Mercado financeiro no Brasil está mais preparado contra fraudes, diz SAS

O Banco Central (BC) anunciou recentemente a circular 3.542/12 com objetivo de promover melhorias na qualidade das comunicações de instituições financeiras ao Conselho de Controle de Atividades Financeiras (Coaf). Ela amplia de 43 para 106 os exemplos de operações e situações que podem configurar indícios de ocorrências do crime de lavagem de dinheiro, inclusive quanto a operações ou situações consideradas suspeitas ou atípicas, que possam levar ao financiamento do terrorismo.

De acordo com o SAS, a medida é mais um importante passo do BC a ter efeito positivo no combate ao crime de lavagem de dinheiro e ao financiamento de atividades terroristas. “Acreditamos que são válidas as regulamentações propostas por entidades do setor que tenham o objetivo de tornar o processo de identificação de operações fraudulentas mais efetivas”, afirma Moises Santos, especialista de soluções de risco e prevenção a fraude do SAS Brasil.

O SAS Financial Crimes Framework, já utilizado por instituições financeiras em todo o mundo, oferece uma solução específica para a prevenção da lavagem de dinheiro, o SAS AML (Anti Money Laundry) que, por beneficiar-se de análise estatística, eleva consideravelmente o nível de identificação de possíveis operações suspeitas. Esta tecnologia apoia os processos de due-diligence, gera alertas de risco automáticos para cada novo cliente e também para a base de clientes existente e suas transações. Além disso, pode preparar automaticamente os relatórios para comunicação das situações suspeitas ao Coaf obedecendo a seus padrões determinados.

“O processo de detecção de crimes de lavagem de dinheiro se torna extremamente eficiente e preciso ao aplicarmos modelos estatísticos complexos. A priorização de casos para análise e a construção, bem como o envio automático de relatórios para o Coaf, garante que os times responsáveis pelas analises concentrem seus esforços nas situações que realmente requerem atenção e ação da instituição, ao mesmo tempo que garante a agilidade e a produtividade esperada pela gestão.

O SAS já trabalha com clientes para o desenvolvimento de modelos e ferramentas analíticas apropriadas para o combate a este tipo de fraude”, ressalta Moises Santos. Segundo o Ministério da Justiça, entre 2009 e junho desse ano, os esquemas de lavagem de dinheiro no País movimentaram cerca de R$ 11 bilhões.

No Brasil, o SAS conta com dois projetos em andamento para gestão de risco, com a Sicredi e o Banco do Brasil. Já na área de detecção e prevenção a fraudes, a empresa tem projetos globais no segmento financeiro. O HSBC, por exemplo, usa a SAS para a detecção de transações fraudulentas de cartão de crédito em tempo real na América do Norte, Europa e Ásia

O SAS já conta com mais de 80 implementações de sua solução de AML em clientes em todo o mundo, inclusive na America do Sul. “O SAS se orgulha do fato de que nenhum dos seus clientes esteve envolvido com incidentes relacionados à lavagem de dinheiro e/ou suporte ao terrorismo após a ter sua solução SAS AML ativada.

Atualmente, dez dos 12 maiores bancos do País utilizam o SAS para diversas aplicações, tais como gerenciamento de dados, análises estatísticas, modelagens de crédito, comportamento de clientes, gestão de riscos e detecção de processos impróprios e fraudulentos”, finaliza Santos.

CloudComputing: uma moda, uma tendência ou mais uma sopa de letrinhas para enlouquecer os executivos

Presente em todos os lugares que olhamos, em todos os sites e encartes que lemos, o assunto do momento é só: CloudComputing. Nuvem pública, nuvem privada, fornecedores nacionais, internacionais, redução drástica de custos, aplicações na nuvem, infraestrutura na nuvem. Afinal o que é isso?

Sempre que aparece algo novo temos um grupo de profissionais que se diz na vanguarda e acreditam que o novo é o melhor e pregam que tudo que existia antes não era bom. Um outro grupo de profissionais conservadores diz que o novo é modismo, coisa de consultor querendo vender e que não vai durar muito tempo para desaparecer.

Se pensarmos, vamos lembrar de várias situações semelhantes. Não muito tempo antes da bolha da internet estourar, tínhamos a impressão que o mundo real deixaria de existir e tudo seria virtual. Empresas que mal acabaram de nascer valiam mais que gigantes centenárias; por outro lado, quando a bolha estourou todo mundo achou que a internet seria apenas coisa para a molecada ou no máximo uma nova mídia para a área de marketing. Tanto antes do estouro como depois, a maioria errou...

Todo começo de uma nova tecnologia gera fortes e importantes mudanças. Todo mundo corre para um lado e depois para o outro até que o mercado e a sensatez apareçam e levem as coisas para o seu devido lugar.

Com o Cloud não será diferente. Hoje, todo mundo diz que processamento, infraestrutura, aplicações e tudo mais existente em todos os lugares estão forçosamente fadados a migrarem para a nuvem, certo? Não acredito!

Vamos olhar com os olhos que esta nova tecnologia merece ser olhada e entender o que de fato vem a ser Cloud Computing. E veremos que não é nada assim tão novo.

Há anos atrás, existiam os computadores de mesa, os desktops, ligados às redes internas das empresas e essas ligadas a servidores, que podiam ser os main frame ou os de mid range.O fato é que só tinham acesso às aplicações os usuários que estavam dentro das redes nas empresas.

A necessidade das empresas trocarem dados e informações (os bancos foram os precursores do fornecimento de acesso as suas redes) fez com que elas se conectassem através de links dedicados, na maioria das vezes caros, lentos e pouco confiáveis.

Com a consolidação da Internet há 15 anos, a necessidade dos links dedicados desapareceu e a facilidade em trocar informações e dados entre empresas de qualquer lugar do mundo tornou-se trivial.
Outra solução que trouxe uma importante redução nos custos das empresas foi migrar suas aplicações e servidores para DataCenters dedicados.

De imediato, reduziram-se os investimentos com equipe de operação, equipamentos e licenças e veio a liberdade para as empresas crescerem de maneira mais fácil e simples.

Popularizaram-se os conceitos hosting e colocation. Basicamente, alocação de toda a infraestrutura para o primeiro e alocação de espaço fisico, links de comunicação e energia elétrica para o segundo.

Infelizmente estas mudanças não ajudaram todas as empresas. Para as médias e pequenas, o cenário não mudou muito: os custos de migração das suas aplicações para um DataCenter continuava proibitivo. O proibitivo vinha do fato das empresas menores terem que investir muito em um ambiente muito maior do que suas necessidades. Diferente das empresas grandes, as médias e pequenas não possuíam tanta aplicação para ocupar a infraestrutura mínima que os DataCenters comercializavam.

O primeiro passo para mudar esta situação para as pequenas e melhorar ainda mais a situação das grandes foi a popularização da virtualização dos servidores e a comercialização dos softwares no modelo on demmand, conhecidos como Software as a Service (SAAS).
Quanta palavrinha nova.O que vem a ser virtualização?

De maneira simples, se fosse possível pegar vários servidores, colocá-los lado a lado e ligá-los, juntando sua capacidade de memória, armazenamento e processamento como se fosse uma máquina só. É exatamente isso que as aplicações de virtualização fazem com uma diferença: as máquinas podem estar fisicamente em várias partes do mundo.

Os Softwares as a Service nada mais são do que pagar um aluguel mensal pelo uso dos sistemas operacionais , banco de dados, entre outros, ao invés de pagar altos valores pela compra das licenças.
Mas isso é cloud computing? Ainda não!

Lembra que falamos como funciona a virtualização?

Imagine que, ao invés dos servidores estarem fisicamente um ao lado do outro eles estão espalhados em alguns datacenters no mundo, interligados pela internet, e neles estejam instalados estes softwares de virtualização e a sua aplicação espalhada por esses servidores. Esse é o conceito de nuvem: aplicações e sistemas divididos em vários ambientes, proporcionando uma importante redução de custos para empresas por pagarem apenas aquilo que utilizam e, fundamentalmente, uma altíssima disponibilidade das aplicações por elas estarem divididas em vários servidores ao redor do mundo.

Alberto Marcelo Parada é formado em administração de empresas e análise de sistemas, com especializações em Gestão de Projetos pela FIAP. Já atuou em empresas como IBM, CPMBraxis, Fidelity, Banespa, entre outras, e atualmente integra o quadro docente nos cursos de MBA da FIAP e é Diretor de Projetos Sustentáveis da Sucesu-SP

Mobilidade e big data dificultam gerenciamento da segurança nas empresas, diz estudo

A mobilidade e os grandes volumes de dados (big data) estão entre as principais tendências de TI que aumentam a complexidade do gerenciamento da segurança nas empresas, segundo estudo encomendado à Coleman Parkes Research pela HP.

Dos 550 executivos de TI entrevistados em diversos países, incluindo o Brasil, cerca de 73% indicaram dificuldade para o gerenciamento centralizado de dispositivos, enquanto mais da metade disse que a proliferação de dispositivos móveis aumenta potencialmente a perda ou roubo de dados. Já cerca de 66% dos entrevistados citaram dificuldades na proteção de grandes volumes de dados.

Com relação ao gerenciamento de identidade, os maiores problemas são proteção de dados, para 74% dos participantes, e governança de identidade (69%). A pesquisa indica ainda que, embora a segurança de dados seja uma prioridade, 68% não possuem soluções de segurança de impressão implantadas, o que os torna vulneráveis a invasões e à apropriação indevida de documentos impressos.

Diante deste cenário, as organizações estão se tornando cada vez mais proativas nas abordagens de segurança, focando em estratégia, governança e inteligência de segurança, diz o estudo. Quase 71% dos executivos disseram que os responsáveis pela segurança da informação de suas empresas participam das reuniões com outros executivos. Além disso, 82% dos entrevistados disseram explorar medidas de gerenciamento de eventos e informações de segurança (SIEM, sigla em inglês para security information and event management).

Segurança reativa e proativa

O estudo indicou, também, que mais atenção está sendo dedicada a medidas de segurança reativa do que na área mais importante de medidas de segurança proativa. Mais da metade dos participantes da pesquisa disse que o tempo e o orçamento dedicados à segurança reativa são muito maiores do que os investimentos em medidas proativas.

Menos da metade possui atualmente uma estratégia de gerenciamento de riscos da informação implantada, e 53% consolidam manualmente relatórios de gerenciamento de riscos da informação ou simplesmente não medem os riscos, o que prejudica a capacidade de prever ameaças.

Por fim, o relatório aponta que a segurança para computação em nuvem continua a ser uma importante preocupação. Os maiores desafios da nuvem são resultantes da falta de compreensão dos requisitos de segurança (62%), ou da aquisição de serviços sem uma seleção adequada do provedor (55%).

Entretanto, dois terços dos participantes da pesquisa acreditam que os serviços em nuvem podem ser tão seguros quanto datacenters dentro das instalações.

As entrevistas foram conduzidas em julho e incluíram executivos de TI da América do Norte (EUA e Canadá), Europa e Oriente Médio (República Tcheca, França, Dinamarca, Alemanha, Rússia, Emirados Árabes e Reino Unido), região da Ásia-Pacífico (Austrália, China, Índia, Japão e Coreia do Sul) e América Latina (Brasil e México).

Servidor é preso em flagrante espionando colegas na ABIN

A Polícia Federal prendeu dentro da Agência Brasileira de Inteligência (ABIN) um araponga acusado de espionar os próprios colegas.

No glamour da tela de cinema, agente secreto tem até bordão para se apresentar ou adota um jeito trapalhão de ser para desvendar os maiores mistérios, mas na vida real da comunidade de informações, segredo é a alma do negócio.

Na tarde da última sexta-feira, uma equipe da Polícia Federal entrou na ABIN, a Agência Brasileira de Inteligência, e prendeu em flagrante um servidor da área de informática dentro da sala dele. Acusação? Ele estava espionando os próprios colegas.

O especialista em segurança, Daniel Lorenz, que já foi diretor da Polícia Federal, diz que o caso é muito grave. “A ABIN trabalha com assuntos de segurança nacional, informando diariamente a nossa presidente da República. Recentemente a ABIN fez uma avaliação de risco sobre a Copa do Mundo no Brasil, apontando preocupações, fragilidades do nosso sistema de segurança. Imagine esse tipo de conhecimento nas mãos de um criminoso”.

O episódio ligou uma luz de alerta no Palácio do Planalto. “Imagine que com mais de 200 senhas que foram subtraídas dos verdadeiros usuários e se em cada senha ele acessar dez documentos, são mais de dois mil documentos acessados nesse período”, diz Lorenz.

Mas o agente trapalhão deixou rastros. Os sistemas de segurança da ABIN detectaram uma movimentação estranha no computador dele. Foi quando ele foi preso. O computador e o celular que ele usava já estão sendo periciados. O "espião" conseguiu acesso a cerca de 300 senhas de colegas e entrou em vários arquivos pessoais.

O nome do funcionário está sendo mantido em segredo, mas já se sabe que ele tem 35 anos e entrou na ABIN no último concurso. Veio do interior de São Paulo, mora sozinho e ganhava R$ 6 mil por mês. Agora, vai responder a um processo por quebra de sigilo funcional e pode ser expulso do serviço público. Uma história que, definitivamente, não acaba como as de cinema.

Comércio Eletrônico - Parte 1

A cada 16 segundos, um é vítima de tentativa de fraude, diz Serasa

A cada 16 segundos, um consumidor é vítima de tentativa da fraude conhecida como roubo de identidade - em que criminosos usam dados pessoais de vítimas para conseguir crédito ou realizar um negócio sob falsidade ideológica -, segundo aponta pesquisa da Serasa Experian, divulgada nesta quinta-feira (13).

Segundo o indicador, de janeiro a junho de 2012, foram registradas 989.678 de tentativas de fraudes desse tipo, o maior número registrado desde 2010. No mesmo período de 2011, houve 963.631 tentativas de fraudes. No primeiro semestre de 2010, foram contabilizadas 886.920 tentativas de golpes - uma tentativa a cada 17,7 segundos.
“Os golpistas costumam abrir contas em bancos para pegar talões de cheque, pedem cartões de crédito, fazem empréstimos bancários em nome de outras pessoas. Normalmente eles usam os cartões e cheques em pacotes turísticos, salões de beleza, restaurantes, entre outros”, alerta o presidente da Serasa Experian, Ricardo Loureiro, por meio de nota.

De acordo com a pesquisa, de janeiro a junho, o setor de serviços, composto por seguradoras, construtoras, imobiliárias e serviços gerais, registraram 37% do total de tentativas, seguido por telefonia (30%), bancos e financeiras (19%), varejo (12%) e outros (2%).

No mesmo período de 2011, o setor de serviços também liderou as tentativas de fraudes, com 33%. Na sequência, vieram bancos e financeiras (28%), telefonia (25%), varejo (12%), e outros (2%). Em 2010, serviços liderou com 30%, seguindo por bancos e financeiras (29%).

Segurança da informação é frágil no país

O Brasil está entre os países mais vulneráveis do mundo quando se trata de segurança da informação. A produção científica brasileira na área é baixa e, por isso, o País é considerado “seguidor”, por lançar novas tecnologias muito tempo depois dos outros países.
Estas constatações estão no livro Tecnologias da Informação e Comunicação: Competição, Políticas e Tendências, lançado ontem (30/08) por pesquisadores e colaboradores do Instituto de Pesquisa Econômica Aplicada (Ipea).

Do ponto de vista das políticas públicas, o técnico do Ipea Luis Claudio Kubota, um dos organizadores da obra, disse que o País precisa ficar atento, pois o mercado de tecnologia da informação é extremamente globalizado e dominado tanto por operadoras quanto por fornecedores de equipamentos estrangeiros.

Outra questão diz respeito à convergência digital, que é uma realidade cada vez maior e une as telecomunicações e a tecnologia da informação, com dispositivos móveis, como os smartphones e os contéudos.

“De certa forma, as agência regulatórias não estão muito adaptadas para este novo mundo. Estão muito focadas, cada uma na sua caixinha. Por isso, existe, hoje, por exemplo, a necessidade da Anatel [Agência Nacional de Telecomunicações] se articular com a Ancine [Agência Nacional de Cinema]”, disse Kubota.

Para o pesquisador, embora tenha melhorado muito no aspecto de participação em órgãos de padronização e de patentes e no volume de produções científicas, o Brasil inicia seu desenvolvimento científico em uma base muito pequena. “A participação do país em produção científica é muito pequena, se comparada com a de outros países. Além disso o mercado é seguidor, porque lança as tecnologias com muitos anos de atraso.”

Segundo Kubota, são fatores que acabam dificultando a chegada do País á fronteira do conhecimento e da competitividade. Ele e os demais autores do livro lembram que qualquer mudança neste comportamento será de longo prazo e não pode escapar da educação.

*Com informações da Agência Brasil

Você sabe o que é Strategic Sourcing e quais as suas vantagens e desafios?

Tem se observado no mundo corporativo uma tendência à utilização da metodologia de Strategic Sourcing nas áreas de compras, seja utilizando consultorias especializadas ou profissionalizando seus compradores. Mesmo assim, segundo pesquisa realizada pelo Instituto ILOS (Panorama Estratégia de Compras e Suprimentos – Implementação nas empresas brasileiras e uso de Strategic Sourcing - 2010), esta tendência ainda é tímida se comparada às empresas no exterior. Segundo este estudo, metade das organizações brasileiras pesquisadas ainda não utiliza a metodologia, contra 72% das empresas do bloco europeu (maioria na pesquisa) que já a aplicam e 8% que estão em fase inicial de utilização.

Outra forte tendência de mercado é a utilização da tecnologia na estruturação dos processos de Sourcing, o eSourcing. Esta ferramenta é utilizada para aperfeiçoar o processo apoiando nas negociações, RFX´s e leilão reverso, trazendo transparência, melhorando a eficiência e possibilitando a transferência de conhecimento com uma ferramenta que poderá ser, por exemplo, utilizada continuamente pelos clientes após a entrega dos projetos pelas consultorias. Empresas que não utilizam ferramentas tecnológicas necessitam urgentemente rever seus processos para considerá-la em sua estratégia de negociação.

De fato, a competição em nossa economia tem comprovado que a utilização do Strategic Sourcing traz enormes benefícios nos processos e transparência à área de compras no que tange a negociação. No panorama econômico atual onde as empresas devem fazer mais por menos, esta metodologia, que proporciona corte direto nos gastos com compras, pode recompensá-las com redução de custos imediata. A pesquisa da 1ILOS comparava tal situação onde 74% das empresas pesquisadas informaram que a principal razão para sua utilização é a pressão para redução de custos, seguida da necessidade de desenvolver estratégia de gestão por categoria com 62%.

O Strategic Sourcing, utilizado pelas grandes empresas visando à melhoria contínua dos processos com redução de custos e aumento do desempenho da área de compras, se caracteriza pela estruturação em etapas e aplicação do conhecimento em gestão de projetos. A estrutura em etapas permite conduzir um processo que, além de identificar o fluxo detalhado da aquisição do produto ou serviço, também estuda o mercado fornecedor, suas forças e tendências, levanta o custo total, pesquisa modelos de fornecimentos, ajuda as organizações a aperfeiçoar sua base de fornecimento, realiza cotações, negocia e finalmente implementa os processos e contratos, assegurando o monitoramento e gerenciamento do seu desempenho.

As vantagens para as empresas que utilizarão desse modelo são várias sendo umas delas o tempo ganho com a utilização de contratos em longo prazo, pois assim, os compradores podem dedicar mais tempo à estratégia e menos em atividades operacionais rotineiras. A padronização dos processos e a visualização dos gastos das categorias ajudam as empresas a enxergar seus gastos e a priorizar as categorias que serão trabalhadas no Sourcing.

No entanto, para que a experiência seja bem sucedida, é preciso que alguns cuidados sejam tomados. É necessário que a diretoria esteja envolvida e que as diretrizes sejam alinhadas e bem claras, para que com isso todas as áreas da empresa estejam totalmente envolvidas e comprometidas e assim o melhor resultado possa ser alcançado.

Uma vez que o projeto seja planejado e cuidadosamente implementado, os resultados são bastante promissores resultando em soluções inovadoras de compra que irão gerar eficiência nos processos e resultados mensuráveis.

Marcia Oribe é analista Senior de Sourcing do Mercado Eletrônico

Nova estratégia de Tecnologia da Informação é debatida por órgãos públicos

Brasília, 28/8/12 – Cerca de 100 gestores e dirigentes da administração pública federal debatem na tarde desta terça-feira, 28, no Ministério do Planejamento, Orçamento e Gestão (MPOG), a nova Estratégia Geral de Tecnologia da Informação (EGTI). A EGTI orientará a governança de TI dos órgãos públicos integrantes do Sistema de Administração de Recursos de Tecnologia da Informação (SISP) entre os anos de 2013 e 2015.

Na abertura do evento, o secretário-executivo adjunto do MPOG, Valter Correia da Silva, destacou o processo colaborativo de construção da nova EGTI. “A intenção ao adotar o modelo participativo é de aumentar a aderência à realidade dos órgãos e fortalecer o comprometimento institucional para que os indicadores e metas sejam perseguidos pelo sistema com maior envolvimento”, explica.

A EGTI 2013-2015 será composta de dez objetivos estratégicos. Entre eles estão temas como gestão de pessoas, orçamento de TI, gestão e governança de TI, padrões tecnológicos, processos internos e segurança da informação. “O sucesso do cumprimento das metas da nova estratégia dependerá da participação colaborativa e do comprometimento de todos os órgãos integrantes do sistema”, reforça o secretário-adjunto.

O SISP é a estrutura de governança pública utilizada pelo governo federal para a organização do trabalho, controle, supervisão e coordenação da área de TI na administração direta, autárquica e fundacional. O SISP é integrado por 218 órgãos , sendo a Secretaria de Logística e Tecnologia da Informação (SLTI) a unidade central do sistema.

O diretor do departamento de sistemas da informação, Corinto Meffe, explica que a estratégia de TI está completamente alinhada a Lei de Acesso à Informação (LAI - lei nº 12.527, de novembro de 2011). A LAI dispõe sobre os procedimentos a serem observados pela União, Estados, Distrito Federal e Municípios para garantir o acesso da população brasileira a informações governamentais. “Nós queremos acompanhar os órgãos a implementarem cada vez mais a LAI”, disse Meffe.

Para ampliar o debate sobre a nova estratégia, a Secretaria de Logística e Tecnologia da Informação (SLTI), órgão central do sistema, abre consulta aberta sobre o documento até 14 de setembro. O objetivo é que toda comunidade participe desta construção e contribua com a EGTI. Participe da elaboração pelo portal do SISP.

Fonte: Ministério do Planejamento, Orçamento e Gestão.

Dicas de segurança em redes sociais

O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), do Núcleo de Informação e Coordenação do Ponto BR (NIC.br), lança um conjunto composto por fascículo e slides com dicas de segurança em redes sociais.

Assim como a cartilha completa, o fascículo é ilustrado e está disponível também em formato PDF. Para facilitar a discussão do assunto o material é acompanhado por slides, licenciados sob Creative Commons, e pode ser usado livremente para divulgar sugestões e boas práticas.

O objetivo é mobilizar escolas, educadores e pessoas interessadas para que divulguem o material entre crianças e adolescentes. De acordo com o CERT.br, esse público é parte da audiência dos sites de redes sociais e é importante que seja orientado para fazer o melhor uso das ferramentas, sem colocar em risco a privacidade e a segurança.

“O acesso às redes sociais faz parte do cotidiano de grande parte da população e, para usufruir plenamente delas, é muito importante que os usuários estejam cientes dos riscos que elas podem representar e possam, assim, tomar medidas preventivas para evitá-los”, disse Miriam von Zuben, analista de Segurança do CERT.br.

A cartilha e fascículo podem ser lidos em dispositivos móveis como tablets e smartphones.

Mais informações: http://cartilha.cert.br/fasciculos e http://cartilha.cert.br

Relatório de ameaças da McAfee indica maior alta de malwares em 4 anos

A McAfee divulga o Relatório sobre Ameaças da McAfee: Segundo Trimestre de 2012 que constata maior crescimento nas taxas de detecção de malware nos últimos quatro anos. O McAfee Labs detectou um aumento de 1,5 milhão de ameaças desde o primeiro trimestre de 2012 e identificou novos malwares, tais como downloads “de passagem” com aparelhos móveis, o uso do Twitter para controlar botnets móveis e o surgimento do “Ransomware” móvel.

Por meio de pesquisas, verificou o rápido crescimento em seu grupo de amostras de malware, que inclui golpes diversificados. Com o crescimento de ameaças a um ritmo de quase 100 mil por dia, a McAfee identificou as principais variações de ataques que afetam uma série de usuários em todo o mundo.

“No último trimestre, vimos diversos exemplos de malwares que afetam consumidores, empresas e instalações de infraestrutura crítica”, comenta Vincent Weafer, vice-presidente sênior do McAfee Labs. “Os ataques de malware mais amplamente divulgados no segundo trimestre de 2012 foram o Flashback, dirigido a dispositivos Mac, os ataques pelo ‘Ransomware’ e os de downloads ‘de passagem’. Este relatório ressalta a necessidade de proteção de todos os dispositivos para acesso seguro na Internet.”

Malware em alta

À medida que os golpistas aperfeiçoam ataques para computadores, suas habilidades também são usadas para ataques em outras plataformas amplamente usadas por consumidores e empresas, tais como em dispositivos móveis como o sistema operacional Android, do Google, e o iOS, da Apple.

Depois da explosão das ameaças móveis no primeiro trimestre de 2012, o malware para Android não dá sinais de desaceleração. Praticamente todas as novas ameaças móveis detectadas no segundo trimestre deste ano eram direcionadas à plataforma Android e consistiam em golpe de envio de SMS, botnets móveis, spyware e cavalos de Troia destrutivos.

Ransomware e botnets móveis: tendência em cibercrimes

O Ransomware (programas nocivos para pedido de resgate) cresce em ritmo constante a cada trimestre. Esse tipo de golpe passou a ser uma via bastante usada pelos cibercriminosos e os danos podem ir desde a perda de fotos e arquivos pessoais de usuários domésticos até a criptografia de dados e a exigência de pagamentos em dinheiro, no caso de grandes empresas. O Ransomware é especialmente perigoso, pois pode fazer computadores e dados reféns, danificando instantaneamente as máquinas.

As botnets, redes de computadores infectados (zumbis ou robôs) com software mal-intencionado e usados para gerar spam, distribuir vírus ou derrubar servidores de Web, também foram protagonistas neste trimestre: o número de infecções atingiu o recorde em 12 meses. Como os Estados Unidos são o centro mundial dos servidores de comando de botnets, também foram descobertos novos métodos de controle, entre eles o uso do Twitter para comando de botnets móveis. Dessa forma, o atacante pode tuitar comandos de maneira relativamente anônima para que todos os dispositivos infectados os sigam.

Corruptores de pen drives, ladrões de senhas e ameaças da Web

Os malwares direcionados a pen drives e para roubo de senhas apresentaram um considerável crescimento no segundo trimestre. Com quase 1,2 milhão de novas amostras, o worm AutoRun espalha-se a partir de pen drives, executando códigos incorporados nos arquivos AutoRun, repetindo o processo em todos os drives desprotegidos. O malware de roubo de senha, com quase 1,6 milhão de novas amostras, coleta nomes de contas e senhas para que o atacante possa se passar pela vítima.

Sites de má reputação são influenciados pela hospedagem de malware, programas potencialmente indesejados ou sites de phishing. Neste trimestre, o McAfee Labs registrou uma média de 2,7 milhões de novas URLs comprometidas por mês. Em junho, essas novas URLs foram relacionadas a cerca de 300 mil domínios de má reputação, equivalente a 10 mil novos domínios mal-intencionados por dia. Das novas URLs de má reputação, 94,2% hospedam malware, explorações ou códigos especificamente criados para sequestrar computadores.

C&M Software lança ferramenta de prevenção a lavagem de dinheiro

A C&M Software lançou nesta segunda-feira, três o Rocket PLD, um módulo que se agrega à plataforma para auxiliar na prevenção a lavagem de dinheiro, que irá operar totalmente integrada aos demais módulos já existentes, e principalmente aos módulos de fraude no atendimento às instituições auxiliando na prevenção à lavagem de dinheiro, sob a supervisão do Banco Central do Brasil, SUSEP e CVM.

O Rocket PLD disponibiliza já nesta primeira versão todas as funcionalidades descritas nos documentos dos órgãos reguladores como Bacen (carta circular 3.542), Susep (circular noº 445) e CVM (instrução CVM 523).

O presidente da C&M Software, Orli Machado, citou algumas das principais implementações que envolvem o mercado das seguradoras exigidas pela Susep, afirmando ser bem mais simples se comparada com as regras exigidas pela CVM e Bacen, que possuem mais de 140 pontos de validação.

O Rocket PLD já foi desenvolvido para suportar todas essas mudanças, contemplando as funcionalidades descritas nos documentos dos órgãos reguladores do sistema financeiro nacional, sendo capaz de monitorar de forma integrada e com agilidade necessária diversas transações financeiras, coibindo o risco de fraudes.

Frases que assustam os profissionais de segurança

Diante de algumas constatações de práticas e rotinas, fica fácil saber quais são os problemas com segurança nas empresas. É o seu caso?

As cenas são clássicas. Uma criança com a camiseta lambuzada de chocolate afirma, categórica: “Não fui eu!”. Ou então o telefone toca e a mãe assegura a você: “Não há com o que se preocupar.” Ou ainda um administrador de sistemas que carrega uma caixa de fitas de back up garante: “Em poucos minutos todas as informações estarão recuperadas”. Em alguns casos, as primeiras palavras que você ouve – apesar da distância entre elas e a verdade – são o suficiente para dizer tudo o que se precisa saber.

O mesmo se aplica ao mundo da segurança da informação. Algumas palavras soam reconfortantes, mas sabemos que elas frequentemente apontam os problemas de segurança interna, de recursos técnicos ou com as pessoas e processos envolvidas na proteção a sistemas.

Conheça a seguir algumas das frases “reveladoras de segredos” que assinalam a iminência de problemas na segurança. E boa sorte...

1. Nós temos uma cultura de segurança
“Não, vocês não tem” é a resposta imediata dos profissionais. Mesmo que apenas mentalmente. Esse é o tipo de frase que surge de empresas que começaram com cinco pessoas – no tradicional modelo familiar de negócios – e, conforme cresceram, num piscar de olhos se viram operando com milhares de pessoas, sem governança ou políticas. Alguns trocados e sua “cultura de segurança” são suficientes para comprar um bom café expresso, em um canto sossegado que permita olhar para o horizonte e descobrir quanto trabalho há pela frente.

O simples fato é que sem diretrizes de suporte ou mecanismos de retorno (feedbacks), a segurança é definida diferentemente por cada um e não é verificada por ninguém. Não existem métricas para adequação com a “cultura” e uma “cultura de segurança” é ocultada por uma prática de “faça o seu trabalho”.

Se existem regras, escreva-as. Se a tecnologia é colocada em ação para implementar ou monitorar as regras, também escreva isso. Se as pessoas quebrarem as regras, cumpra o que ficou estabelecido. Se as regras prejudicarem a legitimidade dos negócios quando cumpridas, mude-as. É simples assim.

2. A segurança de TI é a segurança da informação
A segurança da informação não é a mesma coisa do que a segurança em tecnologia da informação. Se o termo “segurança da informação” é usado da mesma forma que “segurança de TI”, isso invariavelmente significa que ninguém tem tomado decisões fundamentalmente não técnicas de segurança que afetam os departamentos - TI, recursos humanos, jurídico, auditoria e talvez outros da organização. E, portanto, essas áreas estão tentando adivinhar o que os responsáveis querem dizer.

Junte-se àqueles que têm influência sob os departamentos listados acima e decida se a informação (não documentos em papel ou equipamentos) é um ativo da companhia, como os computadores e as mesas. Decida se a empresa autoriza as pessoas a realizarem jobs, acessos lógicos e físicos a informações como indivíduos.

Tome essas decisões políticas em grupo. Depois talvez haverá mais tempo para decidir “como” gerenciar a segurança - ao invés de tentar adivinhar...

3. Isso não se aplica ao chefe
Apesar de isso estar se tornando um problema menor em empresas públicas,  ocasionalmente um executivo simplesmente se recusa a seguir diretrizes de segurança que ele mesmo aprovou. A menos que você esteja preparado para meticulosamente documentar todas as "escapadas" seguindo o modelo de perícia forense e depois entregá-las para os diretores ou à polícia (ou então simplesmente pedir demissão), prepare-se para contornar a situação.

A maior parte das maçãs podres pode ser gerenciadas por meio da aplicação do senso maquiavélico que possuem de influenciar o relacionamento dos outros: eles pelo menos devem aparentar que lideram pelo exemplo, enquanto continuam a fazer qualquer coisa que fazem de portas fechadas. Poucos vão admitir isso, mas muitas organizações simplesmente colocam no orçamento e instalam um linha DSL para acesso de "convidados" nas salas dos principais executivos e fecham os olhos para qualquer coisa que é plugada nessa linha. Essa não é a solução desejável, mas se mesmo assim esses executivos resolverem assinar os documentos exigidos pela lei Sarbanes-Oxley, o resto vem da habilidade de negar conhecimento dos profissionais de segurança.

4. Nosso departamento de segurança da informação fica com a equipe de TI
Títulos não importam. Um relatório de um especialista em segurança ao diretor de TI é sempre o de um administrador de segurança, mesmo se aquela pessoa tem o cargo de information security officer.

O problema é que no mundo corporativo a palavra "officer" geralmente significa que aquele profissional tem autoridade para verificar e monitorar se todas as técnicas e processos que controlam informações protegidas são eficientes. Um administrador de segurança de TI é normalmente envolvido em desenhar o controle técnico e por essa razão não pode se “auto-auditar” ou certificar-se de que a TI está fazendo a coisa certa, particularmente se ele reporta para alguém dentro da TI. O profissional de segurança com o cargo de "officer" deve sempre se reportar no mesmo nível ou como superior ao diretor de TI.

5. Nós temos uma política de senhas
Falando diretamente, um documento que especifica o tamanho, a forma e a complexidade de uma senha é um padrão técnico ou um procedimento, não uma política. Política é um diretório para o direcionamento de negócios, algo como “indivíduos devem ser identificados unicamente e autenticados prioritariamente para ter a condição de acessar os ativos da companhia”. Observe que este exemplo de política envolve “o que” fazer a respeito das pessoas e acessos, não “como” construir uma sequência de tipos de caracteres.

6. Nossos executivos têm cópias de todas as senhas
Apesar da ideia fazer um jovem estudante desmaiar, existem de fato gerentes que demandam que seus funcionários diretos revelem suas senhas individuais. A explicação para isso é sempre: “E se alguém é demitido ou está doente? Como nós poderíamos encontrar os seus documentos?”.
Quando isso acontece, a única estratégia efetiva é dizer a quem pede tal coisa: “Se você fizer isso, então você é um suspeito em qualquer situação negativa que surgir. Você nunca estará apto a demitir ninguém porque você também será um suspeito”. Ou então sempre se pode resumir isso tudo em um simples: "Cresce, amigo!".

7. A marca X é nosso padrão
Eu não tenho nada contra os principais fornecedores de hardware do mercado, mas quando o pessoal de compras de empresas diz: “Nosso padrão é a Dell” (ou qualquer outra marca), o que eles realmente estão dizendo é: “Nós jogamos nossos padrões de segurança pela janela em troca de descontos e agora nós compramos qualquer coisa que o fornecedor oferece”. É o equivalente às compras daquela sua tia-avó em uma loja com preços superfaturados, ficando contente porque “um produto está com desconto de 75%”.

A ponto é que, tanto aquela sua tia-avó quando o pessoal de TI no mundo real têm outras decisões a tomar e os PCs são commodity. Está tudo certo escolher o produto de um vendedor e manter os pedidos com ele por um tempo. Mas um fabricante ainda não é um padrão técnico e existe um problema em misturar isso se ninguém fizer a lição de casa.

Quando um fabricante faz mudanças na linha de software ou de produto – especialmente quando isso parte de um fabricante de equipamentos de rede e segurança como a Cisco Systems –, é importante ter requerimentos funcionais claramente definidos para avaliar se os produtos ainda funcionarão como desejado. Quando os clientes não sabem o que querem, qualquer barganha parece ser o que você precisa.

8. Ei, de onde veio isso?
É concebível que aqueles usuários altamente técnicos deveriam organizar seus próprios equipamentos bem como dar suporte a eles. Por outro lado, isso significa que a área de TI e o pessoal de suporte foram nocauteados por fabricantes de hardware que fornecem apenas um número 0800 que nunca funciona. Políticas de segurança devem estar presentes em todo lugar, inclusive afixadas na parede dos banheiros, atrás do papel higiênico de uma organização.  A política de segurança na companhia pode também estar exposta ao lado das toalhas do banheiro. O importante é que sejam claras e do conhecimento de todos.

Resolver isso é um problema fundamental de respeito. Começar pela governança básica e deixando claro que há regras, com muito esforço e comunicação, isto vai pelo menos tornar a “cultura da segurança” uma questão resolvida.

9. Nós enviamos as regras do firewall para...
A maioria dos administradores de rede se encolhe de medo com as palavras mencionadas acima. Ainda assim, muitos ainda vão enviar, gratuitamente, emails com cópia das regras de firewall. Pior ainda, eles têm um fabricante de equipamentos ou um consultor freelancer que configura o firewall para eles e mantêm para si a única cópia das regras. Essas regras, se elas apresentam complexidade, provêem um mapa detalhado do esquema de segurança da companhia, com informações importantes a respeito da identidade das redes internas e serviços e como torná-los um alvo.

Nenhum profissional sério de segurança sairia com uma cópia das regras de firewall de alguém sem uma requerimento específico para fazer isto. Um competente auditor de sistemas da informação certificado ou outro auditor vai revisar as regras de firewall diretamente no sistema do administrador e não levar consigo. Se você vir uma cópia de suas regras corporativas de firewall colocadas em um relatório de auditoria, especialmente um público, prepare-se para refazer o projeto de IP... e chame seus advogados.