De acordo com dados da Trend Micro, cerca de 129.000 malwares foram detectados no final de 2011 somente para Android (o número atual ultrapassa os 3 milhões) e a tendência é crescente. Grande problema: grande maioria dos usuários de smartphone não verificam quais as permissões que os aplicativos terão ao serem instalados. Por qual motivo uma aplicação de música lhe pediria acesso a sua agenda pessoal ou acesso à internet? Mesmo pela Google Play (loja oficial de aplicativos do Android) foram detectados aplicativos que continham malware. Nem o próprio Android Bouncer – software anti-malware da Google que “varre” os aplicativos em busca de softwares maliciosos; consegue ser 100% eficaz no trabalho de remoção. No começo de Maio, 17 aplicativos continham código malicioso chamado Plankton que serve para tornarem os aparelhos parte de redes zumbis (aguardando comando dos servidores de controle).

O estrago que esses malwares causam, quando o assunto é smartphone para uso pessoal, é o mesmo que usando o seu laptop no conforto de sua casa – roubo de identidade, dados bancários, acesso às suas informações pessoais, fotos, videos, etc. Quando o assunto é uso corporativo, as consequências podem ser ainda mais drásticas. E não estou tratando de BYOD, mas sim de aparelhos homologados por sua empresa e com conexão segura para leitura de e-mails, troca de informações sigilosas, financeiras, etc.
Gestores de TI tem, cada vez mais, se preocupado com a forma como os funcionários fazem a conexão à rede corporativa e seguindo a demanda cada vez maior de mobilidade e agilidade para os negócios. Estratégia é um quesito fundamental em se tratando de mobilidade e segurança – uso de autenticação de 2 fatores, criptografia e, claro, instalação de um sistema anti-malware.

Em comparação, usar um smarthphone sem um software anti-malware é como plugar seu desktop/laptop na internet sem firewall ou antivirus. Porque ainda fazer isso com seu smarthphone, já que ele fica acessível via internet? Há vários softwares disponíveis no mercado: Kaspersky, Nortol, McAfee, F-Secure, AVG e muitos outros já bem conhecidos pelos usuários de desktops e laptops.

Além de um bom sistema anti-malware, aplicativos de Sandbox também são muito interessantes para evitar problemas, já que criam ambientes virtuais seguros para abrir arquivos. Pesquise, compare, instale e proteja-se.

Em artigo publicado em Abril/2012 tratamos dos custos de transporte tidos no processo de formalização de Contratos em Papel. Dando continuidade à série de artigos onde trataremos dos custos que podem ser eliminados ou diminuídos com a utilização da Assinatura Digital, trataremos neste artigo dos custos com impressão e reconhecimento de firmas tidos no processo de formalização de contratos em papel.

.

Imaginem o quanto valeriam os projetos de um novo tipo de motor, ou o planejamento publicitário anual de uma empresa para um concorrente? Essas informações, que devem ser protegidas e ter o seu uso monitorado, podem ser duplicadas e copiadas. Dados como esses podem cair nas mãos de um competidor, ou até mesmo um fraudador. A empresa pode ainda ser responsabilizada pelo vazamento de informações caso sejam dados financeiros de seus clientes, por exemplo.

Antes de começar a proteger as informações, necessitamos saber onde elas estão. Nessa fase entra o trabalho de classificação e descoberta, que começa pela identificação do que é realmente sensível. Após isso, investiga-se por onde são manipuladas, trafegam e são guardadas. É nessa fase que saberemos a visão real de exposição a qual uma empresa está sujeita e para onde devemos apontar os esforços.

Soluções como DLP (prevenção contra vazamento de informações) podem ajudar empresas, em primeiro lugar, a encontrar as informações sensíveis e relevantes ao negócio e posteriormente protegê-las. Desde nas estações de trabalho, em tablets, no tráfego que passa pela rede e até nos locais de armazenamento, como servidores de arquivos. Uma segurança adicional pode ser obtida com o uso de criptografia de dispositivos móveis como notebooks, tablets e smartphones. E finalmente, para validar esses controles, é interessante a execução de um teste de invasões, externo e interno, uma vez que grande parte das ameaças ocorre dentro do próprio ambiente de trabalho. Com esse tipo de teste é possível avaliar em quais pontos serão necessários controles maiores.

Normas e regulamentações como Sarbanes Oxley, PCI, HIPAA, Basiléia e GLBA exigem que informações sensíveis sejam protegidas. Claro que muitas dessas regras não são obrigatórias no Brasil ou conforme a atividade da empresa, porém seus controles podem ser adaptados à realidade da corporação. Na maior parte das vezes a tecnologia por si só não resolve o problema, devem ser feitas algumas mudanças nos processos de atividades. A impressão é um exemplo, frequentemente são encontrados documentos abandonados nas impressoras e muitos deles são restritos a um setor, ou nem deveriam ser impressos.

Para finalizar, segue uma dica para pessoas que continuam mantendo fotos e arquivos importantes em dispositivos móveis, ou armazenando-os no seu computador pessoal: assim que possível, mova esses arquivos para um local mais seguro como um volume criptografado. Para usuários domésticos recomendo o software open-source True Crypt (www.truecrypt.org), que pode realizar muito bem essa tarefa. Já para os usuários corporativos, por conta da complexidade no gerenciamento e dos recursos envolvidos, serão necessárias soluções de mercado que demandem investimentos.

     Advogado. Docente universitário. Coordenador de contencioso cível. MBA em Direito Eletrônico. Membro do IBDE – Instituto Brasileiro de Direito Eletrônico e da Comissão de Direito Eletrônico e Crimes de Alta Tecnologia da OAB/SP.

RESUMO: Aborda o uso indevido de linhas de comandos em websites denominadas como metatags, indicando sua aplicação de forma objetiva, sem aprofundamento teórico, permitindo a assimilação do conteúdo tanto pela área tecnológica, quanto pela jurídica, facilitando a interdisciplinaridade e concluindo na ilicitude da conduta praticada.

PALAVRAS-CHAVES: metatag; buscadores; concorrência; aspectos legais.

SUMÁRIO: I – Introdução; II – Funcionamento de um site de buscas; III – Conceito e importância das metatags; IV – Reflexos jurídicos das metatags indevidas; V – Conclusões.

I.          Introdução:

A rede mundial de computadores é sem dúvida o grande motor e verdadeiro vetor para que tenha ocorrido a Revolução Digital, ou da Informação.

Com o advento da internet o conhecimento circulou, distâncias foram minimizadas, houve circulação de capital, ideias foram propagadas, revoluções de fato foram feitas, enfim, a criação, desenvolvimento e popularização da internet permitiu que o ser humano desenvolvesse capacidades, trocasse informações e produzisse conhecimento em escala jamais vista na história.

Desde o estouro das bolhas das empresas ponto com na década de 1990, a internet veio se transformando em um campo mais estruturado de realizações comerciais, atuando como verdadeiro instrumento de desenvolvimento econômico. Considera-se que se a internet pudesse ser comparada a um país, em 2016 ela representaria a quinta maior economia mundial, movimentando cerca de US$ 4,2 trilhões[1], conforme pesquisa elaborada pela consultoria Boston Consulting Group (BCG).

Neste esteio, o acúmulo de informação gerada pela produção desenfreada de conteúdo ficaria totalmente esparso, perdido e desorganizado, se não fossem os motores de busca, search engine. Esse tipo de ferramenta fez criar gigantes da Era Tecnológica como o Google, expoente maior disso, Yahoo, Bing, entre outros.

Todavia, para que os conteúdos dos sítios eletrônicos, sites, sejam adequadamente catalogados essas ferramentas de busca varrem o site e indexam termos, perfis, e demais dados que deem a ideia do que contém aquele sítio eletrônico, permitindo o fornecimento ao usuário que faça a consulta uma indicação resumida e a mais precisa possível, a fim de que o mesmo encontre o conteúdo procurado na rede.

Sobre essa varredura e posterior indexação em bases de dados dos servidores de busca é que sites mal-intencionados colocam palavras ou linhas de comando de programação que, em tese, não fariam referências propriamente ao conteúdo direto da sua página, levando o internauta a erro. Os objetivos podem ser os mais diversos, mas seja lá qual for, o uso é indevido.

II.          Funcionamento de um site de buscas:

Tomando-se como exemplo o sistema de indexação do Google, há um sistema chamado de Googlebot que indexa alfabeticamente o conteúdo das páginas, o que permitirá a localização futura na base dos servidores de indexação.

Feita a consulta pelo usuário, o Google retorna com o resultado em frações de segundos, o que melhor é compreendido pelo diagrama[2] abaixo:

 

Note-se que o resultado final que sairá para o usuário é obtido através da aplicação de algoritmos de pesquisa e classificação, onde as páginas são classificadas em ordem crescente de importância, denominados PageRank[3], e que leva em consideração diversos fatores e que o próprio Google não esclarece quais são os critérios objetivos para isso.

Entretanto, um dos fatores que são preponderantes para a classificação da página no resultado final da pesquisa é se esta tem todos os termos procurados pelo usuário. Quanto mais termos contiverem, mais relevante ela será.

É exatamente sobre o critério de continência das palavras buscadas é que se analisa a questão da inclusão de metatags que, em regra, não deveriam estar lá, pois além da inclusão indevida de termos, essa inclusão não é perceptível ao usuário visualmente, mas somente abrindo o código-fonte da página para verificação.

III.          Conceito e importância das metatags:

Segundo o dicionário Michaelis, o termo tag significa etiqueta, identificação[4]. Dessa forma as metatags são identificações constantes nas páginas eletrônicas. Tais identificações são utilizadas para orientar os motores de busca sobre qual o conteúdo pode ser encontrado nas referidas páginas.

A importância das metatags é fundamental para adequada informação ao usuário e direcionamento deste para o local onde realmente conste o que está buscando.

A metatag pode ser definida como uma linha de código em formato HTML (Hyper Text Markup Language – Linguagem de Marcação de Hipertexto) onde consta a informação do nome da página, conhecida como title tag; o conteúdo e as palavras-chaves, keywords, que estão inseridas na página e orientam as ferramentas buscadoras. Elas são invisíveis aos olhos do usuário, pois estão expressas em linhas de comando, mas não passam despercebidas aos buscadores.

Com o cotejamento dos três pilares das metatags: title tag; description e keywords o usuário tem um perfil o mais próximo possível do exato conteúdo da página. Como essa informação é arquivada em cachê nos Servidores de Índice do diagrama anterior, os motores de busca fazem a classificação da página colocando-a em relevância na busca realizada.

Mas qual a importância ou necessidade de algum programador incluir metatags em suas linhas de comando na elaboração do site que não representem necessariamente a informação buscada? A resposta é simples: para obter algum tipo de vantagem.

Suponha-se o caso de uma empresa que concorre com determinado produto/serviço a outra que tem sua marca ou seu produto muito conhecido e que pelos cálculos de relevância do PageRank qualquer consulta acerca daquele produto/serviço aponte diretamente para aquela empresa e não para essa concorrente menos conhecida. Esta empresa tem todo o interesse que ao ser efetuada a busca do produto em questão, a sua empresa apareça de forma relevante. Com isso ela terá mais chances de efetuar a transação ou ainda de passar a ter sua página naturalmente melhor classificada em função do aumento considerável de pageviews, aumentando em popularidade, um dos critérios para classificação no PageRank.

Neste momento esse concorrente, que claramente é desleal, tem a infeliz ideia de colocar comandos no código-fonte da sua página que apontariam para a empresa paradigma, passando a ser também alçada em posição de relevância às demais.

Traduzindo isso em números, levando em consideração que hoje os sites de busca respondem por 35% (trinta e cinco por cento) do trafego aos sites de comércio eletrônico, segundo estudos feitos recentemente[5], há evidente objetivo financeiro na alteração e inclusão de metatags, em especial nas páginas que sejam ligadas ao e-commerce ou ­e-bussines. Considerando a projeção para 2016 de uma movimentação de US$ 4,2 trilhões, a grosso modo falando, isso representaria cerca de US$ 1,47 trilhão que passaria pelas páginas dos buscadores. Sem dúvida um atrativo para que maus profissionais burlem os sistemas de buscas a fim de obtenção de vantagem indevida.

IV.          Reflexos jurídicos das metatags indevidas:

O objetivo do uso indevido das metatags podem ser os mais variados possíveis, mas independente de qual for ele ofenderá diretamente o ordenamento jurídico pátrio.

A Constituição Federal de 1988 garante em seu art. 1º, IV a livre iniciativa como parte das premissas fundamentais para constituição do Estado Democrático de Direito. Reafirmando a garantia dada, ao tratar da Ordem Econômica, o legislador constituinte inseriu no art. 170, IV também a garantia à livre concorrência. Como forma de dar efetividade às garantias, o texto constitucional em seu art. 173, §4º reforça que a lei infraconstitucional irá reprimir a eliminação da concorrência e a dominação de mercados.

Ao dar efetividade ao comando constitucional, em 1994 é editada a Lei 8.884/94 que dispõe sobre a prevenção e repressão às infrações contra a ordem econômica, conhecida como Lei Antitruste.

Nesse diapasão a conduta nociva de uso indevido de metatags reflete diretamente em prática de ilegal, prevista na Lei 8.884/94. É evidente que quando a utilização de tais comandos de instrução tem o fim de desviar audiência, clientela ou negócios, está evidentemente prejudicando a livre concorrência e livre iniciativa, podendo ser inseridas nas hipóteses previstas no art. 20, I e até mesmo II da Lei Antitruste.

José Afonso da Silva nos leciona sobre o que é o abuso nas relações concorrenciais:

“O abuso caracteriza-se pela dominação dos mercados, eliminação da concorrência e aumento arbitrário dos lucros. A Lei 8.884, de 11.6.1994, é que cumpre o mandamento constitucional de repressão ao abuso do poder econômico. Cria ela, assim, o chamado “direito antitruste”, com a finalidade de prevenir e reprimir as infrações contra a ordem econômica, orientada pelos ditames constitucionais da liberdade de iniciativa, livre concorrência, função social da propriedade, defesa dos consumidores e repressão ao abuso do poder econômico”[6]

Em se tratando de envolvidos que disputem o mesmo setor, pode-se aplicar diretamente o previsto na Lei de Propriedade Industrial, Lei 9.279/96, incidindo na espécie o art. 195, incisos III e IV. Tal conduta é tipificada como crime concorrencial por este diploma.

Rubens Requião[7] divide os atos de concorrência desleal em:

a) atos geradores de confusão que incidem sobre os signos distintivos usados pelo concorrente;

b) atos de desvio de clientela, os quais buscam denegrir o concorrente e seus produtos e serviços (agressão ao competidor); e

c) atos contrários à moralidade comercial que estão situados na violação dos segredos dos concorrentes, por meio de seus empregados ou demais integrantes da empresa e na propaganda falsa.

A livre concorrência e iniciativa são salutares à sociedade, traduzindo-se como fator gerador de riquezas e distribuição de renda.

Não obstante a discussão se a defesa dos consumidores poderia ser feita diretamente pela Lei Antitruste ou pelo CDC, é inconteste que a prática de concorrência desleal afetará igualmente ao consumidor tanto quanto ao concorrente prejudicado.

Sem muita dificuldade se configura claro o tipo penal da concorrência desleal praticada por quem atribui metatag indevida em sua programação HTML do site. Com o avanço tecnológico, para o desvio de clientela não há nem a necessidade de se denegrir a imagem do concorrente, mas sim desviando a atenção do que busca o concorrente, para encontrar o desleal. Seria, mutatis mutandi, desviar o consumidor de entrar na loja ao lado, pegando-o pelo braço e o direcionando à loja do desleal.

Não somente há como se enquadrar na conduta de concorrência desleal, quanto ao concorrente prejudicado, também pratica o crime de estelionato em face do internauta redirecionado, hipótese prevista no art. 171 do Código Penal. Vejamos:

Art. 171 – Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento.

Pena – reclusão, de 1 (um) a 5 (cinco) anos, e multa.

Como não se reconhecer que o desleal está mantendo o usuário em erro, obtendo flagrante vantagem ilícita? A conclusão não pode ser outra senão pela ilicitude da conduta.

Outrossim, na hipótese do concorrente prejudicado ter sua marca registrada junto ao INPI, ou outra indicação que lhe seja designativa, também incorrerá o desleal no crime do art. 189 da LPI nº 9.279/96.

Sem prejuízo das implicações penais, ainda é resguardado ao prejudicado as reparações cíveis cabíveis, pois a garantia à reparação civil é prevista constitucionalmente em seu art. 5º, V e na legislação civil no art. 186; 187; 927, todos do Código Civil.

Ademais, em lead case quando se fala em uso indevido de metatags, há a Civil Action nº 97-Z-1592[8], ajuizada pelo escritório de advocacia Oppedahl & Larson vs. Advanced Concepts nos idos de 1997. Nesta ação o escritório autor identificou que em se fazendo pesquisas com o nome deles, que são especializados em patentes e propriedade intelectual, aparecia sempre correlato o nome do réu, que era uma empresa especializada em desenvolvimento de sites, prestando serviço de webdesigner.

A empresa ré acreditou que quem busca um escritório de propriedade intelectual teria interesse também em desenvolver uma página eletrônica, daí a intenção em associar os termos do referido escritório nas metatags da sua página. Mesmo não sendo concorrentes diretos em determinado nicho de mercado, é inegável que o web designer visou se aproveitar do prestígio e reconhecimento da marca do escritório de advocacia para alavancar seus negócios. Ao final da demanda a ré foi condenada a se abster de incluir em seu código-fonte da sua página os termos que levassem, ou associassem, às pesquisas feitas com os termos do escritório autor.

Havendo concorrência direta ou benefício indireto do uso indevido do prestígio de outrem, tal conduto pode ser imputada como criminosa e em ambos os casos gerar direitos civis à reparação patrimonial.

V.        Conclusão:

Com o avanço tecnológico a prática do comércio ganhou novos desdobramentos e o tipo de publicidade que anteriormente era feito através do próprio ‘ponto comercial’ em si e por divulgações através de mídias impressas, televisivas e radiofônicas, agora também o é feito através dos meios digitais.

Porém, mais do que simplesmente se fazer a divulgação através do meio digital, o próprio estabelecimento comercial se desmaterializou e migrou para o ambiente virtual.

As linguagens de programação podem conter termos e instruções que aos olhos do usuário mediano são totalmente ocultos, mas que não passam despercebidos às ferramentas de buscas, verdadeiro motor do comércio eletrônico na atualidade, representando significativo canal de movimentação da economia virtual.

Usar de meios escusos para redirecionar audiência e eventuais consumidores é, além de imoral, juridicamente punível criminal e civilmente, havendo que se criar regulamentação urgente para que se proteja esse grande bem intangível do e-commerce: a sua clientela.

A formalização de Contratos em Papel envolve uma série de custos que podem ser eliminados ou diminuídos com a utilização da Assinatura Digital. Muitas vezes desprezado e, em muitos casos, despercebido, um dos custos mais importantes tidos no processo de formalização de contratos em papel é o transporte destes documentos entre as partes.

Contratos em papel necessitam ter suas vias impressas e encaminhadas para seus signatários, seguindo a ordem estabelecida pelo administrador. Esses documentos são normalmente enviados para a coleta de assinaturas através de mensageiros (Motoboy) ou serviços de correio (por exemplo, o Sedex), dependendo da distância a ser percorrida.

Apenas como exercício, para calcularmos estes custos, consideraremos uma empresa que formaliza 200 Contratos por mês, ou seja, 2400 Contratos por ano. Cada um destes contratos é celebrado entre a empresa emissora e uma outra parte, ou seja, estamos considerando que o contrato possui apenas duas partes. Também estamos considerando que 30% dos documentos serão enviados via Sedex e 70% através de mensageiros. Está sendo considerado um custo médio de R$ 15,00 para o transporte via Motoboy (custo médio para envio de documento a uma distância média de 10 km na cidade de São Paulo) e R$ 11,10 para o envio através do Sedex. Adicionalmente, estamos considerando que as viagens do Motoboy podem ser otimizadas através do envio de mais de um documento em cada viagem. Assim sendo estaremos aplicando um fator de redução de 40% nos custos com Motoboy.

Dentro do cenário apresentado teremos os seguintes custos para encaminhamento dos documentos à outra parte do contrato para coleta de assinaturas:

Uma vez coletadas as assinaturas de todas as partes é necessário o encaminhamento dos Contratos para o reconhecimento de firmas no cartório. Neste momento estarão sendo reconhecidas somente as firmas dos representantes da empresa que emitiu os contratos, pois os mesmos já estão com as assinaturas e firmas reconhecidas pela outra parte. Dentro de um processo otimizado, consideraremos que este serviço será realizado apenas uma vez por dia através de serviço de motoboy, que encaminhará todos os contratos para um mesmo cartório, retornando-os em seguida para a empresa.

Com os contratos devidamente assinados e com as firmar reconhecidas por ambas as partes, faz-se necessário encaminhar uma das vias à outra parte.  Esses custos são calculados da mesma forma que quando do envio para a coleta de assinaturas, ou seja:

Observe que estamos considerando os custos com transporte tidos apenas pela empresa responsável pela emissão do contrato. Os custos decorrentes de transportes ao cartório e retorno dos documentos assinados a o emissor, tidos pela outra parte do contrato, não estão sendo considerados nestes cálculos.

Isto nos leva concluir que, dentro o cenário conservador exposto, cada contrato custa somente no quesito transporte a importância de R$ 20,76.  Este valor pode variar, para mais ou para menos, dependendo do fluxo adotado por cada empresa, mas podemos seguramente afirmar que estes custos são muito maiores que o custo total tido com a formalização de Contratos através da Assinatura Digital. Vale lembrar que no processo de formalização de Contratos através da Assinatura Digital não existem custos de transporte pois o documento permanece sempre no servidor e, quando necessário, é simplesmente exibido e colocado a disposição de seus signatários e/ou outros que acompanham o fluxo de formalização.

Observe que, dentro do cenário apresentado,  foram considerados os custos com transporte tidos apenas pela empresa responsável pela emissão do Contrato. Os custos decorrentes de transportes ao cartório e retorno dos documentos assinados para o emissor tidos pela outra parte do contrato, não estão sendo considerados nestes cálculos.

Em termos de custos globais, podemos afirmar que a adoção da assinatura digital para a formalização de contratos eletrônicos pode significar uma redução, dependendo do cenário analisado, de até 80% dos custos tidos com o processo de formalização de contratos baseados em papel.

Uma das histórias que esse profissional me contou (e confesso que pesquisei muito) foi do roubo de cotas de carbono, em que algumas empresas européias tiveram milhões de euros roubados após um ataque que deveria virar um filme no melhor estilo “Hollywoodiano”. O chamado EU Carbon Trading Scheme (Regime de Comércio de Carbono na União Européia) ainda não opera 100%  por conta disso. As empresas afetadas, entre elas a CEZ – um conglomerado de empresas com sede na República Tcheca para fornecimento de eletricidade para o sudoeste da Europa, tiveram milhares de cotas transferidas para “bogus accounts” em diversos países europeus, resultado de ataques cibernéticos muito bem articulados e usando o ponto mais fraco de qualquer esquema de segurança de rede – o ser humano. No momento crucial do ataque (quando haveria possibilidade de serem detectados), houve uma ligação sobre um atentado a bomba e o prédio do órgão regulador desse comércio (em Praga) foi evacuado – incluindo profissionais de monitoração de segurança. No dia seguinte o registro da República Tcheca percebeu: algumas cotas  sumiram… Sim!!! Foi cinematográfico!!

Por mais que se invista (e MUITO) em tecnologias de detecção e prevenção de intrusos, firewalls, criptografia, autenticação de fator duplo (até triplo), dentre outros, o principal causador de hacktivismo criminoso, mesmo que indiretamente, ainda é o usuário.

Como no caso do EU Carbon Trading Scheme outros ataques tem sido feitos utilizando engenharia social e spear phishing, alvejando profissionais de alta gerência com acesso à informações privilegiadas. Em alguns casos, funcionários com menor nível de acesso à esse tipo de informação são alvejados para serem usados de intermediários na obtenção de contatos de funcionários com maior nível de acesso. O ataque de spear phishing é muito sofisticado, com e-mails muito bem escritos que aparentam vir de fontes confiáveis (geralmente da mesma empresa/organização e de funcionários de nível hierárquico mais alto) e direcionando a algum website ou contendo arquivos anexos com malware.

Após a infecção, os hackers podem praticar o chamado shoulder surfing (em tradução livre: navegação por cima do ombro) e observar por dias, semanas ou meses a atividade do profissional, infectar outras máquinas e obter informações estratégicas sem que a vítima saiba e indetectável por anti-virus, firewalls, etc. Após colher informações, esses grupos podem articular a fase mais assiscada da operação que é a extração dos dados. Nessa fase, é onde há a maior probabilidade dos sitemas de monitoração detectarem a atividade anormal.

Como evitar (ou diminuir) esse tipo de ataque? A resposta também está no usuário.

Com o crescimento de pessoas usando redes sociais, também cresce o volume de informação que é colocada nesse tipo de site, incluindo informações privadas e que dão munição aos grupos que utilizam técnica de spear phishing. Redes sociais como Linkedin também são fonte de informação e podem ser utilizadas para ter uma visão sobre a hierarquia de uma empresa. Com base nessas informações, é mais fácil criar um e-mail que vai empelir “a vitima” a tomar ação e ser infectada.

Há tecnologias de sandbox utilizadas para criar um ambiente seguro e segregado no computador do usuário ao abrir arquivos anexos em e-mails e previnir malwares de serem instalados na máquina e terem acesso à rede. Entretanto, além do investimento nesse tipo de tecnologia, os usuários tem que ser conscientizados, embora essa tecnologia não impeça usuários a acessarem sites e colocarem informações de usuário e senha, por exemplo: um dos objetivos desse tipo de ataque.

Uma boa e constante iniciativa de conscientização dos usuários, aliada a pesquisa e implementação de novas tecnologias de prevenção e detecção de ataques é o que toda empresa que se preocupa com segurança de informação deveria investir. Mas sempre colocando em mente que nunca estaremos 100% seguros…

Consumerização é o termo dado para o uso de dispositivos pessoais no ambiente de trabalho. Simples assim!

Tablets, netbooks, iPhones e Androids agora são usados nas empresas por colaboradores que os levam para o ambiente de trabalho, o que certamente aumenta sua produtividade. Por outro lado, com a prática também surgem alguns riscos. Todos concordam que dados armazenados em dispositivos móveis tem maior probabilidade de extravio e, além disso, esses aparelhos não são operados sob a gestão do departamento de TI da empresa, que perde o controle sobre as aplicações e atualizações de segurança que estão sendo feitas em cada dispositivo, se é que estão sendo feitas né?

A consumerização já é um fato em grandes e médias empresas.

Independentemente do âmbito pelo qual a consumerização é tratada, o fato é que ela existe e já é bem aceita no ambiente corporativo. Em um estudo da empresa especializada em segurança Proofpoint, intitulado Consumerized IT Security and Compliance Survey, 84% dos representantes de organizações entrevistados não consideram a prática problemática.

Já para os empresários que não veem a consumerização com bons olhos, a dica dos especialistas é clara: Em vez de focar a permissão ou não no uso dos dispositivos, a empresa deve concentrar seus esforços no controle e proteção da sua rede. Isso porque, segundo eles, as organizações que não permitirem o uso dos dispositivos pessoais terão suas regras burladas, já que os funcionários o farão da mesma forma.

Nesta pesquisa não foi abordado o tema “Leis Trabalhistas”, que considero importantíssimo caso a empresa queira disponibilizar ou autorizar a consumerização. Atualmente ouvimos diversos casos de ações trabalhistas devido ao uso de smartphones ou tablets que acessam sistemas ou informações corporativas a qualquer hora do dia, caracterizando trabalho fora do expediente norma, ou seja, hora extra.

O que é preciso saber antes de ingressar na era da consumerização?

Observando os aspectos técnicos, de segurança, produtividade e descartando os aspectos legais, a companhia que permitir a consumerização deve montar uma estratégia bem definida de interação entre todos os dispositivos móveis disponíveis, que precisam ter sistemas fáceis de usar e ser funcionais. Além disso, deve focar seus esforços no aprimoramento implementação e disseminação da sua política de segurança de informação, além é claro da  proteção de sua rede, que a partir da consumerização será acessada por dispositivos móveis a qualquer momento.

Entendo ser importante frisar que é impossível substituir a interação humana pela digital. Continuar a promover a integração entre os setores e funcionários da empresa é fundamental. Integração é um dos principais fatores de sucesso em qualquer projeto de uma empresa.

Comente a respeito!

Vinícius Silva

@VipsilvaTI

Relembrando o que já falamos em posts anteriores, podemos resumir o conceito de Big Data com uma fórmula simples, Big Data = volume + variedade + velocidade de dados. Volume porque além dos dados gerados pelos sistemas transacionais, temos a imensidão de dados gerados pelos objetos na Internet das Coisas, como sensores e câmeras, e os gerados nas mídias sociais via PCs, smartphones e tablets. Variedade porque estamos tratando tanto de dados textuais estruturados como não estruturados como fotos, vídeos, e-mails e tweets. E velocidade, porque muitas vezes precisamos responder aos eventos quase que em tempo real. Ou seja, estamos falando de criação e tratamento de dados em volumes massivos.
Este cenário do crescimento do Big Data aponta também que estão surgindo novas oportunidades de emprego para profissionais de TI.

Um novo cargo, chamado de “data scientist” ou cientista de dados é um bom exemplo. Demanda normalmente formação em Ciência da Computação e Matemática, bem como as habilidades analíticas necessárias para encontrar a providencial agulha no palheiro de dados recolhidos pela empresa.
“Um cientista de dados é alguém que é curioso, que analisa os dados para detectar tendências”, disse recentemente Anjul Bhambhri, vice-presidente de Produtos Big Data da IBM. “É quase como um indivíduo renascentista, que realmente quer aprender e trazer a mudança para uma organização.”

Inédita há 18 meses, a carreira de “cientista de dados” já aparece em profusão, pelo menos nos EUA. Como exemplo, acessei o Dice.com, um site americano especializado em carreiras de TI, no dia 14 de março e coloquei o termo “data scientist”. Obtive 172 respostas.

Identifiquei também que há uma demanda por desenvolvedores e administradores de sistemas que se especializam em ferramentas Hadoop, projetada para aplicações distribuídas com uso intensivo de dados e utilizadas por sites bastante conhecidos como o Yahoo, Facebook, LinkedIn e eBay. O Hadoop já é mencionado em muitos dos anúncios dos empregos disponibilizados na Dice.com.

A IBM tem uma nova iniciativa nos EUA, denominada Big Data University, que visa a formação de estudantes de graduação e pós-graduação na área, expondo-os ao Hadoop e aos conceitos de Big Data. Lançado em outubro passado, a Big Data University já atraiu mais de 14 mil estudantes para seus cursos online gratuitos, em inglês.

Aqui no Brasil conversei com Mario Faria, o primeiro CDO (Chief Data Officer) do país, uma posição pioneira e creio que compartilhar com vocês um pouco da experiência dele será extremamente válida.

1. Mario, como primeiro CDO (Chief Data Officer) no Brasil você está abrindo novos caminhos. Existe muita curiosidade sobre o asssunto e creio que podemos conversar um pouco sobre o tema. Antes de tudo, o que é exatamente um CDO, quais suas funções e responsabilidade e onde ele deve se posicionar na organização?

Mario: Minha função é bastante nova, apesar das empresas se preocuparem com o assunto dados há décadas. O papel de um CDO é ser o responsável por gerir os dados da empresa, através de uma estratégia baseada em valor para o negócio. Mesmo nos Estados Unidos, esta posição é nova, e o primeiro CDO foi o Professor Richard Wang do MIT que, em 2010, se licenciou para ser o CDO do Exército Americano.

O meu papel é conseguir olhar para as necessidades que a empresa tem em desenvolver novos produtos, serviços e ofertas, e quais são os insumos (no caso os dados) que precisam estar disponíveis para que isto ocorra. Se eu trabalhasse em uma indústria, meu cargo seria o de Diretor de Materiais.

2. Quais são as caracteristicas e skills necessarios a um CDO? Existe alguma educação formal?

Mario: Antes de tudo, um CDO precisa gostar de gente, pois vai ter que conversar e interagir muito com as áreas de negócio da empresa, a equipe de tecnologia e os principais clientes. Depois, o CDO tem que conhecer tecnologia e estar antenado nas grandes tendências do setor. E para finalizar, ter um raciocínio lógico e conhecer bastante de processos.

Eu tenho formação em Computação, mestrado também em Computação e um MBA em Marketing. Tudo isto ajuda, porém não é suficiente para um excelente resultado.

3. O CDO substitui ou complementa outras funções como analistas de negócios?

Mario: No meu caso, por estar me reportando diretamente ao CEO da empresa, sendo par do CIO e dos principais executivos de Vendas, Produtos e Operações, vejo minha função como parte integrante do sucesso da empresa. Os analistas de negócios tem uma função muito específica que é traduzir as necessidades em uma linguagem que o pessoal de TI consiga implementar. Talvez o CDO e sua equipe sejam os analistas de dados, para fazer uma analogia.

4. Porque você entrou nesta linha de atuação profissional?

Mario: Foi um convite feito pelo CEO da empresa, Dorival Dourado, para ajudá-lo a construir uma empresa séria, focada e de sucesso que é a Boa Vista Serviços. A minha posição existe pela interação que a Boa Vista teve com o Professor Richard Wang em 2011, onde ele recomendou que pelo nosso negócio, deveríamos ter uma área específica focada em dados, com um executivo dedicado a este assunto. Como eu adoro start-ups e desafios, abracei a oferta na hora.

5. Na sua opinião, quais os desafios que o CDO enfrenta em uma empresa e como você sugere resolve-los?

Mario: O maior desafio é mostrar o que um CDO e uma área de dados faz, e quais benefícios poderá trazer. Depois é entender que apesar de existir um componente de tecnologia, esta função não é TI e possui um foco bem definido em olhar e tratar o ciclo de vida do dado na empresa. E o mais importante, o CDO é um prestador de serviços para Vendas, Marketing, Produtos e Operações, e estar sempre atento como ele/ela pode estar a um passo adiante das necessidades destas áreas.

6. Que recomendações você faria a quem quer se tornar também um CDO?

Mario: Vou compartilhar o que eu fiz quando entrei aqui. Estudei muito, li bastante, pesquisei sobre este assunto e falei com o máximo de pessoas que consegui. Foi uma dedicação intensa. Além disto, dediquei um tempo significativo para entender a empresa e as áreas com as quais eu iria me relacionar e interagir. E acima de tudo, tenho sido aberto a escutar a minha equipe, que tem ajudado bastante nesta tarefa de construir nossa área, que é nova e cheia de desafios.

O assunto é novo e o primeiro livro sobre o que é um CDO está sendo escrito e a princípio será publicado em meados de Agosto de 2012.

7. Quais tipos de empresas deveriam também ter um CDO?

Mario: O fato que é hoje vivemos um momento peculiar da história humana, onde a quantidade de dados gerados é infinitamente superior ao que é consumido. Estes dados, em sua maioria não são estruturados, e são criados em uma velocidade tremenda. Isto é o conceito que o mercado batizou de Big Data. Toda empresa que está olhando para isto, como um fator disruptivo na sua indústria, precisa ter um CDO. Não vejo que bancos, varejo, empresas de telecom e empresas que utilizam a internet como um meio para fazer negócios conseguirão ficar mais que dois anos a partir de hoje sem um CDO. Segundo o IDC, o mercado de Big Data irá movimentar quase US$ 16 bi em 2015. É um oceano de oportunidades para todos.

Este artigo discute a importancia e o que é essencial para planejar, gerenciar e executar uma migração de datacenter com o nível adequado de rigor e controle, utilizando métodos comprovados e experiência para garantir que o negócio possa continuar suas operações diárias sem nenhuma interrupção.

Datacenter

O Datacenter é o coração da empresa e é composto por uma ampla e complexa rede de equipamentos, softwares e dados que impulsionam o negócio a conseguir atender todos os aspectos das operações de uma empresa. No entanto, “a mudança é inevitável”, pois quando o negócio cresce as empresas podem descobrir que a mudança para um local maior e mais confortável pode melhorar a sua operação como um todo. Abaixo temos algumas das principais razões que impulsionam as empresas a mudarem seu Datacenter:

Razões do Negócio – Empresas dependem cada vez mais de sua infraestrutura de TI para conduzir operações de missão crítica em toda a empresa, pois hoje temos um alto volume de transações financeiras com base na web em uma estrutura de comércio global onde os serviços devem ter 100% de disponiblidade. Para muitas empresas fazer isto significa uma economia de custos significativa, pois as empresas podem fazer uma consolidação de datacenters através de um correto dimensionamento. Para outras empresas uma fusão ou aquisição impulsiona a necessidade de integração em larga escala levando a um aumento na demanda por armazenamento de dados. Outro ponto são as crescentes exigências regulamentares que também desempenham um papel significativo, pois as empresas lutam para atender à conformidade de arquivamento, gestão de dados e requisitos de segurança. Outra questão importante é que toda empresa precisa de um plano de continuidade de negócios que inclui recuperação de desastres, backup e operações remotas no caso de algum evento no site principal. Em outros casos as razões para migração do Datacenter são simples, pois o sucesso do negócio resultou em um crescimento explosivo que tornou a capacidade de entrega de energia, telecomunicações ou suporte a carga (peso) dos ativos na atual localização insuficientes para a nova demanda do negócio.

Razões Tecnológicas – A contínua evolução da tecnologia de infra-estrutura está transformando o Datacenter Moderno, onde uma grande quantidade de servidores individuais e quilômetros de cabos estão sendo substituídos por servidores de alta densidade baseados em rack de equipamentos reduzindo assim a necessidade de espaço físico. Outra questão é o avanço na largura de banda de rede das operadoras de telecomunicações o que está tornando possível armazenar e acessar aplicativos de missão crítica e dados remotamente. Ao mesmo tempo mais processos, documentos e dados estão sendo digitalizados, aumentando assim a necessidade de mais avanços na configuração dos Datacenters. Por tanto, independentemente do que impulsiona a migração de um Datacenter o objetivo é minimizar o tempo de downtime de aplicativos e sistemas críticos de negócios, tornando a movimentação o mais imperceptivel possível a operação da empresa.

Na Parte 02 deste artigo vamos conversar um pouco sobre o processo de planejamento da migração e também os interesses envolvidos neste processo.

Na verdade, é inevitável e o computador como o conhecemos hoje tem os dias contados. Quanto antes as empresas assumirem isso e se prepararem para a realidade, melhor. Daqui 5 anos as empresas não usarão mais desktops e laptops para seus funcionários. Muitas nem terão que se preocupar em comprar tecnologias para seus empregados.

Cada um terá o seu próprio dispositivo, que será integrado à infraestrutura da empresa. Dados de um levantamento feito pela Avanade com 605 executivos (“C-level”), mostram que alguns mitos assumidos pelos profissionais de TI já não são mais verdadeiros.

Por exemplo, 60% das empresas já estão aceitando que os funcionários tragam seus próprios aparelhos para o trabalho. Embora Facebook e email pessoal sejam acessados por estes aparelhos usando a infraestrutura da empresa, também aplicativos que permitem o uso em aplicações de missão crítica são os mais baixados por esta mesma infraestrutura. Ou seja, os funcionários levam trabalho pra casa nos seus próprios celulares e tablets, dado confirmado por 88% dos executivos ouvidos.

Outro mito entre os profissionais de TI é que os mais jovens, os d”a geração Y”, e a necessidade de atrair e manter estes jovens talentos é que direciona o impulso para a “consumerização” ou as políticas BYOT (“Bring Your Own Technology”). Na verdade, são os desafios encontrados pelas pessoas que impulsionam a necessidade de ter uma tecnologia própria, conhecida, e sempre disponível que tem feito com que 79% das empresas tenham “budget” já reservado para investimentos na infraestrutura, de modo a facilitar a integração dos dispositivos dos empregados no ambiente de TI da empresa. Idade ou demografia não fazem diferença.

E a culpa de tudo isso nem é da Apple. Os profissionais de TI tendem a achar que as pessoas querem usar seus iPhones e iPads na empresa, mas na maioria delas, o Android é o sistema mais usado, e 40% dos executivos entrevistados disseram que permitem qualquer dispositivo, de qualquer fabricante e 30% deles afirmam que a empresa ainda cobre os custos de aquisição desses aparelhos, independente da marca.

E por fim, o mito de que dispositivos com tecnologia de proteção embutidas no aparelho irão manter as empresas seguras. Neste ponto, 81% dos executivos ouvidos no levantamento admitiram ter sofrido algum tipo de vazamento provocado pela inundação de dispositivos dos próprios funcionários. Mas apenas 38% estão fazendo investimentos em treinamento para evitar novos incidentes ou capacitação para o pessoal técnico estar melhor preparado para usar as tecnologias de proteção disponíveis.

O que temos que pensar é como as empresas serão daqui pra frente. Cada vez mais iremos ir a um local físico específico para trabalhar. As empresas poderiam economizar fortunas com espaço físico, escritórios caros, frota de veículos e até mesmo compra de computadores. Os concorrentes podem ser do tamanho da Padaria da Esquina, sem um endereço físico grande, o dinheiro das empresas poderá ser canalizado para o desenvolvimento de novos produtos, capacitação de pessoas, produção ou qualquer outro destino mais diretamente responsável pelo faturamento e lucratividade.

A popularização da tecnologia se apresenta como uma excelente oportunidade para as empresas, e quanto antes as empresas perceberem isso, mais lucro terão.

A question presents itself with this acceleration — how is security keeping pace with everything in the Cloud? In this article, we are going to focus specifically on the statements provided by Garter in 2008. Though the experienced Cloud professional may see where the second installment is heading — I suggest you make your notes and then let’s compare them. Cloud is still a start-up industry, and everyone’s input is needed to mold what the Cloud of tomorrow will look like.

In June 2008, analyst firm Gartner noted that Cloud computing was fraught with security risks and they highly suggested getting a security assessment from a neutral third-party before committing to a cloud vendor. The reason for this was Cloud computing had “unique attributes that require risk assessment in areas such as data integrity, recovery, and privacy, and an evaluation of legal issues in areas such as e-discovery, regulatory compliance, and auditing.” (1)

Examples of cloud computing, which Gartner defined as a type of computing in which “massively scalable IT-enabled capabilities are delivered ‘as a service’ to external customers using Internet technologies (1)” were Amazon’s EC2 service and Google’s Google App Engine.

To verify that service and control processes were functioning as intended, and that vendors could identify unanticipated vulnerabilities, Cloud customers needed to demand…

• transparency
• avoid vendors that refuse to provide detailed information on security programs
• verify qualifications of policy makers, architects, coders, and operators
• risk-control processes and technical mechanisms
• verify and control the level of testing

For 2008, Gartner provided these 7 specific security issues that customers should raise with vendors before selecting a cloud vendor (2)…

1. Privileged user access. Sensitive data processed outside the enterprise brings with it an inherent level of risk, because outsourced services bypass the “physical, logical and personnel controls” IT shops exert over in-house programs. Get as much information as you can about the people who manage your data. “Ask providers to supply specific information on the hiring and oversight of privileged administrators, and the controls over their access,” Gartner says.

2. Regulatory compliance. Customers are ultimately responsible for the security and integrity of their own data, even when it is held by a service provider. Traditional service providers are subjected to external audits and security certifications. Cloud computing providers who refuse to undergo this scrutiny are “signaling that customers can only use them for the most trivial functions,” according to Gartner.

3. Data location. When you use the cloud, you probably won’t know exactly where your data is hosted. In fact, you might not even know what country it will be stored in. Ask providers if they will commit to storing and processing data in specific jurisdictions, and whether they will make a contractual commitment to obey local privacy requirements on behalf of their customers, Gartner advises.

4. Data segregation. Data in the cloud is typically in a shared environment alongside data from other customers. Encryption is effective but isn’t a cure-all. “Find out what is done to segregate data at rest,” Gartner advises. The cloud provider should provide evidence that encryption schemes were designed and tested by experienced specialists. “Encryption accidents can make data totally unusable, and even normal encryption can complicate availability,” Gartner says.

5. Recovery. Even if you don’t know where your data is, a cloud provider should tell you what will happen to your data and service in case of a disaster. “Any offering that does not replicate the data and application infrastructure across multiple sites is vulnerable to a total failure,” Gartner says. Ask your provider if it has “the ability to do a complete restoration, and how long it will take.”

6. Investigative support. Investigating inappropriate or illegal activity may be impossible in cloud computing, Gartner warns. “Cloud services are especially difficult to investigate, because logging and data for multiple customers may be co-located and may also be spread across an ever-changing set of hosts and data centers. If you cannot get a contractual commitment to support specific forms of investigation, along with evidence that the vendor has already successfully supported such activities, then your only safe assumption is that investigation and discovery requests will be impossible.”

7. Long-term viability. Ideally, your cloud computing provider will never go broke or get acquired and swallowed up by a larger company. But you must be sure your data will remain available even after such an event. “Ask potential providers how you would get your data back and if it would be in a format that you could import into a replacement application,” Gartner says.

In part 2 of this installment, we will see what Gartner says today — and what has changed — for better, for worse, and what is new. In part 3 and final installment, We will also provide our own analysis. With all the installments, we invite your feedback.

From the Gartner article in 2008, what do you see as improved? needs more work? What opportunities do you see from their 7 points noted above? Please share with us, we would love to know!

with credit to…
(1) June 2008 Gartner, “Assessing the Security Risks of Cloud Computing.”
(2) Inforworld: Gartner: Seven Cloud computing Security Risks by Jon Brodkin | Network World
image credits to the hris world

Sob o ponto de vista do Google, esta medida será um facilitador para suas ações de marketing online, responsável por sua maior fonte de renda, facilitando o intercâmbio de dados coletados em qualquer de um dos seus serviços que passarão a ser compartilhados sem qualquer discriminação ou filtragem com os demais.

Estudo da ONG YouGov for Big Brother Watch (que monitora a transparência das empresas e defende a privacidade dos usuários) apontou que apenas 12% dos usuários britânicos do Google se deram ao trabalho de ler o novo documento. Outros 47% afirmaram desconhecer as mudanças que estão sendo feitas. É recomendável que as pessoas leiam a íntegra e tenham conhecimento da nova política de privacidade do Google.

De fato, o Google não está mudando de postura agora. Sempre foi assim. Tudo que ele fazia continuará sendo feito. A mudança está na unificação das regras que sempre existiram. Entretanto, sob o ponto de vista do usuário haverá um maior risco quanto à possibilidade do cruzamento de dados inseridos por este e daí revelar um perfil extremamente detalhado contendo as preferências e interesses dos seus usuários.

Além disso, é bom ter em mente que não se trata apenas de um contrato de adesão, mas de uma política de privacidade que não comporta qualquer transigência a favor do usuário, a não ser deixar de usar os serviços do Google. Causa estranheza também o fato de que a coleta de dados pessoais não identificados poderão ser agregados e compartilhados com outros parceiros tais como agências de marketing digital, editores, dentre outros. Com isso será possível repassar informações relativas ao histórico de pesquisa, preferências sexuais, interesses pessoais, assuntos relativos à saúde e outras informações relativas à esfera de privacidade dos usuários, desde que os mesmos tenham espontaneamente cedido tais dados para o Google por meio de seus serviços.

A vigência desta política entra em vigor em nosso país no momento em que a legislação brasileira ainda encontra-se pouco detalhada sobre os limites da coleta, tratamento e compartilhamento de dados pessoais na internet. O único dispositivo que zela pela privacidade dos dados restringe-se ao artigo 5° inciso 10 da Constituição Federal. Vinte e quatro anos depois, convivemos em um cenário onde os dados pessoais são indiscutivelmente uma mina de ouro a favor das empresas que dominam a infraestrutura da internet. O Estado brasileiro é refém deste particular, porque ainda não foi capaz de aprovar uma lei que controla o exercício dessa atividade.

O prenúncio de mudança neste cenário poderá vir ainda em um futuro remoto com a aprovação do Marco Civil da Internet, embora a meu ver, a atual redação seja extremamente protetiva ao interesse das empresas que dominam a infraestrutura da internet em detrimento das garantias dos direitos de privacidade do cidadão. Até que este cenário seja efetivamente modificado com a vigência de uma lei que de fato possa limitar as atividades dessas empresas e proteger o cidadão quanto a eventuais abusos, conviveremos com o slogan do tipo “você pode confiar no Google” ou “não seja mal” embora saibamos que a efetividade deste discurso não transmita uma total relação de confiança.

No meu ponto de vista, a iniciativa do presidente Barack Obama ao criar o projeto de proteção de dados de caráter pessoal na internet – que defenderá uma série de interesses dos usuários, seguindo o modelo da Declaração dos Direitos dos Cidadãos do país – é um despertar importante da sociedade, mas, ainda sim, somente um projeto. É fundamental que as empresas tenham compromisso da transparência quanto à coleta, tratamento e compartilhamento de dados, pois há risco de abusos que nem sempre serão fáceis de serem comprovados.

Afinal de contas, até que ponto o Estado brasileiro vai deixar de exercer sua soberania e exercer um controle sobre as atividades das empresas que nos controlam do mundo digital?

As organizações precisam adotar uma abordagem sistemática e pró-ativa para mitigação de risco para que possam estar melhor preparados para satisfazer as crescentes exigências legais e regulamentares, gerenciar os custos de conformidade e perceber vantagem competitiva.
Alcançar e manter a conformidade com a política se torna mais difícil de sustentar à medida que as organizações crescem, tornam-se mais dispersas geograficamente. Mas, não tem de ser assim.

O Propósito de Políticas e Procedimentos

Políticas e procedimentos estabelecer diretrizes para os processos de comportamento e de negócios de acordo com os objetivos estratégicos de uma organização. Embora normalmente desenvolvido em resposta às exigências legais e regulamentares, seu principal objetivo deve ser o de transmitir a sabedoria acumulada sobre a melhor forma de fazer as coisas de uma forma livre de risco, eficiente e compatível.

Armadilhas da Política

Aqui estão alguns dos motivos mais comuns para a política de não-conformidade:

• Políticas mal formulada
• Políticas mal estruturados
• Políticas fora da validade
• Políticas inadequadamente comunicadas
• Falta de controle e gestão

Então, qual é o segredo para a gestão política eficaz?

Seis Passos para a Excelência Política

Primeiro Passo

 Criar e Rever
É importante compreender, quando a criação de políticas, exclusivamente para satisfazer os auditores e os órgãos reguladores não são susceptíveis de melhorar o desempenho empresarial

Embora satisfazendo departamentos jurídicos, e olhando para os auditores e reguladores, estas politicas devem ser sempre revisadas, e escritas de maneira clara e simples.

Os fatores externos que afetam as políticas estão a evoluir o tempo todo. Por exemplo, o avanço da tecnologia pode levar a políticas de informação e procedimentos de segurança se tornando obsoletas. Além disso, mudanças na regulamentação da lei ou da indústria exigem políticas operacionais a freqüência ajustada. Algumas políticas, tais como pagamento DSS do setor de cartões, têm de ser re-apresentado e assinado até em uma base anual.

Normalmente, a maioria “política” sejam extensos, onerosos e bastante ilegível. Muitos são escritas usando o jargão complexo, e mais conter conteúdo estranho que seria melhor classificado como procedimentos, normas, orientações e formas. Tais documentos devem ser associados com a política. Os documentos devem ser escritos usando uma linguagem que é apropriado para o público-alvo, e deve enumerar as consequências do não cumprimento.

Documentos menores e mais gerenciáveis ? ?são mais fáceis para uma organização para revisar e atualizar, controle de versões inadequadas e elevados custos de produção pode ser reduzido por automatizar o processo inteiro usando um sistema electrónico.

Segundo Passo: Distribuir
Um passo importante no ciclo de gestão política é garantir que os funcionários estão cientes das políticas e procedimentos relevantes. As organizações precisam efetivamente distribuir políticas, de forma oportuna e eficiente.

Estas precisam ser aplicadas de forma coerente em toda a organização. Afinal, o que é o ponto de desperdiçar esforço e custos consideráveis ?? para que escrever e aprovar as políticas, se não forem efetivamente distribuídas e lidas?

Terceiro Passo: Atingir aceitação
Em muitos casos, os requisitos regulamentares  exigem, pedir provas de aceitação política, exigindo uma abordagem mais pró-ativa e completa para o ciclo de gestão política.
Por exemplo, uma organização pode querer garantir que um usuário assine a sua política de governança de informação no primeiro dia em que eles começam emprego, na ambientação tambem seria ministrado um treinamento em segurança da informação

Passo Quatro: Entendimento
Para monitorar e medir a compreensão pessoal e a eficácia das políticas e documentação associada, as organizações devem testar tudo, ou talvez um subconjunto, os usuários. Todas as áreas que mostram pontos fracos podem ser identificados e corrigidos em conformidade. O treinamento adicional ou orientação pode ser necessário ou, se é a política que está causando confusão, pode ser reformulada ou simplificado.

Quinto passo: Auditabilidade
O historico de revisão completa de todos os documentos precisam ser mantidos , quando e, se possível, quanto tempo levou, que caiu de uma política e por quê. Este registo deve ser armazenado para referência futura e podem ser armazenados em conjunto com outras evidencias.

Sexto passo: Relatórios
Para melhorar a conformidade, a ajuda de indicadores de desempenho relativos à captação de política são claramente visíveis em todos os níveis de uma empresa. Visibilidade Painel de cumprimento da política de captação por unidades de negócios geográficas ou funcionais ajuda a consolidar as informações e as exceções destaques.

Ser capaz de rapidamente pesquisar detalhes específicos em áreas de conformidade com a política pobres melhora drasticamente a capacidade de gestão para compreender e abordar questões subjacentes.

Juntando tudo

• Para verificar o nível de conformidade com a política que existe dentro de sua organização que você precisa para periodicamente responder às seguintes perguntas:
• Onde está você políticas atuais? – É o acessível ao pessoal?
• Quem viu suas políticas atuais?
• Quem leu as políticas atuais?
• Suas políticas são seguidas por todos?
• Suas políticas colaboram para gestão eficaz?
• Suas políticas são validas até à data?
• Você pode provar isso para a Auditoria?

Em última análise, o cumprimento da política é fazer com que as pessoas façam a coisa certa, da maneira certa, o tempo todo.

Garantir todos entendam o que é esperado deles e como eles são convidados, a realizar seus trabalhos de acordo com políticas e procedimentos corporativos não é uma prática nova.

A incorporação de uma solução de gerenciamento automatizado de política em uma organização é realmente a única forma viável de criar e sustentar uma cultura de cumprimento, onde as pessoas entendem suas responsabilidades e da importância de aderir a padrões corporativos.

Com tratamento eficaz, gestão do ciclo de vida política, é possível criar uma base sólida para a mitigação de risco eficaz e governança para o seu dia-dia.

Até a proxima

O objetivo de uma política de segurança e garantir que todos os possíveis issues relacionados a segurança na organização sejam devidamente averiguados e endereçados, estabelecendo claramente a diretriz e alinhamento com as estratégias de negócio.

Baseia-se em analises de processos e riscos bem como no ambiente tecno-computacional, criando controles, procedimentos de auditoria e testes e contribuindo com o direcionamento do treinamento para a criação e manutenção de uma cultura de segurança na organização.

Itens básicos de uma política de segurança:

-  Papeis responsabilidades e envolvimentos

-  Riscos envolvidos

-  Praticas estabelecida (controles, testes, auditoria, etc)

-  Identificação de ameaças

-  Técnicas empregadas para avaliação

-  Regras de negocio e acesso a informação

-  Impactos no caso do não cumprimento da política e/ou possível violação

-  Detalhamento técnico (computacional) incluindo ambiente operacional e ferramentas (hardware e software)

-  Plano de continuidade de negócios e recuperação no caso de desastre.

Jamais imaginei que tamanho de problema uma corporação tem quando não há controle sobre o controle de acessos. Deixo de lado o controle físico para uma outra oportunidade. Neste momento vou falar um pouco sobre Controle de Acessos.

Vivemos em um mundo globalizado onde no âmbito da TI convergindo a Controle de Acessos vê-se que se não há investimentos em controles, realmente fraudes e outras ameaças acontecerão.

Avaliando de perto, poucas empresas que estão em pleno crescimento se dão conta da necessidade e real valor ao controle de contas e senhas de seus colaboradores, alem de outros controles, tais como utilização web, firewalls, servidores de arquivos, aplicações e muitos outros… É fato que empresas em UP devem se preparar para um futuro tenebroso caso não tenha seus controles adequados, mesmo que sejam eles manuais. Os grandes players do mercado estão aí, dispostos a um preço pra La de alto a atender esta demanda em SSO (Single Sign On) e um IDM (Identity Manager), gerenciador de identidades. Na verdade, poucas são as empresas a investir na automação em razão de seu alto investimento. Quando então temos uma pequena empresa em expansão o fato é mais marcante em função do custo x benefício. É por este motivo que as empresas Pequenas para Médias, optam ainda por seu controle manual e muitas vezes minimizando os riscos com um bom tom.

Uma política bem definida juntando-se diretrizes aos processos bem amarrados, pode sim, ajudar a pequena empresa neste momento utilizar-se de seus controles manuais específicos para o CONTROLE DE ACESSOS. É certo que um dia, em um momento em que a empresa toma corpo e se torna uma grande corporação, não tenha duvida que a automação passará a ser necessária, pois o numero de aplicações cresce com a empresa.

Projetos específicos ligados a Segurança da Informação seccionada ao Controle de Acessos hoje, é um mar agitado entre as empresas em crescimento. A visão de seus Owners devem ser sem sombra de dúvida critica e ao mesmo tempo saudável não só para eles mesmos como para a cura das ameaças. Não que possamos eliminar ameaças, mas minimizá-las para um risco ao menos não tão oneroso.

A visão 5W1H é antiga mas viverá por muitos e muitos anos questionando os ativos de uma corporação. Medidas e contramedidas devem ser avaliadas.

Acessos sem precedentes a sistemas back Office através da Web possuem custos reduzidos mas ocultam ameaças se não houver controle de privilégios. É preciso impor políticas de acesso a usuários, proxies e Web Services que executam operações em nome dos usuários que realmente são verdadeiros.

Quando o ambiente se torna grande e distribuído é sinal que a corporação esta saindo da pequena e média empresa para se tornar algo colossal e a observância de controles adequados se faz necessário. Fugir da automação é questão de tempo… É necessário avaliar políticas de inibição das ameaças em função do risco. É como em Projetos, não havendo monitoramento e controle, seu projeto dançou…..