Qualquer gestor de TI sabe que o maior problema de segurança não são os hackers, nem as falhas de segurança dos sistemas, nem as brechas: são as pessoas que trabalham em uma organização. Mas uma ressalva importante neste início: lógico que não estamos falando para você se livrar das pessoas – estamos dizendo a você que é necessário ir além do que gestores de TI fazem hoje para resolver os problemas envolvendo os usuários e a segurança.
Tradicionalmente, o gestor de TI relega seus usuários ao posto de… usuários. Pouco envolve seus colegas –funcionários da mesma empresa – nos processos necessários para a manutenção da segurança da informação. E feliz ou infelizmente, boa parte das falhas de segurança acontece pelo desconhecimento ou maus procedimentos das pessoas.
Um exemplo clássico disso é o caso da gigante americana Target – cujos funcionários terceirizados, ponto inicial da invasão- tinham acesso com privilégios superiores aos necessários. Outro exemplo clássico são os e-mails de phishing, o mau uso dos equipamentos portáteis… a lista é longa. Mas o que o gestor de TI pode efetivamente fazer para mitigar o risco do uso da engenharia social pelos cibercriminosos?
A primeira ação é estreitar os controles. E isso não significa simplesmente limitar o acesso à web. É preciso contar com tecnologias específicas que auxiliem no monitoramento e gestão dos dados gerados pelos próprios usuários. E, para você ter uma ideia, em 2013 produzimos 4,4 zettabytes de dados, de acordo com um estudo publicado em abril passado pela EMC.
Isso é muita coisa – e aposto que o ambiente interno da sua organização deve ter visto, nos últimos anos, o crescimento exponencial do storage para armazenamento de arquivos produzidos pelas pessoas. Como controlar o que é sensível e o acesso em um universo de dados? Hoje existem tecnologias específicas para isso, que trabalham numa camada invisível dentro da organização, e cujo impacto de implementação é enorme.
Para além das ferramentas, é preciso também que o gestor de TI seja proativo e adote uma postura diferenciada em relação ao usuário. É importante ter campanhas educacionais para mostrar ao usuário de TI o que fazer e como usar os recursos. Mas há uma ideia mais interessante, que não é exatamente nova, e que poderia ser utilizada em segurança, inspirada no "Chaos Monkey", criado pela Netflix.
Em 2010, a empresa apresentou uma solução interessante para testar a sua tecnologia: um software que desativa aleatoriamente instâncias e serviços dentro da arquitetura da empresa, com o objetivo de testar a reação da empresa a falhas. Agora imagine aplicar o mesmo conceito em segurança da informação.
Imagine testar o comportamento do seu usuário e da sua equipe de segurança preparando uma série de testes: e-mails de phishing com diferentes tipos de engenharia social; explorando brechas nos controles de firewall, entre outros exemplos. Demonstrar efetivamente aos usuários o que estão fazendo de errado e, mais do que isso, comunicar diretamente àqueles que realmente "caíram" nas armadilhas é muito mais efetivo do que as campanhas educacionais.
Do mesmo modo, ativar supostas invasões em falhas de segurança encontradas no seu ambiente de rede vai mostrar na prática à sua equipe de segurança as fraquezas encontradas. E é essa a nossa proposta para os gestores de TI: se você quer mostrar ao seu time e aos seus usuários o quão séria pode ser uma falha de segurança que começa com um clique num e-mail, esse é o melhor tipo de ferramenta. Se os hackers utilizam a engenharia social, por que não usarmos um tipo de engenharia social reversa para expor e corrigir as falhas? Tenho certeza de que isso vale por várias palestras, reuniões e comunicados internos.
Carlos Rodrigues, country manager da Varonis
Blog de Assuntos ligados a T.I e Segurança da Informação
Wednesday 30 July 2014
Monday 21 July 2014
Pesquisa mostra que 84% dos incidentes de serviços de TIC não estão cobertos por contratos de suporte técnico
Dados publicados nesta quinta-feira, 17, revelam que apenas 16% dos 91 mil incidentes relacionados a serviços de Tecnologia da Informação e Comunicação (TIC) registrados pelos centros de serviços da Dimension Data em 2013 estão ligados ao dispositivo em si, enquanto os outros 84% dos incidentes foram registrados como não sendo dos aparelhos, mas sim de erros humanos, falhas na telecomunicação ou questões relacionadas ao ambiente.
A categoria com maior número de incidentes de TIC é a de erros humanos, com aproximadamente um terço de todos os incidentes – 6% de erros de configuração e 26% de falhas humanas – que poderiam ser possivelmente evitadas.
De acordo com o relatório anual da Dimension Data, Network Barometer Report divulgado hoje, essas estatísticas são preocupantes porque a maior parte destes incidentes está fora do suporte tradicional do provedor, e por isso devem ser resolvidos pelas próprias organizações.
Publicado pela primeira vez em 2009, a pesquisa deste ano foi compilada a partir de dados de tecnologia reunidos de 91 mil incidentes registrados pela rede de clientes da Dimension Data. Além disso, a provedora de TIC realizou 288 avaliações tecnológicas cobrindo 74 mil aparelhos em organizações de todos os tamanhos e setores da indústria em 32 países.
As falhas que se referem às telecomunicações, ou Redes de Áreas Amplas (Wide Area Network – WAN em inglês), entram como segunda maior causa dos problemas – com 22%. O que não surpreende, levando em conta a complexidade de manutenção e gestão de vários diferentes componentes de uma rede geograficamente dispersa.
Em terceiro lugar no relatório da Dimension Data de causas mais frequentes de incidentes, estão os problemas físicos de ambiente, como falta de energia, falhas no ar-condicionado, problemas com controle de temperatura e mais. Estes são responsáveis por 15% de todos os incidentes.
E na quarta posição estão os problemas relacionados aos dispositivos, com 14% de todos os incidentes atribuídos ao hardware. Adicionando 2% das falhas atribuídas a bugs em softwares, isso indica que apenas 16% de todos os serviços de incidentes estão sob a responsabilidade dos contratos de suporte dos dispositivos.
"Este último dado revela que a maior parte desses incidentes de serviço não estão relacionados com o dispositivo e não são atendidos pelos contratos de manutenção tradicionais, portanto, precisam ser abordados e resolvidos pelos recursos de suporte interno de cada organização", diz Rich Schofield, diretor de Desenvolvimento de Negócios para Networking da Dimension Data.
"Pela perspectiva de ciclo de vida, pode-se esperar que a taxa de incidentes envolvendo dispositivos obsoletos tende a ser maior do que os dispositivos atuais ou em estado de envelhecimento. Isso porque os dispositivos obsoletos são mais antigos e as opções de manutenção são limitadas. Entretanto, a análise deste ano mostra que a taxa de falhas dos dispositivos em desuso é 1% menor do que equipamentos atuais ou em envelhecimento."
"Nós investigamos a probabilidade dos dispositivos obsoletos vierem a falhar, quando comparado com os dispositivos atuais ou envelhecimento. Nós esperávamos descobrir que os aparelhos mais antigos causassem mais tempo de inatividade, quando eles não conseguem o que fazem os dispositivos atuais e em estado de envelhecimento.
Nós ficamos surpresos quando vimos que os dados dizem o contrário. De fato, o tempo médio de reparação para todos os aparelhos é de 3,4 horas. Discriminado pelo estágio de ciclo de vida da tecnologia, a informação mostra que aparelhos novos levam 48 minutos a mais para serem consertados que a média.
Dispositivos envelhecidos tomam o tempo mais curto pra manutenção – cerca de 42 minutos a menos do que a média. Já o equipamentos obsoletos são mais demorados do que os em envelhecimento em cerca de 3,3 horas, mas ainda substancialmente menos tempo do que os ativos atuais", explica Schofield.
Considerando que a grande maioria dos incidentes de serviços não estão relacionados com os dispositivos de rede e que os requisitos de manutenção para estes aparelhos variam de acordo com estágio do ciclo de vida, Schofield recomenda que a maneira mais eficaz para as organizações melhorarem seus níveis de serviço de rede e garantir o máximo de disponibilidade é investir em sistemas operacionais e os processos de apoio maduros.
"Conhecer os dispositivos e seus estágios do ciclo de vida, poupar estratégias para equipamentos obsoletos, e compreender o impacto potencial na rede se os dispositivos falharem, apoiará uma maior disponibilidade da rede."
A categoria com maior número de incidentes de TIC é a de erros humanos, com aproximadamente um terço de todos os incidentes – 6% de erros de configuração e 26% de falhas humanas – que poderiam ser possivelmente evitadas.
De acordo com o relatório anual da Dimension Data, Network Barometer Report divulgado hoje, essas estatísticas são preocupantes porque a maior parte destes incidentes está fora do suporte tradicional do provedor, e por isso devem ser resolvidos pelas próprias organizações.
Publicado pela primeira vez em 2009, a pesquisa deste ano foi compilada a partir de dados de tecnologia reunidos de 91 mil incidentes registrados pela rede de clientes da Dimension Data. Além disso, a provedora de TIC realizou 288 avaliações tecnológicas cobrindo 74 mil aparelhos em organizações de todos os tamanhos e setores da indústria em 32 países.
As falhas que se referem às telecomunicações, ou Redes de Áreas Amplas (Wide Area Network – WAN em inglês), entram como segunda maior causa dos problemas – com 22%. O que não surpreende, levando em conta a complexidade de manutenção e gestão de vários diferentes componentes de uma rede geograficamente dispersa.
Em terceiro lugar no relatório da Dimension Data de causas mais frequentes de incidentes, estão os problemas físicos de ambiente, como falta de energia, falhas no ar-condicionado, problemas com controle de temperatura e mais. Estes são responsáveis por 15% de todos os incidentes.
E na quarta posição estão os problemas relacionados aos dispositivos, com 14% de todos os incidentes atribuídos ao hardware. Adicionando 2% das falhas atribuídas a bugs em softwares, isso indica que apenas 16% de todos os serviços de incidentes estão sob a responsabilidade dos contratos de suporte dos dispositivos.
"Este último dado revela que a maior parte desses incidentes de serviço não estão relacionados com o dispositivo e não são atendidos pelos contratos de manutenção tradicionais, portanto, precisam ser abordados e resolvidos pelos recursos de suporte interno de cada organização", diz Rich Schofield, diretor de Desenvolvimento de Negócios para Networking da Dimension Data.
"Pela perspectiva de ciclo de vida, pode-se esperar que a taxa de incidentes envolvendo dispositivos obsoletos tende a ser maior do que os dispositivos atuais ou em estado de envelhecimento. Isso porque os dispositivos obsoletos são mais antigos e as opções de manutenção são limitadas. Entretanto, a análise deste ano mostra que a taxa de falhas dos dispositivos em desuso é 1% menor do que equipamentos atuais ou em envelhecimento."
"Nós investigamos a probabilidade dos dispositivos obsoletos vierem a falhar, quando comparado com os dispositivos atuais ou envelhecimento. Nós esperávamos descobrir que os aparelhos mais antigos causassem mais tempo de inatividade, quando eles não conseguem o que fazem os dispositivos atuais e em estado de envelhecimento.
Nós ficamos surpresos quando vimos que os dados dizem o contrário. De fato, o tempo médio de reparação para todos os aparelhos é de 3,4 horas. Discriminado pelo estágio de ciclo de vida da tecnologia, a informação mostra que aparelhos novos levam 48 minutos a mais para serem consertados que a média.
Dispositivos envelhecidos tomam o tempo mais curto pra manutenção – cerca de 42 minutos a menos do que a média. Já o equipamentos obsoletos são mais demorados do que os em envelhecimento em cerca de 3,3 horas, mas ainda substancialmente menos tempo do que os ativos atuais", explica Schofield.
Considerando que a grande maioria dos incidentes de serviços não estão relacionados com os dispositivos de rede e que os requisitos de manutenção para estes aparelhos variam de acordo com estágio do ciclo de vida, Schofield recomenda que a maneira mais eficaz para as organizações melhorarem seus níveis de serviço de rede e garantir o máximo de disponibilidade é investir em sistemas operacionais e os processos de apoio maduros.
"Conhecer os dispositivos e seus estágios do ciclo de vida, poupar estratégias para equipamentos obsoletos, e compreender o impacto potencial na rede se os dispositivos falharem, apoiará uma maior disponibilidade da rede."
Tuesday 15 July 2014
Senado discute responsabilidade solidária entre fornecedor e sites de compra coletiva
O Senado realiza um esforço concentrado na próxima semana para exame de projetos relacionados a temas diversos, como o do Código de Defesa do Consumidor. Para o exame dessas matérias, porém, os senadores precisam antes votar três medidas provisórias que trancam a pauta do Plenário, com prazo de vigência a vencer na primeira semana de agosto.
Uma das alterações no Código de Defesa do Consumidor (Lei 8.078/1990) contempla o Projeto de Lei do Senado (PLS) 281/2012 que regulamenta as compras pela internet, ao estabelecer regras de divulgação dos dados do fornecedor e a localização física do negócio virtual com mais clareza na descrição dos produtos vendidos. O texto prevê ainda a responsabilização solidária entre o site de compra coletiva e o fornecedor do produto ou serviço ofertado.
O relator da matéria na Comissão Temporária de Modernização do código, Ricardo Ferraço observa, ainda, que seu relatório amplia o poder dos Procons, dando-lhes autonomia para intermediar a conciliação entre vendedor e comprador e até negociar a devolução de valores, quando for o caso. A ideia é desafogar a Justiça com esse tipo de demanda.
Uma das alterações no Código de Defesa do Consumidor (Lei 8.078/1990) contempla o Projeto de Lei do Senado (PLS) 281/2012 que regulamenta as compras pela internet, ao estabelecer regras de divulgação dos dados do fornecedor e a localização física do negócio virtual com mais clareza na descrição dos produtos vendidos. O texto prevê ainda a responsabilização solidária entre o site de compra coletiva e o fornecedor do produto ou serviço ofertado.
O relator da matéria na Comissão Temporária de Modernização do código, Ricardo Ferraço observa, ainda, que seu relatório amplia o poder dos Procons, dando-lhes autonomia para intermediar a conciliação entre vendedor e comprador e até negociar a devolução de valores, quando for o caso. A ideia é desafogar a Justiça com esse tipo de demanda.
Friday 11 July 2014
F-Secure lança novo aplicativo na nuvem 4 em 1
A F-Secure apresenta o aplicativo Freedome que se propõe a resolver quatro dos maiores desafios de privacidade e segurança online. Com ele, os usuários podem navegar anonimamente com conexão segura, livre de rastreamento e protegida contra malwares. Baseado na nuvem, o aplicativo também não coleta dados pessoais e nem requer registro, por isso os usuários são anônimos até para a F-Secure.
O Freedome tem design intuitivo, informativo e simples. É um produto de segurança e privacidade, independente de navegador, que está totalmente habilitado pela segurança na nuvem, garantindo atualização constante.
As revelações de Snowden mostraram que para conseguir privacidade online e segurança é preciso muito mais que senhas fortes. Coleta de endereços de IP dos usuários, informações sobre localização e uso de cookies de rastreamento, estão entre algumas das ações realizadas pelo governo dos Estados Unidos. Mas, além disso, os usuários também estão expostos ao rastreamento por anunciantes.
Característica do Freedome:
1. Conexão criptografada segura. Ao usar uma conexão sem criptografia, o tráfego de email e as interações online do usuário podem ser espionadas. Rede pública de WiFi, por exemplo, não é segura, mesmo quando requer senha. Hackers podem roubar dados de logins e outras informações pessoais ou atrair usuários desavisados para suas próprias redes WiFi. O Freedome utiliza a tecnologia VPN (Virtual Private Network) para proteger a privacidade dos usuários com criptografia, até mesmo em redes públicas de WiFi. É como ter o "https" para todos os sites visitados.
2. Navegação livre de rastreamento e coleta de dados. Atualmente o usuário é rastreado a todo momento e tem suas preferências de navegação e cliques coletados pelos sites, mecanismos de busca e aplicativos que utiliza. O Freedome mantém o usuário anônimo bloqueando aplicativos rastreadores e evitando que anunciantes tenham acesso aos seus dados.
3. Impede a localização do usuário. Todo computador ou dispositivo móvel possui um endereço IP único que fornece a localização física geral, assim como sistema operacional, navegador e outros dados. O Freedome encobre o endereço IP do usuário com um IP da F-Secure originado em diferentes países, evitando que a localização do usuário possa ser identificada. Atualmente os usuários encontram como opção de localização os Estados Unidos, Reino Unido, Alemanha e Finlândia. Novos países serão incluídos em breve.
A possibilidade de escolher a localização virtual significa que viajantes e expatriados podem acessar o conteúdo do seu próprio país, algo que poderia ser restrito quando se está fora de sua origem. E alguns sites de e-commerce inflam seus preços para hotéis e passagens aéreas, por exemplo, dependendo da localização do usuário. Com o Freedome, os usuários podem estar em lugares completamente diferentes e livres dos limites geográficos.
O Freedome tem design intuitivo, informativo e simples. É um produto de segurança e privacidade, independente de navegador, que está totalmente habilitado pela segurança na nuvem, garantindo atualização constante.
As revelações de Snowden mostraram que para conseguir privacidade online e segurança é preciso muito mais que senhas fortes. Coleta de endereços de IP dos usuários, informações sobre localização e uso de cookies de rastreamento, estão entre algumas das ações realizadas pelo governo dos Estados Unidos. Mas, além disso, os usuários também estão expostos ao rastreamento por anunciantes.
Característica do Freedome:
1. Conexão criptografada segura. Ao usar uma conexão sem criptografia, o tráfego de email e as interações online do usuário podem ser espionadas. Rede pública de WiFi, por exemplo, não é segura, mesmo quando requer senha. Hackers podem roubar dados de logins e outras informações pessoais ou atrair usuários desavisados para suas próprias redes WiFi. O Freedome utiliza a tecnologia VPN (Virtual Private Network) para proteger a privacidade dos usuários com criptografia, até mesmo em redes públicas de WiFi. É como ter o "https" para todos os sites visitados.
2. Navegação livre de rastreamento e coleta de dados. Atualmente o usuário é rastreado a todo momento e tem suas preferências de navegação e cliques coletados pelos sites, mecanismos de busca e aplicativos que utiliza. O Freedome mantém o usuário anônimo bloqueando aplicativos rastreadores e evitando que anunciantes tenham acesso aos seus dados.
3. Impede a localização do usuário. Todo computador ou dispositivo móvel possui um endereço IP único que fornece a localização física geral, assim como sistema operacional, navegador e outros dados. O Freedome encobre o endereço IP do usuário com um IP da F-Secure originado em diferentes países, evitando que a localização do usuário possa ser identificada. Atualmente os usuários encontram como opção de localização os Estados Unidos, Reino Unido, Alemanha e Finlândia. Novos países serão incluídos em breve.
A possibilidade de escolher a localização virtual significa que viajantes e expatriados podem acessar o conteúdo do seu próprio país, algo que poderia ser restrito quando se está fora de sua origem. E alguns sites de e-commerce inflam seus preços para hotéis e passagens aéreas, por exemplo, dependendo da localização do usuário. Com o Freedome, os usuários podem estar em lugares completamente diferentes e livres dos limites geográficos.
O cloud vai virar commodities
Faz apenas alguns anos que a palavra cloud computing ou sua tradução computação em nuvem vem sendo proferida por aí. Apesar de ser um serviço jovem, já está próximo (e alguns já o consideram) de virar commodities.
Para quem entende de tecnologia, mas não está acostumado com o linguajar econômico, explico: o termo commodities é utilizado para designar bens e/ou serviços para os quais existe procura sem atender à diferenciação de qualidade do produto no conjunto dos mercados e entre vários fornecedores ou marcas. Alguns exemplos são: café, energia elétrica ou soja.
Os produtos cloud têm muitos fornecedores, muitas vezes é difícil notar diferença de qualidade entre os serviços e o preço tende a se comportar variando com a oferta e a demanda. Notamos, inclusive, com o aumento da oferta uma queda considerável de preço desses serviços.
É claro que você e a sua empresa terão muitas vantagens nesse cenário e a principal delas é que você irá pagar cada vez menos por serviços básicos como armazenamento e backup de arquivos.
É preciso notar, no entanto, que o termo computação em nuvem é muito amplo, na verdade quase um conceito teórico. Na prática, o que o consumidor adquire são serviços de armazenamento, servidores, plataformas e que nem todos esses casos podem ser analisados sem diferenciação, principalmente no mundo corporativo.
Ao comprar um software na nuvem para sua empresa, por exemplo, é preciso analisar sua elasticidade para entender se sua adoção será vantajosa e isso implica em uma análise onde muito está em jogo sendo preço, inclusive, uma variável menos importante que a escalabilidade, possibilidade de adequação ao seu negócio e acima de tudo o suporte prestado. Pois adquirir um sistema de gerenciamento é na verdade uma decisão totalmente estratégica na qual você transfere parte da responsabilidade e, às vezes, até mesmo da operação para uma terceira empresa.
Para o gestor fica o desafio de tirar vantagem das quedas de preço sem abrir mão da qualidade somando o melhor da tecnologia a um serviço de qualidade para ganhar eficiência e cortar custos sem entrar numa fria.
Luan Gabellini, sócio fundador da BetaLabs
Para quem entende de tecnologia, mas não está acostumado com o linguajar econômico, explico: o termo commodities é utilizado para designar bens e/ou serviços para os quais existe procura sem atender à diferenciação de qualidade do produto no conjunto dos mercados e entre vários fornecedores ou marcas. Alguns exemplos são: café, energia elétrica ou soja.
Os produtos cloud têm muitos fornecedores, muitas vezes é difícil notar diferença de qualidade entre os serviços e o preço tende a se comportar variando com a oferta e a demanda. Notamos, inclusive, com o aumento da oferta uma queda considerável de preço desses serviços.
É claro que você e a sua empresa terão muitas vantagens nesse cenário e a principal delas é que você irá pagar cada vez menos por serviços básicos como armazenamento e backup de arquivos.
É preciso notar, no entanto, que o termo computação em nuvem é muito amplo, na verdade quase um conceito teórico. Na prática, o que o consumidor adquire são serviços de armazenamento, servidores, plataformas e que nem todos esses casos podem ser analisados sem diferenciação, principalmente no mundo corporativo.
Ao comprar um software na nuvem para sua empresa, por exemplo, é preciso analisar sua elasticidade para entender se sua adoção será vantajosa e isso implica em uma análise onde muito está em jogo sendo preço, inclusive, uma variável menos importante que a escalabilidade, possibilidade de adequação ao seu negócio e acima de tudo o suporte prestado. Pois adquirir um sistema de gerenciamento é na verdade uma decisão totalmente estratégica na qual você transfere parte da responsabilidade e, às vezes, até mesmo da operação para uma terceira empresa.
Para o gestor fica o desafio de tirar vantagem das quedas de preço sem abrir mão da qualidade somando o melhor da tecnologia a um serviço de qualidade para ganhar eficiência e cortar custos sem entrar numa fria.
Luan Gabellini, sócio fundador da BetaLabs
Monday 7 July 2014
Especialistas dizem que liberdade na internet estará sob risco nos próximos dez anos
Para comemorar os 25 anos da World Wide Web, ou melhor, da proposta do físico britânico e cientista da computação Tim Berners-Lee para a criação da rede mundial de computadores, feita em março de 1989 — que acabou sendo considerada a data de sua criação —, o Pew Research Center (PRC) realizou uma consulta a mais de 1,4 mil especialistas em todo o mundo para que indicassem as ameaças que podem afetar a internet nos próximos dez anos. As opiniões mais marcantes foram reunidas num relatório no qual eles apontam o que acreditam que deve acontecer com a web até 2025.
Para a maioria dos especialistas entrevistados pelo PRC, nos próximos dez anos não deve haver mudanças significativas na maneira como as pessoas acessam e compartilham conteúdo online como fazem hoje. Ainda assim, alguns acham que o anseio por uma internet aberta poderá sofrer forte abalo, principalmente no que diz respeito à forma como a rede mundial funciona e como fonte de conteúdo sem restrições.
Entre as principais ameaças que rodam a internet e que poderá afetá-la na próxima década eles citam o aumento do controle governamental, perda de confiança dos usuários, riscos à estrutura aberta da rede e o controle cada vez maior da web por empresas.
Primavera Árabe
Os especialistas apontam uma tendência global em direção a uma ampla regulamentação da internet por regimes que têm enfrentado protestos e, consequentemente, a um aumento da vigilância dos internautas. Eles observam que nações como o Egito, Paquistão e Turquia têm bloqueado o acesso à internet para controlar os fluxos de informação quando avaliam os conteúdos como ameaça. A China é conhecida por sua "great firewall", que é vista pela maioria dos especialistas como uma forma de censura na internet.
Alguns entrevistados citaram a Primavera Árabe como um exemplo do poder político da internet e de organização das pessoas para se manifestarem e, em seguida, comentaram sobre como isso levou a repressão por parte dos governos. Outros salientaram a aplicação de regras que limitam a troca de informações, a fim de tentar conter a atividade criminosa por governos.
Um número expressivo de entrevistados mencionou as denúncias de Edward Snowden sobre o programa de vigilância de e-mails e telefonemas da Agência de Segurança Nacional dos EUA (NSA). Eles também citaram o roubo de dados de contas de clientes da Target e vigilância corporativa como as ações daqueles que querem acabar com o livre fluxo do conteúdo online.
Paul Saffo, diretor-gerente da Discern Analytics e professor associado da Universidade de Stanford, disse que "as pressões para balcanização da internet continuará e criará novas incertezas. Os governos vão se tornar mais hábeis no bloqueio do acesso a sites indesejáveis".
Monitoramento de atividades online
Alguns entrevistados também prevem que as diferenças regionais, políticas e culturais contribuirão para dificultar o acesso e compartilhamento online. Um professor da Universidade de Georgetown e ex-oficial da Comissão Federal de Comércio dos Estados Unidos (FTC, na sigla em inglês) escreveu: "Dada à natureza global dos fluxos de dados, interesses paroquiais nacionais podem se tornar um gargalo. Já o acesso e compartilhamento serão dificultados por leis nacionais paroquiais. Iniciativas de defesa da privacidade e a diretiva para proteção de dados pessoais Safe Harbor da União Europeia podem se tornar um gargalo sério. Nacionalismos são ameaças claras e atuais".
Para o professor de Ciência da Computação do Instituto Politécnico Rensselaer, Jim Hendler, "se alguma coisa [que deve mudar], é a privacidade que terá que dar lugar a abertura, não o contrário… Governos repressivos estarão trabalhando duro para barrar a difusão de informações. Como hoje, haverá boas e más notícias continuamente nessa área, mas com o tempo [haverá] mais integração, acesso e compartilhamento".
Uma parte dos especialistas prevê, no entanto, que o aumento do monitoramento de atividades online irá limitar o compartilhamento e o acesso ao conhecimento. Para o especialista em Direito de Internet Peter S. Vogel, do escritório de advocacia Gardere Wynne Sewell, "questões envolvendo a privacidade são as mais sérias atualmente para acesso e compartilhamento de conteúdo na internet, e há bons motivos para esperar que isso não mude em 2025, sobretudo levando em conta o aumento das ameaças cibernéticas que usuários e empresas enfrentam no mundo todo".
Já para Raymond Plzak, ex-CEO da American Registry for Internet Numbers e atual membro do Conselho de Administração da Icann, autoridade responsável pela coordenação mundial da rede, "a proteção inconsistente da privacidade, se a informação privada é fornecida voluntariamente ou não, e a protecção contra a exploração inconsistente continuam a ser a pedra no sapato do ambiente conectado. A incapacidade das entidades locais, regionais, nacionais e internacionais, dos setores público e privado, e das associações de internet de produzir uma diretriz de privacidade aceita universalmente aumentará a probabilidade de limitação das actividades online".
Restrições à troca de informações
Um número significativo de entrevistados previu que o aumento da monetização de atividades de internet vai mudar as formas pelas quais as pessoas obtêm informações no futuro. Entre as preocupações: o destino da neutralidade de rede; restrições à troca de informações, afetadas pela proteção de direitos autorais e lei de patentes; e falta de previsão e capacidade dos governos e corporações para melhorar o futuro digital, devido ao foco exclusivo nos ganhos de curto prazo.
Pesquisas sobre as influências comerciais que alteram a experiência online foram conduzidas por alguns dos arquitetos da internet. David Clark, pesquisador de Ciência da Computação do MIT e do Laboratório de Inteligência Artificial, observa que a "comercialização da experiência pode vir encadernada ou limitar a expectativa que muitas pessoas têm da internet".
Já o conselheiro-chefe de uma grande fundação diz que "práticas de conluio e anticoncorrenciais de operadoras de telecomunicações ameaçam a recriação de uma internet controlada pelo povo". "Estamos vendo um aumento de jardins murados, criados por gigantes como Facebook e Apple… a comercialização da internet, paradoxalmente, é o maior desafio para o seu crescimento. O lobby das grandes operadoras de redes contra a neutralidade da rede é o maior exemplo disso", completou.
Para a maioria dos especialistas entrevistados pelo PRC, nos próximos dez anos não deve haver mudanças significativas na maneira como as pessoas acessam e compartilham conteúdo online como fazem hoje. Ainda assim, alguns acham que o anseio por uma internet aberta poderá sofrer forte abalo, principalmente no que diz respeito à forma como a rede mundial funciona e como fonte de conteúdo sem restrições.
Entre as principais ameaças que rodam a internet e que poderá afetá-la na próxima década eles citam o aumento do controle governamental, perda de confiança dos usuários, riscos à estrutura aberta da rede e o controle cada vez maior da web por empresas.
Primavera Árabe
Os especialistas apontam uma tendência global em direção a uma ampla regulamentação da internet por regimes que têm enfrentado protestos e, consequentemente, a um aumento da vigilância dos internautas. Eles observam que nações como o Egito, Paquistão e Turquia têm bloqueado o acesso à internet para controlar os fluxos de informação quando avaliam os conteúdos como ameaça. A China é conhecida por sua "great firewall", que é vista pela maioria dos especialistas como uma forma de censura na internet.
Alguns entrevistados citaram a Primavera Árabe como um exemplo do poder político da internet e de organização das pessoas para se manifestarem e, em seguida, comentaram sobre como isso levou a repressão por parte dos governos. Outros salientaram a aplicação de regras que limitam a troca de informações, a fim de tentar conter a atividade criminosa por governos.
Um número expressivo de entrevistados mencionou as denúncias de Edward Snowden sobre o programa de vigilância de e-mails e telefonemas da Agência de Segurança Nacional dos EUA (NSA). Eles também citaram o roubo de dados de contas de clientes da Target e vigilância corporativa como as ações daqueles que querem acabar com o livre fluxo do conteúdo online.
Paul Saffo, diretor-gerente da Discern Analytics e professor associado da Universidade de Stanford, disse que "as pressões para balcanização da internet continuará e criará novas incertezas. Os governos vão se tornar mais hábeis no bloqueio do acesso a sites indesejáveis".
Monitoramento de atividades online
Alguns entrevistados também prevem que as diferenças regionais, políticas e culturais contribuirão para dificultar o acesso e compartilhamento online. Um professor da Universidade de Georgetown e ex-oficial da Comissão Federal de Comércio dos Estados Unidos (FTC, na sigla em inglês) escreveu: "Dada à natureza global dos fluxos de dados, interesses paroquiais nacionais podem se tornar um gargalo. Já o acesso e compartilhamento serão dificultados por leis nacionais paroquiais. Iniciativas de defesa da privacidade e a diretiva para proteção de dados pessoais Safe Harbor da União Europeia podem se tornar um gargalo sério. Nacionalismos são ameaças claras e atuais".
Para o professor de Ciência da Computação do Instituto Politécnico Rensselaer, Jim Hendler, "se alguma coisa [que deve mudar], é a privacidade que terá que dar lugar a abertura, não o contrário… Governos repressivos estarão trabalhando duro para barrar a difusão de informações. Como hoje, haverá boas e más notícias continuamente nessa área, mas com o tempo [haverá] mais integração, acesso e compartilhamento".
Uma parte dos especialistas prevê, no entanto, que o aumento do monitoramento de atividades online irá limitar o compartilhamento e o acesso ao conhecimento. Para o especialista em Direito de Internet Peter S. Vogel, do escritório de advocacia Gardere Wynne Sewell, "questões envolvendo a privacidade são as mais sérias atualmente para acesso e compartilhamento de conteúdo na internet, e há bons motivos para esperar que isso não mude em 2025, sobretudo levando em conta o aumento das ameaças cibernéticas que usuários e empresas enfrentam no mundo todo".
Já para Raymond Plzak, ex-CEO da American Registry for Internet Numbers e atual membro do Conselho de Administração da Icann, autoridade responsável pela coordenação mundial da rede, "a proteção inconsistente da privacidade, se a informação privada é fornecida voluntariamente ou não, e a protecção contra a exploração inconsistente continuam a ser a pedra no sapato do ambiente conectado. A incapacidade das entidades locais, regionais, nacionais e internacionais, dos setores público e privado, e das associações de internet de produzir uma diretriz de privacidade aceita universalmente aumentará a probabilidade de limitação das actividades online".
Restrições à troca de informações
Um número significativo de entrevistados previu que o aumento da monetização de atividades de internet vai mudar as formas pelas quais as pessoas obtêm informações no futuro. Entre as preocupações: o destino da neutralidade de rede; restrições à troca de informações, afetadas pela proteção de direitos autorais e lei de patentes; e falta de previsão e capacidade dos governos e corporações para melhorar o futuro digital, devido ao foco exclusivo nos ganhos de curto prazo.
Pesquisas sobre as influências comerciais que alteram a experiência online foram conduzidas por alguns dos arquitetos da internet. David Clark, pesquisador de Ciência da Computação do MIT e do Laboratório de Inteligência Artificial, observa que a "comercialização da experiência pode vir encadernada ou limitar a expectativa que muitas pessoas têm da internet".
Já o conselheiro-chefe de uma grande fundação diz que "práticas de conluio e anticoncorrenciais de operadoras de telecomunicações ameaçam a recriação de uma internet controlada pelo povo". "Estamos vendo um aumento de jardins murados, criados por gigantes como Facebook e Apple… a comercialização da internet, paradoxalmente, é o maior desafio para o seu crescimento. O lobby das grandes operadoras de redes contra a neutralidade da rede é o maior exemplo disso", completou.
Wednesday 2 July 2014
Pesquisa demonstra preocupação das empresas com ataques cibernéticos
Ataques cibernéticos capazes de interromper os negócios das empresas estão se tornando cada vez mais eficazes no que diz respeito a romper as defesas de segurança, causando graves problemas e muitas vezes derrubando sistemas por longos períodos, equivalentes até a um dia inteiro de trabalho, de acordo com pesquisa da British Telecom (BT).
O estudo mostra que, nos países pesquisados, 41% das organizações ouvidas foram atingidas por ataques DDoS (Distributed Denial of Service) durante o ano passado, e três quartos delas (78%) foram, nesse período, alvos desse tipo de ataque por duas vezes ou mais.
Os ataques DDoS são uma das principais preocupações de quase três quartos das organizações brasileiras (74%), número bem maior do que a média global, que é de 58%.
O estudo da BT aborda a percepção sobre essa questão e o nível de preparação para reagir aos ataques DDoS dos executivos de TI de organizações em 11 países e regiões em todo o mundo. Ele revela que, embora a maioria das organizações brasileiras (68%) conte com um plano de resposta para ataques DDoS, apenas um quarto delas acreditam dispor de recursos suficientes para neutralizar o ataque (26%).
Os ataques DDoS podem causar grandes distúrbios às organizações, como, por exemplo, derrubar seu site ou sobrecarregar seu data center e impedir o funcionamento da rede. Eles vêm se tornando cada vez mais complexos, dificultando a defesa por parte das organizações.
Em todos os países onde a pesquisa foi realizada, quase seis em cada dez (59%) dos entrevistados concordam que os ataques DDoS estão se tornando cada vez mais eficientes no que toca a burlar as medidas de segurança de TI. Hoje frequentemente adotam-se ataques híbridos, ou multi-vetoriais, com táticas que se utilizam de diferentes plataformas. Esses ataques aumentaram em 41% durante o ano passado. Ataques multi-vetoriais representam maior complexidade e risco, pois empregam simultaneamente diferentes métodos. Nesse caso é necessário que uma equipe especializada se dedique a controlar e combater as ameaças em diversas frentes, pois sistemas automatizados não conseguem, sozinhos, oferecer a proteção adequada.
Mark Hughes, presidente da BT Security, explica que "os ataques DDoS têm evoluído significativamente nos últimos anos, tornando-se uma preocupação realmente justificada para as empresas. Eles podem prejudicar a receita e colocar a organização em uma séria crise. O faturamento, a reputação e a confiança do cliente podem ficar comprometidos depois de um ataque DDoS. Instituições financeiras, empresas de e-commerce e varejistas sofrem particularmente quando são atacadas".
Obviamente as empresas registram aumento no número de queixas dos clientes quando seus sistemas de rede são derrubados por um ataque DDoS. De acordo com os entrevistados, as reclamações e consultas de clientes aumentam em média 36% quando isso ocorre.
As consequências de um ataque DDoS para as organizações medem-se também pelo período de tempo necessário para que se recuperem. Em média, as organizações levam 12 horas para se recuperar totalmente de um ataque intenso – o que equivale a mais do que um dia inteiro de trabalho. No Brasil, mais da metade dos executivos de TI ouvidos na pesquisa (54%) admitem que os ataques DDoS têm derrubado seus sistemas por mais de seis horas, ou quase um dia inteiro de trabalho.
Hughes observa que "a forma mais eficaz de proteção contra esses ataques é sensibilizar os funcionários e estabelecer uma parceira com um fornecedor confiável e capacitado. Na BT, estamos trabalhando com algumas das mais importantes organizações globais para mitigar riscos e adotar defesas pró-ativas. Sem uma segurança estável as organizações não conseguem aproveitar as possibilidades de nosso mundo conectado".
Sobre a pesquisa
Essa pesquisa foi conduzida pela Vanson Bourne para a BT em maio deste ano, compreendendo 640 entrevistas com executivos de TI em organizações de médio e grande porte (mil funcionários) de diferentes setores – incluindo finanças, varejo e setor público – em onze países e regiões: África do Sul, Alemanha, Austrália, Brasil, Cingapura, Espanha, Estados Unidos, França, Hong Kong, Oriente Médio e Reino Unido.
O estudo mostra que, nos países pesquisados, 41% das organizações ouvidas foram atingidas por ataques DDoS (Distributed Denial of Service) durante o ano passado, e três quartos delas (78%) foram, nesse período, alvos desse tipo de ataque por duas vezes ou mais.
Os ataques DDoS são uma das principais preocupações de quase três quartos das organizações brasileiras (74%), número bem maior do que a média global, que é de 58%.
O estudo da BT aborda a percepção sobre essa questão e o nível de preparação para reagir aos ataques DDoS dos executivos de TI de organizações em 11 países e regiões em todo o mundo. Ele revela que, embora a maioria das organizações brasileiras (68%) conte com um plano de resposta para ataques DDoS, apenas um quarto delas acreditam dispor de recursos suficientes para neutralizar o ataque (26%).
Os ataques DDoS podem causar grandes distúrbios às organizações, como, por exemplo, derrubar seu site ou sobrecarregar seu data center e impedir o funcionamento da rede. Eles vêm se tornando cada vez mais complexos, dificultando a defesa por parte das organizações.
Em todos os países onde a pesquisa foi realizada, quase seis em cada dez (59%) dos entrevistados concordam que os ataques DDoS estão se tornando cada vez mais eficientes no que toca a burlar as medidas de segurança de TI. Hoje frequentemente adotam-se ataques híbridos, ou multi-vetoriais, com táticas que se utilizam de diferentes plataformas. Esses ataques aumentaram em 41% durante o ano passado. Ataques multi-vetoriais representam maior complexidade e risco, pois empregam simultaneamente diferentes métodos. Nesse caso é necessário que uma equipe especializada se dedique a controlar e combater as ameaças em diversas frentes, pois sistemas automatizados não conseguem, sozinhos, oferecer a proteção adequada.
Mark Hughes, presidente da BT Security, explica que "os ataques DDoS têm evoluído significativamente nos últimos anos, tornando-se uma preocupação realmente justificada para as empresas. Eles podem prejudicar a receita e colocar a organização em uma séria crise. O faturamento, a reputação e a confiança do cliente podem ficar comprometidos depois de um ataque DDoS. Instituições financeiras, empresas de e-commerce e varejistas sofrem particularmente quando são atacadas".
Obviamente as empresas registram aumento no número de queixas dos clientes quando seus sistemas de rede são derrubados por um ataque DDoS. De acordo com os entrevistados, as reclamações e consultas de clientes aumentam em média 36% quando isso ocorre.
As consequências de um ataque DDoS para as organizações medem-se também pelo período de tempo necessário para que se recuperem. Em média, as organizações levam 12 horas para se recuperar totalmente de um ataque intenso – o que equivale a mais do que um dia inteiro de trabalho. No Brasil, mais da metade dos executivos de TI ouvidos na pesquisa (54%) admitem que os ataques DDoS têm derrubado seus sistemas por mais de seis horas, ou quase um dia inteiro de trabalho.
Hughes observa que "a forma mais eficaz de proteção contra esses ataques é sensibilizar os funcionários e estabelecer uma parceira com um fornecedor confiável e capacitado. Na BT, estamos trabalhando com algumas das mais importantes organizações globais para mitigar riscos e adotar defesas pró-ativas. Sem uma segurança estável as organizações não conseguem aproveitar as possibilidades de nosso mundo conectado".
Sobre a pesquisa
Essa pesquisa foi conduzida pela Vanson Bourne para a BT em maio deste ano, compreendendo 640 entrevistas com executivos de TI em organizações de médio e grande porte (mil funcionários) de diferentes setores – incluindo finanças, varejo e setor público – em onze países e regiões: África do Sul, Alemanha, Austrália, Brasil, Cingapura, Espanha, Estados Unidos, França, Hong Kong, Oriente Médio e Reino Unido.