem mecanismos de controle dos canais de venda. Utilize lojas de aplicativos de empresas reconhecidas no mercado. Caso queira baixar um aplicativo de um terceiro, faça uma pesquisa prévia e verifique se é confiável.

8 - Avalie bem quais são os dados de acesso solicitados por cada aplicativo


Alguns aplicativos podem requerer acesso a seus dados ou informações pessoais. Seja cauteloso com o acesso que está fora do escopo ou da proposta do aplicativo. Por exemplo, um game não precisa ter acesso a SMS, chamadas realizadas, agenda de contatos e arquivos do sistema. Caso um aplicativo como este solicite esse tipo de informação, desconfie. Caso tenha alguma dúvida sobre o aplicativo, não o instale.

Wednesday 16 May 2012

Conheça o serviço e aplicativo que mede a velocidade da sua internet

Com a proximidade do leilão para a implantação da rede de internet móvel 4G no Brasil, muitos usuários da rede atual, a 3G, ainda reclamam de oscilações na velocidade contratada. Embora a perspectiva de que, em breve, seja possível contar com uma internet móvel 10 vezes mais rápida que a disponível atualmente, muitas áreas não têm cobertura para o serviço.

Nesta coluna, irei apresentar o serviço gratuito e aplicativo desenvolvidos pelo Comitê Gestor de Internet no Brasil (CGI.br). Por meio do Sistema de Medição de Tráfego Internet (SIMET), é possível verificar qual a velocidade da sua internet, saber a latência da rede e medir a qualidade da web de uma determinada localização. Com os resultados obtidos nas medições, é possível gerar um mapa que apresenta como está a qualidade da internet no Brasil.

De acordo com o desenvolvedor do aplicativo e do serviço, todos os testes são feitos de forma independente da operadora e, por conta disso, os resultados são mais confiáveis, se comparados com outros aplicativos.

O serviço

Para verificar a velocidade da internet, os usuários podem acessar gratuitamente o serviço no site do CGI.br (acesse aqui). Para que a medição possa ser realizada com sucesso, é preciso ter instalado no computador o Java, que deve estar habilitado para rodar aplicativos no navegador.

O serviço que mede a velocidade da internet disponibiliza os resultados no mapa da qualidade (Foto: Reprodução)

Também será preciso informar o CEP, selecionar a velocidade e o local de acesso. Todas as informações coletadas ficam disponíveis ao comitê, aos usuários e às operadores, além de alimentar o mapa de qualidade da internet. É possível verificar a qualidade do serviço de uma determinada região, bastando apenas informar o CEP da região que está sendo avaliada.

É possível verificar a qualidade do serviço de internet de uma determinada região, bastando apenas informar o CEP da região que está sendo avaliada (Foto: Reprodução)

Para não ter os testes comprometidos, o ideal é que os usuários que estiverem navegando em redes sem fio acessem diretamente o modem com o computador. Desse modo, possíveis perdas de desempenho da rede ficam descartadas.

O aplicativo

Usuários de dispositivos móveis da Apple (iPhone 3GS, iPhone 4 e 4S, iPod touch de terceira geração, iPod touch de quarta geração e iPad de todas as gerações) podem instalar o aplicativo gratuitamente, que repete os mesmos testes disponíveis no site.

Teste da velocidade de upload medida pelo aplicativo (Foto: Reprodução)

Infelizmente, usuários de dispositivos móveis de outras plataformas terão que aguardar um pouco mais até que seja desenvolvido o aplicativo compatível com os seus dispositivos.

Câmara aprova projeto sobre crimes cibernéticos

O plenário da Câmara dos Deputados aprovou nesta terça-feira, 15, o Projeto de Lei 2793/11, do deputado Paulo Teixeira (PT-SP) e outros, que tipifica crimes praticados pela internet no Código Penal (Decreto-Lei 2.848/40). A matéria será analisada ainda pelo Senado.

O texto prevê, por exemplo, pena de reclusão de seis meses a dois anos e multa para quem obtiver segredos comerciais e industriais ou conteúdos privados por meio da violação de mecanismo de segurança de equipamentos de informática. A pena também vale para o controle remoto não autorizado do dispositivo invadido. Essa pena poderá ser aumentada de um terço a dois terços se houver divulgação, comercialização ou transmissão a terceiro dos dados obtidos.

O projeto é assinado também pelos deputados Luiza Erundina (PSB-SP), Manuela D´Ávila (PCdoB-RS) e João Arruda (PMDB-PR), pelo deputado licenciado Brizola Neto (PDT-RJ) e pelo suplente Emiliano José (PT-BA).
Invasão de dispositivo

Para o crime de “devassar dispositivo informático alheio” com o objetivo de mudar ou destruir dados ou informações, instalar vulnerabilidades ou obter vantagem ilícita, o texto atribui pena de três meses a um ano de detenção e multa. Será enquadrado no mesmo crime aquele que produzir, oferecer, distribuir, vender ou difundir programa de computador destinado a permitir o crime de invasão de computadores ou de dispositivos como smartphone e tablet.

A pena será aumentada de um sexto a um terço se a invasão resultar em prejuízo econômico; e de um terço à metade se o crime for praticado contra autoridades públicas, como o presidente da República, governadores e prefeitos, presidente do Supremo Tribunal Federal, presidentes da Câmara dos Deputados e do Senado, entre outras.

Ação penal

Segundo o projeto, a ação penal poderá ser proposta apenas por representação da pessoa prejudicada, exceto se o crime for cometido contra a administração pública de qualquer dos Poderes ou contra empresas concessionárias de serviços públicos.

O projeto também atualiza artigos do Código Penal que tratam do crime de interromper serviços telegráficos para prever pena igual, de um a três anos de detenção, no caso dos serviços de internet. Será tipificado nesse artigo o ato de tirar um site do ar, por exemplo.
A falsificação de cartão de crédito também é tipificada pelo projeto como crime de falsificação de documento, já previsto no Código Penal, com pena de reclusão de um a cinco anos e multa.

Segundo o autor, essa tipificação preenche omissão hoje existente na lei. “Por causa da tipicidade estrita do direito penal, é preciso efetuar essa mudança para deixar claro que o crime de falsificação também ocorre quando o objeto é um cartão de crédito ou débito”, argumentou Teixeira.

Se o projeto vier a ser transformado em lei, todas as mudanças entrarão em vigência depois de 120 dias da publicação.

Punição

Teixeira disse que o texto dá um passo importante para punir criminosos que cotidianamente invadem contas bancárias e e-mails e que lucram com roubo de informações e clonagem de cartões. "São cerca de R$ 1 bilhão por ano roubados com práticas cibernéticas", disse.

Quem criticou a proposta foi o deputado Eduardo Azeredo (PSDB-MG), relator de outro projeto sobre o tema (PL 84/99). Azeredo denunciou o casuísmo do governo. "O governo é omisso sobre o tema há anos. Agora, por conta do vazamento das fotos da atriz Carolina Dieckman, o governo vota um projeto que não foi discutido em nenhuma comissão."

Teixeira rebateu as críticas, dizendo que não havia nenhum consenso sobre o projeto relatado por Azeredo. "Esse projeto [de Azeredo] cria tipos penais muito amplos, que dão margem para interpretação e podem até criminalizar quem baixa uma música", disse.

As informações são da Agência Câmara.

Monday 14 May 2012

Anatel poderá ser excluída da definição de neutralidade de rede

As discussões sobre o PL 2.126/2011, o chamado Marco Civil da Internet, estão tomando um caminho que poderá levar à exclusão da Anatel do processo de regulamentação da neutralidade de rede. Representantes da sociedade civil chamaram a atenção para o fato de o texto do Marco Civil remeter o princípio da neutralidade a uma regulamentação da agência e o relator do projeto na comissão especial, Alessandro Molon (PT/RJ), se mostrou sensível a esses argumentos. “Eu tendo a concordar com essa opinião, sim. Queremos ouvir a opinião de todos, mas minha visão é de que essa regulamentação posterior é desnecessária”, afirma ele.

A neutralidade de rede é tratada no Artigo 9º do Marco Civil: “O responsável pela transmissão, comutação ou roteamento tem o dever de tratar de forma isonômica quaisquer pacotes de dados, sem distinção por conteúdo, origem e destino, serviço, terminal ou aplicativo, sendo vedada qualquer discriminação ou degradação do tráfego que não decorra de requisitos técnicos necessários à prestação adequada dos serviços, conforme regulamentação”.

Na última quinta, dia 10, foi realizado um seminário da comissão especial em Porto Alegre, onde questão da regulamentação posterior foi levantada pelo diretor presidente da Associação Brasileira de Centros de Inclusão Digital (ABCDI), Mario Brandão. Para ele, a neutralidade de rede deve ser entendida como um princípio como qualquer outro. “Existe o princípio da dignidade humana, por exemplo. Ninguém precisa explicar o que é”, argumenta.

O temor dos ativistas da web é que a Anatel possa deixar o princípio não tão abrangente como está no Marco Civil, abrindo exceções ou criando condições em que as empresas poderão dar tratamento diferenciado aos pacotes de dados. “O que eu não quero é que esse princípio caia na armadilha de ficar condicionado a uma regulamentação que não seja abrangente”, detalha Mario Brandão. Segundo ele, hoje as teles praticam o traffic shaping que penaliza, na maioria dos casos, as LAN houses e os cybers cafés.

A Anatel já está disposta a alterar o texto do novo regulamento do Serviço de Comunicação Multimídia (SCM), que ainda não foi votado pelo Conselho Diretor, de forma a adaptá-lo ao que será definido pelo Marco Civil, conforme declarações do conselheiro Rodrigo Zerbone. Se o projeto for aprovado sem remeter à regulamentação posterior, é provável que a Anatel tenha de retirar qualquer menção à neutralidade do novo regulamento de SCM.

De qualquer forma, o texto do novo regulamento sobre o assunto tem preocupado os órgãos de defesa do consumidor. A advogada do Idec, Veridiana Alimonti, acredita que “o regulamento da Anatel abre exceções à neutralidade de rede”. As exceções mencionadas por Veridiana aparecem quando a agência diz que a vedação ao tratamento discriminatório de qualquer tipo de tráfego “não impede a adoção de medidas de bloqueio ou gerenciamento de tráfego que se mostrarem indispensáveis à garantia de segurança e da estabilidade do serviço e das redes que lhe dão suporte”.

Tramitação

A mesa diretora da Câmara dos Deputados apensou o PL 2.126/2011 ao projeto 5.403 de 2001, do deputado cassado Luiz Estevão (PMDB/DF), o que torna a sua tramitação muito mais complicada. Isso porque estão apensados ao PL 5.403/2001 mais uma dezenas de projetos, o que faz com que o relator tenha que apresentar um relatório para cada um deles. Alessandor Molon e o presidente da comissão especial, João Arruda (PMDB/PR), aguardam decisão da mesa diretora sobre pedido de desapansamento apresentado por eles.

Helton Posseti.

Thursday 10 May 2012

O desafio da TI: como armazenar e processar tantas informações no cenário atual

Bombardeados diariamente com um excesso de informações como nunca registrado antes na história da humanidade, certamente o volume a ser processado por cada pessoa que habita o planeta neste exato momento é centenas de vezes maior do que o recebido por alguém em poucos anos atrás.


Olhando para o mundo corporativo, é impressionante a quantidade de informações armazenadas pelas empresas. Infelizmente, na grande maioria das vezes, não fazem bom uso delas.


Pesquisa recente realizada pela consultoria EIU (Economist Intelligence Unit) com 580 executivos de várias empresas no mundo apontou que apenas 18% dos executivos admitiram ter coletado e analisado informações de forma estruturada por algum tipo de sistema de gestão.


O Brasil não foge à regra e olhando sob a perspectiva do setor contábil e tributário, é notório que o numero de obrigações acessórias eleva tanto o volume de dados como a necessidade das empresas em processar as informações com qualidade e rapidez sob o risco de pesadas multas.


Este processo só é possível graças aos altos investimentos com tecnologia da informação, qualificação ou contratação de mão de obra especializada e, é claro, tempo hábil para cumprir os prazos. Isto tudo incorre muitas vezes na mudança do foco do negócio principal da empresa.


Se antes falávamos em megabytes de informação, passando por gigabytes, hoje as empresas de tecnologia apontam para quantidades inimagináveis, algo que os especialistas identificam como big data. Big data implica em duas palavras-chave: volume (bancos de dados de grandes volumes) e velocidade (manuseio e tratamento analítico, que devem ser feitos rapidamente, em alguns casos até mesmo em tempo real).


Tanto para as companhias como para empresas desenvolvedoras de tecnologia e soluções e também os profissionais da área, surgem alguns desafios que precisam cada vez mais ser entendidos e superados. Além disso, não podemos esquecer que os próprios órgãos governamentais e reguladores recebem, centralizam e analisam informações cruzadas de milhões de empresas, ou seja, o problema aqui se potencializa ainda mais.


Primeiro, para as empresas de alta tecnologia o desafio é produzir meios de armazenamento (tanto físicos como lógicos) que possibilitem não só o armazenamento de bilhões de informações com custos aceitáveis, além de oferecer a possibilidade de acesso, recuperação e processamento destas informações em tempos cada vez menores.


Ou seja, o número de informações aumenta exponencialmente e a velocidade de processamento deve diminuir numa razão inversamente proporcional. Isto fará com que estas empresas invistam muito dinheiro e recursos técnicos em dispositivos cada vez mais performáticos visto que o armazenamento tradicional em discos rígidos, bancos de dados limitados, aliados com sistemas legados de baixa performance levam as empresas a comprometer o desempenho de seus negócios.


Produtos como processadores cada vez mais velozes e distribuídos, armazenamento em memória, streaming computing, tecnologias orientadas a tratar grandes volumes de dados ou bancos de dados específicos usados, por exemplo, em ferramentas de mídias sociais, são derivados da tecnologia que vem se desenvolvendo exatamente para suprir a crescente demanda de armazenamento e processamento.


Por outro lado, para as empresas usuárias o grande desafio é ter a capacidade de armazenar informações com qualidade, comprar ou desenvolver produtos de software que tratem as informações inseridas em seus bancos de dados.


Ao contrário, terão de arcar com o risco de torná-lo um conjunto sem fim de dados não confiáveis que apenas colocam em risco seu negócio perante o Fisco, além de não lhes apoiar na gestão da sua empresa e ainda por cima aumentar seus custos com a tecnologia da informação.


O conceito do big data já se espalha por todos os setores da economia. Um estudo mostra que em 2010, as empresas norte-americanas de mais de 1.000 funcionários armazenavam cada uma, em média, mais que 200 terabytes de dados. E em alguns setores o volume médio chegava a um petabyte.


O uso de big data já começa a se mostrar como fator diferenciador no cenário de negócios. Casos citados no relatório da McKinsey mostram que algumas empresas conseguiram substanciais vantagens competitivas explorando de forma analítica e em tempo hábil um imenso volume de dados.


E, por último, para os profissionais de TI o desafio é se atualizar num mercado cada vez mais dinâmico e precário de mão de obra altamente especializada, no sentido de entender as demandas existentes pelas empresas e absorver a ideia de que não basta apenas construir sistemas como se fazia há cinco ou dez anos, e sim imaginar arquiteturas mais complexas, variáveis cada vez mais difíceis de controlar e principalmente projetar e entregar artefatos de software que processem informações com alta performance e grau de assertividade.


Com isso, o ideal será buscar otimizar todos os recursos existentes, sejam eles através de processamentos paralelos, máxima otimização no armazenamento, construção de algoritmos cada vez mais inteligentes e recuperação de dados sob pena de que os aplicativos passem horas ou dias processando um numero cada vez maior de informações.


Por fim, trata-se de um cenário divergente e perigoso, pois, se por um lado, a tecnologia nos permite cada vez mais recursos poderosos, por outro, os desafios, complexidade e investimentos sugerem exatamente um incremento destes recursos em forma de valor financeiro e conhecimento.


O tema por si só se torna apaixonante e desafiador, e estando em qualquer um dos lados, certamente ninguém passará imune a mais este cenário vivido neste veloz e não menos intenso século XXI.

Wagner Xavier, diretor de desenvolvimento e suporte da Prosoft Tecnologia

Como proteger a transmissão de dados em um sistema de segurança?

Até há pouco tempo, utilizava-se uma rede distinta para cada sistema de segurança (coaxial, RS-232, RS-485, etc.). Hoje, os sistemas todos estão convergindo para IP. Assim, uma única rede de dados TCP/IP é utilizada de forma que todos os dados, de todos estes sistemas, trafeguem nesta única rede, facilitando sua comunicação e integração.

Nos últimos anos, a principal mudança foi a adoção de uma rede de comunicação em comum para todos os sistemas. Para que isso fosse possível, investiu-se bastante em formas de redução do consumo de banda de rede, principalmente pelos sistemas de CFTV que, naturalmente, consomem muito, devido ao alto volume de dados (imagem).

Dentre os tipos de redes de comunicação de dados para os sistemas de segurança eletrônica, o mais utilizado hoje é o TCP/IP, pois é uma rede já amplamente utilizada por sistemas de computação, bastante depurada e confiável. Há também a necessidade de se armazenar, cada vez mais, um grande volume de dados. Sendo assim, para que os sistemas de segurança utilizem unidades de armazenamento como Storages, é natural que se faça pela rede IP, que é a rede destes.

Outro motivo é a necessidade, cada vez maior, de integração e interação entre os sistemas. Por exemplo, onde um sensor do sistema de detecção de alarmes pode ativar a gravação de uma câmera, ou se uma porta é esquecida aberta, soa-se uma sirene e um e-mail é enviado ao segurança da área. Como a rede de comunicação é a mesma, e é bem veloz, reações pré-configuradas a determinados eventos são muito mais fáceis para programar, tornando o sistema muito mais ágil e eficaz.

As principais vulnerabilidades estão em sistemas de protocolo aberto (pode-se facilmente obter a "linguagem" de comunicação deste sistema). Para diminuir esse problema, se faz necessário optar por protocolo proprietário, muito mais seguro, e também pela encriptação de dados. As outras vulnerabilidades são as mesmas conhecidas em redes de computadores. Mas a opção pela rede TCP/IP também se fez, pois as tecnologias de prevenção e proteção estão muito maduras.

Para se proteger dos invasores, há vários recursos, desde os mais utilizados para as redes de dados (firewall, antivírus, VPN, etc.) até os recursos proprietários, como encriptação de dados, protocolo fechado e senhas-forte, também métodos de login que desativam um usuário após várias tentativas erradas de se inserir a senha, etc. Outra forma interessante é a utilização de sistemas on/off-line que independem totalmente de um servidor, como, por exemplo, um sistema de controle de acesso que, quando a rede sai fora do ar, mantém na controladora remota, porta a porta, todos os privilégios e bloqueios pré-programados.

Por último, para evitar a possibilidade de falha ou interrupção do funcionamento em uma rede de comunicação de dados para sistemas de segurança eletrônica, é preciso realizar a manutenção preventiva, utilizando-se softwares especializados para monitoramento da rede, protocolo fechado, encriptação de dados de comunicação, também utilizando-se equipamentos que possam trabalhar "off-line" (autonomamente) em caso de queda da rede.

Natan Cuglovici, diretor da VAULT, especializada em Blindagem Arquitetônica e Sistemas Integrados de Segurança

Consistência é fundamental quando avaliamos o desempenho e eficácia da segurança da informação.

Como identificar se um produto oferece realmente o que promete? Uma alternativa seria realizar testes das soluções de segurança de TI – uma forma eficiente e neutra de validar se a solução atende itens como a eficácia e desempenho prometidos. No entanto, esta análise mostra apenas o cenário no momento do resultado, quando o que realmente importa é a consistência da solução no decorrer do tempo.

Comprar soluções de segurança não é tão simples como comprar um carro ou uma garrafa de vinho, por exemplo. É possível se sentir confortável e confiante durante a compra, quando se sabe que o carro está no top ranking de uma revista especializada como a Motor Trend ou ainda que a garrafa de vinho foi indicada pela Wine Spectator.

As soluções de segurança não são estáticas e não estão congeladas no tempo. Para serem eficazes com as mudanças constantes dos ataques e dos ambientes de TI, as elas precisam evoluir. E cada vez que estas soluções evoluem de fato, estamos lidando com uma “nova” solução. As equipes de segurança de TI precisam estar aptas para lidar com essas “novas” soluções, assim como estavam no momento da compra. Se uma solução tem um relatório irregular de desempenho e eficácia da informação, as ramificações potenciais para sua decisão de compra e o gerenciamento de segurança diário devem ser cuidadosamente consideradas.

A consistência da eficácia de segurança e desempenho nos levam a dois aspectos importantes de qualquer solução de segurança: a manutenção e atualização.

Com relação à manutenção, os fornecedores de tecnologias como antivírus (AV), sistemas de detecção e prevenção de intrusos (IDS/IPS), firewalls, log management e segurança da informação & gerenciamento de eventos (SIEM), frequentemente lançam atualizações para se monitorar e proteger das ameaças mais recentes.

Os fornecedores que não mantém a eficácia na segurança no decorrer dos anos provavelmente fornecerão níveis de inconsistência de uma atualização para a outra. Não importa a razão – investimentos em recursos inconsistentes, falta de compromisso com a qualidade, mudanças organizacionais, ou complacência – o resultado é o mesmo: eles não identificam os ataques potenciais, apesar das atualizações.

Do ponto de vista de gerenciamento da segurança, as equipes de segurança de TI precisam se manter mais atentas para as possibilidades de ruptura com os fornecedores que podem não demonstrar um histórico de eficácia da segurança.

Com a expansão das redes e os novos aplicativos, conteúdos e dispositivos que exigem alto desempenho, as equipes de segurança devem levar em consideração as atualizações e entender se o hardware oferece o que promete.

Quando se decide comprar e se considera o futuro crescimento, é importante saber se os atuais níveis de throughput estão alinhados com o desempenho esperado e se os níveis de desempenho do hardware são lineares. Por exemplo, se uma aplicação de 10Gps ao ser testada desempenha 17Gps, um modelo de 20Gps desempenharia 34Gps? Obter métricas reais de desempenho é essencial para o planejamento.

Tradicionalmente, as organizações tem sacrificado o desempenho e optado pela eficácia. No entanto, com as atuais e avançadas tecnologias e engenharias, não é mais necessário realizar esta escolha.

Os times de segurança de TI apenas precisam identificar os fornecedores em que possam confiar para continuar desenvolvendo novas habilidades, para manter a eficácia e desempenho da segurança, não basta apenas olhar os resultados dos testes técnicos.

Entender o histórico de desempenho e comparar os registros de controle é essencial para selecionar um fornecedor em que você possa contar para fornecer uma proteção consistente para as atuais e futuras necessidades.

Raphael D’Avila é country manager Brasil da Sourcefire

Sunday 6 May 2012

Site de compras coletiva não cumprem lei do Estado do Rio

Populares, os sites de compras coletivas somam cada vez mais clientes e descontos. Mas, por outro lado, deixam consumidores insatisfeitos com produtos que não chegam no prazo combinado e serviços mal prestados. Para tentar resolver esses problemas, o Estado do Rio saiu na frente e criou uma lei — a 6.161/2011 — que estabelece parâmetros para esse tipo de comércio eletrônico.

A legislação está em vigor desde janeiro, e as empresas tiveram três meses para se adequar. No entanto, um levantamento feito pelo EXTRA em cinco sites mostra que muitas das novas regras não estão sendo respeitadas.

— O descumprimento é porque elas sabem que não há punição. E cabe ao Procon fiscalizar o respeito à lei — analisa Maria Inês Dolci, coordenadora da Associação Brasileira de Defesa do Consumidor (Pro Teste).

Para tentar corrigir essa falha, o deputado André Ceciliano (PT), um dos autores da lei, propôs uma ementa estabelecendo punição para o site que não se adequar. O projeto está na Comissão de Constituição e Justiça da Assembleia Legislativa (Alerj).

Pressão do Nudecon

Diante de inúmeras reclamações, em janeiro, o Núcleo de Defesa do Consumidor (Nudecon) da Defensoria Pública do Rio pressionou os sites e está atento às reclamações dos consumidores.

— A lei é boa para regulamentar esse comércio que cresceu muito. Mas estamos muito preocupados com a falta de informações. Aguardamos o comportamento das empresas para agir (entrar na Justiça) — explicou a defensora Larissa Davidovich.

A secretária Joyce Figueiredo, de 25 anos, já está determinada: compra coletiva só se for de serviços; produtos nunca mais.

— Em dezembro do ano passado, comprei um tonificador muscular num site de compras coletivas. No mesmo dia, emiti o boleto e efetuei o pagamento. O prazo de entrega previsto era de 15 dias. Um dia após o fim do prazo, enviei e-mails e liguei para o fornecedor do produto, mas ninguém me atendeu. Enviei uma mensagem para o site, que me respondeu. Recebi a encomenda, mas de uma marca diferente da anunciada. Se não bastasse todo o problema, o produto não funciona. Até hoje não fui reembolsada.

Veja quais cuidados tomar antes de fazer a compra

Selo - Verifique se o site tem selo de qualidade em compras coletivas, política de privacidade de informações e dispositivos de segurança de dados.

Contato - Entre em contato com o anunciante antes de comprar. Não custa conferir se a oferta é verdadeira e se há disponibilidade de uso na data desejada.

Atenção - Fique atento a regras e detalhes, como prazo de validade do cupom, restrições de dias e horários de uso, localização, produtos e serviços incluídos na promoção, prazo de entrega, frete e custos extras.

Datas - Ao comprar ofertas de restaurantes e pacotes turísticos, reserve uma data antes, para não correr o risco de adquirir e não aproveitar.

Pesquisa - Pesquise em redes sociais, por exemplo, os comentários e as experiências de outros clientes que já utilizaram os serviços dos sites e dos estabelecimentos.

Respostas - Procuradas pelo EXTRA, apenas duas empresas se posicionaram. Por nota, o Peixe Urbano declarou: "já seguimos e, inclusive, buscamos ir além das obrigações previstas pela legislação atual, visando a satisfação de todos os nossos usuários". Por e-mail, o Imperdível afirmou que vai se adequar a cada artigo da nova lei.

Peixe Urbano - “Nós já seguimos, e inclusive buscamos ir além das obrigações previstas pela legislação atual, incluindo o Código de Defesa do Consumidor, visando a satisfação de todos os nossos usuários. Além disso, também seguimos as melhores práticas e parâmetros de auto-regulamentação promovidos pelo Comitê de Compras Coletivas da Câmara Brasileira de Comércio Eletrônico (Câmara-e.net). O projeto da Lei 6.161/2012 ainda não foi regulamentado pelo Poder Executivo. Algumas questões ainda estão sendo avaliadas, de forma conjunta e cuidadosa com os órgãos responsáveis, visando assegurar um alto padrão de qualidade no setor como um todo e a satisfação dos consumidores, porém de forma que não haja restrições excessivas, que possivelmente poderiam ter o efeito inverso, limitando benefícios importantes que o modelo entrega, ou poderia em um futuro entregar aos usuários. Independente do projeto de Lei, o Peixe Urbano já está implementando diversas melhorias tanto nas funcionalidades do site como em seus canais de contato com os usuários, e continuaremos investindo para melhorar sempre mais a experiência dos consumidores e para ser referência em qualidade dentro do setor”.

Imperdível - “Sempre tivemos um número de atendimento, porém não é gratuito. Ainda não definimos qual será o endereço da sede física. Quantidade mínima de três compradores para liberação da oferta. Daremos, no mínimo, três meses para a utilização da compra da oferta, o prazo máximo será feito de acordo com cada parceria e informado nas regras da oferta. Todas as ofertas do Imperdível já são trabalhadas para informar sobre possíveis reações ou alergias quando as ofertas são gastronômicas. Todas as ofertas já informam contra indicações e benefícios, com a nova lei, trataremos de especificar e garantir que nenhuma seja descartada. Traremos na oferta um adendo comunicando os clientes da disponibilidade de agendamentos diários para os compradores do nosso site no estabelecimento parceiro. O Imperdível já trabalha dessa forma (devolução do dinheiro em até 72 horas), quando a oferta não atinge o limite mínimo de compradores, entramos o contato com o cliente para fazermos o estorno para eles e informamos o ocorrido.”

Thursday 3 May 2012

STJ isenta provedor de internet da responsabilidade sobre veiculação de conteúdo

A Terceira Turma do STJ (Superior Tribunal de Justiça) decidiu que os provedores de internet não são obrigados a indenizar usuários prejudicados pela veiculação de conteúdo na rede. Apesar disso, a decisão anunciada nesta quarta-feira, 2, determina que os provedores retirem o material do site. Uma ação parecida está em andamento no STF (Supremo Tribunal Federal) para definir se empresas de internet devem ou não fiscalizar as informações publicadas.

A decisão do STJ tem como base o processo de um usuário do site de relacionamentos Orkut, em Mato Grosso do Sul, que alegou que sua imagem foi indevidamente exposta na rede social do Google. Em primeira instância, o pedido foi parcialmente aceito, para que fosse retirado definitivamente o conteúdo do site de relacionamentos, sob pena de multa diária. O usuário apelou. Na apelação, o Tribunal de Justiça do Mato Grosso (TJMT) condenou o Google ao pagamento de R$ 12 mil de indenização por danos morais, porque o provedor não teria fornecido a identificação de quem cometeu a ofensa.

Com a decisão, os ministros julgaram improcedente a ação e condenaram o autor ao pagamento de despesas processuais e honorários advocatícios, segundo comunicado do STJ. Segundo o relator do caso, o ministro Sidnei Beneti, “não há responsabilidade objetiva de provedor de internet quando o dano moral é resultado de mensagens ofensivas publicadas no site pelo usuário”. Nesse caso, afirmou Beneti, o Google não tem o dever de fornecer informações sobre o usuário ofensor, mas de fazer cessar a ofensa.

Obrigação de cessar a ofensa

No recurso especial interposto no STJ, o provedor afirmou que sua participação na divulgação não teria sido confirmada a ponto de ser responsabilizado pelos danos morais.

Em relação a essa alegação, o ministro Sidnei Beneti, relator do recurso especial, deu razão ao provedor, consoante jurisprudência do Tribunal. “O dano moral decorrente de mensagens com conteúdo ofensivo inseridas no site pelo usuário não constitui risco inerente à atividade dos provedores de conteúdo, de modo que não se lhes aplica a responsabilidade objetiva do mencionado dispositivo legal”, disse.

Em contrariedade à posição do TJMT, o relator afirmou que o Google não tem obrigação de fornecer informações acerca do usuário ofensor, mas de fazer cessar a ofensa.

De acordo com precedente da Quarta Turma, no momento em que uma mensagem ofensiva é veiculada, “há o dever de o provedor retirar tal mensagem do seu ambiente virtual, mas sua responsabilização civil vai depender de sua conduta, se omissiva ou não, levando-se em conta a proporção entre sua culpa e o dano experimentado por terceiros”.

A nova cara do cibercrime

O ano de 2011 foi excelente para os hackers. Tivemos ameaças persistentes avançadas, falhas de dados e ataques contra a infraestrutura da Internet na forma de ciber-assaltos a autoridades certificadoras. Foi um ano em que as empresas de segurança enfrentaram novos desafios, e o começo de 2012 também apresentou os mesmos desafios.


Até agora, a comunidade de TI ouviu relatórios de ataques contra as indústrias de defesa e aeroespacial usando o cavalo de Tróia MSUpdater, além da revelação de que os hackers que atacaram a agora falida Nortel Networks em 2000, conseguiram manter acesso aos computadores da empresa durante quase uma década. Esse cenário perigoso oferece vários desafios que as empresas terão de enfrentar em 2012 principalmente: a prevalência de ameaças persistentes avançadas (APTs) e o crescente número de ataques cada vez mais inteligentes de engenharia social.

Os ataques baseados em engenharia social estão direcionados às pessoas com conhecimento implícito ou acesso às informações sensíveis. Hoje, os hackers utilizam diversas técnicas e redes sociais para coletar informações pessoais e profissionais sobre essas pessoas para encontrar o elo mais fraco de uma empresa.


Os desafios atuais de segurança são políticas, reforço e educação: os funcionários precisam ser informados das ameaças que rondam a empresa, e a companhia, por sua vez, deve manter políticas robustas e ser capaz de controlar o nível de acesso a aplicativos, dispositivos e sua rede para consolidar a segurança. A educação é a peça chave da segurança, mas geralmente é negligenciada.

Uma pesquisa recente com profissionais de TI realizada pela Check Point Software Technologies e a Dimensional Research revelou que novos funcionários e fornecedores correm mais risco de sofrer ataques da engenharia social. Porém, apenas 26% dos 853 entrevistados falaram que oferecem treinamento contínuo sobre a segurança, e 34% disseram que nada foi feito para educar seus funcionários.

Veja essas estatísticas e lembre-se que uma das falhas mais divulgadas em 2011, da RSA, ocorreu devido a um e-mail de spear phishing disfarçado dentro de uma mensagem sobre o “Plano de Recrutamento 2011” da empresa. A capacidade de identificar ataques de engenharia social pode ser a diferença entre uma boa noite de sono e uma ligação de emergência do CISO durante a madrugada. A chave para o sucesso do spear phishing é, obviamente, a informação, e quando uma pessoa é considerada um alvo de alto valor, os hackers coletam o maior volume possível de dados sobre essa pessoa antes de atacar.

O hacker aproveita das redes sociais para coletar informações sobre funcionários ou empresas específicas, uma grande facilidade nessa era de ataques direcionados. Considerando o preço das vulnerabilidades dia zero no mercado negro, que podem variar de US$50.000 até US$100.000, é muito mais fácil e econômico tentar convencer um usuário final a instalar um malware do que aproveitar de uma vulnerabilidade desconhecida.

Os Botnets e APTs podem ser as exceções. A Stuxnet, por exemplo, usou quatro tentativas dia zero do Windows quando se espalhou pelo mundo. A marca registrada de um APT é que pode passar sem ser detectado e se instalar em toda a empresa. Os hackers que têm como alvo empresas específicas estão usando uma combinação de técnicas de ataque ocultas e sofisticadas, com bots para passear silenciosamente pela rede da empresa e coletar informações. Em geral, o objetivo é roubar dados sensíveis das redes corporativas sem levantar suspeitas, por exemplo, quando os hackers roubam informações esses dados são inseridos em arquivos mp3 enviados ao serviço SoundCloud.

O roubo de dados é o objetivo primário de vários cibercriminosos, mas cada hacker e hactivista tem sua agenda e motivação, desde ganhos financeiros até destruição de ativos corporativos. A Stuxnet, por exemplo, mudou como muitos profissionais de segurança pensam em segurança, percebendo como o malware pode ser usado como uma arma para prejudicar a infraestrutura inteira de uma empresa. Agora, mais do que nunca, precisamos de estratégias de defesa abrangentes para evitar APTs e outras ameaças ocultas.

Diversos profissionais de segurança afirmam que as empresas devem esperar um ataque em algum momento. Levando isso em conta, elas deveriam prestar atenção aos meios adotados pelos hackers para roubar dados, recriando e analisando os ataques que já aconteceram para descobrir onde estão as lacunas e quais meios de prevenção e proteção devem ser implementados. Isso pode incluir tecnologias para prevenir o vazamento de dados, a adoção de inspeção SSL no gateway de Internet da empresa, bloqueando a transferência de arquivos encriptados e reforçando treinamento de segurança para os usuários.
2011 foi um ano excelente para os hackers. Talvez este seja o ano da segurança.

Tomer Teller, evangelista e pesquisador de Segurança da Check Point Software Technologies

Wednesday 2 May 2012

Especialistas temem guerra cibernética no futuro

A operação Locked Shields não envolveu explosões, tanques ou armas. Na operação, uma equipe de especialistas em TI atacou outras nove equipes, espalhadas em toda a Europa.

Nos terminais da equipe de ataque, localizados no Centro de Excelência da Otan em Defesa Cibernética Cooperativa, foram criados vírus ao estilo "cavalo de Tróia" e outros tipos de ataques pela internet que tentavam sequestrar e extrair dados das equipes inimigas.

O objetivo era aprender como evitar estes ataques em redes comerciais e militares e mostrou que a ameaça cibernética está sendo levada a sério pela aliança militar ocidental.

O fato de a Otan ter estabelecido seu centro de defesa na Estônia também não é por acaso. Em 2007 sites do sistema bancário, da imprensa e do governo do país foram atacados com os chamados DDoS (sigla em inglês para "distribuição de negação de serviço") durante um período de três semanas, o que agora é conhecido como 1ª Guerra da Web.

Os responsáveis seriam hackers ativistas, partidários da Rússia, insatisfeitos com a retirada de uma estátua da época da União Soviética do centro da capital do país, Tallinn.

Os ataques DDoS são diretos: redes de milhares de computadores infectados, conhecidas como botnets, acessam simultaneamente o site alvo, que é sobrecarregado pelo tráfego e fica temporariamente fora de serviço.

Os ataques DDoS são, no entanto, uma arma primitiva quando comparados com as últimas armas digitais. Atualmente, o temor é de que a 2ª Guerra da Web, se e quanto acontecer, possa gerar danos físicos, prejudicando a infraestrutura e até causando mortes.

Trens descarrilados e blecautes

Para Richard A. Clarke, assistente de combate ao terrorismo e segurança cibernética para os presidentes americanos Bill Clinton e George W. Bush, ataques mais sofisticados podem fazer coisas como descarrilar trens em todo o país, por exemplo.

"Eles podem causar blecautes, e não apenas cortando o fornecimento de energia, mas danificando de forma permanente geradores que levariam meses para serem substituídos. Eles podem fazer coisas como causar explosões em oleodutos ou gasodutos. Eles podem fazer com que aeronaves não decolem", disse.

No centro do problema estão interfaces entre os mundos físico e digital conhecidas como sistemas Scada, ou Controle de Supervisão e Aquisição de Dados, na sigla em inglês.

Estes controladores computadorizados assumiram uma série de tarefas que antes eram feitas manualmente. Eles fazem de tudo, desde abrir as válvulas de oleodutos a monitorar semáforos.

Em breve estes sistemas serão comuns em casas, controlando coisas como o aquecimento central.

O detalhe importante é que estes sistemas usam o ciberespaço para se comunicar com os controladores, receber a próxima tarefa e reportar problemas. Caso hackers consigam entrar nestas redes, em teoria, conseguiriam também o controle da rede elétrica de um país, do fornecimento de água, sistemas de distribuição para indústria ou supermercados e outros sistemas ligados à infraestrutura.

Dispositivos vulneráveis

Em 2007 o Departamento de Segurança Nacional dos Estados Unidos demonstrou a potencial vulnerabilidade dos sistemas Scada. Com um software, o departamento entrou com comandos errados e atacou um grande gerador a diesel.

Vídeos da experiência mostram o gerador chacoalhando violentamente e depois a fumaça preta toma toda a tela.

O temor é de que, um dia, um governo hostil, terroristas ou até hackers que apenas querem se divertir possam fazer o mesmo no mundo real.

"Nos últimos meses temos vistos várias coisas", disse Jenny Mena, do Departamento de Segurança Nacional. "Atualmente existem mecanismos de buscas que podem encontrar aqueles dispositivos que estão vulneráveis a um ataque pela internet. Além disso, vimos um aumento no interesse nesta área na comunidade de hackers e de hackers ativistas."

Uma razão de os sistemas Scada terem uma possibilidade maior de ataques de hackers é que, geralmente, engenheiros criam o software, ao invés de programadores especializados.

e acordo com o consultor de segurança alemão Ralph Langner, engenheiros são especialistas em suas áreas, mas não em defesa cibernética.

"Em algum momento eles aprenderam a desenvolver software, mas não se pode compará-los a desenvolvedores de software profissionais que, provavelmente, passaram uma década aprendendo", disse.

E, além disso, softwares de infraestrutura podem estar muito expostos. Uma usina de energia, por exemplo, pode ter menos antivírus do que um laptop comum.

Quando as vulnerabilidades são detectadas, pode ser impossível fazer reparos imediatos no software.

"Para isso, você precisa desligar e ligar novamente (o computador ou sistema). E uma usina de energia precisa funcionar constantemente, com apenas uma parada anual para manutenção", disse Langner. Portanto, até o desligamento anual da usina, não se pode instalar novo software.

Stuxnet

Em 2010, Ralph Langner e outros dois funcionários de sua companhia começaram a investigar um vírus de computador chamado Stuxnet e o que ele descobriu foi de tirar o fôlego.

O Stuxnet parecia atacar um tipo específico de sistema Scada, fazendo um trabalho específico e, aparentemente, causava pouco dano a qualquer outro aplicativo que infectava.

Era inteligente o bastante para encontrar o caminho de computador em computador, procurando sua presa. E também conseguia explorar quatro erros de software, antes desconhecidos, no Windows, da Microsoft.

Estes erros são extremamente raros o que sugere que os criadores do Stuxnet eram muito especializados e tinham muitos recursos.

Langner precisou de seis meses para analisar apenas um quarto do vírus. Mesmo assim, os resultados que conseguiu foram espantosos.

O alvo do Stuxnet era o sistema que controlava as centrífugas de urânio na usina nuclear de Natanz, no Irã.

Atualmente se especula que o ataque foi trabalho de agentes americanos ou israelenses, ou ambos. Qualquer que seja a verdade, Langner estima que o ataque o Stuxnet atrasou em dois anos o programa nuclear iraniano e custou aos responsáveis pelo ataque cerca de US$ 10 milhões, um custo relativamente pequeno.

Otimistas e pessimistas

O professor Peter Sommer, especialista internacional em crimes cibernéticos afirma que a quantidade de pesquisa e a programação sofisticada significam que armas do calibre do Stuxnet estariam fora do alcance da maioria, apenas disponíveis para governos de países avançados. E governos, segundo o especialista, costumam se comportar de forma racional, descartando ataques indiscriminados contra alvos civis.

"Você não quer causar, necessariamente, interrupção total. Pois os resultados podem ser imprevistos e incontroláveis. Ou seja, apesar de alguém poder planejar ataques que possam derrubar o sistema financeiro mundial ou a internet, por quê alguém faria isto? Você pode acabar com algo que não é tão diferente de um inverno nuclear."

No entanto, o consultor Ralph Langner afirma que, depois de infectar computadores no mundo todo, o código do Stuxnet está disponível para qualquer que consiga adaptá-lo, incluindo terroristas.

"Os vetores de ataque usados pelo Stuxnet podem ser copiados e usados novamente contra alvos completamente diferentes. Até há um ano, ninguém sabia de uma ameaça tão agressiva e sofisticada. Com o Stuxnet, isso mudou. (...). A tecnologia está lá, na internet."

Langner já fala em uma certeza: se as armas cibernéticas se espalharem, os alvos serão, na maioria, ocidentais, ao invés de alvos em países como o Irã, que tem pouca dependência da internet.

E isto significa que as velhas regras de defesa militar, que favoreciam países poderosos e tecnologicamente avançados como os Estados Unidos, já não se aplicam mais.