Rio - Depois de uma enxurrada de reclamações, o Procon-RJ abriu processo administrativo contra a NET. O órgão de defesa do consumidor notificou a operadora por causa do descumprimento da decisão da Agência Nacional de Telecomunicações (Anatel), que impede a cobrança do ponto extra. Além do Procon-RJ, a Anatel informou que vai instaurar processo administrativo contra NET, TVA e SKY. Segundo a agência, quase 120 pessoas denunciaram o recebimento da cobrança pelo ponto extra já em junho. Se confirmada a infração, a multa poderá chegar a R$ 150 milhões.
Para o coordenador-geral do Procon-RJ, Paulo Novaes, não há motivos para polêmica em torno da cobrança. “Mesmo que os artigos causem controvérsia, o Código de Defesa do Consumidor garante que, em caso de dúvida, a interpretação deve favorecer o consumidor”, explica Novaes.
Ontem, a Associação Brasileira de Televisão por Assinatura (ABTA) avisou que seus associados vão continuar cobrando pelo ponto extra até o julgamento de uma ação cautelar que visa suspender a gratuidade. De acordo com a Anatel, as empresas tiveram 180 dias para se adaptar às mudanças e, com as normas em vigor, estão sujeitas às punições previstas no regulamento.
Além de desobedecer à determinação da Anatel, a NET ignora liminar em ação do Ministério Público (MP) contra a operadora, que impede a cobrança pelo ponto extra. Segundo o promotor Júlio Machado, o MP vai pedir que os desembargadores que analisam o caso aumentem a multa dos atuais R$ 1 mil para R$ 100 mil por infração: “Não há dúvida de que a conduta da operadora é absolutamente ilegal e, por isso, deve ser punida”.
Mas a infração não se restringe apenas à NET. A auxiliar de enfermagem Wanessa Freitas, 25 anos, ligou para a TVA contestando uma cobrança pelo ponto adicional. Segundo Wanessa, a atendente respondeu que desconhecia a gratuidade do ponto extra: “Está tudo obscuro e as operadoras se aproveitam dessa confusão”.
Blog de Assuntos ligados a T.I e Segurança da Informação
Thursday, 12 June 2008
Tuesday, 10 June 2008
Proibida de cobrar ponto adicional, Net não faz mais instalação extra
Atendimento aos assinantes informa que operadora não vai instalar novos pontos extras
Rio - Ao mesmo tempo em que a NET anuncia que não vai cobrar pelo ponto adicional durante 60 dias, o serviço de atendimento da empresa informa que a instalação extra está suspensa. Segundo a central do assinante, até que a Anatel (Agência Nacional de Telecomunicações) chegue à decisão final sobre a cobrança ou não do ponto extra, a NET não vai mais oferecer o serviço.
De acordo com a coordenadora da Pro Teste (Associação de Defesa do Consumidor), Maria Inês Dolci, a Anatel está perdida e cedeu às pressões: “A agência não montou qualquer procedimento para as situações que surgem após a suspensão da cobrança. Os artigos simplesmente foram suspensos sem que se pensasse nos artifícios das empresas para driblar a determinação”.
Segundo a Anatel, não há nada que se possa fazer para que o serviço seja prestado. Para a agência reguladora, as operadoras de TV por assinatura não são obrigadas a oferecer a instalação do ponto adicional — entretanto, caso o procedimento seja feito, o serviço deve ser gratuito.
Para a advogada do Idec (Instituto de Defesa do Consumidor) Daniela Trettel, a Anatel deve criar um mecanismo que viabilize a compra do decodificador sem depender da operadora: “Não há como obrigar, mas, se a empresa não quiser prestar o serviço, poderíamos contratar terceiros”, diz Daniela. “Para ter o ponto adicional, é necessário um decodificador, que não está à venda no mercado. A Anatel tem que certificar os aparelhos e permitir que sejam vendidos”, acrescenta.
Apesar de suspender temporariamente a instalação de pontos extras, a NET deve obedecer o que é anunciado na publicidade. De acordo com o defensor público do Núcleo de Defesa do Consumidor, Lincoln Lamellas, se há oferta do serviço, ele tem de ser cumprido: “Se o cliente conseguir demonstrar que há campanha recente noticiando a instalação de ponto adicional, a empresa deve prestar o serviço. Mesmo que não ofereça mais a instalação, vale o anúncio, pois já é parte do contrato”.
A professora Claudia Berliner, 49 anos, se diz satisfeita com a gratuidade do ponto adicional, mas desconfia que isso não vá durar: “Tenho três pontos extras e posso economizar R$ 70. Se a resolução valer, pretendo instalar mais um. Só acho difícil as operadoras deixarem”.
COMO SE DEFENDER DE ABUSOS
As operadoras de TV por assinatura não poderão cobrar por pontos extras nos próximos 60 dias. A determinação vale para todos os contratos, inclusives os anteriores à decisão. Caso a cobrança permaneça na fatura, os consumidores devem tomar as seguintes providências:
PEDIR QUE A EMPRESA RETIRE A COBRANÇA
O consumidor deve solicitar o envio de uma nova fatura sem a cobrança. A reclamação precisa ser formal: o cliente deve anotar o dia, a hora, o nome do atendente e o número do protocolo.
PROCURAR O PROCON OU JUIZADO ESPECIAL
Caso persista o descumprimento da gratuidade, o cliente deve se dirigir ao Procon ou ao Juizado Especial.
NO CASO DO PROCON
O cliente faz a reclamação e a empresa é notificada. O Procon dá 10 dias para a solução do problema. Se não for resolvido, marca-se audiência de conciliação. Sem acordo, o cliente é encaminhado ao Judiciário e abre-se processo administrativo contra a empresa. A multa chega a R$ 5 milhões.
NO JUIZADO ESPECIAL
O cliente entra com pedido de liminar exigindo que a empresa suspenda a cobrança, sem cortar o ponto extra. Dependendo do caso, cabe indenização por dano moral.
Fonte: Jornal O DIA
O Case REDECARD, um transplante de coração, um SOC e PCI como mantra...
Entrevista de Ed Wilson Menezes, CISSP, CISM, cedida a Diter Stein e equipe SecurityInfos Dados e Negócios a Salvo de Tragédias
SecurityInfos Dados e Negócios a Salvo de Tragédias: Oi Ed, comentam que graças a uma pane em um equipamento em uma operação de transplante de coração é que devemos o seu talento como profissional de SI... como é esta história?
Ed Wilson: foi quando reparava equipamentos da linha de medicina e saúde da HP, foi nesta época que vivi a passagem mais curiosa da minha carreira.
Depois de alguns meses, trabalhando no laboratório em Alphaville, fui transferido para o INCOR, onde fazia plantão para suportar os equipamentos médicos, instalados lá. Um dia fui chamado para comparecer com urgência no Centro Cirúrgico, pois um desfribilador estava apresentando problemas. Eu costumava ir lá fazer as manutenções preventivas, e sempre o Centro Cirúrgico estava vazio. Naquele dia, eles estavam no meio de uma cirurgia - eu não posso ver sangue, que desmaio – e o paciente estava no meio da cirurgia e eu vi um médico que já tinha visto na TV algumas vezes (era o Dr. Adid Jatene) preocupado com algo. Como a situação toda me incomodava estava muito concentrado em testar e reparar o equipamento o mais rápido possível para sair de lá, quando vejo uma caixa de isopor chegando, e sendo entregue ao Dr. Jatene. Ele abre a caixa e tira um coração de dentro (eu posso afirmar que literalmente já vi o Dr. Jatene com o coração na mão) e começa examiná-lo. Foi quando eu percebi que eles estavam no meio de uma cirurgia de transplante de coração. Terminei de reparar o desfribilador e saí de lá o mais rápido possível. E imediatamente pedi para sair da área, pois eu não conseguiria enfrentar novamente uma situação com esta.
Me transferiram para a área de computadores técnicos (UNIX) e redes, ficando por lá até 94, quando fui parar na área de consultoria da HP.
Na área de consultoria, trabalhei em diversos projetos de infra-estrutura, redes, downsizing, redes, etc. até que em 98 eu e um amigo montamos a pratica de segurança da informação da HP, e tivemos diversos projetos de internet banking, PKI na ICP Brasil, análise de risco, políticas, ethical hacking, e aí começou minha carreira em SI.
Em 2003 fui para GM, onde participei de vários projetos globais, incluindo o SOC mundial e o processo de analise de vulnerabilidades mundial, que foi adotado o modelo brasileiro que eu implementei e hoje estou na Redecard desde 2004..
SecurityInfos Dados e Negócios a Salvo de Tragédias: Quanto tempo está na Redecard e qual é o seu cargo? Quais são suas responsabilidades? A quem vc se reporta?
Ed Wilson: Estou na Redecard, há 4 anos como Gestor de Segurança da Informação. Neste papel, sou responsável em desenvolver toda a estratégia de Segurança da Informação da empresa, tanto internamente como na nossa rede de captura. Além disso, sou responsável pela implementação e conformidade com padrão da indústria de meios de pagamento o PCI. Atualmente me reporto ao Diretor de Riscos, Controles e Compliance. RCC
SecurityInfo Dados a Salvo de Tragédias: desculpe pela pergunta padrão: quais são seus maiores orgulhos em sua carreira profissional? Qual é o projeto que lhe traz maior orgulho por ter participado?
Ed Wilson: Essa é uma pergunta difícil de responder, pois todo projeto sempre traz um pouco de orgulho e aprendizado, mesmo aqueles que não dão certo. Como em consultoria, você participa de vários projetos ao mesmo tempo, acho que todos foram importantes no seu tempo. Os projetos de Internet Banking foram sempre muito desafiadores, e os de PKI também. Atualmente estou trabalhando na conformidade com o PCI na Redecard e na rede de estabelecimentos do Brasil, e também está sendo muito desafiador.
Eu penso o que me traz mais orgulho, não é o projeto em si, mas sim a equipe no qual você trabalha que permite que os projetos sempre saiam com a qualidade desejada. Neste item eu posso dizer que sempre tive sorte, pois até hoje trabalhei com pessoas muito comprometidas e com uma visão muito além do tradicional (out-of-the-box). Isso aconteceu na HP, onde trabalhei com certeza com um dos times mais brilhantes em inovação que conheci, e com o meu time atual, que apesar de não ter a senioridade do time da HP, é um time de alta performance, e em breve se equipará com os super arquitetos da HPC.
SecurityInfo Dados a Salvo de Tragédias: Pode falar um pouco da Redecard, números, seu mercado, o número de usuários e dados do parque de hardware e software?
Ed Wilson: A Redecard é uma das companhias líderes da indústria de cartões de pagamento no mercado brasileiro e principal Credenciadora das Bandeiras MasterCard e Diners Club International no Brasil. A Redecard é responsável pelo credenciamento de Estabelecimentos para aceitação de cartões de pagamento, bem como pela captura, transmissão, processamento e liquidação financeira das Transações realizadas com cartões de crédito e débito dessas Bandeiras.
Em 2007, a Companhia teve uma participação de 32,9% no valor das Transações com cartões de pagamento no mercado brasileiro, que alcançou R$310,8 bilhões, segundo dados da ABECS, que representou 19,4% do total do consumo privado no Brasil no mesmo ano.
Em 2007, a Redecard capturou e processou aproximadamente 1,8 bilhão de transações e totalizou 1,1 milhão de estabelecimentos credenciados, estando presente em todos os municípios brasileiros com infra-estrutura de energia elétrica e telecomunicações. Já no primeiro trimestre de 2008, a Companhia realizou mais de 399 milhões de transações e ampliou sua rede credenciada para a marca de 1,2 milhão de estabelecimentos.
A história da Redecard remonta a 1970, quando o Citibank, a Itaucard e o Unibanco, juntaram-se para fundar a Credicard. A Credicard exercia, concomitantemente, as atividades típicas de uma Bandeira, de um Emissor e de uma Credenciadora.
Em 1980 a Credicard possuía 500.000 cartões emitidos e 120.000 Estabelecimentos credenciados. Em 1987 passou a emitir cartões da Bandeira MasterCard e, em 1994, possuía 5 milhões de cartões emitidos. Nesse mesmo ano, a Credicard lançou o primeiro cartão de débito do mercado brasileiro, o Redeshop.
Em 1996, o Citibank, a Itaucard e o Unibanco entenderam ser necessária a especialização dos serviços de credenciamento de Estabelecimentos e constituíram a Redecard, a partir da cisão das atividades de credenciamento da Credicard. No mesmo ano, a MasterCard International também tornou-se acionista da Redecard. Desde então, a Redecard é a principal Credenciadora das Bandeiras MasterCard e Diners Club International no Brasil.
A Redecard, desde a sua constituição, foi a líder do Consórcio Redecard. O Consórcio Redecard, constituído nos termos da Lei das Sociedades por Ações, cujos membros eram os Acionistas Controladores e a Redecard, tinha por objeto as mesmas atividades hoje desenvolvidas pela Companhia, quais sejam, o credenciamento de Estabelecimentos para aceitação de cartões de pagamento, bem como a captura, a transmissão, o processamento e a liquidação financeira das Transações realizadas com cartões de crédito e débito das Bandeiras MasterCard e Diners Club International no Brasil. Os membros do Consórcio Redecard eram os Acionistas Controladores e a própria Redecard. Os ativos que eram detidos pelo Consórcio Redecard foram integralmente transferidos para a Companhia.
O Consórcio Redecard foi extinto em 31 de março de 2007, e, após o seu término, a Companhia assumiu todos os direitos e obrigações do Consórcio Redecard.
Para mais informações: https://services.redecard.com.br/novoportal/portals/institucional/ri/index.htm
SecurityInfo Dados a Salvo de Tragédias: Como é estruturada a segurança da informação na Redecard como é o envolvimento da diretoria da corporação e a alta gestão de negócios da empresa?
Ed Wilson: Na Redecard, a estrutura da área de segurança é um pouco diferente da maioria das empresas, pois além de garantirmos a segurança das informações corporativas, para o nosso negócio, a segurança da nossa rede de serviços também é muito crítica. Como temos que transmitir confiança para os nossos clientes, a segurança é um assunto tratado muito interesse pela alta direção (incluindo os diretores executivos e os conselho de administração)
Então a área é dividida em dois segmentos:
1. Segurança Corporativa: responsável pelas políticas processos e procedimentos que a Redecard deve ter quando olhamos para dentro de casa (muito parecido com a maioria da empresas). Temos aqui também a uma coordenação de continuidade de negócios.
2. Segurança na Rede de Serviços: responsável em garantir que todas as soluções de captura da Redecard, possuam um nível mínimo de segurança determinado pelo negócio. Aqui analisamos o grau de segurança de todas as máquinas de POS, e pedimos para os fabricantes alterarem os projetos de eletrônica, caso os equipamentos não passem pelos nossos critérios. Nesta área também fazemos as análises forenses, de fraudes que são identificadas pela nossa área de prevenção à fraude.
SecurityInfo Dados a Salvo de Tragédias: A pergunta para algumas empresas é óbvia, mas não podemos passar sem ela... você acredita que as pressões regulamentarias como a Sarbanes Oxley, foram importantes para os investimentos em segurança da informação na Redecard?
Ed Wilson: Sim, no nosso caso a SOX não é mandatória ainda, mas o PCI é. Como a norma se aplica diretamente a nossa indústria, e ela é baseada na ISO27001/2, todos os investimentos em segurança têm um único objetivo: atingir a manter a conformidade com o PCI. .
SecurityInfo Dados a Salvo de Tragédias: Quais os temas de segurança da informação que receberam ultimamente uma atenção especial na Redecard? Por que?
Ed Wilson: Como a Redecard está inserida na cadeios dos meios eletrônicos de pagamento, o PCI é o nosso mantra. Nos últimos anos, uma série de empresas nos EUA estão com os seus nomes divulgados na mídia por terem enormes quantidades de cartões comprometidos, que são usados para fraudes. Todas as empresas não estavam em conformidade com o PCI.
SecurityInfo Dados a Salvo de Tragédias: Pode nos detalhar um pouco como foi a implantação deste(s) projeto(s), o envolvimento da diretoria na implantação, se foi implantado por fases, se houve a participação de outros setores da empresa e de apoio externo?
Ed Wilson: Desde o final de 2006, estamos trabalhando com ajuda de empresas certificadas pelo PCI Council para atingirmos a conformidade com o PCI. Tudo começou com uma gap assessment, onde levantamos os pontos de não conformidade; definimos as prioridades em função do risco associado; analisamos alternativas, como controles compensatórios; desenvolvemos projetos para implementação dos gaps.
Acabamos de passar por outra análise, para identificar o progresso dos projetos em andamento e o nosso grau de aderência. O nosso target era 2010, mas depois da ultima análise, creio que atingiremos a conformidade com o PCI bem antes disso.
SecurityInfo Dados a Salvo de Tragédias: Como é o relacionamento da Redecard com a política de segurança da informação? Além dos treinamentos existe uma auditoria de riscos sobre a segurança das informações? Como funciona?
Ed Wilson: Além da política de segurança da Informação, temos que seguir as regras das Bandeiras e o PCI. Existe a área de controles internos e área de auditoria, que fazem que com que as políticas sejam cumpridas revisando os processos das diversas áreas periodicamente, baseados no risco do processo.
Temos sempre treinamentos de conscientização, e utilizamos todos os canais de comunicação interna (revista, Intranet, e-mail) para que as mensagens sejam passadas para todos na empresa.
SecurityInfo Dados a Salvo de Tragédias: Tudo indica que Gestão de Riscos, Governança e Compliance estão levando os executivos da gestão de negócios das empresas a ver com mais clareza a questão da necessidade dos investimentos em segurança da informação. Modismo a parte, como é o entrosamento entre gestão de riscos e segurança da informação na sua corporação e como estão estruturados na Redecard?
Ed Wilson: Neste caso, a Redecard também já está na vanguarda, pois a diretoria RCC, está estruturada para atender a esta demanda. Existe entrosamento muito grande das áreas de Controles Internos, Segurança da Informação, Risco e Prevenção à Fraude, que estão ligados diretamente ao CEO.
SecurityInfo Dados a Salvo de Tragédias: Segundo pesquisas recentes a grande evasão de dados acontece internamente por pessoas autorizadas ao acesso da rede. Vários estudos apontam que a prevenção contra perda de dados vai mudar o setor de TI. Na sua empresa estão avaliando investimento em DLP? Vc acredita que DLP vai mudar o setor de TI?
Ed Wilson: Todos os casos de vazamento de contas de cartão que chegaram à mídia foram justamente por este fato. O PCI tem uma grande preocupação com isso, e estamos investindo fortemente em soluções não apenas para proteger as informações, mas também para que as pessoas certas tenham acesso à informação que precisam para desempenhar as suas atribuições. Isso nos remetem à projetos de criptografia em banco de dados, monitoração ativa de acesso à informações e gestão de identidades.
SecurityInfo Dados a Salvo de Tragédias: Depois do roubo dos notebooks da Petrobras ficou claro que é preciso ficar mais atento ao risco para evasão de dados digitais em dispositivos móveis como notebooks, pen drives, quais foram os investimentos feitos neste sentido?
Ed Wilson: O Evento da Petrobras deu um pouco de mais ênfase no projeto que estávamos trabalhando com a equipe de TI. Hoje todas as portas USB na Redecard são bloqueadas, e somente as pessoas autorizadas têm acesso liberado. Com a implementação de uma nova ferramenta, vamos liberar o acesso de todos os funcionários para leitura, e para gravação de somente às pessoas autorizadas, mas com um nível de granularidade muito grande e com monitoração em real time do que está sendo gravado. Todos os notebooks terão os seus discos criptografados antes do boot.
SecurityInfo Dados a Salvo de Tragédias: Como é feita a avaliação do risco da aquisição de novas ferramentas e sua interferência na segurança da informação?
Ed Wilson: A área de TI, têm um processo de avaliação e homologação de toda nova ferramenta que é adquirida obedecendo a critérios muito bem definidos. Também são realizados POC´s para identificar as funcionalidades das ferramentas.
SecurityInfo Dados a Salvo de Tragédias: Existe mais alguma questão que gostaria de abordar?
Ed Wilson: O que vale ressaltar aqui, é que área de segurança da Informação na Redecard, apesar de ter um grande conhecimento tecnológico, não é subordinada à área de TI, o que traz uma grande vantagem para empresa, pois aspectos de negócio são levados em consideração na elaboração das políticas e processos.
Sunday, 8 June 2008
Thursday, 5 June 2008
SI & GOVERNANÇA: Elementos Essenciais da Governança de Segurança da Informação
...benefícios ao negócio através da segurança da informação, (iii) zelar pelo uso adequado e responsável de ativos, (iv) manter os riscos de segurança da informação adequadamente gerenciados, (v) medir, monitorar e reportar o desempenho da segurança da informação através da seleção e apuração de métricas e indicadores de desempenho e (vi) demonstrar o valor da segurança da informação para o negócio.
Alcançar todos estes objetivos é um grande desafio, dado que para isso deve haver disciplina, comprometimento, foco e interesse da alta direção no assunto. Entretanto, não é obrigatória a existência de uma Gestão de Segurança da Informação altamente madura, para que se possa governar. Por outro lado, é importante ressaltar que notadamente os benefícios da Governança em Segurança da Informação, com o apoio de uma gestão madura, são potencializados ainda mais.
Manter uma Gestão de Segurança da Informação madura significa garantir um planejamento de Segurança da Informação adequado e alinhado ao negócio, implantar de forma eficaz seus direcionamentos, definir metas e monitorá-las tempestivamente, além de avaliar seus resultados, definindo os planos de ação para melhoria dos aspectos desalinhados com o planejado. Em geral, as corporações em um processo de gestão, chegam a desenhar planos adequados e implantar, mas pecam em seu monitoramento e na garantia de sua melhoria contínua.
Sendo a Gestão de Segurança da Informação madura ou não, para governá-la, uma série de atividades precisam ser executadas, as quais devem estar ligadas a cinco áreas que devem ser foco da alta direção das organizações - Alinhamento Estratégico, Gestão de Riscos, Gestão de Recursos, Gestão do Desempenho e Entrega de Valor:
• O Alinhamento Estratégico de Segurança da Informação com os objetivos de negócio é uma das áreas da Governança de SI mais difíceis de atingir.
• A Gestão de Riscos de Segurança da Informação tem por objetivo gerenciar e mitigar os riscos e reduzir seu impacto potencial aos ativos para níveis aceitáveis pelo negócio;
• A Gestão de Recursos zela pelo uso eficiente e eficaz do conhecimento e da infra-estrutura de Segurança da Informação;
• A Gestão do Desempenho tem como alvos a medição e monitoração dos processos de Segurança da Informação e reporte dos resultados que permitem atingir os objetivos de negócio;
• A Entrega de Valor visa à otimização dos investimentos em Segurança da Informação que suportam os objetivos organizacionais, seja por sua priorização adequada, seja pela opção aos investimentos de menores custos ou pela minimização da necessidade de investimentos em função da otimização da maturidade da Segurança da Informação.
Para a implantação de um processo de Governança de Segurança da Informação que contemple as cinco áreas acima descritas, alguns aspectos essenciais devem ser considerados. Primeiramente, Segurança da Informação deve ser parte integrante da agenda executiva corporativa, havendo comprometimento dos executivos com relação ao assunto, o que acontece naturalmente quando há um entendimento claro dos benefícios de Segurança da Informação para o negócio.
Com o comprometimento dos executivos com a Gestão e a Governança de Segurança da Informação, o próximo passo é a definição dos papéis e responsabilidades para seu planejamento, execução e monitoração. Este passo deve ser sucedido pela escolha dos canais de comunicação dos resultados de Segurança da Informação, bem como pela escolha das melhores métricas e indicadores de desempenho, que podem demonstrar o status vigente e a evolução dos Sistemas de Gestão de Segurança da Informação.
Por fim, com os aspectos essenciais estabelecidos e preservados, a coleta dos resultados pode ser iniciada e a Governança de Segurança da Informação já pode ser declarada presente em uma organização, rumo à maturidade dos processos que a compõem e rumo a melhoria contínua dos Sistemas de Gestão de Segurança da Informação.
Certamente Governar a Segurança da Informação, além de Gerí-la, faz com que as organizações possam constantemente apurar seus resultados e benefícios com a transparência requerida pelo negócio.
Alcançar todos estes objetivos é um grande desafio, dado que para isso deve haver disciplina, comprometimento, foco e interesse da alta direção no assunto. Entretanto, não é obrigatória a existência de uma Gestão de Segurança da Informação altamente madura, para que se possa governar. Por outro lado, é importante ressaltar que notadamente os benefícios da Governança em Segurança da Informação, com o apoio de uma gestão madura, são potencializados ainda mais.
Manter uma Gestão de Segurança da Informação madura significa garantir um planejamento de Segurança da Informação adequado e alinhado ao negócio, implantar de forma eficaz seus direcionamentos, definir metas e monitorá-las tempestivamente, além de avaliar seus resultados, definindo os planos de ação para melhoria dos aspectos desalinhados com o planejado. Em geral, as corporações em um processo de gestão, chegam a desenhar planos adequados e implantar, mas pecam em seu monitoramento e na garantia de sua melhoria contínua.
Sendo a Gestão de Segurança da Informação madura ou não, para governá-la, uma série de atividades precisam ser executadas, as quais devem estar ligadas a cinco áreas que devem ser foco da alta direção das organizações - Alinhamento Estratégico, Gestão de Riscos, Gestão de Recursos, Gestão do Desempenho e Entrega de Valor:
• O Alinhamento Estratégico de Segurança da Informação com os objetivos de negócio é uma das áreas da Governança de SI mais difíceis de atingir.
• A Gestão de Riscos de Segurança da Informação tem por objetivo gerenciar e mitigar os riscos e reduzir seu impacto potencial aos ativos para níveis aceitáveis pelo negócio;
• A Gestão de Recursos zela pelo uso eficiente e eficaz do conhecimento e da infra-estrutura de Segurança da Informação;
• A Gestão do Desempenho tem como alvos a medição e monitoração dos processos de Segurança da Informação e reporte dos resultados que permitem atingir os objetivos de negócio;
• A Entrega de Valor visa à otimização dos investimentos em Segurança da Informação que suportam os objetivos organizacionais, seja por sua priorização adequada, seja pela opção aos investimentos de menores custos ou pela minimização da necessidade de investimentos em função da otimização da maturidade da Segurança da Informação.
Para a implantação de um processo de Governança de Segurança da Informação que contemple as cinco áreas acima descritas, alguns aspectos essenciais devem ser considerados. Primeiramente, Segurança da Informação deve ser parte integrante da agenda executiva corporativa, havendo comprometimento dos executivos com relação ao assunto, o que acontece naturalmente quando há um entendimento claro dos benefícios de Segurança da Informação para o negócio.
Com o comprometimento dos executivos com a Gestão e a Governança de Segurança da Informação, o próximo passo é a definição dos papéis e responsabilidades para seu planejamento, execução e monitoração. Este passo deve ser sucedido pela escolha dos canais de comunicação dos resultados de Segurança da Informação, bem como pela escolha das melhores métricas e indicadores de desempenho, que podem demonstrar o status vigente e a evolução dos Sistemas de Gestão de Segurança da Informação.
Por fim, com os aspectos essenciais estabelecidos e preservados, a coleta dos resultados pode ser iniciada e a Governança de Segurança da Informação já pode ser declarada presente em uma organização, rumo à maturidade dos processos que a compõem e rumo a melhoria contínua dos Sistemas de Gestão de Segurança da Informação.
Certamente Governar a Segurança da Informação, além de Gerí-la, faz com que as organizações possam constantemente apurar seus resultados e benefícios com a transparência requerida pelo negócio.
Tuesday, 3 June 2008
Nova lei sem efeito
Anatel discute cobrança alternativa das empresas de TV a cabo para ‘compensar’ supostos prejuízos com ponto extra gratuito
Rio - O Conselho Diretor da Anatel (Agência Nacional de Telecomunicações) discutiu ontem a cobrança alternativa das empresas de TV a cabo para “compensar” o ponto extra gratuito, mas não chegou a qualquer conclusão de interesse dos 5 milhões de consumidores.
O Ministério Público (MP)do Rio entrou na Justiça para impedir que a Net cobre pelo ponto extra. Mesmo sem deferir liminar, o juiz da ação concordou com o MP e marcou para hoje audiência para decidir se a resolução atinge também os contratos anteriores à nova regulamentação da Anatel.
No Senado, será votado amanhã um projeto de lei, de autoria de Pedro Simon (PMDB-RS), que proíbe a cobrança adicional pelos pontos extras. Atualmente, a proposta tramita na Comissão de Ciência e Tecnologia do Senado. Se aprovada, seguirá para o plenário.
Na semana passada, o gerente-geral de Regulamentação de Serviços por Assinatura da Anatel, Marconi Maya, revelou a O DIA que as empresas poderiam passar a cobrar pela “manutenção mensal” a “preços módicos” ou no momento do conserto, bem como pelo “aluguel do decodificador” — casos que tornam sem efeito a nova lei do ponto extra, anunciada pela própria Anatel, em vigor desde ontem.
CONTEÚDO E CUSTO
Segundo o presidente da Associação Brasileira de TV por Assinatura, Alexandre Annenberg, as operadoras cobram pelo conteúdo oferecido e custo da operação, mas ele informou que a nova cobrança é feita apenas pela manutenção exigida para o ponto adicional.
Para a conselheira da Anatel e representante da Pro Teste, Flávia Lefèvre Guimarães, a empresa deveria cobrar só por equipamentos necessários à implantação do novo ponto, já que o pagamento pela despesa do sinal de TV já está previsto na cobrança do ponto principal.
‘Não vai mudar nada’, afirma associação de TV
“Não vai mudar nada. Só dará ao consumidor um elemento a mais para ele checar se está recebendo o serviço corretamente”, afirmou o presidente da ABTA (Associação Brasileira de TV por Assinatura), Alexandre Annenberg. “O ponto extra vai continuar a ser cobrado como sempre foi”, insistiu. “O ponto extra não é extensão telefônica, é outro ponto, que tem custo independente”, argumentou Annenberg. O regulamento da Anatel determina que o uso do ponto, “sem ônus, é direito do assinante”, mas admite interpretações com prejuízos para os clientes.
Fonte: JORNAL O DIA
Rio - O Conselho Diretor da Anatel (Agência Nacional de Telecomunicações) discutiu ontem a cobrança alternativa das empresas de TV a cabo para “compensar” o ponto extra gratuito, mas não chegou a qualquer conclusão de interesse dos 5 milhões de consumidores.
O Ministério Público (MP)do Rio entrou na Justiça para impedir que a Net cobre pelo ponto extra. Mesmo sem deferir liminar, o juiz da ação concordou com o MP e marcou para hoje audiência para decidir se a resolução atinge também os contratos anteriores à nova regulamentação da Anatel.
No Senado, será votado amanhã um projeto de lei, de autoria de Pedro Simon (PMDB-RS), que proíbe a cobrança adicional pelos pontos extras. Atualmente, a proposta tramita na Comissão de Ciência e Tecnologia do Senado. Se aprovada, seguirá para o plenário.
Na semana passada, o gerente-geral de Regulamentação de Serviços por Assinatura da Anatel, Marconi Maya, revelou a O DIA que as empresas poderiam passar a cobrar pela “manutenção mensal” a “preços módicos” ou no momento do conserto, bem como pelo “aluguel do decodificador” — casos que tornam sem efeito a nova lei do ponto extra, anunciada pela própria Anatel, em vigor desde ontem.
CONTEÚDO E CUSTO
Segundo o presidente da Associação Brasileira de TV por Assinatura, Alexandre Annenberg, as operadoras cobram pelo conteúdo oferecido e custo da operação, mas ele informou que a nova cobrança é feita apenas pela manutenção exigida para o ponto adicional.
Para a conselheira da Anatel e representante da Pro Teste, Flávia Lefèvre Guimarães, a empresa deveria cobrar só por equipamentos necessários à implantação do novo ponto, já que o pagamento pela despesa do sinal de TV já está previsto na cobrança do ponto principal.
‘Não vai mudar nada’, afirma associação de TV
“Não vai mudar nada. Só dará ao consumidor um elemento a mais para ele checar se está recebendo o serviço corretamente”, afirmou o presidente da ABTA (Associação Brasileira de TV por Assinatura), Alexandre Annenberg. “O ponto extra vai continuar a ser cobrado como sempre foi”, insistiu. “O ponto extra não é extensão telefônica, é outro ponto, que tem custo independente”, argumentou Annenberg. O regulamento da Anatel determina que o uso do ponto, “sem ônus, é direito do assinante”, mas admite interpretações com prejuízos para os clientes.
Fonte: JORNAL O DIA