Wednesday 31 July 2013

Segurança da informação: empresas devem reforçar vigilância

Numa época em que muito tem se falado em espionagem internacional, não se deve descartar a grande oportunidade de avaliar de que forma empresas e empregados estão contribuindo para que informações estratégicas e até mesmo sigilosas vazem no mercado – onde os concorrentes estão sempre ávidos pela oportunidade de estar um passo à frente dos demais. Segurança da informação é, assim, um dos atributos mais importantes hoje em dia, sendo fundamental entre os profissionais de TI (tecnologia da informação).

Diariamente, inúmeras empresas anunciam perda de dados, invasão de hackers. As pessoas nem se surpreendem mais com esse tipo de violência, embora os estragos possam ser tão grandes a ponto de provocar a falência dos negócios. Aumentar a vigilância e reduzir a vulnerabilidade é o primeiro passo entre organizações que precisam urgentemente compreender os mecanismos da informação e como sua proteção integra a gestão de risco.

Portanto, a mensagem é clara: qualquer programa de segurança da informação, para ser bem-sucedido, deve passar obrigatoriamente pela conscientização das equipes de trabalho, pela adoção de uma política interna de segurança, e pela aprendizagem de como as ferramentas tecnológicas podem contribuir para reforçar a guarda. Não adianta adotar um programa ‘perfeito’ se não houver uma comunicação adequada com todos os empregados, do mais simples ao presidente.

O nível de segurança ideal para cada empresa está estreitamente relacionado com o volume de usuários que acessam os sistemas e ao perfil do negócio. Soluções de segurança têm de ser personalizadas. Ao adotar um programa de segurança, não estamos levando em consideração apenas as determinações da política interna.

É necessário fazer uma varredura para detectar onde estão os pontos mais vulneráveis, as falhas de segurança, e corrigir o problema. Além da possibilidade de haver falhas na implantação de produtos como firewalls, antivírus, detectores de invasões etc., também pode haver falta de manutenção e supervisão adequada do ambiente virtual. Em alguns casos, se faz necessário aumentar ao máximo a vigilância e adotar monitoramento full time do ambiente em relação às vulnerabilidades existentes.

Das mais simples às mais sofisticadas, cada solução de segurança atende ao propósito de impedir a ação de ‘webintrusos’. O filtro de IP é uma solução de baixo custo para incrementar a segurança da rede, filtrando endereços de origem ou destino e inclusive bloqueando o tráfego de alguns pontos de origem. Os antivírus e antispams são bastante populares, mas absolutamente necessários hoje em dia, sob pena de haver uma queda brusca na produtividade ou a perda total de informações. São soluções que repelem intrusos, evitando o acesso a informações estratégicas.

Outra medida importante para aumentar a segurança da rede é a inspeção de segurança. Neste caso, a empresa conta com um monitoramento ativo para identificar os inúmeros tipos de ameaças e consequente solução de controle.

Vale ressaltar a importância, neste ponto, de se adotar um mecanismo de comunicação da política de segurança adotada, promovendo amplo entendimento das vulnerabilidades que devem ser evitadas. Esse processo deve ser revisado e retransmitido continuamente para melhor resultado.

Ao interromper o tráfego malicioso através de um sistema que controla o transporte de dados, a segurança da empresa é potencializada de um modo sem precedentes – já que a maioria classifica apenas velocidade e desempenho como prioridade.

Outro ponto forte do controle da rede é aumentar a detecção do risco e da vulnerabilidade do negócio, fazendo com que o fluxo de informações esteja sempre bem protegido e seja o grande acelerador de negócios da empresa. Também os dispositivos móveis – cada vez mais integrados ao ambiente de trabalho – são alvos de preocupação. Ou seja, pendrives, smartphones, tablets e notebooks devem integrar o ‘perímetro de segurança’, evitando todo tipo de fraude e contaminação.

Por fim, deve-se levar em conta a possibilidade de se fazer um back-up na nuvem (cloud computing). Trata-se de uma solução que inclui volume de dados armazenados, software de gestão e replicação de informações para um local remoto, com um monitoramento efetivo dos processos de backup realizado por uma equipe em tempo integral, todos os dias do ano. Enfim, por mais que a segurança seja reforçada, sempre haverá quem tente insistentemente burlar o esquema. Mas nem por isso devemos baixar a guarda.

Ao contrário, quanto mais protegidas estiverem as informações estratégicas da empresa, melhor para os negócios.

Ezequias Sena, diretor comercial da Online Data Center

Wednesday 24 July 2013

Operadoras reforçam: quebra de sigilo telefônico apenas com ordem judicial

As operadoras de telefonia fixa e móvel, representadas pelo seu sindicato, o SindiTelebrasil, expressaram por meio de nota à imprensa a sua "disposição em colaborar com as autoridades nas iniciativas de manutenção da ordem pública", mas reiteraram que precisam cumprir a lei 9.296/96, que prevê que qualquer quebra de sigilo telefônico ou acesso a dados demanda uma ordem judicial, tal como avaliou o advogado Rafael Pellon, da FAZ Advogados, em análise a pedido de MOBILE TIME. O posicionamento da entidade diz respeito ao recente decreto do governador do estado do Rio de Janeiro que criou uma comissão especial para investigar supostos atos de vandalismo em manifestações na capital fluminense.

No artigo 10 da referida lei, está escrito que "constitui crime realizar interceptação de comunicações telefônicas, de informática ou telemática, ou quebrar segredo da Justiça, sem autorização judicial ou com objetivos não autorizados em lei".

O sindicato encerra seu comunicado com as seguintes palavras: "O SindiTelebrasil reforça, por fim, a importância de se garantir a privacidade de seus clientes e o trabalho permanente de cumprimentos das leis do País. E enfatiza a determinação Constitucional de que cabe exclusivamente à União legislar sobre telecomunicações.

Análise

Mas a mensagem das teles também traz algumas posições nas entrelinhas, entre elas uma crítica velada a serviços de Internet que acessam e comercializam conteúdos de mensagens de email e redes sociais, por exemplo. O SindiTelebrasil tem se posicionado sistematicamente em oposição à postura das empresas de Internet que alegam que a "leitura" dos dados dos clientes é consentida. Para as empresas de telecomunicações, o sigilo das comunicações é um princípio Constitucional incontornável, salvo em decisões judiciais.

Ao soltarem a nota em relação à legislação do Rio de Janeiro, as empresas de telecomunicações estão buscando, também, traçarem um divisor entre a postura que elas têm adotado em cumprimento da lei e o que consideram ilegal do ponto de vista de grandes empresas de Internet, como Google, Facebook e outras. São setores que estão em oposição em diversos assuntos, do Marco Civil da Internet à disputa por mercados e serviços que funcionam sobre as redes banda larga.

A Internet e os Direitos Autorais

A Internet é uma ferramenta imprescindível para a sociedade atual. Diante deste cenário, o próprio desenvolvimento tecnológico e a indispensabilidade da Internet acarretam uma integração global nos diversos níveis, seja este econômico, cultural, comercial, político e social. Sendo a Internet um meio que facilita a rápida propagação, não poderia ser diferente para os autores de obras intelectuais fazerem uso desse ambiente para também divulgarem suas obras.

Ocorre que, na contramão dos fatos, todo esse desenvolvimento tecnológico tem agravado o uso indevido de conteúdo das obras literárias no meio eletrônico e, consequentemente, pode-se dá uma ideia da banalização do direito do autor. Ou seja, a proteção dada ao autor e sua à obra valeria somente no chamado mundo “real”.

A priori, os direitos do autor têm uma tutela jurídica específica para a relação entre o autor e a sua obra intelectual, cuja proteção se dá sob o aspecto moral e patrimonial e, ainda, respalda outros direitos que lhes são conexos. Em resumo, os direitos morais são de caráter pessoal o autor, os quais permitem a ele, por exemplo, o direito de reivindicar a autoria e a integridade da sua obra, enquanto que os direitos patrimoniais se referem ao benefício econômico que advém da utilização da obra intelectual. Já os direitos conexos aos direitos autorais são aqueles destinados aos artistas, intérpretes ou executantes da obra intelectual do autor. Exemplo, um intérprete de uma música de Tom Jobim também usufrui de uma proteção legal sobre a interpretação que foi feita por ele.

A Lei dos Direitos Autorais, nº. 9.610/1998, visa proteger os direitos do autor e a sua obra independentemente do meio, seja ele virtual ou não. Assim, o meio eletrônico, no caso em análise a internet,também está contida na esfera de alcance da lei, devendo a obra intelectual ser amparada juridicamente e, para tanto, a sua utilização por terceiros deve ser feita com autorização expressa e clara do autor da obra.Caso contrário, resta evidente a violação do direito do autor.

A prova da violação do direito cabe ao autor da obra, pois essa é a regra geral. Logo, se o autor da obra intelectual tem o seu direito violado deverá comprovar a existência deste fato, utilizando-se dos meios de provas admitidos em lei, seja através de depoimento de testemunhas, perícia, prova documental ou qualquer outra forma admitida desde que esta não viole os princípios morais e éticos.

Todavia, o grande desafio das regras de Direito está na dimensão do espaço virtual, uma vez que sem limites geográficos, a utilização indevida de obras no meio virtual, sem a autorização expressa do autor, se torna alvo fácil. O uso indevido das obras é feito de diversas maneiras, seja através do armazenamento, da distribuição, da disponibilização e do compartilhamento em nuvem, ou até mesmo através de suportes como CD e pen drive.

Não é o caso de dizer que inexistem leis que coíbem a prática da violação dos direitos do autor, mas o que falta é uma maior efetividade e mecanismos de controle/ fiscalização, a fim de facilitar uma investigação e atribuir o autor da infração à responsabilização civil e criminal e a consequente reparação dos danos. Além disso, importante repisar que, muitas vezes, o próprio autor da obra ignora que seu direito está sendo violado, em virtude do inalcançável mundo cibernético.

Ainda que a obra do autor esteja registrada nos órgãos competentes, nada impede que ela seja indevidamente utilizada. Há a proteção legal, mas a problemática está na efetividade da lei, no sentido de que não há ainda mecanismos apropriados para uma proteção efetiva que a lei se propõe a fazer. E existe ainda um outro fator importante que é a falta de estrutura do Estado na apuração de crimes virtuais.

Sob o aspecto da responsabilização no âmbito civil, fica a critério dos Tribunais mensurar o dano sofrido pelo autor e determinar um montante indenizatório, como forma de reparar o dano por ter tido seu direito de autor violado.

Algumas medidas já estão sendo tomadas, mas de maneira muito incipiente. O Marco Civil da Internet é uma das tentativas legislativas para regulamentar melhor a questão da identificação dos violadores virtuais através da guarda dos logs. A Lei 12.737/2012, também conhecida como a Lei Carolina Dieckmann, torna algumas condutas criminosas, mas ainda guarda a mesma problemática da efetividade da lei.

Não se espera que as leis acompanhem no mesmo ritmo as mudanças tecnológicas, pois pensar assim é no mínimo ilusório. Mas é devidamente apropriado pensar em obter mecanismos que proporcionem maior efetividade às leis já existentes, que somado ao trabalho dos Tribunais, já poderíamos contar com um aparato mínimo de regulação das obras intelectuais no meio eletrônico.

Francesca Corrêa, advogada especialista em Direito Eletrônico e sócia da Construtivo.com

Tuesday 23 July 2013

Exército usou software Guardião para monitorar redes sociais

Em entrevista ao Jornal O Globo, o chefe do Centro de Defesa Cibernética, general José Carlos dos Santos, assumiu que durante a Copa das Confederações - ápice das manifestações populares - as redes sociais foram monitoradas para envio de dados à Polícia Federal e às secretarias de Segurança nos estados onde ocorriam os protestos.

De acordo com a reportagem, publicada nesta terça-feira, 17/07, a técnica utilizada - por meio do software Guardião, da brasileira Dígitro é semelhante à utilizada pela NSA, do Estados Unidos, organismo sob suspeita de espionagem.

Mas as semelhanças param por aí. Enquanto a NSA foi denunciada ao mundo por um ex-técnico da CIA, Edward Snowden, como órgão que fazia espionagem nas redes, o Exército brasileiro adquiriu uma ferramenta de uma empresa nacional, seguindo os trâmites legais previstos para as contratações púbicas.

E utilizou a ferramenta num momento de alta tensão para a segurança nacional e internacional, uma vez que a Copa das Confederações é um evento FIFA. Além do Exército, a Politica Federal e o Ministério Público Federal também contrataram o guardião, além de diversos organismos de segurança pública de governos estaduais.
Monitoramento

De acordo com o general José Carlos Santos, o monitoramento feito pelo Exército é legal. Esse acompanhamento é necessário por envolver questões de segurança nacional, o que legitima e justifica essa ação, avalia ele. O militar informou que a parceria com a Polícia Federal também tem legitimidade até porque as Forças Armadas não atuam na ponta, o que é função da polícia.

O centro de Defesa Cibernética funciona no quartel-general do Exército, em Brasília. Da central de monitoração, Santos comandou um grupo de 50 militares responsáveis por identificar eventuais líderes das manifestações, pontos de potencial conflito e organização de atos de vandalismo. Agentes e delegados da PF atuaram em conjunto com o Exército.

Outros 24 militares — quatro em cada uma das seis sedes da Copa das Confederações — participaram do monitoramento dos protestos. Novas manifestações poderão ser acompanhadas pelo Centro de Defesa Cibernética e pelo setor de inteligência do Exército.

Santos afirmou à reportagem que o monitoramento e a filtragem de dados das redes sociais pararam com o fim da Copa das Confederações. Segundo ele, em nenhum momento o Exército filtrou dados que não fossem informações públicas, divulgadas nas redes sociais pelos ativistas.
*Com informações do Jornal O Globo

Wednesday 17 July 2013

Dez dicas para a Segurança de Dados: hospede suas informações valiosas em local seguro

As manchetes de algumas semanas atrás revelaram que detalhes do programa NSA PRISM foram extraídos usando um drive USB. As notícias estão cheias de exemplos de roubo de dados e espionagem cibernética. Com ataques virtuais avançados, roubos de dados por funcionários usando dispositivos de armazenamento portáteis e casos de perdas involuntárias de informações, aprofundamos muito o conhecimento com as repercussões assustadoras de roubo de dados.

Aqui, apresentamos dez pontos rápidos a considerar em como manter seus dados importantes seguros e protegidos contra o roubo de dados:

1.Proteção em Terminais (Endpoint) – A propriedade intelectual (IP) e os dados confidenciais frequentemente são usados em terminais que não recebem a proteção oferecida por controles simplificados que usam padrões para prevenir a perda de dados (DLP) dos firewalls e gateways. Os terminais DLP podem proteger dispositivos dentro e fora da rede, controlando os dados copiados, impressos ou transferidos (incluindo dados transferidos para drives portáteis).

2.Criptografia Portátil – Quando os dados precisam sair da rede e do terminal, você pode exigir a aplicação de criptografia para garantir mais controle dessas informações.

3.Controles Corporativos de DLP – As diferenças entre soluções de DLP que utilizam padrões simples e sistemas que oferecem proteção corporativa incluem: registro de dados (impressão digital), reconhecimento automático e avançado de dados, classificação de dados quando são criados, e políticas definidas para todo o conteúdo relevante para o sucesso da sua empresa.

4.Políticas de Prevenção Protegem a Propriedade – Em termos gerais, a chave para uma implementação bem sucedida de controles DLP é a fase de prevenção. Os projetos frequentemente emperram durante as fases de descoberta e monitoramento de dados. Para evitar isso, é importante começar com um conjunto menor de dados confidenciais e executar o projeto por inteiro até a fase de prevenção. É possível proteger seus dados mais importantes dentro de 6-8 semanas!

5.Remediação e Auditoria – Em algumas situações, existe um receio infundado que a migração para políticas de prevenção DLP pode travar os dados em movimento e os processos corporativos. Para resolver isso, é importante implementar soluções DLP que aceitam explicações dos usuários finais sobre o uso de dados e a auto-correção. Isso mantém o fluxo de dados e permite sua visualização pelos administradores de rede.

6.DLP como Defesa – Os gateways de segurança que usam a tecnologia DLP como defesa são fundamentais para detectar o roubo de arquivos de senhas, o uso criminoso de criptografia e pequenos vazamentos de dados em um longo prazo. O conhecimento do destino geográfico dos dados e os relatórios forenses sobre incidentes podem fornecer informações importantes sobre o roubo de dados para reduzir a perda de dados e analisar o incidente.

7.Análise de Texto de Imagem – Smartphones e dispositivos com câmeras facilitam muito a captura de dados. Além disso, em muitos casos os dados sensíveis que você quer proteger são imagens. Hoje, as principais soluções DLP oferecem a possibilidade de usar o reconhecimento de caracteres ópticos (OCR) para analisar texto em imagens e evitar a exposição de dados.

8.Malware e Hacking – É importante lembrar que DLP e a proteção de dados também dependem de defesas sólidas contra ameaças avançadas, malware e hacking. É um erro comum implementar uma tecnologia DLP corporativa sem rever as defesas do gateway de e-mail e da Internet. As defesas tradicionais, como AV, firewalls e filtros URL, são menos eficientes. Portanto, é essencial implementar defesas em tempo real que sejam colocadas em prática no ponto do clique.

9.Phishing e Educação – Em relação ao ponto sobre malware e hacking, é muito importante conscientizar o usuário final. Você deve realizar testes de phishing com públicos específicos para mostrar como detectar tais tentativas de golpe. As defesas para e-mail também devem incluir tecnologias para separa e analisar URLs no ponto do clique.

10.Garantir Recursos – Essa pode ser a parte mais difícil: convencer a área administrativa que a ameaça de roubo e perda de dados para a sua empresa é real. Geralmente, novos incidentes e manchetes não convencem os executivos que isso pode acontecer com os dados da sua empresa, e é exatamente isso que os hackers querem que pensem. Mas, tem algo que você pode fazer para convencer os executivos sobre a urgência da situação: Ative todas e quaisquer defesas de monitoramento (mesmo que sejam defesas mais simples) para documentar TODOS os incidentes e compartilhá-los com a administração da empresa.

Tom Clare, diretor sênior de marketing de produtos da Websense, Inc.

Monday 15 July 2013

"Ninguém controla a Internet", diz Demi Getschko, do CGI.br

Este noticiário procurou Demi Getschko, membro do Comitê Gestor da Internet no Brasil (CGI.br), que ocupa vaga no conselho do CGI destinada a membros com "notório saber" na área da Internet, para repercutir as denúncias de espionagem dos EUA e a tese defendida pelo Brasil de que é preciso estabelecer mecanismos multilaterais de governança na Internet. Getschko, que está em Durban, na África do Sul, para uma reunião da ICANN, respondeu por e-mail a algumas perguntas. Para ele, a transição correta no campo da governança deve passar de um governo com posição privilegiada, os EUA, para nenhum. "A governança da Internet deve se manter multiparticipativa", afirma.

1) O ministro Paulo Bernardo tem dado a entender em suas manifestações públicas que a Internet é controlada pela ICANN. A afirmação é verdadeira? Qual o papel da ICANN na Internet?

Não. Ninguém controla a Internet. Ela é uma rede colaborativa onde os participantes (sistemas autônomos) concordam em seguir protocolos e padrões abertos, que são discutidos no IETF (Internet Engeneering Task Force), um fórum aberto que se reúne três vezes por ano, desde os anos 90. ICANN apenas cuida da raiz de nomes da rede (onde estão os domínios de nível mais alto – uma espécie de raiz das diversas "listas telefônicas") e da distribuição da numeração IP, tanto na versão 4 como 6.

2) Outro descontentamento do ministro é em relação ao desbalanceamento do tráfego de dados da Internet em favor dos EUA. Em sua opinião, quais ações o Brasil poderia adotar para equacionar essa questão?

O desbalanceamento existirá sempre. Sempre haverá mais tráfego entrando do que saindo do País porque tem mais coisa fora do Brasil do que dentro, logicamente. Somos um pedaço do todo (o mundo). O que se quer e se pode fazer é racionalizar esse balanço, evitando que seja pior por falta de boas práticas. Ou seja, que o tráfego que nasce no País e a ele se destina fique aqui dentro. Às vezes, por interesses vários, esse tráfego puramente nacional "passeia" por aí, o que não é nem correto nem razoável.

3) O ministro Paulo Bernardo também manifestou a intenção de que o Brasil tenha um servidor raiz da Internet e não apenas um servidor espelho. Quais as vantagens que o Brasil teria se abrigasse um servidor raiz da Internet?

O Brasil perde apenas para os EUA em número de espelhos de servidor-raiz. Temos 18 aqui. E eles são indistinguíveis de um dos 13 originais. Tanto há vantagens em ter servidores-raiz que trabalhamos nisso há mais de dez anos e, por isso, somos o segundo no mundo com mais deles.

4) O senhor apoia a tese defendida pelo governo brasileiro de que a Internet precisa de um organismo multilateral que defina as regras de governança?

Multilateral é multigovernos. Pessoalmente acho que a transição correta é ir de UM governo com posição privilegiada (os EUA) para ZERO governos. Os governos têm, sim, importante opinião e contribuição a dar, mas a governança da Internet deve ser mantida como sempre foi: algo multiparticipativo, onde a comunidade técnica, a acadêmica, o terceiro setor, o setor privado e os governos compartem a responsabilidade. Exatamente o que o Brasil pensava quando criou o Comitê Gestor da Internet.

5) Na sua opinião, como o Brasil poderia se proteger de ações de espionagem pela Internet?

Evitando exposição excessiva de dados críticos, tratando da infraestrutura de telecomunicações, usando criptografia quando possível e cuidando de não implementar em pontos críticos da rede equipamentos que sejam menos confiáveis (que possam ter, eventualmente, "backdoors").

6) O governo está tentando incluir no Marco Civil da Internet um dispositivo que obriga as empresas que atuam na Internet a guardar os dados de conexão em território nacional. Qual a opinião do senhor sobre isso? Isso ajudaria a nos proteger de espionagem de outros países?

Não sei bem o que isso significa. Se é para guardar os registros de acesso, isso já é feito, porque certamente os provedores de acesso trabalham no País. Registros de "transações" são guardados ou não, a critério do servidor. Se eu, eventualmente, compro um livro de um sítio na Alemanha, não teria muito sentido que esse sítio tivesse que guardar essa informação no Brasil. Finalmente, registros de navegação nem deveriam ser guardados, como bem fala o Marco Civil ao proteger a privacidade. Ou seja, para opinar quanto a isso é necessário entender qual o objetivo e o que se está querendo de fato fazer, e examinar a viabilidade disso em termos de uma rede internacional como a Internet.

7) O senhor está em Durban na África do Sul em reunião da ICANN. Como as revelações de Edward Snowden têm repercutido dentro do órgão?

A reunião começa pra valer no sábado/domingo. Por enquanto estamos em atividade paralelas e de preparação. Em nenhuma delas ainda foi comentado nada neste tema. Mas deve aparecer...

Thursday 11 July 2013

Arbitragem em TI: rápida, flexível e com segurança jurídica

Todos estão cansados de ouvir os clichês: a internet domina nossas vidas e estamos na era digital. Mas a realidade é que já deixamos de ser crianças deslumbradas com tecnologia faz muito tempo. Agora é hora de resolver problemas.

Muitos contratos são assinados em ambiente estritamente virtual, quase toda a comunicação é feita por e-mail, empresas e pessoas físicas têm sido vítimas de hackers, a senha de desbloqueio do seu smartphone foi quebrada, o programa de milhões de dólares fornecido pela companhia “xis” não se adaptou à empresa e ninguém sabe explicar o que aconteceu. Esses são alguns tipos de problemas atuais.

Internacionalmente, a grande área do Direito aplicado à tecnologia da informação (IT law ou computer law) não está “em constante crescimento” — está estabelecida desde o século passado. Apesar da obviedade do fato em âmbito global e nacional, não é fácil encontrar literatura de qualidade sobre o tema no Brasil e nossa carência de especialistas já é proverbial.

Juristas costumam acolher novidades sem qualquer preocupação com o seu tratamento especializado e, na ânsia por compreender um tema sem precisar estudá-lo a fundo, com seriedade e academicidade, acabam por restringir-se a acrescentar um “e” entre o Direito e a tecnologia e lançar cursos superficiais para atrair novidadeiros. Mas enquanto nossos advogados estavam inventando, deslumbrados, expressões como “Direito digital”, o legislativo da Índia editava o Technology Information Act. Há nada menos que 12 anos. Nessa mesma época, problemas reais de TI surgiam no Brasil e queríamos soluções e não palavras mágicas.

Muito cedo esses problemas vieram bater a porta das instituições de arbitragem. É fato notório que a opção pela arbitragem costuma fundar-se nos seguintes fatores: preço, rapidez, sigilo, flexibilidade, colegialidade, expertise acadêmica e técnica. Pois bem: já em 1982, Marion Zinman, diretora da American Arbitration Association (AAA), noticiava que os advogados já estavam inserindo cláusulas de arbitragem na maioria dos contratos de software. E mais: que esse meio de resolução de conflitos permitia às empresas e pessoas físicas escapar ilesos do completo desconhecimento da matéria pelo judiciário.

Alguns números podem ajudar a evidenciar a preferência do empresário pela arbitragem em contratos de software e TI, como ocorre também nas áreas de construção, bolsas de valores, fusões e aquisições, etc. A mesma AAA, uma das principais instituições arbitrais nos EUA, já administrava, em 1982, quase R$ 20 milhões (valor histórico) em arbitragens em matéria de TI, contando com 187 árbitros com formação especializada nessa área.

Se os dados de 30 anos atrás já eram impressionantes, imagine a estatística do século 21. Hoje, a AAA mantém uma lista de mais ou menos 60 mil experts que podem ser indicados como árbitros em matéria de TI. O crescimento do interesse no tema foi exponencial. Só um caso como o da Constellation Software, relacionado a uma aquisição de software house em 2008, já impressiona: o valor envolvido era tão alto que só as custas de administração, honorários de árbitros e penalidades contratuais chegaram a quase R$ 30 milhões, conforme divulgação da empresa.

Chama a atenção o número de desenvolvedores de software no Brasil, certamente maior do que o existente nos EUA nos anos 1980. Igualmente, assusta o número de problemas jurídicos que plataformas, sistemas, licenças, cópia, alteração e distribuição de códigos-fonte, direitos autorais, software livre, criptografia, segurança de informações etc. geram todos os dias.

Se o indicativo econômico é o sinal mais claro de importância, basta mencionar a arbitragem histórica IBM versus Fujitsu, cujo valor ultrapassava os R$ 3 bilhões à época, em 1988 (valor completamente desatualizado). Isso dá uma ideia da importância de alguns milhares de linhas de código. Os árbitros nomeados, que eram dois, debateram por anos a fio detalhes e tecnicalidades que embaraçariam até um programador experiente.

Uma arbitragem ideal em TI é rápida, flexível e apoiada em conhecimentos sólidos. Assim se atendem aos dois mandamentos máximos do processo civil: segurança jurídica e efetividade. Tão importante quanto a rapidez é a excelência do laudo. As partes se socorrem da arbitragem porque não querem que seus problemas sejam decididos por leigos. “Não há justiça sem conhecimento” (George Sand).

O jurista, por definição, é um leigo em tudo, exceto no que diz respeito ao Direito. Por outro lado, cientistas e técnicos são leigos em Direito. O ideal, como é tradição na AAA, é que essa expertise seja combinada, com entendidos em ambas as áreas envolvidas. Assim não se poderá alegar que o Tribunal Arbitral não possuía conhecimentos específicos.

Mais importante ainda é notar que a excelência é incompatível com a “cabeça estreita” do tecnólogo, que só entende de determinados sistemas, linguagens ou modelos concretos. O domínio dos fundamentos da matéria é mais importante que o conhecimento restrito de um sistema. Um programador com formação científica, que saiba a fundo lógica de programação, engenharia de software e algoritmos é preferível a um técnico munido apenas de certificação em Java.

Muitas vezes o Tribunal Arbitral será o intermediário entre a extrema expertise dos cientistas e a ignorância escusável dos leigos. Os árbitros sempre podem, e devem, recorrer a testemunhas técnicas (peritos) que conheçam a fundo o sistema concreto envolvido. Isso não exime os árbitros de familiaridade com TI, pois é impossível a um leigo entender o que está acontecendo e direcionar o caso, selecionando o perito adequado e avaliando corretamente as provas produzidas.

Já foi o tempo em que o estabelecimento dos fatos podia ser feito de modo mediato. Sem contato direto com a questão de fato, a leitura jurídica do caso será sempre deficitária e, por isso, injusta.

*Julio Cesar Lazzarini Lemos é especialista em arbitragem e sócio do escritório Duarte Garcia, Caselli Guimarães e Terra Advogados.

Wednesday 10 July 2013

Relatório revela tática de ataque pela equipe chinesa “Comment Crew”

A FireEye Inc anuncia a divulgação do “Migalhas de Pão Digital: sete pistas para identificar quem está por trás de ataques cibernéticos avançados”, um relatório que detalha as características predominantes que podem ajudar profissionais de segurança a identificar atores de ameaças e defender melhor as organizações de futuros ataques cibernéticos. O relatório também identifica uma tática de ataque utilizada pelo grupo militar chinês conhecido como “Comment Crew”, ligado anteriormente a ataques contra o governo americano.

“No ambiente de ameaças de hoje, identificar o seu inimigo é crucial para qualquer plano de defesa”, disse Ashar Aziz, CTO e fundador da FireEye. “Quando o assunto é cyber ataque, descobrir quem são seus atacantes, como trabalham e do que eles estão atrás é crítico para proteger seus dados e propriedade intelectual”.

“Migalhas de pão digital” analisa ataques avançados para identificar padrões, comportamento e técnicas que comprometem o rastro digital de um atacante. O relatório traça sete características específicas de ataques – como comportamento, metadado de malware ou layout do teclado – que pode ajudar significantemente a atribuir ataques específicos para países ou regiões.

O relatório descreve que análises recentes de metadados de malware ajudaram a identificar a tática de ataque utilizada pelo “Comment Crew”, um conhecido grupo hacker ligado a uma série de ataques que aconteceram no início do ano contra o governo dos Estados Unidos, dados não revelados anteriormente.

“Atacantes se entregam em seu código de malware, mensagens phishing, servidores de comando e controle e até em comportamentos básicos”, disse Aziz. “Assim como a ciência das impressões digitais, DNA e análise de fibras tornaram-se de valor inestimável na perícia criminal, ligar os pontos de um ataque cibernético pode ajudar a identificar até mesmo sofisticados atores da ameaça – se os pesquisadores souberem o que procurar”.

Implementar os métodos traçados no relatório permitirá que profissionais da segurança identifiquem atores das ameaça antes podendo proteger melhor suas organizações de ataques avançados. Para o relatório completo, “Digital Bread Crumbs: Seven Clues To Identifying Who’s Behind Advanced Cyber Attacks”,

visite:

http://www.fireeye.com/resources/pdfs/digital-bread-crumbs.pdf

Wednesday 3 July 2013

Artigo: quer aumentar sua proteção? Então pense como um hacker

O recente aumento do número e da gravidade dos ataques cibernéticos globalmente demonstra que estamos em uma Era conhecida como “industrialização dos hackers”. Isso tem criado um setor poderoso, cada vez mais efetivo e eficiente que consegue lucrar bastante com as atividades. Movidos pelo desejo econômico, ganhos políticos ou para chamar a atenção para causas pessoais, os hackers estão executando ações mais sofisticadas e perigosas que, ao mesmo tempo, se tornaram mais fáceis de serem lançadas devido à extensa quantidade de ferramentas disponíveis.

Para entender essa nova ordem de ameaças e se proteger delas, profissionais de segurança de TI precisam começar a pensar como os criminosos virtuais. Com um profundo conhecimento da abordagem metodológica usada pelos hackers em suas ações, baseada em uma “rede de ataques”, é possível identificar formas de reforçar as defesas dos dispositivos. A rede de ataques descreve os eventos que levam à ação maliciosa, percorrendo suas fases intermediárias. Vamos analisar:

Pesquisa. Primeiramente, os criminosos invadem sua infraestrutura e instalam um malware de vigilância que fará uma ampla análise de seu ambiente digital, independente de onde ela é acessada – rede, terminal, dispositivo móvel ou virtual. O objetivo é entender quais as brechas para os ataques, quais ferramentas de segurança estão instaladas e quais serão as contas possíveis de serem capturadas e usadas para atividades maliciosas. Esse malware utiliza canais comuns para se comunicar e age silenciosamente enquanto vasculha o dispositivo.

Escrita. Sabendo os detalhes do seu público-alvo, o malware organiza as informações obtidas. Os exemplos observados mostram alguns que detectam se estão em uma “sandbox” (espécie de laboratório que detecta e analisa o vírus encontrado) e agem de forma diferente; outros que checam o pacote de instalação de idiomas (como no caso do Flame) antes de executá-lo e que há ainda malwares que fazem atividades diferentes se estão em uma área corporativa ou domiciliar. Com base nisso, os hackers ampliam suas manobras de vigilância para capturar os detalhes mais importantes de dados e como consegui-los. Eles miram uma organização específica, aplicativos, usuários, parceiros, processos e procedimentos.

Teste. Em seguida os criminosos fazem testes para ter certeza que os malwares estão funcionando corretamente. Os criadores desses vírus têm uma base profunda e bem desenvolvida para compartilhar as informações obtidas por uma rede de dados. Eles conseguem recriar seu ambiente digital e testar o malwares contra sua própria tecnologia e ferramentas de segurança para ter certeza de que não foi detectado pelo sistema de proteção. Essa abordagem é tão infalível, que os hackers chegam a dar garantia de que o vírus dele passará despercebido entre 6 e 9 meses. Isso revela realmente a industrialização dos hackers.

Execução. Lembre-se de que não estamos falando de tempos atrás quando os hackers faziam seus ataques apenas por publicidade. Os incentivos recebidos a partir da obtenção de dados financeiros sigilosos são muito melhores que a glória.

Cumprindo a missão. Às vezes, a “partida” termina com a conquista dos dados; em outros casos trata-se simplesmente de perturbar ou destruir o ambiente digital. Qualquer que seja o objetivo, eles possuem mais informações e um plano estratégico de ataque a fim de maximizar o sucesso da sua missão. Quando a ela acaba, eles removem evidências, mas mantêm uma pequena base visando ataques futuros.

Levando-se em conta a rede de ataques, o que os especialistas podem fazer para aumentar a segurança? É muito claro que os hackers estão tirando proveito de três principais recursos para ter sucesso em suas missões. E para se defender melhor dos ataques, os especialistas devem utilizar esses mesmos recursos. São eles:

Visibilidade: Os hackers têm uma visão completa do ambiente de TI, então é fundamental que as organizações também tenham. Para proteger efetivamente sua empresa, as equipes necessitam de uma base de informações por toda a extensão da rede (incluindo terminais, dispositivos móveis e ambientes virtuais). Também é necessário ter uma visão ampliada de todos os dados relevantes, sistemas operacionais, aplicativos, serviços, protocolos, usuários, comportamento da rede, assim como, estar atento a ameaças potenciais e as possíveis vulnerabilidades. É importante buscar tecnologias que não só ofereçam visibilidade, mas também garantam um monitoramento contextualizado, correlacionando grandes quantidades de dados relacionados ao seu ambiente específico para permitir tomadas de decisões de segurança mais estruturadas.

Automação: As empresas precisam de um trabalho inteligente e não pesado. Os hackers estão usando métodos automatizados com o objetivo de simplificar e acelerar os ataques. Utilizar processos manuais para se defender destas ações é inadequado. É preciso tirar vantagem das tecnologias para combinar o monitoramento contextualizado com a automatização, visando otimizar as defesas e solucionar os problemas de segurança rapidamente. Políticas e regras atualizadas, execuções e ajustes são alguns exemplos de processos que podem ser automatizados com inteligência para obter proteção em tempo real contra ameaças dinâmicas dentro das áreas de TI.

Inteligência: A segurança inteligente é um ponto vital para combater os crimes cibernéticos, em uma época em que há um reconhecimento do ambiente digital antes mesmo de atacá-lo. Tecnologias que explorem o poder da nuvem e a análise de big data proporcionarão uma segurança inteligente, monitoramento constante e armazenamento de informações de arquivos desconhecidos ou suspeitos. Isso permite que a análise de big data identifique, compreenda e bloqueie as mais recentes ameaças. Esta segurança inteligente não precisa ser aplicada apenas para proteger o ambiente e acabar com os danos causados por ameaças não detectadas no início, mas também é possível atualizar sistemas de proteção para garantir uma segurança mais efetiva.

Em um mundo em que os hackers parecem estar ganhando com vantagem, os especialistas precisam enfrentar os ataques com o mesmo poder de fogo. Sendo assim, é fundamental contar com tecnologias de segurança que proporcionem visibilidade, automação e inteligência para quebrar a rede de ataques.

Marcos Tabajara é country manager da Sourcefire no Brasil


Matéria completa: http://canaltech.com.br/noticia/seguranca/Quer-aumentar-sua-protecao-Entao-pense-como-um-hacker/#ixzz2XzYhV33W

O conteúdo do Canaltech é protegido sob a licença Creative Commons (CC BY-NC-ND). Você pode reproduzi-lo, desde que insira créditos COM O LINK para o conteúdo original e não faça uso comercial de nossa produção.


Segurança x rapidez da informação: o dilema na era da consumerização

A utilização de dispositivos móveis, às vezes pessoais, no ambiente corporativo é uma realidade. Hoje, em muitas empresas, ou fora delas – durante folgas ou em home office –, vemos colaboradores usando dispositivos móveis, tais como, tablets, smartphones, netbooks e notebooks, como ferramentas de trabalho. Isso é tão corriqueiro, e ao mesmo tempo impactante, que a prática já tem até um nome: consumerização.

O fenômeno da consumerização, que segundo algumas literaturas, deriva do termo BYOD (bring your own device, ou traga seu próprio equipamento, em tradução livre) é suportado pela flexibilidade e alta capacidade da computação móvel. Rapidamente, profissionais tornam-se mais produtivos, respondendo e-mails, acessando informações e executando aplicativos praticamente de qualquer lugar. Este cenário contribui para uma situação win-win, reduzindo os custos organizacionais e aumentando a satisfação do usuário final.

Recente pesquisa divulgada pelo Gartner Group mostra que até 2015 o número de funcionários que usam dispositivos móveis no local de trabalho vai dobrar. Além disso, o levantamento aponta que em 2017 metade de todas as empresas vão exigir que os colaboradores utilizem seus próprios dispositivos para o trabalho.

A consumerização atinge empresas e governos de todos os tamanhos. Porém é mais prevalente em organizações de médio e grande porte, com receitas entre US$ 500 milhões e US$ 5 bilhões, e com um número de funcionários entre 2.500 e 5.000.

A preparação para a consumerização envolve muitas questões. O empresário deve subsidiar parte do aparelho? Ou apenas pagar um plano de dados? Como fazer com que essa mistura entre pessoal x profissional não atrapalhe o rendimento? E se o dispositivo for roubado ou perdido? Como calcular o que é hora extra de trabalho ou não? Enfim, muitos são os temas que ainda devem ser tratados para a plena utilização de dispositivos móveis no ambiente de trabalho ou fora dele.

Mas o maior problema para os empresários, e principalmente para os profissionais da área de Tecnologia da Informação, está na segurança de dados e de informação, especialmente nessa nova era de serviços compartilhados e cloud computing.

A consumerização é um movimento sem volta, e os gestores devem criar controles que garantam a segurança. Com dispositivos móveis, as informações têm um fluxo mais rápido, mas, ao mesmo tempo, essas informações, que podem ser sigilosas, acabam por ficar mais vulneráveis. Por isso, torna-se vital proteger os dados por meio da adoção de sistemas de controle da informação, políticas de segurança, códigos de ética e treinamento dos colaboradores. É essencial que a área de TI especifique quais plataformas serão suportadas; quais as responsabilidades e os riscos; avaliar sistemas operacionais; oferecer ferramentas e programas de proteção de dados, entre outras definições.

É muito importante que os gestores entendam os impactos dessa nova realidade, ponderem os riscos e oportunidades que a prática propicia, criem controles que mitiguem os riscos e conscientizem os colaboradores da empresa.

Os executivos devem entender que a evolução da tecnologia favorece seus negócios. A Tecnologia da Informação mudou a forma de as pessoas se comunicarem e, portanto, de fazerem negócios. As empresas precisam incorporar isso, se modernizar e tornar essa realidade uma vantagem competitiva que será primordial para alavancar resultados.

Marcelo de Angelo, diretor de Risk Consulting da KPMG no Brasil


Tuesday 2 July 2013

Ataques na rede corporativa: quanto podem custar?

Todas as empresas reconhecem que a segurança da rede é crítica. Mas como se pode quantificar o valor comercial de uma rede segura? E como uma empresa pode avaliar e justificar o investimento em produtos de segurança de rede como firewalls de última geração, sistemas de prevenção de intrusão e dispositivos de gestão unificada de ameaças?

Embora não haja nenhuma fórmula exata ou calculadora de "custo de ataques", existem algumas diretrizes e pesquisas úteis que podem fornecer aos gestores de TI algumas técnicas e recursos para desenvolverem o seu próprio modelo de custos. Há três áreas principais que são importantes para avaliar o impacto dos ataques vindos da rede e o "valor de prevenção" das tecnologias de firewall de última geração:

definir os diferentes tipos de ataques provenientes da rede;

compreender como esses ataques podem afetar a receita;

métodos para quantificar o impacto desses ataques.

Tipos de ataque através da rede

Há centenas de tipos de ataques provenientes da rede que podem prejudicar uma organização. Entre as formas mais comuns, incluem-se:

vírus, cavalos-de-troia, worms e outros malwares que podem desligar servidores e estações de trabalho ou roubar dados;

ameaças persistentes avançadas projetadas para penetrar redes e se apropriar furtivamente de informações confidenciais e propriedade intelectual;

ataques distribuídos de negação de serviço (DDoS) e de inundação, que podem sobrecarregar servidores e fechar sites na web.

Como os ataques através da rede podem afetar a sua receita

É aqui que dói — os ataques causam duas grandes categorias de danos, independentemente da origem: violação de dados e perda de serviço.

A violação de dados é sempre um assunto que ganha uma cobertura excepcional na imprensa, pois resulta em informações confidenciais sendo capturadas e removidas furtivamente da organização para as mãos de criminosos ou concorrentes.

Os danos causados pela violação de dados são visíveis e muito prejudiciais. Podem ser financeiros (receitas perdidas, despesas legais e regulamentares, indenizações e multas), custos "suaves" (perda de boa vontade e fidelidade do cliente) e perda de competitividade (pela perda de propriedade intelectual). As empresas que sofrem violações de dados gastam uma quantidade anormal de tempo e dinheiro em custos de detecção e remediação técnica, identificando e bloqueando os ataques, enquanto avaliam os danos e criam medidas corretivas. Além disso, a publicidade negativa sobre uma violação de dados dura muito além do ataque propriamente dito.
Os ataques de negação de serviço resultam em sistemas de computador – estações de trabalho, servidores web, bancos de dados ou aplicativos – sendo degradados ou completamente desativados. Entre os efeitos financeiros incluem-se:

Os danos neste caso também podem ser catastróficos. A atividade comercial fica lenta ou pára completamente e, por isso, a receita é diretamente impactada.

Os processos rotineiros são interrompidos, ou os funcionários não podem fazer o seu trabalho porque a rede está fora do ar.

Como no caso da violação de dados, há um custo real associado ao pessoal de TI e de suporte ao ter de diagnosticar problemas, treinar funcionários, reiniciar os serviços e refazer a imagem dos PCs.

Então, como calcular os custos?

Como observamos antes, não existe um modelo de custos único para todos.
Duas fontes independentes que podem ajudar a quantificar o impacto dos ataques provenientes da rede podem ser encontradas em um estudo de março de 2012 do Ponemon Institute e no estudo da NetDiligence® sobre Indenizações de Seguro por Ciberresponsabilidade e Violação de Dados, publicado em outubro de 2012.

No final de 2011, o Ponemon Institute realizou entrevistas detalhadas para 49 empresas dos EUA em 14 setores que sofreram a perda ou o roubo de dados pessoais de clientes. Eis algumas das principais conclusões:

Custo total médio de uma violação de dados: US$ 5,5 milhões.
Receitas perdidas por cada violação: US$ 3 milhões

Custos pós-violação de dados: US$ 1,5 milhões (abrangendo tudo: helpdesk, remediação, descontos de cliente e muito mais)

Os números por registro — baseados em quantidades relativamente grandes (normalmente 100 mil registros) — podem dar aos gerentes de TI alguma ideia dos custos associados com as violações de dados, ajustados ao tamanho da empresa e ao número de ameaças normalmente enfrentadas.

O estudo da NetDiligence analisou 137 eventos entre 2009 e 2011 que resultaram em pagamento, pelas seguradoras, de indenizações por ciberresponsabilidade.

Pagamentos médios:

Liquidação judicial por evento: US$ 2,1 milhões

Defesa jurídica por violação: US$ 582.000

Custo médio total de pagamento de seguros por evento: US$ 3,7 milhões.

Embora estes dois estudos meçam diferentes elementos dos custos relacionados aos ataques de rede, em um aspecto eles são compatíveis — ambos ilustram o quanto os ataques da rede são caros para a empresa, a sua reputação e a sua capacidade de competir no mercado.
Além destes números, há alguns cálculos rápidos que podem ajudar a justificar o investimento necessário em tecnologias de firewall de rede de última geração:

a perda de receitas por cada hora que o site fica fora do ar ou com o desempenho significativamente prejudicado por causa de um ataque de DDoS;

a perda de produtividade por cada hora que um processo de negócios essencial fica fora do ar por causa de um malware que desabilite o servidor;

a tarifa por hora do pessoal de helpdesk para diagnosticar infecções de malware em PCs e do grupo de suporte para reconfigurar PCs infectados;

o custo por registro para notificar os clientes ou funcionários em caso de violação de dados e fornecer-lhes serviços de monitoramento de crédito por um ano.

Duas técnicas adicionais podem ser úteis na estimativa de custo dos ataques. Algumas organizações criaram estimativas detalhadas de possíveis implicações futuras mediante a realização de simulações de "jogos de guerra". Estas implicam reunir uma secção transversal de funcionários da empresa, de TI, marketing, RH, jurídico e outras funções, e executar um cenário de ataque.

Esses exercícios não apenas ajudam a quantificar os custos como muitas vezes resultam em efeitos inesperados – por exemplo, obrigações contratuais ou o impacto regulamentar das violações de dados.
Tomar medidas

Em que é que tudo isto resulta para os gerentes de TI? A má notícia é que os ataques de rede são dispendiosos, perturbadores, potencialmente catastróficos em muitos níveis e devem ser evitados a todo custo. A boa notícia é que existe uma excelente ferramenta e um conjunto de serviços disponíveis para ajudar a compreender exatamente como os ataques de violação de dados e de perda de serviço podem afetar a sua empresa.

Comparando estes custos com os custos preventivos das tecnologias de proteção de última geração, você ficará mais bem equipado e preparado para entender e articular o valor financeiro e estratégico do aumento do investimento na proteção da rede da sua empresa. Não se trata apenas de um exercício acadêmico, mas de um imperativo em termos empresariais.

* Douglas Rivero é Regional Manager da Dell SonicWALL Brasil


Matéria completa: http://canaltech.com.br/noticia/seguranca/Ataques-na-rede-corporativa-quanto-podem-custar/#ixzz2Xu3l0EBV

O conteúdo do Canaltech é protegido sob a licença Creative Commons (CC BY-NC-ND). Você pode reproduzi-lo, desde que insira créditos COM O LINK para o conteúdo original e não faça uso comercial de nossa produção.

Matéria completa: http://canaltech.com.br/noticia/seguranca/Ataques-na-rede-corporativa-quanto-podem-custar/#ixzz2Xu2uZQg8
O conteúdo do Canaltech é protegido sob a licença Creative Commons (CC BY-NC-ND). Você pode reproduzi-lo, desde que insira créditos COM O LINK para o conteúdo original e não faça uso comercial de nossa produção.