Monday, 30 September 2013
Cerco fechado aos fundos de pensão
19 de Setembro 2013 | Sede
Governo altera a regra da prestação de contas das entidades de previdência complementar para acompanhar transações com títulos públicos e evitar perdas Após amargarem perdas bilionárias por aplicarem recursos de cotistas em títulos do Tesouro Nacional, os fundos de pensão e as entidades fechadas de previdência complementar passarão por um pente-fino do governo. O objetivo é descobrir o tamanho dos prejuízos que essas instituições tiveram com a chamada marcação a mercado dos papéis que detêm nas carteiras -- ou seja, a variação diária do valor de cada título —, a maior parte das aplicações de longo prazo, com vencimento acima de 10 anos. Nos últimos meses, o preço desses títulos foi ao chão, um reflexo direto da desconfiança de investidores em relação à capacidade da equipe econômica em tomar decisões que contribuam para reverter o quadro de baixo crescimento.
Antes de estabilidade, a aposta em papéis do governo se tornou sinônimo de prejuízo a muitas das instituições que os detinham na carteira, entre as quais, além dos fundos, bancos. Só o Bradesco reportou perdas contábeis de cerca de R$ 8 bilhões no primeiro semestre. No mesmo período, os danos de todo o sistema financeiro passaram de R$ 120 bilhões, segundo cálculos de especialistas.
No caso das entidades de previdência e dos fundos de pensão — cujo patrimônio é, em sua maioria, constituído por esses títulos —, os prejuízos tendem a ser igualmente monumentais. Mas a equipe econômica ainda não sabe o tamanho exato do rombo, apesar de cobrar dessas instituições, há seis anos, toda a movimentação com títulos públicos. Pela instrução normativa aprovada em 5 de dezembro de 2007, elas seriam obrigadas a informar a posição nas carteiras sempre no último dia útil dos meses de junho e de dezembro de cada ano. Mas uma falha no texto abria espaço para que, caso, não cumprissem a determinação.
Diante do agravamento dos resultados dessas instituições neste ano, a Superintendência Nacional de Previdência Complementar (Previc), ligada ao Ministério da Previdência Social, decidiu adicionar um artigo à instrução. De acordo com o novo texto, publicado ontem no Diário Oficial da União, "é vedado às entidades fechadas de previdência complementar incluir no sistema informatizado (de comunicação desses dados) que importe em restrição de acesso ao seu conteúdo pela Previc, em relação aos títulos (públicos)".
De perto
Em nota, a Previc disse estar "atenta aos movimentos das entidades (de previdência complementar), acompanhando de perto se estão cumprindo as exigências legais para a alocação dos ativos (em carteira)". Negou, porém, que a nova regra de fiscalização seja mais rigorosa e explicou: "Foram feitos apenas ajustes pontuais, não se configurando novas obrigações (para os fundos)".
A Previc não informou o tamanho das perdas dessas entidades com a chamada marcação a mercado, tampouco explicou quais medidas têm tomado para os cotistas desses fundos, caso alguma instituição venha a enfrentar dificuldades financeiras.
Venda desfavorável
Uma fonte da equipe econômica explica que as perdas dos fundos de pensão só ocorrem caso o detentor desses papéis se desfaça deles antes do vencimento. Nesse caso, ele se submeteria às regras de mercado, que, no momento, estão desfavoráveis para quem quer vender títulos públicos. "O mercado está cobrando prêmios maiores do governo para assumir riscos com esses papéis. Então, quem já os têm pagou um preço maior por algo que, hoje, vale menos. A solução, para quem quer evitar prejuízos, é não vender", assinalou.
(Fonte: Correio Braziliense, 17/09/2013)
Thursday, 26 September 2013
Colaboração, uma nova abordagem para um novo mundo
Por isto, se no passado os processos estruturados e automatizados faziam todo o sentido, a sua exigência no mundo dos negócios atual, muito mais rápido e agressivo, tornou-se até um fator de sobrevivência corporativa. E é nessa estrada pavimentada que trafega a colaboração.
À medida que os processos se sofisticam e as barreiras geográficas e de comunicação, que antes separavam profissionais qualificados desaparecem, a realização de projetos comuns ganhou uma promissora dimensão. Para assegurar sua presença no mercado, empresas de todos os portes dependem cada vez mais de soluções tecnológicas que viabilizem e aperfeiçoem a integração entre equipes e sejam assim capazes de alavancar a produtividade.
Diante dessa constatação, é preciso renovar a abordagem tradicional na criação de aplicativos e portais, que devem ser eficazes e centrados no usuário, voltados ao gerenciamento das informações e a complexidade da colaboração. Para que os profissionais que trabalham com informações alcancem níveis mais altos de produtividade e a empresa se torne mais ágil é necessário muito mais que capacitar pessoas, é preciso promover uma mudança organizacional, com automatização e melhoria de processos.
Aqui, o pulo do gato é adotar ferramentas que integrem recursos disponíveis na Web 2.0 com sistemas e aplicativos empresariais. O objetivo é estabelecer um ambiente fértil para desenvolver soluções que incorporam tecnologias de informação de última geração, baseadas sempre que possível em padrões abertos, viabilizando assim a plena unificação de sites, aplicativos transacionais e portais empresariais. Tudo isso em prol de um consumidor, senhor absoluto das atenções. Não há um plano B. Ou as empresas oferecem aos clientes uma experiência integrada, participativa e valiosa ou se tornam irrelevantes e perdem mercado.
Para atender essa necessidade premente, o mercado disponibiliza inúmeras alternativas, o que torna o processo de escolha por vezes um desafio. De forma geral, pode-se dizer sem erro que a melhor opção é a que permita às empresas obter os melhores resultados com um mínimo de recursos gastos no desenvolvimento e manutenção. Isso passa por liberar os gestores, principalmente os de TI, de trabalhos rotineiros e operacionais, otimizando o seu precioso tempo para que possam extrair da tecnologia benefícios que ampliem a competitividade nos negócios.
Nesse sentido, qualquer que seja o fornecedor de soluções, ele precisa oferecer uma única plataforma de portal completa, aberta e gerenciável que integre recursos, processos de negócios e aplicativos empresariais, se possível personalizados e em pacote. Esses aplicativos colaborativos e sociais precisam combinar a busca, publicação e gestão do conhecimento. Com isto, cria-se uma comunidade independente da plataforma que faz com que as equipes trabalhem juntas dentro da própria organização ou entre organizações.
Por meio de ricos recursos de interação, os melhores sistemas empresariais são os que não só se conectar como falam a língua dos usuários e suas comunidades, aumentando desta forma o valor corporativo.
Eduardo Lopez é vice-presidente de Aplicativos e SaaS da Oracle para a América Latina.
Wednesday, 25 September 2013
HP lança ferramenta para avaliar segurança de softwares
A HP anuncia o HP Fortify Static Code Analyzer (SCA) 4.0, que permite às organizações avaliar a segurança do software até dez vezes mais rápido do que as versões anteriores da solução, através de testes estáticos mais precisos e paralelizados.
O crescimento explosivo de novas tecnologias móveis e da computação em nuvem aumentou significativamente a demanda pelo desenvolvimento de novos softwares. E isso refletiu no incremento da necessidade das organizações realizarem testes completos de segurança antes da implantação em ambiente de produção. Como resultado, práticas seguras de desenvolvimento decaíram, diminuindo também a eficácia da detecção de vulnerabilidades nestes softwares.
Somente entre 2011 e 2012, por exemplo, o total de vulnerabilidades divulgadas aumentou em 19% e, de acordo com uma pesquisa realizada pela HP no ano passado, 99% dos aplicativos testados apresentaram uma ou mais vulnerabilidades de segurança graves. Além disso, nos últimos cinco anos, a divulgação de vulnerabilidades de aplicativos móveis aumentou quase 800%.
"As vulnerabilidades de segurança de software estão se tornando mais predominantes à medida que a demanda para oferecer suporte a novas necessidades de tecnologia aumenta", afirma Mike Armistead, vice-presidente e gerente geral do grupo Enterprise Security Products, HP Fortify.
"Uma abordagem holística para a segurança de software é fundamental e, com o portfólio HP Fortify, as organizações passam a contar com a capacidade de avaliar vulnerabilidades em todos os seus softwares, garantir que falhas de segurança sejam resolvidas antes da implantação e proteger os aplicativos de ataques já na produção", completa.
O HP Fortify SCA 4.0 fornece uma nova abordagem para aprimorar o desempenho da verificação com maior precisão para oferecer suporte a detecção e resolução mais rápidas de vulnerabilidades. Essa abordagem permite a análise de vários threads de software em paralelo, possibilitando:
- Verificações dez vezes mais rápidas e redução de falsos positivos em 20% em relação a versões anteriores do produto, permitindo que as organizações avaliem mais softwares em um ritmo mais rápido e com melhores resultados.
- Relatórios aprimorados de inteligência da segurança de software, que fornecem aos departamentos de TI listas com classificação de riscos para aplicativos móveis, de web, cliente e servidor, garantindo a priorização na resolução de vulnerabilidades.
- Menor tempo para do esenvolvimento de aplicativos com base emtestes de segurança contínuos, que permitem a verificação completa de aplicativos sem causar impacto no processo de desenvolvimento.
- Opções flexíveis de implantação para atender a quaisquer necessidades de negócios, através do uso da solução no ambiente da organização ou sob demanda. O HP Fortify SCA 4.0 já está capacitando avaliações estáticas de segurança de aplicativos mais rápidas e precisas no HP Fortify on Demand, solução de segurança para aplicativos baseada em nuvem.
Cerca de 35% das empresas não usam a criptografia para proteger dados, diz estudo
Embora a espionagem corporativa e os vazamentos acidentais de dados representam uma grave ameaça a qualquer empresa, muitas ainda relutam em proteger informações críticas com um software de segurança.
A constatação é de pesquisa do Kaspersky Lab — laboratório avançado de pesquisas de malware da empresa russa de mesmo nome, que atua na área de segurança digital —, feita em associação com a B2B International, a qual mostra que um número significativo de empresas não presta atenção suficiente às práticas corporativas de segurança da informação.
O levantamento, realizado em novembro de 2012, envolveu mais de 5 mil gerentes sênior de TI em todo o mundo. Especificamente, foi mostrado que 35% das empresas expõem dados corporativos ao acesso não autorizado por não usar tecnologias de criptografia.
De acordo com os dados da B2B International, a criptografia em nível de arquivos e pastas (FLE, na sigla em inglês), capaz de proteger de forma confiável arquivos e pastas críticas para os negócios, e a criptografia do disco completo (FDE), que oculta o conteúdo de todo o disco rígido, inclusive arquivos temporários, dos olhares curiosos, são usados por cerca de metade de todas as empresas do mundo.
Para essas organizações, qualquer informação que caia nas mãos de criminosos virtuais exigirá tempo e poder de computação consideráveis, muitas vezes proibitivos, para ser descriptografada.
No entanto, apesar dessas vantagens óbvias, 34% das empresas não usam a FLE e 17% não planeja utilizar no futuro. Os números referentes à FDE são semelhantes: 36% e 18%, respectivamente.
Essa abordagem coloca em risco a integridade das informações corporativas, incluindo dados confidenciais, com consequências potencialmente graves ou mesmo fatais para a empresa
Friday, 20 September 2013
Google Brasil terá de fornecer e-mails trocados entre pessoas investigadas em inquérito
A Corte Especial do STJ negou mandado de segurança impetrado pelo Google, em que a empresa alegava ser impossível cumprir a determinação desse próprio colegiado. Sustentou que não tem como promover a quebra de sigilo das contas de e-mail, já que esse acesso seria exclusivo do Google Inc., matriz da empresa, com sede nos Estados Unidos.
O relator, ministro Arnaldo Esteves Lima, destacou inicialmente que não cabe a impetração de mandado de segurança no mesmo órgão julgador que proferiu a decisão contestada. Essa é a jurisprudência consolidada do STJ.
Segundo o ministro, embora a decisão atacada tenha sido proferida em inquérito que tramita sob segredo de justiça, o Google Brasil teve pleno acesso ao seu inteiro teor. Tanto que, além de ter apresentado embargos, a empresa interpôs recurso extraordinário ao Supremo Tribunal Federal.
Para o relator, também não procede a alegação de impossibilidade de cumprimento da decisão, tomada pela Corte Especial após exaustiva fundamentação. Assim, cabe à empresa providenciar em sua matriz os dados solicitados.
Thursday, 19 September 2013
Regulamentação da terceirização gera controvérsias entre centrais sindicais e empresários
A manifestação ganhou eco no pronunciamento do secretário-geral da Central dos Trabalhadores e Trabalhadoras do Brasil (CTB), Wagner Gomes. Para ele, a terceirização vai rebaixar salários e tirar benefícios dos trabalhadores. "O projeto vai escancarar para que todas as empresas possam terceirizar", criticou. "A principal característica das empresas terceirizadas é pagar aos terceirizados 60% do salário dos outros funcionários e menos benefícios", afirmou.
Já o presidente do Sineepres (Sindicato dos Empregados em Empresas de Prestação de Serviços a Terceiros, Colocação e Administração de Mão de Obra, TrabalTemporário, Leitura de Medidores e Entrega de Avisos do Estado de São Paulo), Genival Beserra Leite, ressaltou que a terceirização hoje é porta de entrada para trabalhadores no mercado. Além disso, ele acredita que o trabalho terceirizado abriga trabalhadores mais velhos, que já não encontram lugar no mercado, e jovens que estão iniciando a carreira profissional. "Caso uma proposta que regulamenta a terceirização não seja aprovada, vamos continuar do jeito que está: sem nenhuma segurança ou garantia para os terceirizados", disse.
O vice-presidente da Confederação Nacional da Indústria (CNI), Alexandre Furlan, também participou do debate em defesa ao Projeto de Lei. Ele ressaltou que diversos órgãos públicos, inclusive o Congresso Nacional e a própria justiça do trabalho, contratam servidores terceirizados. "As empresas vão continuar terceirizando, mas queremos ter segurança jurídica para isso", declarou. O executivo enalteceu que a falta de legislação não é benéfica nem para os empregadores nem para os trabalhadores.
Os ministros do Tribunal Superior do Trabalho (TST) Maurício Delgado e Alexandre Agra Belmonte posicionaram-se contrariamente ao projeto de lei. Segundo os ministros, é preciso regulamentar o trabalho terceirizado, mas com restrições. A proposta em análise na Câmara generaliza a terceirização, na visão dos ministros, acabando com os limites e prejudicando os trabalhadores.
"A terceirização, ampliada como seria, significará um rebaixamento na renda do trabalho de cerca de 20 milhões de pessoas de imediato. Ao se generalizar, as categorias profissionais tenderão a desaparecer no país. Todas as empresas vão terceirizar as suas atividades". afirmou Maurício Delgado, ressaltando que esse desaparecimento teria um "efeito avassalador sobre as conquistas históricas trabalhistas sedimentadas há 70 anos no país e reconhecidas pela Constituição" e a generalização provocaria uma "piora nas condições de saúde do trabalhador". Delgado ainda disse que sua posição não é a oficial do TST, mas reflete a opinião de 73% dos ministros da corte.
Projeto polêmico
O relator do projeto na Comissão de Constituição e Justiça, Arthur Maia (PMDB-BA), afirmou que a proposta, fruto de muitos debates, protege os trabalhadores e traz segurança jurídica para as relações de trabalho e emprego no país. "A terceirização está associada à precarização, mas isto pode ser combatido a partir do estabelecimento de critérios para que a empresa que presta esses serviços não seja precária", disse.
O relator destacou ainda que, pela proposta, o empresário contratante tem responsabilidade subsidiária relativa em relação às obrigações trabalhistas e previdenciárias. Na prática, isso significa que quem contrata passa a ser responsável por direitos como o pagamento de férias ou de licença-maternidade, caso sejam esgotados os bens da empresa terceirizada. Isso vale como regra se a empresa contratante comprovar que fiscalizou o recolhimento dos direitos trabalhistas pela empresa terceirizada. Caso a contratante se omita e não fiscalizar, vale a responsabilidade solidária, que ocorre quando o trabalhador pode cobrar o pagamento de direitos trabalhistas tanto da empresa terceirizada quanto da contratante.
O autor do projeto também participou da Comissão Geral e foi vaiado por populares que estavam na galeria. Ele afirmou que, dos 21 artigos do projeto, 17 estabelecem proteção ao trabalhador, que poderá contar, por exemplo, com "seguro-calote" caso não receba seu salário. Sandro Mabel disse ainda que não é possível se preocupar, neste momento, apenas com a arrecadação sindical. "Esses trabalhadores vão se sindicalizar em algum lugar", argumentou.
Wednesday, 18 September 2013
Friday, 13 September 2013
Justiça decide que usuário pode compartilhar sinal de internet
A atividade seria um "Serviço de Valor Adicionado" e, portanto, não está relacionada ao crime de ''desenvolver clandestinamente atividades de telecomunicação'', tipificado no artigo 183 da Lei n.º 9.472/1997.
Na apelação, o MPF sustentava que, na prestação de serviço de provedor de internet via ondas de rádio, estariam embutidos dois serviços: um de valor adicionado e outro de telecomunicações. Sendo assim, o serviço de comunicação multimídia seria uma "atividade de telecomunicação", e o réu na ação movida pelo MPF deveria ser condenado pela prática de exploração clandestina dessa atividade.
Os argumentos do MPF foram contestados pelo relator do processo, o juiz federal Carlos D'Avila Teixeira. Ele considerou a conduta do réu "irrelevante jurídico-penalmente". "Bastou a simples instalação de uma antena e de um roteador wireless para que fosse possível a efetiva transmissão de sinal de internet por meio de radiofreqüência. Portanto, a conduta do réu resume-se à mera ampliação do serviço de internet banda larga regularmente contratado, o que não configura ilícito penal", explicou.
Ainda segundo o magistrado, não ficou constatada no caso analisado ''nenhuma interferência radioelétrica efetiva'' que pudesse causar danos a terceiros.
O crime no compartilhamento do sinal de internet só ocorreria, prossegue Teixeira, na "transmissão, emissão ou recepção, por fio, radioeletricidade, meios óptico ou qualquer outro processo eletromagnético de símbolos, caracteres, sinais, escritos, imagens, sons ou informações de qualquer natureza", o que não foi constatado.
Como funciona
Para comercializar link de internet, o interessado deve ter uma licença de provedor que é dada pela Anatel. Chamada de licença de prestação de serviço SCM (Serviço de Comunicação Multimídia), a autorização é dada pelo órgão público após o comprometimento do envio de relatórios sobre a rede para o órgão e o pagamento de uma taxa de R$ 9.000. No site da Anatel, há mais informações de como proceder.
Além da vantagem de poder comercializar internet, os licenciados também têm direito de comprar links dedicados de internet. Diferente dos provedores comuns, os links dedicados oferecem velocidade integral contratada. Se for acordado que a internet é de 10 Mbps, esta velocidade deve ser entregue de forma integral pela empresa – logicamente, o preço pelo serviço é proporcional à qualidade.
É possível ainda ter uma licença para compartilhar internet entre diferentes imóveis sem fins comerciais. Ela é chamada SLP (Serviço Limitado Privado) e custa R$ 400. No site da Anatel, há mais detalhes do processo para adquirir a licença SLP.
(Com Convergência Digital)
Expectativa de crescimento do setor de tecnologia em segurança é de 11% em 2013, afirma diretora da Fiesp
Os dados foram apresentados por Selma Migliori, presidente da Abese e diretora do Departamento de Segurança (Deseg) da Federação das Indústrias do Estado de São Paulo (Fiesp), durante o seminário “Tecnologia em Segurança”, agenda da Feira Exposec 2013 que acontece até quinta-feira (16/05) no Centro de Exposições Imigrantes, em São Paulo.
Migliori ressaltou o potencial de crescimento do setor, que representa 1,7 milhões de empregos indiretos e 200 mil diretos. “De um total de 6,18 milhões de imóveis com possibilidade de receber sistemas de alarmes monitorados, apenas 12% desse total ou 800 mil imóveis são monitorados no país.”
A diretora da Fiesp apresentou dados sobre a atual configuração do setor. Segundo ela, em 2012, o setor de segurança residencial representou 15% do consumo de produtos, superando os 12% de 2011. O setor não residencial, representado por indústrias, bancos, lojas e condomínios, abocanhou 85% do consumo de sistemas eletrônicos de segurança.
No encerramento de sua exposição, a diretora apontou as melhores opções de atuação para empresas do setor. “Há espaço no setor residencial e no setor imobiliário em geral, que está em expansão”, encerrou.
Além de Migliori, participaram do seminário nomes como o especialista em segurança urbana Fernando Ornellas, que abordou o tema da integração da segurança púbica e privada na transformação da segurança das cidades, e do consultor de segurança privada, Adelar Anderle. Ex-coordenador geral de controle de segurança privada da Polícia Federal, Anderle falou sobre a nova regulação do Estatuto da Segurança Privada.
“Conseguimos reunir mais de 100 profissionais do setor de segurança pública e empresarial para debater modernas questões relacionadas à proteção social e ao desenvolvimento deste crescente mercado”, afirmou Roberto Costa, diretor do Deseg e mediador do evento.
Wednesday, 11 September 2013
Cinco passos fundamentais para garantir a segurança em ambientes SCADA
O ataque do vírus Stuxnet contra o Irã em 2010 chamou a atenção para a vulnerabilidade dos sistemas industriais conhecidos como SCADA (Supervisory Control And Data Acquisition, ou Controle de Supervisão e Aquisição de Dados), que têm sido amplamente aplicados em diversas indústrias, por muitos anos.
O vírus Stuxnet ilustrou a urgente necessidade da aplicação de modernas técnicas de segurança em ambientes SCADA, como os que são implementados em uma rede corporativa.
Ambientes SCADA consistem em sistemas de gestão de controle industrial – geralmente implementados em grande escala – que monitora, gerencia e administra infraestruturas críticas em diversas áreas, como transporte, energia nuclear, energia elétrica, gás, água etc.
Ao contrário de rede de TI convencional de uma empresa, um ambiente SCADA fornece a interligação entre os sistemas de propriedade industrial, tais como robôs, válvulas, sensores térmicos ou químicos, sistema de comando e controle e sistemas HMI (Human Machine Interface, ou Interface Humano-Máquina) ao invés de desktops.
Embora o SCADA seja implementado principalmente em empresas, ele está cada vez mais presente nas residências particulares também.
Sistemas de controle SCADA utilizam um conjunto de protocolos de comunicação dedicados, como MODBUS, DNP3 e IEC 60870-5-101 para a comunicação entre os elementos do sistema. Estes protocolos permitem a administração sobre os controladores PLC físicos, por exemplo, resultando em ações físicas, tais como o aumento da velocidade do motor, redução de temperatura, etc. Por este motivo, a integridade das mensagens de controle SCADA é primordial e os protocolos de comunicação devem ser devidamente validados.
Projetado para a longevidade e em um momento em que o cibercrime está visando o setor industrial de forma específica, os sistemas SCADA não foram tidos em conta dentro do esquema de segurança da rede. Devido à natureza isolada de sistemas industriais e a não existência de interconexão de uma rede IP, a segurança não foi inicialmente considerada como necessária.
No entanto, arquiteturas SCADA têm evoluído e agora robôs, sistemas de medição, ferramentas de comando e de controle e sistemas de manutenção remota estão todos interligados através de uma rede IP convencional. O problema não é o uso do próprio IP, mas o fato deles serem administrados em ambientes potencialmente vulneráveis, como a plataforma de interface IHM, que é normalmente equipada com um sistema operacional sem nenhuma correção do Windows.
Considerado altamente sensível, esses ambientes geralmente não têm correções do sistema operacional ou atualizações aplicadas por medo de prejudicar o sistema industrial. Muitas vezes, este medo prevalece sobre o receio de possíveis ataques de TI. Identificado como críticos, ambientes SCADA são, portanto, paradoxalmente, menos seguros e acabam se tornando um alvo em potencial para os cibercriminosos.
Uma vez comprometido, um hacker teria então total controle sobre o sistema, como vimos com o Stuxnet, o primeiro worm descoberto que espiona e reprograma sistemas industriais. Este worm explorava vulnerabilidades de dia zero do Windows – que ainda não haviam sido corrigidas – e passou a afetar dezenas de milhares de sistemas de TI e até uma usina de enriquecimento de urânio.
Infelizmente foi necessário que ocorresse um ataque na escala do Stuxnet para aumentar a conscientização sobre o dano potencial de ameaças cibernéticas para o setor da indústria.
Enquanto invasões a computadores tradicionais geralmente causam danos não patrimoniais, o Stuxnet mostrou a capacidade destrutiva e real dos worms e dos vírus em afetar, não apenas os dados das empresas, mas também os sistemas de gestão da água, a produção de produtos químicos e infraestruturas energéticas.
Como resultado, as indústrias estão começando a integrar as medidas de segurança em seus sistemas. No entanto, antes, é preciso que os sistemas SCADA possam ser considerados seguros.
Como primeiro passo as empresas que implementam o SCADA devem considerá-lo parte de sua infraestrutura geral de TI, aplicar as mesmas medidas de segurança e as técnicas aplicadas para a infraestrutura interna de TI para obter o apoio de seus executivos em caso de orçamentos e se houver necessidade de recursos adicionais.
Caso não existam padrões, as indústrias devem seguir as boas práticas, tal como definido pela North American Electric Reliability (NERC) ou organizações nacionais como o IPT e a ABNT, além do Inmetro, no Brasil. Além desses, há outros passos importantes que devem ser tomados para garantir a segurança de um ambiente SCADA:
- Atualizações regulares
Aplicação de correções de software regularmente ao sistema operacional SCADA, além de suas aplicações e componentes, é um passo essencial para evitar falhas de segurança devido a vulnerabilidades já conhecidas.
Além disso, a implementação de uma ferramenta de detecção e análise de vulnerabilidades, que permita interceptar ameaças da internet antes que elas afetem a rede ou o servidor de destino, irá permitir medidas proativas para evitar ataques, eliminar interrupções no serviço e responder de forma rápida e em tempo real contra as ameaças emergentes.
- Dividir e isolar a rede SCADA
Isolar a rede SCADA de qualquer outra rede corporativa é essencial. Para este fim, o uso de DMZ ou de mecanismos de bloqueio permitirá a segmentação da arquitetura SCADA. Assim, a rede HMI será separada de robôs, dispositivos de medição, sistemas de supervisão, unidades de controle remoto e infraestruturas de comunicação, permitindo que cada ambiente seja confinado e protegido de ataques.
Em suma, as redes SCADA precisam ser protegidas contra malware e intrusões da mesma forma que as redes empresariais, usando Sistemas de Prevenção de Intrusões (IPS) e soluções antimalware, que não são apenas específicas para o SCADA.
- Protocolo de Validação
Depois de ter dividido os diferentes elementos de uma arquitetura SCADA, o próximo passo lógico é aplicar o protocolo de validação e controle relacionados aos seus vários componentes. Em outras palavras, é necessário inspecionar o protocolo MODBUS para certificar que não está sendo indevidamente utilizado ou funcionando como um vetor de ataque.
Além disso, é importante certificar-se de que o aplicativo que gera pedidos MODBUS é um aplicativo legítimo, gerado a partir da estação de trabalho correta. Assim sendo, o reconhecimento da aplicação faz sentido.
- Separar os administradores dos usuários
Além da segmentação da rede, é fundamental separar os usuários de administradores e fornecer diferentes níveis de acesso entre os dois grupos. Por exemplo, um administrador pode ter acesso completo, incluindo alterações de configuração através do HMI, enquanto que o usuário pode ter acesso a somente a leitura.
- Obter uma visão geral da rede
A necessidade de uma ferramenta de correlação e de gestão de eventos é essencial. É fundamental que o administrador da rede tenha a capacidade de compreender o estado de toda a rede de segurança e, por exemplo, saber ao mesmo tempo o estado do robô, o nível de correção HMI e sua relação com um usuário ou um componente específico da
A geração de alertas de segurança é igualmente importante. Ao entender o que está acontecendo na rede, o administrador tem a capacidade de reagir corretamente a eventos de rede e tomar as ações apropriadas.
A implementação destas medidas, embora às vezes incômoda, vai garantir que haja uma estratégia de segurança abrangente em toda a rede e irá fornecer uma defesa em profundidade com uma camada de segurança em todos os níveis, mesmo em unidades de PLC para um controle preciso das trocas e comunicações entre o ambiente SCADA e a infraestrutura de rede.
Com ataques cada vez mais sofisticados, como as ameaças persistentes avançadas (APT), é fundamental que as organizações industriais percebam a importância da segurança integrada em seus ambientes SCADA para que essas redes continuem a funcionar de acordo com o que elas foram projetadas. Ao fazer isso, deve-se ter a capacidade de controlar as redes, usuários e aplicações, de forma proativa evitando riscos potenciais. As indústrias também devem se equipar com ferramentas projetadas por equipes especializadas para identificar possíveis problemas em tempo real e serem capazes de responder rapidamente quando uma ameaça é confirmada.
Leandro Werder, engenheiro de Sistemas da Fortinet
Tuesday, 10 September 2013
Cinco ações para proteger os dados de sua empresa
1. Adote a criptografia – Arquivos com relatórios sensíveis, como planilhas financeiras, planos de marketing e minutas de contratos, devem ser protegidos por sistemas de criptografia. Há diversas soluções disponíveis no mercado, algumas gratuitas, que transformam o arquivo em um conjunto de códigos indecifrável. A não ser, é claro, por quem possui a senha para abri-lo. Esse cuidado protege dados sensíveis que circulam por e-mail ou estão guardados em notebooks ou smartphones, que podem ser perdidos ou roubados.
2. Exija o uso de senhas fortes – De nada adianta o investimento em criptografia ou redes de dados privativas, como as VPNs, se os colaboradores criarem senhas fracas, com poucos dígitos e combinações simples, como data de nascimento, número do telefone ou nome do time de futebol. Segundo os especialistas, o ideal é exigir a criação de senhas com oito ou mais caracteres, misturando o uso de letras maiúsculas e minúsculas, números e caracteres especiais, como vírgulas ou asterisco. Além disso, as senhas devem expirar em prazos regulares, forçando a troca da chave de acesso.
3. Adote Redes Privadas Virtuais (VPNs, sigla em inglês) – É o nome que se dá ao tipo de conexão privada entre um dispositivo autenticado e a nuvem de uma empresa ou a internet. Assim, o smartphone de um executivo com acesso a dados restritos da empresa deve fazer login numa VPN, uma rede por onde só trafegam usuários autenticados e sem a interferência de terceiros, que poderiam “capturar” dados que circulam numa conexão comum, como um Wi-Fi público, por exemplo.
4. Adote termos de confidencialidade – Muitas vezes, funcionários, colaboradores terceirizados e fornecedores de serviços de TI precisam acessar dados confidenciais de sua empresa para realizar suas tarefas cotidianas. A recomendação dos especialistas é que as empresas acordem termos de confidencialidade com esses agentes. Além de aumentar o grau de comprometimento dos colaboradores com a segurança da informação, esse cuidado também dá proteção legal à empresa no caso de vazamentos de dados.
5. Treine seus funcionários – A recomendação mais importante dos especialistas é para que as empresas invistam em treinamentos de segurança. Os colaboradores não podem, por exemplo, criar uma senha difícil e, depois, deixá-la anotada em um pedaço de papel sobre a mesa. Ou, ainda, compartilhar a senha com colegas e amigos do escritório. O treinamento, além de ensinar aspectos técnicos da proteção de dados, deve ser capaz de engajar os colaboradores para que compreendam as ameaças virtuais e os graves prejuízos que podem causar à empresa caso não cumpram as medidas indicadas para proteção dos dados.
Sunday, 8 September 2013
Provas à prova
De forma geral, é possível se provar algum fato por meio do registro em todos os suportes aptos a tanto, conforme prevê o artigo 225 do Código Civil, compreendendo desde os meios mais primários até o digital. Contudo, a prova deve ser legal, legítima e não violando a moral para que seja aceita, tanto em procedimentos investigativos quanto processos judiciais. Provas que não atendam a esses requisitos são imprestáveis juridicamente e frustram o prosseguimento do caso, conforme inciso LVI do artigo 5º da Constituição Federal.
Muitas vezes, a obtenção de provas para a solução de um caso dependerá de ordem judicial específica, seja pela quebra de sigilo indispensável ou pelo caráter delicado que a situação exige, sobretudo quando existe um cenário que está condicionado à declaração de uma pessoa ou pela necessidade de se registrar uma sequência de atos e condições que indicam conduta ilícita.
Alguns exemplos de produção de provas que dependem de ordem judicial podem ser apontados como o uso de documentos confidenciais ou secretos sem a autorização de seus proprietários ou controladores, gravação em vídeo ou áudio de certo ambiente, interceptação telefônica ou telemática e a necessidade de consulta a dados cadastrais.
Todavia, a agilidade e velocidade que as interações humanas atingiram na sociedade digital levaram a um descompasso entre a capacidade do cometimento de atos ilícitos e crimes com as condições necessárias para que exista a apuração suficiente e célere dos fatos, pois, a obtenção de ordem judicial recebe indicativo de ineficiência por vezes, especialmente nos casos de natureza penal que exigem rapidez para atingir seu objetivo.
Não raro é a detecção de lentidão nos processos investigativos que dependam da localização do inquirido, sobretudo quando está foragido, se ocultando, ou quando a base de dados de posse da polícia não está atualizada, reforçando o estigma de impunidade no sistema e falta de efetividade da atuação da autoridade que investiga.
Sob esse prisma, a lei 12.850 de 2013 em seu artigo 15 deu mais autonomia ao Ministério Público e ao Delegado de Polícia, permitindo que tenham acesso a certos dados cadastrais dos investigados sem a necessidade de ordem judicial, tais como endereço, filiação e qualificação frente à Justiça Eleitoral, empresas telefônicas, instituições financeiras, provedores de internet e administradoras de cartão de crédito.
Ainda, em seu artigo 16, descreve a possibilidade de livre acesso a registros de viagens e reservas em empresas de transporte ao Magistrado, Ministério Público e ao Delegado de Polícia; em seu artigo 17 indica a prerrogativa do Ministério Público e Delegado de Polícia terem acesso ao histórico de ligações telefônicas do investigado sem a necessidade de autorização judicial.
Tais medidas possuem impacto direto no Direito Digital, uma vez que os dados cadastrais do investigado são determinantes para a identificação e localização de usuário específico de dispositivo tecnológico que comete crimes pela internet.
Pela inexistência de dever legal da guarda de logs (registros de conexão e acesso) muitas investigações restam infrutíferas, principalmente pela demora na concessão das ordens judiciais que impusessem aos provedores de acesso ou de conexão a revelação dos dados cadastrais do investigado, por serem dados que se perdem ao passar do tempo (alta ordem de volatilidade, em perícia digital).
E mais, enquanto se discutem a obrigatoriedade e o tempo de guarda de registros de conexão e de acesso a aplicações da internet no projeto de lei do Marco Civil da Internet, a lei 12.850 determinou como sendo de 5 anos o tempo que os registros indicados nos artigos 16 e 17 sejam mantidos, o que pode obrigar em aumento de prazo naquele diploma em discussão, para manter coesão e harmonia no tratamento de histórico de atividades de serviços relevantes na sociedade da informação.
Com a alta ocorrência de crimes digitais, desde 2011 superando a rentabilidade do tráfico de drogas , a investigação e localização dos autores de delitos dessa natureza devem possuir prioridade, pois causam vítimas em larga escala e em diferentes localidades, o que dificulta a ação da polícia e do processo penal por questões de unificação de competência para o deslinde.
No entanto, essas medidas valem apenas para a investigação criminal e em vigor a partir do dia 16 de setembro de 2013, não podendo serem estendidas para os procedimentos civis e trabalhistas, a priori, mas, poderão servir como base para futuras mudanças em ambas as esferas processuais, para agilizar também a solução de casos dessas naturezas que envolvam a necessidade de acesso a dados cadastrais, histórico de meio de transportes ou telefonia.
Essa corajosa iniciativa do Poder Legislativo favorece a atuação investigativa da polícia e quebra um paradigma no equilíbrio entre privacidade e segurança do indivíduo, se valendo das responsabilidades declinadas tanto ao Ministério Público quanto ao Delegado de Polícia.
Desta forma, é possível que atuem com mais autonomia e celeridade para proporcionar efetividade na segurança esperada pela população, evitando que provas sejam postas à prova em razão de sua demora na coleta e implique na impunidade de agentes criminosos.
Victor Auilo Haikal, advogado especialista em Direito Digital e sócio do escritório Patricia Peck Pinheiro Advogados.
Wednesday, 4 September 2013
Direito à privacidade e bem-estar social
A decisão põe em movimento a máquina política quanto ao tema da normatização do direito à privacidade, em relação ao qual o Brasil se encontra desproporcionalmente defasado quando comparado com outros países. Além de sermos o único país membro do G20 que não conta com marco normativo específico, legislações federais de outros países já vêm tratando do assunto desde a década de 1970 (e.g. Suécia, 1973; EUA, 1974; Alemanha, 1977; França, 1978).
Na era do "cloud computing" e do "big data", a lacuna traz insegurança jurídica que, como qualquer situação de incerteza social, afugenta investimentos. Tanto os grandes prestadores de serviços de TI, quanto seus próprios clientes (bancos, seguradoras, empresas de e-commerce), baseiam sua escolha do local da guarda e processamento de dados, em boa parte, no grau de maturidade e garantias de segurança que cada jurisdição confere em relação à privacidade.
Tomemos como exemplo a recente utilização, por prestadores de serviços de cloud computing europeus, do argumento de venda de que seus serviços, vis-à-vis aos de seus concorrentes nos EUA, estão livres do monitoramento do governo americano.
É necessário que atinjamos maturidade institucional em matéria de privacidade. O advento de lei específica é fundamental para servir de ponto de partida para as discussões quanto ao tema, seja em âmbito doutrinário, seja em sede judicial. Até porque já partiremos atrasados: o anteprojeto é baseado na Diretiva Européia 95/46/EC, em vigor há quase 18 anos e que se encontra em revisão.
O moderno conceito jurídico de privacidade surge nos EUA no século XIX, a partir da publicação do artigo seminal de Samuel D. Warren e L.D. Brandeis, intitulado "The Right to Privacy". Neste, o direito à privacidade materializa-se no "direito de estar só" ("right to be let alone"). Na sociedade da informação, o conceito evoluiu para a capacidade "de um sujeito conhecer, controlar, direcionar ou mesmo interromper o fluxo de informações que lhe dizem respeito", trazida à tona pela doutrina italiana.
O anteprojeto brasileiro em muito se apoia nessa abordagem pragmática, em que o conhecimento e controle sobre o tratamento de dados pessoais é conferido a seu titular, de modo a lhe permitir o gerenciamento de sua própria esfera privada.
Segundo o anteprojeto (art. 9º), "o tratamento de dados pessoais somente pode se dar com o consentimento livre, expresso e informado do titular", o qual pode ser revogado a qualquer momento. Além disso (art. 11), "no momento da coleta dos dados pessoais, o titular deve ser informado (…) sobre:", dentre outros, o fim para o qual seus dados estão sendo coletados e tratados, a identidade do responsável pelo tratamento e para quem os dados poderão ser transmitidos.
O anteprojeto abraça, ainda, o princípio da necessidade (ou minimização), pelo qual a coleta e utilização dos dados pessoais deve se restringir ao mínimo necessário para que a finalidade perseguida com sua obtenção seja atingida.
Independente de opinarmos quanto à adequação do texto do anteprojeto, o fato é que para que seja bem-sucedida, qualquer norma que venha a tratar do direito à privacidade deverá ponderar interesses sociais antagônicos: de um lado, o interesse público associado à transparência e ao fluxo desimpedido das informações; de outro, a tutela de uma série de direitos da personalidade, tais como os direitos à honra, à dignidade e à intimidade.
O fluxo livre de informações quanto à atividade on-line do indivíduo, à sua localização, seu estado de saúde e consumo de eletricidade, dentre outras, tem inegável potencial de gerar ganhos de bem-estar social e eficiência (e.g. mais segurança, consumo consciente, menos trânsito, mais saúde e maior economia de eletricidade). Exemplo concreto de benefício social trazido pelo processamento de informações pessoais é o Google Flu Trends, serviço que prevê epidemias de gripe baseando-se nas palavras-chave inseridas individualmente na ferramenta de busca.
Por outro lado, a coleta de altos volumes de dados sobre as pessoas e o emprego de ferramentas de análise, trazem à tona preocupações associadas à discriminação, preconceito, exclusão e impossibilidade de controle.
Como se vê, trata-se de tema que demanda escrutínio constante, até mesmo porque novas questões surgem na mesma velocidade dos avanços tecnológicos. Nesse contexto, há aqueles prevendo que, em breve, os benefícios sociais obtidos com o processamento de informações pessoais suplantarão as inconveniências decorrentes da transparência. Nesse passo, pode chegar o dia em que privacidade venha a se tornar mero eufemismo para dissimulação.
Gustavo Artese, master of laws (LL.M.) pela Universidade de Chicago e advogado responsável pelas práticas de propriedade intelectual e direito digital do escritório Vella, Pugliese, Buosi e Guidoni Advogados
Monday, 2 September 2013
Radiodifusão estima em mais de R$ 850 milhões eventual cobrança de Fust sobre o setor
O papagaio depende de uma decisão da Advocacia Geral da União (AGU). É ela quem decidirá sobre duas interpretações jurídicas: uma da Anatel, exarada na semana passada em parecer da Procuradoria Especializada da Anatel sobre o tema, e a posição do Ministério das Comunicações manifestada também por meio da consultoria jurídica em 2006.
O fato que detonou o debate foi a decisão do Tribunal Regional Federal da 1a Região nos autos do Mandato de Segurança 2001.34.00.011095-0/DF, que em junho decidiu contrariamente a um pleito da Abert e ratificou o entendimento de que radiodifusão é serviço de telecomunicações. Esse assunto foi levantado pelo jornal O Estado de S. Paulo, na semana passada.
Essa interpretação (de que radiodifusão é telecom) não é exatamente nova, mas pela primeira vez a Justiça se pronunciou em decisão de mérito sobre o tema. Diante desse fato, a procuradoria da Anatel analisou o caso e entendeu que sim, a radiodifusão deveria também recolher o Fust, e que isso poderia ser feito tendo como base as receitas de publicidade, merchandising etc, já que essa fonte de renda só existe enquanto a empresa presta o serviço de radiodifusão na qualidade de serviços de telecomunicações.
O problema é que o Minicom, em 2006, teve entendimento divergente, e os dois pareceres (o atual, da Anatel, e o antigo, no ministério) tem o memso peso. Cabe à AGU decidir qual é válido.
Os radiodifusores já têm um plano de ação em mente. Obviamente, o tema vai escalar politicamente, ou seja, pretende-se mostrar que o governo pode estar, com essa medida, aumentando a carga tributária do setor de mídia, em um momento em que existe um esforço para convencimento de que é o setor de Internet quem deveria pagar impostos.
Depois, as TVs certamente alegarão que a procuradoria da Anatel exagerou ao considerar receitas de publicidade como receitas decorrentes do serviço de telecomunicações. O argumento é que, no caso de outros serviços de telecomunicações, receitas de serviço de valor adicionado, por exemplo, não entram na conta do Fust. Da mesma forma, operadoras de TV paga não pagam Fust sobre eventuais receitas publicitárias decorrentes da comercialização de espaços em seus canais.
Não se percebe, contudo, nenhuma intenção dos radiodifusores em questionar o seu enquadramento como empresas de telecomunicações. Aliás, na semana passada, quando Luiz Roberto Antonik, diretor executivo da Abert, tomou posse justamente como representante das empresas de telecom no Conselho Consultivo da Anatel, e ele mesmo fez questão de lembrar que a primeira lei que rege o setor de radiodifusão é o Código Brasileiro de Telecomunicações. Além disso, para as emissoras, manter umaa posição como espécie do gênero "serviço de telecomunicações" fortalece o peso da radiodifusão na briga por espectro.
Mas alguns aspectos podem complicar ainda mais o debate, segundo observadores ouvidos por este noticiário: por exemplo, a cobrança, por parte dos radiodifusores, pelo seu conteúdo quando estes forem distribuídos por empresas de TV por assinatura. Também seria essa uma receita decorrente da prestação dos serviços de telecomunicações e, portanto, passível de cobrança do Fust?
Outro problema é que não existe, na Anatel ou Ministério das Comunicações, nenhum registro sobre faturamento das empresas de rádio e TV, nem nenhuma obrigação regulatória de reporte dessas informações. Realizar a cobrança demandaria estabelecer uma metodologia que assegurasse essa fiscalização. São questões ainda não resolvidas.
Sunday, 1 September 2013
Espionagem alimenta ataques entre teles e provedores de conteúdo
Nesse campo, a quebra de privacidade das comunicações de brasileiros – assim como de cidadãos do mundo todo – foi apenas o pretexto, enquanto o Marco Civil da Internet o verdadeiro pano de fundo dessa ‘batalha’, durante audiência pública, realizada nesta terça-feira, 20/08, na comissão de Ciência e Tecnologia.
As operadoras buscaram frisar sua diferença como ‘nacionais’ frente aos grandes provedores ‘estrangeiros’ de conteúdo. “As teles, diferentemente de provedores internacionais de aplicação, estão sujeitas exclusivamente às leis brasileiras”, destacou o diretor Sinditelebrasil, Eduardo Levy.
Aparentemente não se tratou de uma afirmação com relação ao efetivo controle das empresas – visto que as telecomunicações brasileiras têm como acionistas empresas de capital estrangeiro. No caso, trata-se de uma referência indireta ao fato de o Google, por exemplo, dificultar a entrega de dados de clientes às autoridades brasileiras (embora, como visto, não às americanas).
Em especial, porém, as teles procuraram se diferenciar no campo em pauta, da privacidade. “Grandes provedores de aplicação da Internet lêem o conteúdo existente nos seus servidores e vendem essas informações ao mercado publicitário. Os e-mails são lidos e com base no conteúdo anúncios são oferecidos”, insistiu Levy.
Esse porém, é um campo escorregadio. O ataque faz sentido pois, como se viu no escândalo das denúncias de espionagem, diversas empresas da Internet colaboraram com o governo americano e repassaram dados de seus clientes. Mas Levy também afirmou que as teles no Brasil “não mantêm parceria com órgãos estrangeiros para acesso a dados privados dos clientes”. Para ele, seria “crime”.
Acontece que é notório que operadoras de telecomunicações que atuam no Brasil têm acordos, por exemplo, com a britânica Phorm. Embora tenha tido problemas para atuar na Europa, essa é uma empresa especializada no rastreamento dos internautas e na construção de perfis com base na navegação – Oi e Telefônica têm essa parceria com ela desde 2010.
De sua parte, no entanto, os provedores reagiram. O presidente da Abranet, Eduardo Neger, destacou o que entende como outra diferença importante esses dois campos: enquanto provedores de conteúdo são de livre escolha dos usuários, o mesmo nem sempre é válido para os provedores de infraestrutura.
“São diversos atores que utilizam a mesma rede, cada um com seu objetivo. Mas na camada de aplicações, o usuário tem total liberdade de escolha; é fácil migrar de um serviço para outro. Quando falamos em serviço de telecomunicações, muitas vezes não existem muitas opções de infraestrutura”, lembrou o executivo.