Thursday, 28 August 2014

Fundação Telefônica Vivo lança pesquisa sobre comportamento online dos jovens

A Fundação Telefônica Vivo lança pesquisa sobre a Juventude Conectada, realizada em parceria com o IBOPE Inteligência, Instituto Paulo Montenegro e Escola do Futuro – USP, e que tem como objetivo entender o comportamento do jovem brasileiro na era digital.

Iniciada em maio de 2013, a pesquisa Juventude Conectada levou cerca de um ano para ser finalizada. Trata-se da primeira investigação a analisar os jovens conectados sob a ótica de quatro eixos: Comportamento, Educação, Ativismo e Empreendedorismo. O universo entrevistado foi de 1440 jovens, da classe A à D, de todas as regiões do Brasil, entre 16 e 24 anos. Diversas metodologias foram utilizadas, incluindo entrevistas presenciais; seis grupos de discussão; análise em profundidade com oito especialistas e monitoramento de navegação na internet por 10 jovens, através de um software chamado e-meter.

Principais dados

A pesquisa aponta que 71% dos jovens utilizam o celular para acessar a internet. Acessam o tempo todo, várias vezes por dia. Principalmente, as redes sociais (58%). E para se comunicar com a geração Y, é mais fácil usar as redes sociais ou mensagens instantâneas (45%), pois apenas 35% ainda fazem uso do email. Para 49%dos entrevistados, a internet mudou o hábito de buscar informações. O recorte aponta, ainda, que os assuntos mais procurados são cultura e esporte.

Já sobre educação, os jovens conectados apresentam um novo padrão de estudo, no qual a busca na internet é mais relevante do que outras fontes: livros, jornais e revistas e as próprias instituições de ensino. Embora o uso de smartphones seja o terror de alguns professores em sala de aula, 53% dos entrevistados afirmam que a internet melhora o relacionamento entre alunos e professores. Mas apesar de familiarizados com a tecnologia, a maioria dos jovens declarou aprender mais em aulas presenciais do que à distancia.

A pesquisa aconteceu durante as manifestações que ocorreram em todo o Brasil em 2013. Os números mostram um jovem engajado virtualmente e mobilizado para ir às ruas por meio das redes sociais. Para 44%, a internet contribui com o aumento da visão crítica dos jovens e 41% somente participaram de mobilizações sociais por causa de amigos (convites via redes sociais).

Segundo a pesquisa, o jovem brasileiro conectado acredita no potencial da internet no desenvolvimento de projetos, no estímulo à inovação e no desenvolvimento da carreira profissional. Dos jovens pesquisados, 51% entendem que é possível ganhar dinheiro trabalhando ferramentas da internet, entretanto, apenas, 34% pensam em usar a internet para desenvolver um negócio próprio.

"Acreditamos no potencial de transformação das tecnologias e dos jovens. O estudo desses dois fatores ajuda a entender os novos caminhos da educação, novos padrões de comportamento e consumo, o novo perfil dos atores políticos e o futuro dos empreendedores da economia brasileira", explica Gabriella Bighetti, que também é especialista do tema juventude online no Brasil. "São esses jovens conectados de agora que irão ditar ideais, padrões e moda daqui alguns anos. Precisamos crescer e inovar com eles", completa.

Wednesday, 27 August 2014

Custo do 'trânsito' na internet na América Latina é quatro vezes mais caro que nos EUA

Análise realizada pela CloudFlare, empresa que oferece serviços de armazenamento e rede de fornecimento de conteúdo (CDN, na sigla em inglês), tendo como base seus gastos com consumo de banda, traça um panorama do custo médio para a compra de largura de banda, conhecida como trânsito na internet, ao redor do mundo.

Para operar, a CloudFlare compra largura de banda a partir de um número de provedores diferentes. A taxa paga por essa banda varia de região para região em todo o mundo. Em alguns casos, compra de um provedor de nível 1. Em outros casos, a empresa compra de provedores de trânsito regionais que, ou disponibilizam as redes que precisa para atingir diretamente (ignorando qualquer Tier 1) o usuário, ou interligar-se com outros provedores de trânsito.

A CloudFlare compra trânsito por atacado, com base na capacidade do que usar em determinado mês. Ao contrário de alguns serviços em nuvem como Amazon Web Services (AWS) ou CDNs tradicionais que faturam por bits individuais entregues através de uma rede, a empresa paga por uma utilização máxima por um período de tempo (chamado de fluxo). Normalmente, ela paga com base no número máximo de megabits por segundo usados durante um mês em um determinado provedor. Em outros casos ela faz acordos de peering — 'troca' de tráfego de dados na Internet, sem pagamento.

Com base nisso, a CloudFlare comparou os preços para acordos de trânsito nas várias regiões do mundo. De acordo com o estudo, o custo relativo da banda — assumindo um custo de trânsito de referência de US$ 10 por megabit por segundo (Mbps) ao mês — é mais alto na Austrália e mais barato na Europa. O preço efetivo do Mbps/mês pago pelo trânsito na América Latina, inclusive no Brasil, está entre os mais caros do mundo. Na comparação com os Estados Unidos, onde o preço do trânsito é de US$ 8, o custo do tráfego efetivo por Mbps/mês na região é quatro vezes mais, de US$ 32. Em relação à Europa, cujo preço é de US$ 5, o custo do tráfego é mais de seis vezes maior.

Apesar disso, a região é onde mais fácil se fazer acordos de peering, ao contrário da América do Norte, que, embora tenha um dos preços de trânsito mais baixos no mundo, é a que tem uma das mais baixas taxas médias de peering. Na verdade, o país com o "ecossistema" de peering mais robusto é o Brasil, que também é o país com a maior fonte de tráfego na região. Na Europa, embora o preço do trânsito seja similar ao da América do Norte, a taxa de peering é significativamente maior que a da região, mas menor que no mercado latino-americano.

Estudo diz existir 'espiral do silêncio' nas redes sociais sobre a espionagem dos EUA

Os americanos têm adotado a autocensura quando as discussões envolvem a vigilância na internet feita pelo governo dos Estados Unidos, de acordo com pesquisa realizada pelo Pew Research Center (PRC). Segundo o levantamento, aproximadamente 86% dos americanos adultos entrevistados estavam "muito" ou "um pouco" dispostos a discutir o assunto pessoalmente com a família, amigos ou colegas de trabalho ou em reuniões públicas, mas apenas 43% disseram que discutiriam a questão no Facebook.

O PRC entrevistou 1.801 adultos nos Estados Unidos, entre agosto e setembro de 2013, e também constatou que apenas 41% das pessoas estariam dispostas a discutir o programa de vigilância do governo no Twitter, que é um meio mais visível que o Facebook.

O relatório do estudo, que foi publicado nesta terça-feira, 26, alerta para a existência de uma "espiral do silêncio", capaz de se espalhar a partir do online para o mundo offline, especialmente para as pessoas que pensam que a maioria de seus contatos nas redes sociais está em desacordo com os seus pontos de vista. "Metade dos típicos usuários do Facebook — aqueles que entram no site algumas vezes por dia — é pouco provável que esteja disposta a discutir as questões envolvendo a vigilância em uma reunião pública, fisicamente", diz o documento. Da mesma forma, o típico usuário do Twitter é 24 vezes menos provável que esteja disposto a partilhar as suas opiniões no local de trabalho como um usuário de internet que não usa a rede de microblogs.

O relatório também aponta que 14% dos americanos que não estavam dispostos a discutir a revelações feitas pelo ex-consultor da Agência Nacional de Segurança dos EUA (NSA), Edward Snowden, e apenas 0,3% disseram que estariam dispostos a participar de conversas sobre o tema nas redes sociais.

"Tem sido bem documentado, desde antes da internet, a existência de uma 'espiral do silêncio' quando as pessoas acham que suas opiniões são a minoria, e não querem falar, se pensam que suas opiniões são impopulares", disse o professor Keith Hampton, um dos coautores do relatório. "Esse tipo de autocensura pode significar que a informação importante nunca é compartilhada. Alguns esperavam que a mídia social pudesse incentivar mais as discussões e a troca de uma ampla gama de opiniões. Mas nós vemos o oposto — a 'espiral do silêncio' existe online, também."

A pesquisa do Pew Research não perguntou às pessoas por que elas não se sentem à vontade para discutir as revelações de Snowden, mas o relatório traz algumas sugestões. Uma delas é que, na visão tradicional da "espiral do silêncio", as pessoas optam por não falar por medo do isolamento. Outra pesquisa da PRC revela que é comum os usuários de mídias sociais serem confundidos com as crenças de seus amigos e serem surpreendidos ao descobrirem que seus amigos fizeram visualizações por meio de mídias sociais.

O relatório adverte que na época em que a pesquisa foi realizada — entre 7 de agosto e 16 de setembro de 2013 — as revelações de Snowden se concentraram na coleta de metadados relativos ao uso do telefone e internet pela NSA, mas ainda não havia dado detalhes da vigilância online.

O documento também possibilita um insight sobre como os americanos obtiveram informações sobre a história de Snowden, com 58% dizendo que obtiveram alguns detalhes de programas de TV e rádio. O PRC descobriu que 34% dos entrevistados citaram outras fontes online, que não as mídias sociais; 31% disseram que obtiveran as informações de amigos e da família; 19% disseram ter tomado conhecimento por meio de jornal impresso; 15% citaram o Facebook e apenas 3%, o Twitter.

Além disso, 26% das pessoas entrevistadas disseram estar muito interessados na história sobre a vigilância da NSA, na época da pesquisa, enquanto 34% se declararam pouco interessados, 19% que "não tinham muito interesse" e 20%, não estavam interessadas.


Tuesday, 26 August 2014

O Código de Defesa do Consumidor e os direitos do comprador

Saber dos seus direitos é o dever de todo cidadão, ainda mais com o aumento visível do consumismo no Brasil. Nos anos 90, foi criado o Código de Defesa do Consumidor (CDC), que visa à proteção e defesa dos direitos dos clientes. A novidade entrou em vigor em 91 e chegou fazendo algumas imposições às empresas: maior qualidade na fabricação dos produtos, satisfação no atendimento ao cliente, além de determinar prazos e penalidades em caso de não cumprimento da legislação.

Com o CDC, os consumidores começaram a se interessar pelos seus direitos e deveres e, com isso, o código se tornou um tanto quanto popular. Penso que essa evolução é muito plausível, pois quem é que não gosta de fazer compras e saber que se o produto não suprir suas necessidades ou apresentar algum defeito tem o direito de trocá-lo? Até mesmo, para os mais consumistas, a lei ainda garante que em caso de arrependimento de uma compra on-line ou por telefone no prazo de até sete dias, pode devolvê-la, sem constrangimentos.

Essa evolução despertou a curiosidade e fez com que os clientes procurassem saber mais sobre o Código. Até o público mais jovem utiliza a Lei para solucionar os seus problemas de consumismo. Em 2013, das 33.717 queixas enviadas ao Código de Defesa do Consumidor, 60% foram feitas por pessoas entre 25 e 34 anos.

Para mim, o Código de Defesa do Consumidor deu voz ao cliente, que hoje pode falar "Eu estou no meu direito!" com o respaldo da lei. Além disso, o CDC impôs que as empresas mudassem os seus produtos, padrões e processos de fabricação para adaptá-los as normas, com a proposta de oferecer mais qualidade, melhoria no atendimento e, consequentemente, satisfação do consumidor brasileiro.

Mas, antes de fazer qualquer reivindicação, o mais correto é avaliar a sua reclamação para ver se realmente tem fundamento e não passar por uma situação constrangedora ao querer algo ao qual não tem direito. Aquela história de que o "cliente tem sempre a razão" não pode ser levada ao pé da letra, por isso é imprescindível conhecer os direitos do consumidor e também dos fabricantes e fornecedores dos produtos.

Outra novidade que entrou em vigor para beneficiar o consumidor foi a lei que permite o cancelamento dos serviços de telefonia celular, banda larga e TV por assinatura de forma eletrônica: via telefone, internet ou terminais de autoatendimento, regras definidas pela Agência Nacional de Telecomunicações (ANATEL), que entraram em vigor em julho deste ano.

Após a solicitação do cliente, a operadora tem até dois dias úteis para cumprir a decisão. Mais uma regra é que se durante o contato com um central de atendimento a ligação cair, é dever da empresa retorná-la ao consumidor. Para as operadoras de celular, também foi imposta uma nova norma: a validade mínima para os créditos dos telefones pré-pagos é de pelo menos 30 dias.

Com tantos benefícios, o consumidor atual pode sim ser mais exigente, mas não pode esquecer os seus deveres também. Ao fazer alguma reclamação ou queixa, procure a empresa em que fez a compra e explique a situação. Se a conversa não for satisfatória, leia a cláusula do Código de Defesa do Consumidor que se enquadra em sua reclamação – todos os estabelecimentos precisam disponibilizar o CDC para consulta. Se nada funcionar, a solução é procurar o PROCON – órgão de proteção e defesa do consumidor, que orienta, informa sobre os direitos dos compradores e fiscaliza as relações de consumo.

Além do PROCON, outros órgãos estão disponíveis para auxiliar o consumidor: Sistema Nacional de Defesa do Consumidor (SNDC), MPCon (Associação Nacional do Ministério Público do Consumidor), Condege (Conselho Nacional de Defensores Públicos Gerais) e o Fonaje (Fórum Nacional de Juizados Especiais). E para as empresas, aqui vai um recado: cada vez mais teremos clientes sabedores dos seus direitos e deveres. Novas regras virão com certeza. Até a próxima.

Carlos Carlucci, country manager da Vocalcom Brasil


Thursday, 21 August 2014

Estudo da McAfee diz que ameaças móveis aumentaram 167% no primeiro trimestre

A McAfee, empresa integrante da Intel Security, concluiu recentemente um novo relatório de ameaças no qual mostra que o volume de malwares para dispositivos móveis no primeiro trimestre de 2014 apresentou crescimento de 167% em relação ao mesmo período do ano passado. As novas ameaças, detectadas apenas no primeiro trimestre, somam 760 mil e o total de ameaças móveis detectadas pela empresa alcança quase 4 milhões.


A atividade criminosa a partir de dispositivos móveis vem se aprimorando ao longo do tempo. Recentemente os desenvolvedores de malware começaram a usar recursos indevidamente ou a explorar vulnerabilidades não apenas da plataforma, mas também de aplicativos e serviços legítimos. A maior parte deles tenta roubar informações confidenciais ou enviar mensagens SMS para serviços pagos usando APIs padrões da plataforma.


Os pesquisadores da McAfee descobriram um aplicativo suspeito para Android, o Android/BadInst.A, capaz de realizar downloads automaticamente, instalar e iniciar outros aplicativos sem solicitar a permissão do usuário. 


Sem o procedimento de confirmação de instalação os usuários ficam expostos a um risco significativo, incluindo o vazamento de informações confidenciais e a possibilidade de instalação de malwares mais perigosos. Outra descoberta do McAfee Labs foi o Cavalo de Troia Android/Balloonpopper.A, que explorava um ponto fraco no método de criptografia do aplicativo WhatsApp. Disfarçado de um aplicativo de jogo o malware roubava conversas e fotos armazenadas no dispositivo e as enviava secretamente para o servidor remoto do criminoso.

Setores de finanças e seguros são os principais alvos de ataques virtuais

Os setores de finanças e seguros são os mais visados em ataques cibernéticos, segundo o relatório de serviços de segurança 2014 da IBM. Eles representam quase metade dos casos registrados. Logo em seguida estão a área de manufatura (21,7%) e as áreas de informação e comunicação (18,6%), que ocupam a segunda e terceira posições no ranking, respectivamente.

"Se compararmos com o ano anterior, as mesmas indústrias estão no topo do ranking, tendo somente trocado as posições.Isso acontece, pois as invasões desses sistemas resultam em grandes perdas para as companhias e, se bem sucedidas, elas podem permitir ganhos financeiros aos criminosos cibernéticos", destaca o líder de segurança da informação da IBM para América Latina, Felipe Peñaranda.

Mais de 95% dos incidentes de segurança registrados pela empresa em 2013 estavam relacionados às ações humanas. Clicar em anexos infectados e em hyperlinks inseguros são os erros mais comuns. O estudo apontou, ainda, que má configuração do sistema, má gestão de patches, uso de logins e senhas padrões ou fáceis de serem decifradas, perda de computadores ou dispositivos móveis e divulgação de informações por e-mails inadequados também colaboraram com os cibercriminosos.

Os dois tipos mais comuns de ataques são os códigos maliciosos — softwares criados para uso mal intencionado — e a varredura sustentada, atividade de reconhecimento projetada para coletar informações sobre o sistema alvo.

A pesquisa analisou os ataques cibernéticos e incidentes de dados monitorados pelas operações de segurança da IBM em 133 países entre janeiro e dezembro de 2013.


Monday, 18 August 2014

Relatório mostra que o cenário de ameaças digitais é cada vez mais dinâmico

A Cisco divulga seu Relatório de Segurança que tem como objetivo traçar um balanço das principais ameaças no mercado e os programas mais visados pelos hackers no primeiro semestre deste ano. Foram avaliadas 16 grandes multinacionais que possuem juntas ativos avaliados em US$ 4 trilhões e receitas acima dos US$ 300 bilhões.

De acordo com o relatório, os "elos fracos" nas organizações contribuem para o crescimento de um cenário de ameaças muito frequente nos meios virtuais. Essas brechas – que podem ser um software desatualizado, código errado, endereços digitais abandonados ou erro de usuário – ajudam os hackers a explorar vulnerabilidades com métodos avançados, como consultas ao DNS (sistema que traduz números de endereços IP para nomes de domínios), ataques em larga escala, comprometimento do sistema, malvertising, infiltração em protocolos de criptografia e spams.

relatório também mostra que focar a segurança apenas em vulnerabilidades de alto nível de risco, ao invés de considerar aquelas de maior impacto, coloca as organizações em maior risco. Ao proliferar ataques contra aplicações classificadas como de "baixa criticidade" e infraestruturas com problemas, os invasores são capazes de escapar à detecção, ainda mais com as equipes de proteção focadas apenas em ameaças do momento, como o Heartbleed, bug que representou um perigo aos softwares de grandes empresas no primeiro semestre deste ano.

Principais resultados apontados pelo relatório

• Os ataques Man-in-the-Browser (quando o hacker usa táticas para colocar um código malicioso no browser do computador da vítima) são um risco para as organizações. Em quase 94% das redes observadas este ano havia um tráfego que levava para sites que hospedam malwares. Especificamente na emissão de pedidos de DNS para nomes de domínios foi registrada a distribuição de famílias de malwares como Palevo, SpyEye e Zeus, que incorporam a funcionalidade do ataque man-in-the-browser (MITB).

• O esconde-esconde em Botnets (redes de computadores infectados). Em quase 70% das redes foram identificadas emissões de consultas de DNS para DNS de domínios dinâmicos (DDNS). Isso quer dizer que há evidências de redes mal utilizadas ou comprometidas com botnets, usando DNS para alterar o endereço IP e evitar que sejam localizados por equipes de defesa.

• A criptografia de dados roubados. Em 44% das redes de clientes foram identificadas emissões de pedidos de DNS para sites e domínios com dispositivos que fornecem serviços de canal criptografado, utilizados por hackers para 'apagar' seus rastros.

• O número de exploit kits (pacotes de códigos negociados entre criminosos da internet para automatizar ataques) caiu 87% desde o ano passado, quando o suposto criador do exploit, kit Blackhole, foi preso. Porém, os especialistas observaram que vários exploits kits estão tentando avançar sobre o antigo território dominado pelo Blackhole, o que indica que um novo "líder" em ataques pode surgir em breve.

• O Java continua sendo a linguagem de programação mais visada pelos hackers em seus ataques. Segundo os especialistas, os exploits Java formavam a maioria (93%) dos indicadores de comprometimento (IOCs) em maio de 2014, contra 91% observado em novembro do ano passado, conforme o Relatório Anual de Segurança da Cisco divulgado anteriormente.

• Os malwares estão concentrados em mercados verticais. As indústrias farmacêutica e química, ambas com alto lucro, estão novamente entre os três principais setores com elevada detecção de malwares. O mercado de mídia e publicações liderou o ranking, registrando uma média quatro vezes maior de ameaças na Web. O ramo de aviação caiu para a terceira posição. Os setores mais afetados por região foram: nas Américas, mídia e publicações; alimentos e bebidas, na África, Europa e Oriente Médio; seguro em Ásia-Pacífico, China, Japão e Índia.

De acordo com John N. Stewart, vice-presidente sênior e chefe de segurança da área de Inteligência e Desenvolvimento de Respostas a Ameaças da Cisco, "muitas empresas estão inovando suas soluções e negócios por meio da internet. Para se obter sucesso neste ambiente de rápido crescimento, os líderes precisam saber gerenciar os riscos digitais associados. É importante analisar e compreender os pontos fracos dentro da cadeia de segurança e criar a consciência de que a segurança digital faz parte do processo de negócios e não só da tecnologia. Para se proteger do ataques antes, durante e depois, é necessário ter soluções que operem em todos os locais onde a ameaça poderá se manifestar".


Relatório diz que Brasil está entre os países mais afetados por ataques direcionados

As ameaças cibernéticas, violações de dados e vulnerabilidades de alto risco continuaram a dominar o primeiro semestre de 2014, como demonstra o relatório de segurança do segundo trimestre da Trend Micro "Virando a mesa no Cibercrime: Respondendo à evolução das táticas do cibercrime".

relatório aponta que o Brasil agora está entre os países mais afetados por ataques direcionados, em quarto lugar – atrás de Taiwan, Japão e Estados Unidos. Também estão na lista China, Israel e Turquia. No total mundial, cresceram os ataques a instituições governamentais. No primeiro trimestre de 2014, elas representavam 76% dos ataques, já no segundo, 81%. Também alcançaram números relevantes as indústrias de computadores, com 4%, e aeroespacial, elétrica, telecom e militar, cada uma com 3%.

O Brasil também continua ocupando o 4º lugar entre os países mais afetados por malware bancários, com os mesmos 7% do primeiro trimestre. Nessa área, o Japão teve um aumento bem relevante, ultrapassando os Estados Unidos e alcançando o primeiro lugar, com 24% os ataques do período. No primeiro trimestre, os ataques no país representavam 10% do total mundial.

A gravidade dos ataques com relação às instituições bancárias e financeiras se intensificou, bem como lojas do varejo, e já expôs mais de 10 milhões de registros pessoais até julho de 2014, o que indica a necessidade de que as organizações adotem uma abordagem mais estratégica de proteção de informações digitais.

Incidentes e ataques que afetaram informações pessoais dos consumidores no segundo trimestre também incluíram o roubo de dados tais como nomes, senhas, endereços de email, endereços residenciais, números de telefone e data de nascimento. Estes tipos de violações de privacidade pessoal têm afetado as vendas e lucros das organizações, enquanto clientes ficam incapazes de acessar suas contas e lidam com interrupções de serviço. Como resultado, muitos países começaram a desenvolver políticas mais rigorosas de privacidade e coleta de dados para começar a resolver este problema.

"As organizações devem tratar a segurança da informação como um dos componentes principais da estratégia de negócios a longo prazo, e não como um pequeno contratempo", diz Raimund Genes, CTO da Trend Micro. "Assim como uma estratégia de negócios, uma estratégia de segurança bem pensada melhora as práticas de proteção e garante benefícios, otimizando a eficiência da empresa. Os incidentes observados durante este trimestre estabelecem a necessidade ainda maior de uma abordagem mais abrangente da segurança", completa.

O relatório também destaca:

- Vulnerabilidades críticas criaram caos entre os profissionais de segurança da informação e o público: vulnerabilidades de alto risco afetaram vários componentes de navegação na Internet e de serviços da Web, incluindo bibliotecas de servidores, sistemas operacionais, aplicativos móveis e navegadores;

- Crescimento do volume e da gravidade dos ataques: a gravidade dos ataques contra as organizações destacou a importância do planejamento de resposta a incidentes e despertou maior conscientização sobre a necessidade de segurança;

- Cibercriminosos contra-atacam evoluções e desenvolvimentos de segurança de plataformas móveis e serviços bancários online: A implantação de ransomware em dispositivos móveis e de malware que quebram a autenticação com dois fatores surge em resposta à evolução tecnológica de bancos online e plataformas para dispositivos móveis;

- A vida digital e a Internet das Coisas melhoraram o modo de vida, mas existem vulnerabilidades emergentes: A Copa do Mundo FIFA 2014, realizada no Brasil, foi um dos eventos esportivos mais populares da história recente. Como tal, fez com que usuários enfrentassem diversas ameaças relacionadas ao evento – um dos ganchos de engenharia social mais amplamente utilizados neste trimestre;

- Parcerias globais com agentes da lei: Ao partilhar os resultados de investigação com agências e instituições responsáveis pela aplicação das leis, a prevenção de perda financeira relacionada ao cibercrime tem se mostrado eficaz.

"Os ataques registrados no segundo trimestre revelam que o amplo espectro de ameaças cibernéticas pode ter um impacto desastroso no mundo", diz JD Sherry, vice-presidente de Tecnologia e Soluções da Trend Micro. "A implementação de um plano estratégico de resposta a incidentes, com base na formação de colaborações tanto internas quanto externas, fornecerá às agências e indústrias a proteção necessária contra as atuais ameaças à segurança da informação", finaliza o executivo.

Instituições financeiras ainda avaliam uso de big data em gestão de risco

"O efeito big data ainda não está implementado na prática na área de gestão de risco das instituições financeiras, mas a maioria delas está considerando o uso de dados não estruturados no futuro, quando fazem as RFPs ( request for proposal) para modernizar seus sistemas de avaliação e concessão de crédito".

A informação é de Renato Fiorini, especialista em gerenciamento de risco do SAS, acrescentando que apesar de muita informação, como posts e vídeos, estarem disponíveis nas redes sociais, eles ainda não foram incorporados pelas áreas de gerenciamento de risco dos bancos e financeiras no Brasil. "Mesmo no exterior, poucos estão incoporando esse tipo de dados em suas análises, mas todos acompanham, com atenção, a possibilidade de uso desse tipo de informação, para conhecer melhor os clientes", acrescenta.

O executivo constata que está havendo uma procura maior na adoção de plataformas de gerenciamento, pois modelagem de risco da carteira de crédito é uma função fundamental, independente do tamanho da organização financeira, principalmente num momento de indefinição e ou período de turbulência da Economia. As instituições, ao mesmo tempo, também procuram reduzir custos com a modernização dos sistemas e na migração para plataformas baixas.

Explica ainda que linhas de crédito, hipotecas, cartões de crédito, etc, implicam num elevado grau de risco para os bancos, que podem produzir situações difíceis e enormes implicações, tanto para o credor quanto para o devedor. Bancos empregam regularmente os processos de gestão de risco de crédito para monitorar e avaliar carteiras de crédito, realizar certas estimativas, e para compreender a sua posição de risco e valor dos ativos a qualquer momento.

No sistema financeiro complexo e em constante mudança de hoje, processos de gestão de risco de crédito rigorosos desempenham um papel fundamental na redução da exposição de uma instituição financeira, que são monitorados por regulamentações internacionais, como Sarbanex Oxley e Basiléia, entre outros.

Fiorini explica que também essas regulamentações também estão sendo aperfeiçoadas (estão atualizando lei Sarbanex Oxley para versão 3), o que exige dos gestores de risco mais rigor nos processos, sistemas, auditoria e análises das carteiras de crédito.

Segundo ele, por esse motivo o software de análise de risco tem que ser bastante flexível, pois como no caso do SAS, ele pode ir de 5 mil até 50 mil variáveis, dependendo do tipo de aplicação. Para facilitar seus usuários, a empresa além de vender a licença, ajuda na implantação e parametrização, como um serviço agregado. Antes de uma venda, ela faz uma prova de conceito em seu laboratório no Estados Unidos, para garantir as funcionalidades previstas.

Outra versatilidade da plataforma de gestão de risco da SAS é que ela roda em qualquer tipo de plataforma de hardware e banco de dados, inclusive com Hadoop, exigido para aplicações de big data.

Como exemplo, Fiorini cita o caso do Bank of America, dos Estados Unidos, que tem cerca de 59 milhões de relacionamentos com consumidores e pequenas empresas, 6 mil agências no varejo e mais de 18 mil e está entre as maiores empresas de gestão de fortunas do mundo, líder global em serviços bancários e comércio corporativo e de investimentos em uma ampla gama de classes de ativos .

Para atender aos requisitos de desempenho, o grupo mudou seu processamento para uma plataforma dedicada composta por SAS Enterprise Risk Management para Grid Computing, rodando num servidor com 224 núcleos IBM Blade Center e System Storage XIV da IBM. A iniciativa teve como resultado a redução de tempo de cálculo padrão de 96 horas para apenas quatro. O tempo de processamento para trabalhos pontuais foi reduzido em 90%, e o processamento aumentou três vezes de velocidade em relação ao sistema anterior. A plataforma processa 30 terabytes de dados dos sistemas de registro numa velocidade de 3,9 gigabytes de I / O por segundo a partir do ambiente de armazenamento da IBM.

Mas o executivo ressalta, entretanto, que plataforma é acessível a diversos tamanhos de empresas e plataformas tecnológicas, o modelo de comercialização é bastante flexível e a SAS auxilia, inclusive, na implantação de modelos de padrão de gerenciamento de risco.

'Direito a ser esquecido não é suficiente para proteger a privacidade', diz especialista

As regras de privacidade estabelecidas pela Comissão Europeia determinando que os sites de buscas apaguem dos resultados de buscas links para informações pessoais de usuários, quando os mesmos solicitarem, reconhecendo o chamado "direito de ser esquecido" na internet, não são suficientes para proteger a privacidade dos cidadãos, de acordo com Dan Geer, um dos especialistas em segurança mais conhecidos no mundo.

Geer, que atualmente é diretor de segurança da informação do braço de capital de risco da CIA, disse em uma conferência sobre segurança, em LasVegas, na semana passada, que estava confuso com a posição do jornal britânico The Guardian. O direito a ser esquecido resultou de uma ação na Justiça europeia que forçou o Google a remover um link de seu resultado de buscas relacionado a um artigo de jornal de 1998, após uma queixa da pessoa mencionada no artigo.

Geer descreveu como "irônico" o fato do Guardian, que havia defendido as revelações de Edward Snowden sobre a intromissão de órgãos do governo americano na vida de civis, ao mesmo tempo ter afirmado em um editorial que ninguém tem o direito de ser esquecido.

Alguns especialistas classificaram a decisão como uma ameaça à liberdade de imprensa, uma vez que permite às pessoas que consideram que informações "irrelevantes, desatualizados ou incorretas" sejam removidas dos resultados de buscas do Google e outros serviços de buscas baseados na Europa.

Falando na conferência, Geer disse, em linhas gerais, que o direito a ser esquecido é "o único controle sobre a onda de observação onipresente atual, o que muda muito a concepção do que 'público' significa".

Contra o direito a ser esquecido

Logo após a decisão da Comissão Europeia, em maio, o Guardian recebeu notificações do Google informando que seis artigos do jornal tinham sido removidos dos resultados de buscas — embora não tenha detalhado quais haviam sido removidos. Mas o Google tem revertido uma série de remoções. O site de buscas diz que tem uma série de decisões "paralegais" que o obrigam a aceitar pedidos de remoção.

O Google, que tem mais de 90% do mercado de buscas na Europa, já disse várias vezes que é contra a idéia do direito a ser esquecido, que a Comissão Europeia está disposta a consolidar ainda mais com as normas de proteção de dados atualmente em debate em Bruxelas. Alguns especialistas, como Geer, alegam que o Google fez publicidade negativa em torno da determinação convencendo jornalistas que o direito seria prejudicial à liberdade de expressão e de informação.

Thursday, 7 August 2014

Estudo global diz que 30% dos profissionais de segurança consideram que existem lacunas nos atuais sistemas de segurança

A Websense, Inc. divulgou nesta terça-feira, 5, novos resultados do levantamento global realizado pelo Instituto Ponemon "Obstáculos, Renovação e Aumento da Educação em Segurança", que revelou os desafios de comunicação entre profissionais de segurança de TI e executivos, o desejo de reformular os atuais sistemas de segurança e o conhecimento limitado sobre segurança entre os executivos e funcionários. O levantamento com quase 5.000 profissionais de segurança em TI em todo o mundo revela uma lacuna em relação a conhecimento e recursos nas empresas, elevando o nível de vulnerabilidade e risco de violações nos dados corporativos.

"Este levantamento do Instituto Ponemon destaca que a falta de comunicação, educação e sistemas de segurança inadequados viabiliza aos cibercriminosos atacarem organizações em todo o mundo", disse John McCormack, CEO da Websense. "Não é surpresa que tantos profissionais de segurança estejam decepcionados com o nível de proteção de suas atuais soluções, uma vez que muitas empresas ainda utilizam soluções legadas que não conseguem barrar a cadeia de ameaças e impedir o roubo de dados."

O relatório "Obstáculos, Renovação e Aumento da Educação em Segurança" avaliou profissionais de segurança em TI com uma média de dez anos de experiência em campo, provenientes de 15 países: Austrália, Brasil, Canadá, China, França, Alemanha, Hong Kong, Índia, Itália, México, Holanda, Singapura, Suécia, Reino Unido e Estados Unidos. Os resultados revelam um consenso global de que as organizações devem corrigir a lacuna de comunicação entre as equipes de segurança e executivos para melhor proteção contra ataques avançados e o roubo de dados. No Brasil, o levantamento foi feito com 392 profissionais de TI e segurança de TI.

Obstáculos na comunicação entre profissionais de segurança e executivos:

• 31% das equipes de segurança de TI nunca comentaram com os executivos da empresa sobre questões de cibersegurança. (Brasil 36%)

• Dos que conversaram, quase um quarto (23%) admite que a frequência foi anual, e outros 19% semestralmente. Apenas 11% responderam trimestralmente e 1% com frequência semanal. (Brasil 22% anualmente, 18% semestralmente e 1% semanalmente).

• Apenas 38% acreditam que suas empresas investem o suficiente em pessoal e tecnologias qualificadas a fim de atingir eficácia na execução dos objetivos e missão da segurança virtual em suas empresas. (Brasil 42%)

Equipes de segurança pedem uma renovação completa do sistema de segurança:

• 29% dos entrevistados reformulariam completamente os atuais sistemas de segurança de suas empresas caso possuíssem os recursos e a oportunidade. (Brasil 31%)

• Quase metade (47%) se sentiu desapontada com frequência com o nível de proteção que acabou sendo oferecido por uma solução de segurança adquirida. (Brasil 61%). Somente 12% nunca se sentiram decepcionados com suas soluções de segurança. (Brasil 4%)

• 56% acreditam que uma violação de dados provocaria uma troca de fornecedores de segurança. (Brasil 55%)

• APTs e ataques de roubo de dados são os principais receios dos profissionais de segurança de TI. (Brasil idem)

• Mais encorajador é que 49% dizem estar pensando em realizar investimentos e ajustes significativos em suas defesas de cibersegurança durante os próximos 12 meses. (Brasil 61%)

Aumento da educação em segurança:

• 52% das empresas não oferecem educação em cibersegurança aos funcionários, com apenas 4% planejando fazê-lo nos próximos 12 meses. (Brasil 58% e 10%, respectivamente)

• Menos da metade (42%) dos profissionais de segurança de TI passou por um processo de treinamento em ameaças cibernéticas em sua atual função. Daqueles que passaram pelo processo, quase todos (94%) consideraram isso importante em termos de gestão dos riscos virtuais. (Brasil 23% e 92%, respectivamente)

• Profissionais de segurança acreditam que os três eventos principais que obrigariam as equipes executivas a destinar mais dinheiro às iniciativas de cibersegurança são: roubo de propriedade intelectual (67%), violação envolvendo dados de clientes (53%) e perda de receita em virtude do tempo de inatividade do sistema (49% por cento). (Brasil 75%, 46% e 57%, respectivamente)

"Ameaças avançadas persistentes e ataques de roubo de dados são os principais receios dos profissionais de segurança de TI", disse Dr. Larry Ponemon, presidente e fundador do Instituto Ponemon. "Estes temores se manifestam em razão de acreditarem que sua tecnologia necessita de uma reformulação e pela crescente lacuna no compartilhamento de conhecimento e recursos entre os profissionais de segurança em TI e pessoal executivo. É fato encorajador que a pesquisa tenha revelado planos de investimento em tecnologia e educação para o futuro".

Além dos resultados da pesquisa, o relatório também inclui conclusões baseadas nos dados obtidos e recomendações para resolver as lacunas na tecnologia, comunicação e educação em segurança. Uma versão completa do relatório, inclui a metodologia do levantamento, resultados consolidados e taxas individuais de resposta por país.

Monday, 4 August 2014

Pesquisa revela que ataques 419 evoluem e mudam foco para redes corporativas

A Palo Alto Networks acaba de divulgar um estudo que revela a evolução das técnicas utilizadas por criminosos cibernéticos da Nigéria, tradicionalmente conhecidos por ataques de phishing denominados 419 e voltados ao roubo de dados pessoais e de cartões de crédito, para práticas avançadas, envolvendo o uso de ferramentas complexas normalmente adotadas por grupos de espionagem. O "upgrade" das campanhas de malware dos nigerianos tem um novo alvo: redes corporativas, que não costumavam ser seu foco inicial.

O relatório 419 Evolution, divulgado pela "Unit 42" – a equipe de inteligência de ameaças da Palo Alto Networks – mostra que, para roubar os dados essenciais de redes corporativas, os golpistas deixaram de usar suas ferramentas tradicionais, partindo para ataques sofisticados que a equipe de pesquisadores chamou de Silver Spaniel.
A descoberta foi feita graças ao WildFire, solução da Palo Alto Networks que analisa ameaças cibernéticas rapidamente em um ambiente de sandbox virtual baseado em nuvem, o que tornou possível identificar estas técnicas.

"Esses ataques Silver Spaniel têm origem na Nigéria e são possíveis graças a táticas, técnicas e procedimentos que se assemelham entre si. Os invasores não parecem ter um nível muito alto de conhecimento técnico, mas representam uma ameaça crescente a empresas que não eram seus alvos prioritários até pouco tempo atrás", afirma Ryan Olson, diretor da "Unit 42", da Palo Alto Networks.

Destaques da Pesquisa

• Entre outras técnicas, os criminosos nigerianos usam Ferramentas de Administração Remota (RATs), como o NetWire, disponíveis em fóruns virtuais secretos e que possibilitam controle total sobre sistemas infectados.

• Ataques similares ao Silver Spaniel já foram identificados no passado, vindos do leste europeu ou de grupos hostis de espionagem. Tradicionalmente, as empresas não desenvolveram recursos para se proteger desses spammers da Nigéria potencialmente impactantes.

• Programas de antivírus tradicionais e firewalls legados são ineficientes porque os ataques Silver Spaniel são feitos especificamente para escapar do controle desses tipos de tecnologia.

Para garantir proteção contra o RAT NetWire, a Palo Alto Networks lançou uma ferramenta gratuita para descriptografar e decodificar o tráfego de comando e controle e que também mostra os dados que foram roubados pelos invasores Silver Spaniel.

Unit 42

A "Unit 42", a equipe de inteligência de ameaças da Palo Alto Networks, é composta por pesquisadores de segurança cibernética e especialistas do setor. A "Unit 42" apura, pesquisa e analisa inteligência de ameaças up-to-the-minute, compartilhando ideias com clientes e parceiros da Palo Alto Networks, além da comunidade em geral, para melhor proteger as organizações.

Ela foca nos aspectos técnicos dos ataques, bem como no contexto em que eles se dão, ajudando todos os membros da comunidade empresarial – de CEOs a profissionais de segurança – a entender melhor quem está os está executando e por quê.