Escolar Documentos
Profissional Documentos
Cultura Documentos
Ano 6
nmero 10
2011
Em busca de um padro
Bancos avaliam tendncias em autenticao
Cibercrime
Security Leaders
w w w. riS k r e p o r t.C o m . B r
Editorial
Ao conSultAr o EdItorIAl dA PrImEIrA EdIo dE Risk RepoRt, em 2007, ratifiquei o quanto a Segurana da Informao evoluiu nesses quatro anos. Vista como um mal necessrio, a SI era considerada um custo pelos executivos fora da rea de tI e entrave pelos usurios. Ao lder de Segurana da Informao, na maioria das vezes subordinado ao cIo, restava estabelecer regras e monitor-las. de l para c, o cenrio vem mudando drasticamente. Em primeiro lugar, os ataques tornaram-se mais sofisticados, exigindo ateno redobrada do board da companhia e no s dos mais envolvidos com tecnologia. Segundo, o fenmeno das redes sociais transformou as empresas, atraindo uma legio de usurios, mas aumentando consideravelmente as vulnerabilidades. Qual a empresa que pode negligenciar, hoje, a questo da Segurana? Qual a companhia que pode subestimar os ataques ou consider-los apenas uma questo de tecnologia? Segurana hoje comportamento, cultura, compartilhamento, globalizao e, em muitos casos, diferencial competitivo. Isso elevou os cSos e os gerentes envolvidos diretamente com os riscos a um patamar estratgico dentro das corporaes. risk report acompanha essa trajetria e tem por misso mostrar a evoluo da questo sob todos os ngulos. de um lado as empresas e os desafios da nova viso holstica da Segurana. de outro, a evoluo dos profissionais responsveis pela conduo das polticas e a implementao das solues. fechando as pontas, est o mercado fornecedor, que tambm evoluiu no mesmo ritmo, oferecendo uma mirade de produtos e servios aprimorados para a nova demanda. resta a clssica pergunta: SI j vista como investimento? Essa a verdadeira Segurana 4.0? Ao acompanhar as matrias desta edio, fato que a segurana vai alm de ferramentas e servios. As solues e a infraestrutura necessrias para garantir que os ambientes estejam cada vez mais seguros sempre representaro um custo para as empresas e no h como mudar isso. Por outro lado, ao aliar aos produtos, polticas e comportamentos adequados ao novo cenrio de vulnerabilidades, as empresas passam a enxergar Segurana como fator estratgico. E essa a grande transformao que estamos vendo agora. Educar, mais do que proibir. monitorar, mais do que cercear. compartilhar, mais do que isolar. Enfim, saem de cena antigas expresses e entra um vocabulrio mais condizente com os novos tempos, em que as mdias sociais disseminam a informao para alm das empresas e da prpria internet. Se olharmos o termo Segurana da Informao, vemos que o cerne est exatamente no que hoje se tornou o bem mais precioso das empresas, a Informao. Em nome dela, a Segurana deve e merece ser alada a uma posio de destaque e vista como elo e no como ruptura. o evento Security leaders, promovido pela primeira vez em novembro do ano passado, retratou esse quadro. Entretanto, iremos acompanhar, ao longo do ano, a evoluo e as novas cores desse cenrio. confiram nesta edio os principais temas debatidos no evento e acompanhe conosco essa trajetria. o Security leaders 2011 ir coroar esse trabalho e voc faz parte dele. Participe!
Graa Sermoud
maro 2011
Direo e eDio geral Graa Sermoud gsermoud@conteudoeditorial.com.br reportagem Lia Machado lmachado@conteudoeditorial.com.br
Segurana 4.0
A revista risk report uma publicao da Contedo Editorial, uma empresa de produtos e servios editoriais na rea de Tecnologia da Informao e Comunicao. Saiba mais sobre a Risk Report no www.riskreport.com.br. Mais sobre a Contedo Editorial em w w w.conteudo e ditorial.com.b r
Alameda dos Maracatins, 992, Cj 71A 04089-001 So Paulo SP Tel/Fax: 11-5049-0202 www.conteudoeditorial.com.br
gsermoud@conteudoeditorial.com.br
rISK report
ndice
SPOT
6 Uma nova Segurana
Em entrevista Risk Report, Gijo Mathew, VP de Marketing de Produtos de Segurana da CA Technologies, fala sobre a viso de SI mais voltada para processos de negcios
FOCUS
cibercrime
20 A especializao do
novas mdias como as redes sociais e os novos dispositivos mveis tornam os ataques virtuais cada vez mais sofisticados
OVERVIEW
8 Segurana da Informao em trs dimenses 9 Proteo contra brechas internas 9 Trend Micro adquire Mobile Armor
Check Point apresenta soluo baseada na Arquitetura de Software Blade CA adiciona novos recursos e funcionalidades ferramenta Access Control Expandir o portflio o objetivo da aquisio da especialista em criptografia de dados
Mesmo com o avano das novas mdias presentes no mundo corporativo, ainda h questes como segurana e treinamento de funcionrios para lidar com a informao
A adoo do padro PCI entra em regime de urgncia diante do avano dos negcios via Web. 2012 o deadline brasileiro
PORTFLIO
10 ConhEA AS noVIDADES Do MERCADo DE SEGURAnA DA InFoRMAo
o conceito GRC vem ganhando notoriedade no mercado, mas o amadurecimento e cultura organizacional so barreiras que precisam ser vencidas
TREND
12 Cloud versus Cloud
A computao em nuvem vem quebrando paradigmas. Porm, seu conceito precisa superar o principal obstculo, a Segurana da Informao
o gerenciamento de identidade virou condio fundamental para o aprimoramento de processos, definio de perfis e reduo de custos
PREMIAO
28 Security Leaders
homenageia CSOs
o Congresso Security Leaders 2010 premiou os profissionais de Segurana da Informao e os projetos que mais se destacaram ao longo do ano
FINANCIAL
16 A nova fronteira da autenticao
no h um padro de segurana para as transaes financeiras. De acordo com especialistas, existe um conjunto de tecnologias e normas para o setor
Com o avano tecnolgico, o desafio viabilizar a rotina de milhes de weblovers para estabelecer atos prudentes no ambiente pessoal e profissional
rISK report
Spot
o primeiro passo ter uma boa definio do que Segurana. H dois tipos: segurana em processos de negcio e segurana em infraestrutura. Segurana em infraestrutura um custo, claro, j que preciso proteger os sistemas, ter antivrus, todas as coisas necessrias para promover a defesa do ambiente. A preocupao como fazer isso e reduzir custos. A outra parte da segurana tem a ver com processos de negcio, em ter as informaes necessrias aos usurios de forma segura, fornecer a informao certa, na hora certa. essa parte da segurana que garante a criao de novos servios e a possibilidade de tirar vantagem de outros paradigmas, como as redes sociais. muitas empresas querem usar redes sociais para negcios. como fazer isso sem comprometer os dados?
Ento, nessa nova viso de computao, as empresas precisam pensar em termos de processos de negcio e menos em infraestrutura?
o que est acontecendo com o surgimento do cloud computing que a infraestrutura est perdendo importncia. Se voc gasta menos com segurana de infraestrutura, voc pode focar mais nos processos de negcio. com isso pode conectar seus aplicativos sem se preocupar tanto com a parte fsica do processo. A ateno passa a estar no SlA (Service licensing Agreement), o que importa acesso seguro aos dados, quando eu acessei e de quais parceiros so esses dados.
Lderes de ti (Cios) e de segurana (Csos) falam sobre a grande dificuldade em mostrar que segurana no um custo, mas sim investimento. Como convencer o setor financeiro das empresas disso? H como mudar essa viso?
Acho que c oud l computing pode ser uma grande oportunidade de mudar a vi so de Segurana
rISK report
Nossa estratgia pensar em como oferecer servios de segurana com foco no processo de negcios
Com o tempo, ser mais fcil para o CSO mostrar que a segurana importante para os negcios, para melhorar outros produtos e mercados?
Acho que cloud computing pode ser uma grande oportunidade de mudar a viso de Segurana. no tem a ver com o cSo somente. Ele no responsvel s pela segurana e pela infraestrutura, ele responsvel pela segurana dos aplicativos compartilhados e por fazer a interface dos processos de negcio com o restante da companhia.
Vamos falar do mercado de segurana. Hoje vemos fornecedores de produtos de segurana que sempre atuaram nesse segmento e vemos uma nova gerao de provedores j oferecendo segurana de uma forma diferenciada. Voc acha que no futuro os produtos de segurana se tornaro um servio?
Estamos no meio de uma mudana, mas a maioria ainda pensa a segurana em termos de infraestrutura. A estratgia pensar em como oferecer esses servios de segurana com foco no processo de negcios. E como a segurana muda esses processos. como fazer isso de modo mais inteligente, mais rpido e mais barato? E como oferecer solues de modo mais prtico s empresas? o que estamos fazendo mostrar as caractersticas do nosso produto mais que propagandear o produto em si. como cada uma dessas caractersticas ajuda o cliente a aumentar a segurana e reduzir seus custos. Ser preciso integrar caractersticas de diversos produtos para atender as necessidades de empresas e governos e saber integrar esses produtos com sistemas de cloud computing. Isso traz outra implicao: melhor comprar ou alugar uma soluo em cloud e os produtos devem garantir a segurana num ambiente computacional desse tipo.
tarefa do CSO
Ainda do ponto de vista do fornecedor, difcil integrar os programas quando acontecem muitas aquisies e mais difcil ainda para os clientes entenderem isso. A CA Technologies vem fazendo vrias aquisies na rea de Segurana. Como vocs esto resolvendo esse problema?
ns comeamos a projetar a integrao entre os produtos antes mesmo de adquirir a outra empresa. no nosso interesse adquirir tecnologias muito divergentes. ns s compramos algo sabendo que os produtos vo funcionar bem juntos. Procuramos desenvolver uma inteligncia de integrao. o mais importante nesse processo o compartilhamento de informaes com o parceiro de aquisio e com isso unir produtos que gerem valor para as empresas. com a computao em nuvem, a questo a de entregar um servio e no importa mais como ele funciona atrs das cortinas. ns gerenciamos todo esse processo oculto e garantimos que o cliente tenha o servio desejado. assim que funcionam as redes de telefones celulares. As empresas fazem melhorias dia a dia e o cliente no percebe. os clientes no devem fazer integrao no know-how deles, no o trabalho deles. o nosso.
rISK report
Overview
rISK report
rISK report
Portflio
Autenticao mvel
Desenvolvido com a finalidade de proporcionar autenticao simples e fcil pelo uso de uma senha dinmica oTP baseada em tempo, atravs de um token virtual localizado na Barra de Tarefas do Windows, o SafeMoBILE for Windows, da BRToken, multiusurio e compatvel com os sistemas operacionais Windows XP, Vista, Server 2003 e Server 2008, alm de Windows 7. As senhas continuamente geradas pelo aplicativo podem ser arrastadas e copiadas para o campo de autenticao desejado. A soluo tambm permite a migrao do token do usurio para aparelhos celulares ou smartphones e vice-versa. A verso do SafeMoBILE for Windows possibilita a utilizao do aplicativo por mais de um usurio na mesma estao. A soluo conta com visual leve e amigvel e soma-se s verses para JAVA, iPhone, BlackBerry e Android.
10
rISK report
Trend
Com benefcios tangveis, a computao em nuvem vem quebrando barreiras. Mas ainda precisa superar seu principa obstculo, a Segurana l da Informao - Por Lia Machado
12
cErto dIzEr QuE todAS AS EmPrESAS, independente do segmento de atuao, sejam elas grandes, mdias ou pequenas, esto analisando a adoo da computao em nuvem, mas fato tambm que todas ainda tm dvidas em relao ao quanto esse ambiente seguro. o que parece estar claro que a computao em nuvem traz vantagens para todos os envolvidos, o que nos faz acreditar que em 2011 a nova maneira de oferecer e consumir tecnologia pode superar os principais desafios e conquistar um amadurecimento significativo. os benefcios so muitos. Performance, flexibilidade, escalabilidade, arquitetura inteligente, autonomia, disponibilidade, agili-
dade e reduo de custos, so alguns exemplos de vantagens da computao em nuvem, destacados pelos usurios que j implementaram a soluo. mesmo assim, o cloud computing ainda precisa quebrar alguns paradigmas. de acordo com um estudo da Idc, sobre aplicaes de computao em nuvem no Brasil, 75% das empresas locais ainda no adotaram o cloud. As principais razes para isso so: eu no sei o que computao em nuvem; no me sinto seguro e confortvel em utilizar esse tipo de tecnologia; vou estudar, avaliar e identificar internamente se h necessidade e se essa tecnologia pode me auxiliar segundo minhas estratgias, aponta clia Sarauza, gerente de Segurana da Informao da Idc Brasil.
rISK report
Vantagens do cloud
Qual o nvel de proteo? Essas e outras questes so colocadas na mesa no momento da contratao de servios e tecnologias baseadas nesse conceito. o desafio lanado principalmente aos fornecedores que tm a misso de informar e exemplificar situaes de como funciona toda essa infraestrutura para que se propague a divulgao e evangelizao dessa tecnologia. na opinio de Alexandre moraes, team leader Systems Engineering lAt da HP o ponto chave para a , adoo do cloud o oramento. As empresas sabem que o lado financeiro pesa muito em qualquer deciso, funo do gestor de finanas cobrar retorno de investimento. todos que trabalham com Segurana sofrem com isso, pois tem todo o trabalho de explicar que trata-se de uma medida de preveno para justamente evitar perda de dados e prejuzos para a companhia. Alm disso, as PmEs, muitas vezes, no conseguem desfrutar de uma soluo completa de Segurana porque tudo muito caro, dispara. Se uma empresa tem um ambiente de cloud com uma infraestrutura robusta, atualizada, com sistema de proteo de rede de firewall, IPS, dlP alm de todas as vantagens da nuvem, ela ter um , excelente ambiente para trabalhar com alto nvel de automao e competitividade. Ela ter uma infraestrutura to completa que, muitas vezes por questo de oramento, dificilmente conseguiria ter em house, acrescenta moraes.
Performance em nuvem e virtualizao. tudo que Flexibilidade poder ser servio e deixar de ser custo Escalabilidade de aquisio tem grandes chances de ter Arquitetura inteligente uma boa aceitabilidade no mercado. Autonomia uma das grandes vantagens do cloud Segurana e da virtualizao a racionalizao de Disponibilidade custos. A economia se destaca por meio Agilidade da computao mais utilitria, onde Reduo de custos a companhia paga apenas por aquilo que usa, opina o gerente de canais da check Point Brasil, daniel romio. Jos Antunes, gerente de Engenharia de Sistemas da mcAfee, compartilha dessa mesma opinio e acrescenta os ganhos do aluguel de uma infraestrutura baseada em nuvem. Estamos falando em custos e a grande vantagem para as empresas que no tm como investir em infraestrutura, comprar bons servidores, hardwares, equipamentos para disponibilizar segurana para seu usurio, elas tero muito benefcios utilizando modelos SaaS e IaaS. E se ela crescer, a infraestrutura de nuvem cresce junto acompanhando todo o desenvolvimento corporativo, completa.
Seleo de Servios
outro procedimento fundamental para o sucesso da implementao de um ambiente em nuvem a escolha do provedor. cada empresa tem suas prprias caractersticas de negcio e necessidades Economia particulares de infraestrutura. nesse caso, o processo de escolha Essa questo de custos sempre um dos critrios preponderantes do provedor passa por uma srie de anlises contratuais de entrega na adoo de qualquer tecnologia. com isso, a tI como servio de servio, performance, garantias, nvel de redundncia e a seguvem se tornando uma tendncia como, por exemplo, os modelos rana desse ambiente. SaaS (Software as a Service) ou IaaS (Infrastructure as a Service). Questes como: o fornecedor tem a melhor soluo de link para Essa evoluo tem sido muito natural tambm para a computao o meu negcio? Ele pode me garantir armazenamento? Eu terei um alto nvel de segurana ao contratar esse servio? como esse provedor far a administrao desse ambiente em nuvem? tudo est Pontos importantes para escolha do sendo feito de forma adequada? So procediprovedor de cloud computing mentos analticos que os especialistas destacam no momento de contratao de um provedor de Como so as instalaes do provedor? computao em nuvem. o fornecedor tem a melhor soluo de link para o meu negcio? ns temos uma latncia muito grande no o fornecedor pode me garantir armazenamento? acesso as informaes, o que depende muito Como se d o acesso aos dados e quem tem acesso a eles? do provedor. muitas vezes, o cloud pblico no Qual o plano para recuperao em casos de desastre? est no Brasil e esse acesso feito pela Internet. As senhas do cliente esto armazenadas de forma segura? Como? como ser a desempenho desse acesso? Por isso Senhas so transmitidas usando conexo criptografada? a importncia em escolher criteriosamente esse Como funciona o monitoramento do ambiente cloud? parceiro de tecnologia. o provedor que consiga Como funciona o registro de logins autorizados e negados? hospedar a soluo dele mais prximo da realiEu terei um alto nvel de segurana ao contratar esse servio? dade da empresa passa a ser mais interessante Como esse provedor far a administrao desse ambiente em nuvem? o acesso das aplicaes, aponta claudio Ban-
rISK report
13
Trend
nwart, responsvel pela rea de Segurana da compugraf. Essa anlise crtica tambm destacada por moraes. A companhia que pretende adotar uma infraestrutura baseada em cloud computing precisa conhecer bem seu parceiro para evitar problemas futuros. muito importante analisar a relao custobenefcio, pois nem sempre o fornecedor mais barato o melhor. Se o custo for muito baixo, prudente questionar se os procedimentos sero feitos adequadamente. A questo da reduo de custo no ambiente na nuvem algo real, mas precisamos ponderar as opes de fornecedores para no cair numa cilada. processos de aquisio de ambientes em nuvem. Acessos aos contedos alocados, quem ter ou no permisso para obter as informaes e, em casos de desastres, se essas informaes podero ser recuperadas, so algumas dvidas que surgem. na opinio de Breno lastra, lder tcnico de rede da locaweb, o acesso aos dados e a questo da permisso, dependem muito da gesto da informao, independente se o ambiente for fsico ou em nuvem. na virtualizao, meus dados esto no storage do meu fornecedor, que precisa ter acesso para fazer a manuteno. nessa hora que posso ter problemas com segurana. mas tambm posso ter vulnerabilidades em um servidor fsico. Por exemplo, se der um problema no disco com a necessidade de troca, a empresa pode fazer um descarte inadequado sem apagar os dados e qualquer pessoa pode ter acesso s informaes daquele disco. ou seja, tudo depende do gerenciamento desses dados, explica lastra. Em relao recuperao de dados, o executivo bem categrico. Se um servidor est sendo invadindo por um hacker, com acesso quela mquina, ele pode simplesmente rodar um software para apagar tudo que est no disco. mas em um servidor virtual, mesmo que isso ocorra, todos os dados podero ser recuperados. o fato que em qualquer aquisio de tecnologia, a companhia precisa contar com um bom planejamento interno para que a Segurana da Informao seja preservada. So vrias as ofertas de cloud pblica, privada ou hbrida. A verdade que o provedor precisa entregar uma srie de garantias companhia que est contratando o servio. Segurana, disponibilidade de infraestrutura, performance, comunicao, acesso aos dados e ambiente seguro so peas fundamentais na contratao do servio. Alm disso, a empresa contratante espera uma maturidade profissional para garantir a segurana dos dados. Existem muitos servios ofertados com vrios nveis de segurana, mas essa garantia depende do bom planejamento interno, relao custo-benefcio e escolha do provedor. os critrios de adoo dependem da confiana da empresa contratante em relao ao seu fornecedor. um relacionamento transparente o melhor caminho para a confiabilidade. So quesitos importantes que precisam ser colocados na balana.
Segurana
o modelo cloud computing ainda deixa muitas dvidas entre os gestores de tI, com isso, surgem antigos questionamentos nos
14
rISK report
SEGURO
Seus dados so armazenados isoladamente.
RPIDO
Utiliza a tecnologia Xen de virtualizao, e cada cliente possui sua prpria VLAN.
ECONMICO
Voc no gasta com infraestrutura e s paga pela capacidade que utilizar.
SIMPLES E GIL
So diversos sistemas operacionais para voc escolher e gerenciar suas informaes. Em at 30 minutos* os servidores j esto sua disposio.
Se r/Cloud .com.b mocional: eb Locaw o pro Acesse ilize o cdig 06A ut o 27 e DREP6 o o 1 ms n tis. ont gr sc inux* sse de Com e r Pro 1 GB L para Serve vlido e Cloud 99,00 d
*Prazo para a instalao-padro, aps o reconhecimento do pagamento. Em alguns casos necessrio conrmar a disponibilidade tcnica e operacional.
es e R$ 1 onto d iras contrata 1/05/2011. *Desc ime 0 pr e, at 3 as 100 Pro pelo sit r Serve Cloud
Locaweb.com.br/CloudServerPro
kwarup.com
Financial
IfrAS, cHEQuES, cArtES, InVEStImEntoS. A humanidade dependente do setor financeiro, desde um simples pagamento de uma fatura de carto de crdito s altas aplicaes nas bolsas de valores. com o avano da Web e da mobilidade, essa dependncia ficou facilitada. Hoje, os equipamentos tecnolgicos permitem transaes financeiras independente da presena fsica do usurio. A contratao de um emprstimo ou cheque especial, por exemplo, pode ser feita com alguns cliques no Internet Banking. contudo, essa revoluo tecnolgica ao mesmo tempo em que proporciona comodidade, flexibilidade e agilidade aos usurios, tambm avana no campo das fraudes, com ameaas online cada vez mais sofisticadas e com claros objetivos de roubar informaes de cartes e contas bancrias para obter lucro com elas. o desafio do setor desenvolver solues de proteo e autenticao nas transaes financeiras de acordo com o aumento da demanda.
Todos os sistemas de autenticao tem suas vantagens e vulnerabilidades. dificilcimente teremos um padro de segurana para o setor financeiro, pois todas as tecnologias de autenticao de transaes so vlidas como uma nova camada de segurana, aponta francimara Viotti, gerente Executiva do Banco do Brasil. Para francimara, as transaes bancrias so realizadas atravs de vrias tecnologias e no seria diferente usar vrios dispositivos para proporcionar a segurana aos clientes. H riqueza na tecnologia onde as pessoas usam a criatividade para desenvolver formas de proteo. cada tecnologia tem o nvel de fragilidade e, s vezes, preciso agregar outras solues para complementar a segurana na atutenticao financeira, explica.
Medidas de Segurana
Ao longo dos anos, o mercado financeiro, sendo a principal vtima de fraudes e roubos milionrios, vem desenvolvendo novas ferramentas de
16
rISK report
proteo para as transaes presenciais e online. Por uma questo de segurana, a partir da colaborao entre os sistemas de pagamento mundiais Europay, mastercard e Visa, criou-se o padrao EmV para as transaes de cartes de dbito, crdito e smart card. ou seja, o incio da migrao da tarja magntica que carente de segurana sem proteo por criptografia, capacidade de memria limitada de fcil reproduo e clonagem dos dados para os cartes com chip. Por sua vez, possuem maior capacidade de armazenamento de dados criptografados, com microprocessador interno sem a possibilidade de clonagem do carto por meios simples, diz Jorge Krug, superintendente Executivo da unidade de Segurana de tI do Banrisul. mais adiante, de novo as bandeiras se reuniram para a criao do padro Payment card Industry (PcI), segurana de dados de cartes de pagamento. trata-se de um conjunto de normas que garante a proteo das informaes do titular dos cartes durante as transaes financeiras, online e presenciais. Em termos gerais, as operadoras de carto estabeleceram normas de segurana, nas quais o comrcio precisa entrar em conformidade com o padro.
O RIC uma forma natura de manter a l autenti cao no mundo fsico e vai se transferir para o universo virtua . Ele l identifica o indivduo e tem tecnologia para fazer a assinatura de uma transao e etrni , garantindo l ca a autenticao do cidado. Claro que ele no ser uma soluo nica, mas pode agregar , maior segurana diz
Francimara Viotti, gerente Executiva do Banco do Brasil
da memria do computador no ato da transao. de acordo com francimara, a forma de combater essa ameaa seria a blindagem do browser. com isso, o usurio no permite que um malware consiga ler o que est na memria para fazer a adulterao dos dados da transao antes de entrar para um smart card, token ou qualquer outro dispositivo para assinatura. Esse procedimento um reforo para a segurana do usurio. Alm disso, o rIc (registro de Identidade civil) tambm poder ser usado como um mtodo convergente de autenticao para as transaes financeiras. o documento ser um registro nico para todos os cidados brasileiros e contar com um chip de armazenamento de documentos como rg, cPf, ttulo de eleitor, informaes previdencirias e trabalhistas, alm de dados biomtricos e certificado digital. o rIc uma forma natural de manter a autenticao no mundo fsico e vai se transferir para o universo virtual. Ele identifica o indivduo e tem tecnologia para fazer a assinatura de uma transao eletrnica, garantindo a autenticao do cidado. claro que ele no
ser uma soluo nica, mas pode agregar maior segurana, acrescenta francimara.
Padres e Regras
diante dessas tendncias em autenticao e segurana para o setor financeiro, hoje, a rea no tem uma bala de prata que seja 100% segura, barrando qualquer tipo de fraude. no h uma nica forma de proteo. o que est sendo feito o uso de um conjunto de solues de segurana de acordo com a complexidade de cada transao, seja usando o certificado digital, token, biometria ou cartes de crdito e dbito com chip.
O fato que o mundo ficou mais complexo e, por consequncia, a segurana tambm. Antigamente, uma das fraudes que mais davam dor de cabea aos bancos era a falsificao de cheques, hoje esto sendo acrescentadas novas modalidades para burlar a segurana das instituies. Para mudar esse cenrio, acredito em algumas convergncias tecnolgicas especficas para determinados negcios, opina cesar Augusto faustino, gerente de Auditoria na Banco Ita e coordenador da Sub-comisso de Preveno a fraudes Eletrnicas na febraban.
rISK report
17
Financial
O importante a proteo da transao com o uso das ferramentas existentes no mercado, da padronizao e regras de segurana que as bandeiras e instituies financeiras esto discutindo em conjunto a , lerta
Jorge Krug, superintendente executivo da Unidade de Segurana de TI do Banrisul
Alm disso, h ainda um outro fator relevante nesse processo. o avano da mobilidade. A cada dia aumenta o nmero de pessoas realizando transaes bancrias atravs dos smartphones, o que expande o desafio do setor em desenvolver pades de segurana para os usurios. Em pouco tempo teremos mais 100 milhes de celulares fazendo transaes bancrias, fica dificil que se estabelea apenas um de padro de segurana, acrescenta faustino.
Cabe aos bancos e instituies financeiras a monitorao permanente de cada transao, checando as informaes com os clientes e estabelecendo um atendimento personalizado. o importante a proteo da transao com o uso das ferramentas existentes no mercado, da padronizao e regras de segurana que as bandeiras e instituies financeiras esto discutindo em conjunto, alerta Krug.
bancrio com um menor grau de instruo, tem dificuldades para acompanhar a evoluo das transaes at mesmo em uma agncia bancria. comum nos depararmos com funcionrios do banco auxiliando alguns clientes durante a transao em um caixa eletrnico. Essa dificuldade ainda maior no ambiente online, com diversas senhas, tokens e assinaturas eletrnicas. A migrao dessas transaes para a Internet obriga as instituies financeiras a desenvolverem cartilhas e aes para ensinar seus clientes, inclusive as crianas, a usar a internet de uma maneira mais segura, alm de conscientiz-los sobre os riscos de fraudes no mundo digital.
sociedade. Eu coloco isso em dois patamares: o primeiro essa evangelizao da sociedade digital que avana no uso da tecnologia, precisamos sim falar em segurana com todos, sem exceo. mas um outro ponto importante a legislao do pas. no adianta ter todo um processo de conscientizao se no temos uma legislao eficiente que garanta segurana em todo o processo. os bancos investem muito dinheiro em segurana e eles tm processo muito seguros. mas o prprio pas precisa oferecer infraestrutura eficiente para ajudar nesse combate s fraudes.
Educao do usurio
outro pilar importante para a segurana nas transaes financeiras a conscientizao do usurio, que precisa ser evangelizado em relao s fraudes e ameaas do universo digital. Aquele cliente
Na opinio de Francimara , preciso ter uma conscientizao de que crime crime independente se for cometido na esfera online ou fsica. normalmente as pessoas entendem as ameaas quando so atacadas, quando passam por desvio de dinheiro em conta corrente ou em alguma situao de clonagem de carto. Essa evoluo na educao ser natural na sociedade, finaliza. Leia mais:
http://www.fraudes.org/showpage1 http://portal.mj.gov.br/ric
18
rISK report
011 2
Exposio de Solues, Produtos e Servios Painis de debates com transmisso ao vivo e interatividade Apresentao de Cases Prmio Security Leaders : Premiao dos principais lderes do setor de Segurana da Informao
Tel. (11)
5049-0202
Apoio de Mdia:
Realizao:
Transmisso:
Focus
A especializao do
cibercrime
Novos dispositivos e redes sociais tornam os ataques vi rtuais mais especficos e sofisticados. Especia ista internaciona l l aponta outras tcnicas de golpes - Por Lia Machado
S crImES VIrtuAIS forAm EVoluIndo conforme a prpria internet. no passado, o cibercrime no tinha uma motivao financeira e era comandado por jovens com objetivos distintos. Atacavam para mostrar as vulnerabilidades de um sistema ou para ganhar status por sua capacidade de invaso. mas com o avano da Internet e o surgimento de novas tecnologias essa ideia est obsoleta. os ataques no universo online esto cada vez mais sofisticados e conta com as mais diversas ferramentas tecnolgicas, o prprio perfil do cibercriminoso mudou. Hoje, so quadrilhas inteiras que atacam via web e tem um objetivo claro: roubar informaes pessoais para obter lucro com elas. na Internet h muita vulnerabilidade, o que facilita a criao de novas ferramentas de ataques, afirma michael Sutton, pesquisador na rea de Segurana e vice-presidente da zscaler. na ltima dcada, o cibercrime prosperou e custou aos consumidores centenas de milhes de dlares. A sofisticao dos
crimes virtuais clara, desde a criao do worm I love You, em 2000, at as ameaas atuais como o geneXus. Segundo a entidade Internet World Stats, o uso da Web cresceu de 361 milhes de usurios, em 2000, para quase 2 bilhes em 2010. com isso, a Internet tornou-se um importante alvo para os criminosos.
Variedades de ataques
de acordo com Sutton, os aplicativos da Web 2.0 so muito dinmicos e mais fceis de atacar. uma das grandes tendncias destacadas pelo pesquisador o phishing, um golpe online de falsificao de sites legtimos. os criminosos usam spams, websites maliciosos e mensagens de e-mail para roubar informaes sigilosas. normalmente so sites que usamos no nosso dia a dia e esses criminosos tentam nos convencer a entrar nessa pgina infectada, comenta Sutton. Alm disso, as prticas de ataques so as mais variadas. os e-mails, por exemplo, j no so os maiores viles na disseminao de ameaas de segurana pela Web. As redes sociais so os atuais alvos de ataques
20
rISK report
MaliciousNetworking.org
Country US RU Cn BR DE UK KR CA Ph nL
Score
190.79 31.25 27.61 26.65 25.84 21.02 17.65 14.47 12.64 12.46
C&C Servers
398 60 255 88 51 46 66 22 17 31
Phish Servers
81 0 7 0 32 0 9 9 0 0
Spam Servers
214 8 28 4 8 1 0 0 3 0
Exploit Servers
335 55 89 11 43 44 93 21 16 19
no a lista em que um pas gostaria de figurar nos primeiros lugares. A Segurana deve estar na mente das pessoas e das empresas.
Medidas de segurana
virtuais tornando-se uma das principais fontes de As redes sociais disseminao do cibercrime. so os atuais alvos outra vtima dos crimes de ataques virtuais, digitais sos os mecanistornando-se uma mos de busca. Segundo das principais fontes Sutton, a cada 100 resulde disseminao do tados 1 j se refere a uma cibercrime pgina maliciosa. Esses endereos contaminados esto entre os primeiros que aparecem nas pesquisas. A mobilidade tambm no escapou dos ataques por meio da Web, o cibercrime desenvolve vrus especficos para esses dispositivos. Sutton tambm destacou outra vulnerabilidade chamada clickjacking. trata-se de uma tcnica usada por um cracker para esconder programas maliciosos embaixo de um boto legtimo de um site legtimo. ou seja, uma forma de enganar o usurio para que entre em uma pgina, embora tenha visualizado outra. os criminosos simplesmente tiram vantagens, eles conhecem as formas legitimas de formatar uma pgina, enganam os usurios e exploram a credibilidade dos sites. normalmente eles tiram vantagem de uma vulnerabilidade, escrevem um script e colocam contedo malicioso. A meta atingir o maior nmero possvel de sites, explica o executivo. Em um estudo realizado pelo website maliciousnetworkin.org, mantido pelo International Secure Systems lab, Vienna university of technology, Eurecom france e uc Santa Barbara, entre os dez pases que possuem a maior quantidade de contedo malicioso o Brasil aparece em quarto lugar, atrs apenas dos Estados unidos, rssia e china, respectivamente.definitivamente, essa
com a especializao do cibercrime, natural que as empresas tomem medidas de Segurana em seu ambiente corporativo. E Sutton provoca algumas discusses: as companhias devem bloquear o acesso s redes socias? Em relao aos ataques, qual o foco dos recursos de Segurana? como feita a Segurana nos dispositivos mveis? diante dessas questes, o executivo foi bem categrico. no acredito que bloquear o acesso s mdias sociais seja um caminho seguro. muito menos de 1% dos ataques na Web vm dessas mdias. com o bloqueio desses websites, os usurios acabam achando outra maneira de acess-los, o que pode causar um maior descontrole na rede e aumento da vulnerabilidade. o pesquisador acredita que a melhor medida nessas situaes monitorao do trfego no ambiente corporativo. As empresas podem criar suas prprias regras e polticas internas, o que garante o controle e transparncia no relacionamento. Em relao aos recursos de Segurana, o executivo afirma que o melhor caminho investir na educao do usurio. gastamos muito dinheiro protegendo servidores, mas esquecemos dos nossos colaboradores, a que devemos trabalhar. Em termos de mobilidade, a Segurana precisa ser semelhante de um desktop. os ataques funcionam muito bem em qualquer plataforma, se as empresas no fizerem nada para proteger todos os dispositivos, independente se for mvel ou no, provavelmente j esteja infectada, finaliza o pesquisador.
Mecanismos de busca
os cibercriminosos usam tcnicas para atacar as vulnerabilidades dos sites. A cada 100 resultados 1 j se refere a uma pgina maliciosa. Esses endereos contaminados esto entre os primeiros que aparecem nas pesquisas
rISK report
21
Focus
As mdias sociais esto cada vez mais presentes no mundo corporativo. Como possvel util las em favor dos negcios? izAinda h a lgumas questes a serem olhadas com ateno, como a segurana e o treinamento de funcionrios para l idar com a informao - Por Jl Zil ig ia l
lm dE EStAr PrESEntE nA VIdA das pessoas, at mesmo dentro do bolso, por meio de smartphones, a realidade das redes sociais tambm j faz parte do mundo corporativo. Para as pessoas, a palavra que resume sua vantagem, em grande parte do tempo, relacionamento. nesse caso, estamos falando de um universo de 70 milhes de usurios, que representam 40% do total
de dois bilhes de pessoas que acessam a internet no pas. Para as corporaes, o horizonte um pouco mais amplo. Essa plataforma pode ajudar a incrementar seus negcios. A grande questo como lidar com esse movimento e obter lucro com ela. Segundo marcelo duarte, gerente de infraestrutura do Banco carrefour, a rede social pode trazer agilidade. temos olhado isso como uma possibilidade de se comunicar mais rpido e isso significa tambm fazer negcios com mais agilidade. J existem empresas ganhando dinheiro por meio das redes sociais, outras esto perdendo. no entanto, precisamos ficar atentos, pois a penetrao das redes sociais nas empresas algo inevitvel e vai nos abrir a oportunidade de fazer negcios diferentes. Alm do lado financeiro, a questo da segurana outro aspecto que est sendo olhado com cuidado pelas empresas. no acredito na liberao das redes sociais para todas as pessoas da empresa, mas sim para aquelas que faam sentido, ou seja, que tm a oportunidade
22
rISK report
As pessoas tm uma fa lsa sensao de impunidade. Elas acham que podem acessar o lar Orkut, criar comunidades, fa ma das empresas, l mas no sabem que esto sujeitas s aes das leis civis, penais e criminais. Hoje a internet monitorada, Yanis Cardoso Stoyannis, gerente de Segurana da Informao da Embratel
sabem que esto sujeitas s aes das leis civis, penais e criminais. Hoje a internet monitorada. Existem mais de 30 mil processos em andamento no pas por uso indevido desse tipo de ferramenta, explica Yanis cardoso Stoyannis, gerente de Segurana Informao da Embratel. no entanto, o caminho pode ser muito promissor para a empresa. Por meio das redes sociais, que atrai seguidores, as companhias devem criar modelos de atratividade para que o pblico em geral se interesse em seguir as tendncias e/ou benefcios que elas trazem. Se o consumidor entender que h valor agregado por trs das informaes da empresa na rede, ele passar a segui-la. Isso uma grande oportunidade, enfatiza duarte, do Banco carrefour. mas necessrio direcionar seus esforos em relao a uma questo: a conscientizao e treinamento de seus colaboradores. uma frase indevida pode gerar uma interpretao errada, diz morais. Essas aes devem acontecer antes de ter o seu acesso liberado. E duarte, complementa. importante que as pessoas compreendam que a Segurana da Informao um problema delas mesmas e no somente da empresa. importante trabalhar com os usurios internos dentro das nossas companhias, para que as informaes confidenciais nas quais temos acesso sejam utilizadas de forma adequada. fundamental ter tica.
de trazer resultados para a companhia, o que uma tendncia natural, diz duarte. Isso deve se tornar cada vez mais realidade pelo fato de que mais de 70% dos problemas de ataque de segurana provm de dentro da empresa, segundo frederico Pacheco, gerente de Educao e Investigao da ESEt para a Amrica latina. Se eu vou colocar vrias barreiras internas e proteger minha empresa de maneira simples, isso se torna complicado, pois eu preciso fornecer acesso s pessoas. muitas vezes, uma pessoa que tem acesso acaba sendo usada por outra que quer prejudicar a empresa de alguma forma. A coisa fica pior quando envolvem o pessoal mais tcnico. Alexandre moraes, team leader dos engenheiros de Sistemas da HP tippingPoint, ressalta que, por mais que a empresa implante a soluo tecnolgica mais sofisticada, o elo mais fraco da corrente o usurio. duarte completa. Ainda no existem tecnologias que controlem o ser humano na utilizao da informao inadequada. Esse no um problema da rede social, mas sim do convvio em sociedade. o nmero de pessoas com acesso a essas redes sociais no para de aumentar e isso maximiza os riscos dos efeitos colaterais das mdias sociais no mundo corporativo. As pessoas tm uma falsa sensao de impunidade. Elas acham que podem acessar o orkut, criar comunidades, falar mal das empresas, mas no
rISK report
23
Focus
A ltImA dcAdA, o mercado mundial absorveu o e-commerce em grande escala. de acordo com pesquisa da consultoria J.P morgan, a expectativa de fa. turamento do comrcio eletrnico mundial para 2011 de uS$ 680 bilhes, um aumento de 18,9% em comparao com o ltimo ano. fatores como comodidade, variedade de produtos e preos mais acessveis salientam as perspectivas neste nicho. Entretanto, especialistas apontam outro elemento como crucial ao desenvolvimento do e-commerce: a segurana do consumidor. o aumento do uso de cartes de crdito acompanha a expanso dos negcios via internet. Preservar os dados dos clientes passa a ser a grande preocupao para quem realiza esse tipo de transao. no ltimo natal o comrcio eletrnico arrecadou r$ 2,2 bilhes no Brasil. Isso representa um aumento de 40% em relao a 2009. o pas cresce e os cartes emitidos tambm, mas surgem as fragilidades, diz Victor murad, conselheiro e vice-presidente de comrcio Eletrnico da cmara e-net. como reao a esse cenrio, as principais bandeiras de carto de crdito desenvolveram a regulamentao Payment card Industry (PcI) - data Security Standard (dSS). um conjunto de normas que garantem o nvel de segurana exigido para proteo dos dados do titular do carto durante as transaes.
Banrisul. o objetivo estudar o modelo mais adequado realidade do pas. E qual o prazo para o comrcio aderir s normas? o PcI passar a ter validade desde o dia 1de janeiro de 2011. As bandeiras orientam 1 de julho deste ano em algum nvel de comrcio, mas vejo 2012 como o ano do deadline para a adoo, diz Jorge Krug, superintendente executivo da unidade de Segurana de tI. o consenso de que o PcI uma realidade irreversvel. Algumas empresas j esto em conformidade com a regulamentao como cielo, redecard, casas Bahia, entre outras. So empresas de grande porte, projetos complexos. A mensagem que passam o da viabilidade do PcI. o mercado precisa se adaptar, diz Alexandre Sieira, cto do cipher.
Segurana online
Em termos gerais, o padro abrange confidencialidade das informaes, assegura medidas de monitoramento e estabelece testes das redes periodicamente. Quanto maior o armazenamento e processamento de dados por parte de uma empresa, maior a necessidade de estar em conformidade com as normas. o que coloca o comrcio eletrnico em destaque no processo de adaptao. de acordo com Sieira, o PcI nasceu para o e-commerce. A maior parte das transaes com carto presente migra para os cartes com chip, o que reduz o impacto da clonagem. o risco de uma operao financeira pela internet real e precisa ser gerenciado. o esforo grande, mas os nmeros denunciam o tamanho do problema. no
O deadline brasileiro
o Brasil membro do comit executivo do PcI desde 2009, sob representao do
Brasil, 90% das empresas foram alvos do cibercrime, como mostrou recente relatrio da global fraud report e da the Economist Intelligence unit, da revista the Economist. o pas o terceiro no ranking de fraudes eletrnicas, atrs da china, com 98% de incidncias e colmbia com 94%. o nmero de empresas brasileiras adequadas ao PcI baixo. Para Henrique takaki, coordenador do grupo de Segurana e Preveno a fraudes da Associao Brasileira das Empresas de cartes de crdito (ABEcS), a falta de adeso pode ser atribuda maneira como a regulamentao tem sido implementada. o PcI excelente, mas o modelo binrio no o correto. Apenas empresas que adotem 100% das diretrizes conseguem o certificado. Ser que as regras no poderiam ser implementadas progressivamente, a partir das prioridades?
24
rISK report
Maturidade
o grc precisa fazer parte da estratgia corporativa com o intuito de unificar reas que, mesmo com objetivos prximos, atuavam distantes uma das outras. o processo no envolve apenas o departamento de tecnologia, mas todo o ambiente organizacional.
o conceito est claro na literatura, mas na forma de aplicao para o mercado ainda faltam alguns desafios a serem superados. Isso est diretamente ligado cultura da companhia, desde o presidente at a recepcionista, afirma fabian martins, consultor de compliance e segurana da informao em tI da fIAP . Segundo martins, o maior desafio para a implementao do grc a cultura. justamente promover esse ambiente de colaborao na companhia para gerar uma motivao comum. mas essa iniciativa precisa partir da diretoria at os nveis mais baixos. Isso fundamental para o processo amadurecer, completa coelho. Sem o apoio dos principais executivos da companhia fica complicado a adoo do grc. Quando se tem o envolvimento desses profissionais conseguimos justificar os investimentos e apresentar uma governana diferenciada e transparente. diante do positivo cenrio brasileiro com um mercado em constante progresso, com empresas internacionais apostando no Pas e uma economia bastante movimentada, o caminho para investimentos em grc est propcio. Estamos em um bom momento para evoluir na cultura organizacional das companhias. o grande diferencial conhecer bem o negcio para que o apoio dos altos executivos seja mais natural e transparente. preciso ter perseverana nesse processo, finaliza coelho.
rISK report
25
Focus
questo est em como manter uma base de identidades atualizadas, j que as empresas so organizaes vivas, em constantes mudanas. A empresa desenvolve um projeto de gesto de identidade, estabelece os parmetros, implementa, e a partir da comea o problema. Eu posso ter provisionado e definido papeis ao longo do tempo, mas minha base acaba sendo contaminada, gerando perfis conflitantes. no possvel ter todos os papeis funcionais distribudos por usurios diferentes. A principal causa est na mutabilidade dos perfis. o pessoal da rea da Segurana da Informao tem condies de avaliar a qualidade dos processos, ou seja, podem rever esses perfis e tambm se os usurios que participaram do provisionamento esto aprovando as solicitaes no momento adequado. E as empresas somente comeam a buscar esse tipo de soluo quando necessitam de uma aplicao mais crtica, de acordo com Edison fontes, especialista em Segurana da Informao e professor da fIAP .
tar esse tipo de ferramenta? o primeiro passo definir os papis. Quanto mais bem definidos estiverem esses perfis, mais chances do sucesso da ferramenta de gesto de identidade. Alm disso, importante ter aprovadores amparados por polticas e regras bem definidas para a questo do acesso. E o envolvimento de reas da companhia como financeiro, controles internos e tI fundamental para isso. o caminho no rduo. Basta investimento e coragem para abraar essa nova realidade.
Otimizar preciso
outra dificuldade a cultura da mudana dentro da prpria empresa. H uma resistncia nesse sentido, explica fernando leite, cIo regional da Esab para a Amrica do Sul. Para divulgar o novo direcionamento, a Esab trabalhou principalmente a parte de comunicao com seus funcionrios. fizemos reunies presenciais, divulgamos o assunto no jornal interno e tambm via e-mail. mesmo assim, ainda aconteceu casos de usurios reclamando sobre a perda de acesso, diz leite. o ganho de agilidade na autorizao de acesso foi obtido pela Esab e tambm pela cSn. Almir Xavier, da gerncia de riscos corporativos da cSn, diz que um dos ganhos obtidos com essa ferramenta foi o prazo mdio de cinco dias para conceder acesso. Sem esse gerenciamento, esse perodo era muito maior. Para a Esab, trouxe uma reduo de 1/5 do tempo para fazer a anlise e liberao de acesso. A segurana o controle, finaliza.
Envolvimento e clareza
A gesto de identidade permite empresa tomar as decises adequadas e no ter problemas com dados levantados em auditorias. Por isso importante documentar e justificar todas as autorizaes. Em caso de ocorrer alguma inspeo, a ferramenta permite que eu obtenha os dados da pessoa que concedeu o acesso, sob quais tipos de circunstncias, por quanto tempo, entre outras informaes. Por onde possvel comear a implan-
26
rISK report
011 2
Premiao
Security Leaders homenageia CSOs
Na noite de encerramento, o Congresso Security Leaders 2010 premiou os profissionais de Segurana da Informao e os projetos que mais se destacaram ao longo do ano. Objetivo da premiao va lorizar a atuao desses executivos nas corporaes
oS dIAS 24 E 25 dE noVEmBro PASSAdo, aconteceu em So Paulo o Security leaders 2010 - congresso, Exposio e Premiao de lderes e Profissionais de Segurana da Informao e risco, que contou com presena de vrios profissionais do setor debatendo a importncia da Segurana no ambiente corporativo, alm da conscientizao e educao do usurio no acesso aos dados e informaes. na noite de encerramento, o Prmio Security leaders, iniciativa que valorizou o trabalho dos profissionais e lderes de Segurana e risco das grandes e mdias empresas brasileiras, premiou os cases e trabalhos escritos que foram avaliados por uma comisso tcnico cientfica constituda por especialistas, acadmicos e juristas. Alm disso, em uma segunda fase da avaliao, os executivos de Segurana e risco preencheram um extenso questionrio de avaliao do perfil desses profissionais, elaborado pela Idc em parceria com a revista Decision Report. foram 300 trabalhos e profissionais inscritos, 60 finalistas e 20 premiados.
Indstria logstica: Edson chiedde, da rodobens Indstria txtil: marcelo Alves, da m.officer mdia: Srgio ricupero, da Editora Abril recursos Humanos: marcelo ribeiro, da catho online Seguradora: ticiano Benetti, da Porto Seguro Servio Pblico: raphael mandarino, da Presidncia da repblica Servios mdicos: Paulo luconi, da nica telecomunicaes: Edmo lopes, da Algar telecom t rabalho Acadmico: fbio figueir, da faculdade Impacta transporte areo: ricardo fros, da tAm
Segue a lista dos vencedores em cada categoria: Banco de crdito: ricardo oliveira, do Banco carrefour Banco Privado: larcio Albino cesar, do Bradesco Banco Pblico: Jorge Krug, do Banrisul Bens de consumo: daniel delgado e daniel dahan, da Souza cruz construo civil: Adriano Polidoro, da tigre diversos: Antonio nogueira, da Votorantim Educao: nivaldo marcusso, da fundao Bradesco Hospitais: murilo Santos, do Hospital Santa genoveva Indstria Automobilstica: Angelo fgaro, da renault Indstria de Bebidas: rafael Santos, da Schincariol
28
rISK report
01
02
03
04
05
06
07
08
09
10
rISK report
29
Trend
11
12
13
14
15
16
17
18
19
20
30
rISK report
Inside
POR ReNAtO OPICe Blum*
* Doutor Renato opice Blum, especialista em Direito Eletrnico e Digital e CEo do opice Blum Advogados Associados
EcnologIA. umA PAlAVrA dE dEz letras e com muito mais de dez motivos para ser um dos termos mais impactantes da atualidade. com incontveis significados, desde a moda do momento para os fs de novidades, at paixo mundial para os heavy-users, o que tecnologia significa para voc? Para aqueles cujo habitat natural o cyber espao, tecnologia representa, simplesmente, um estilo de vida. Est cada vez mais comum e natural nos depararmos com pessoas, de todos os lugares do mundo, que no saem de casa sem seus celulares (e se esquecerem, elas voltam para peg-los, no importa em que parte do caminho j estejam), que trocaram os notebooks por tablets e que no carregam mais livros, deixandose seduzir pelos e-books. So essas as mesmas pessoas que aposentaram seus aparelhos de dVd e esperam ansiosas pela propaga-
o do 3d, enquanto se contentam com os j popularizados blue-rays, que no conhecem uma realidade sem o 3g e que s admitem e-mails se forem corporativos, porque a comunicao simultnea indispensvel no dia a dia e o Blaving veio para ficar! no h como contestar, portanto, que o mundo est frentico, e as pessoas que o habitam acompanham tal tendncia. As novas geraes, que j nasceram envoltas nessa atmosfera, e mesmo as geraes do passado, interam-se constantemente das incontveis inovaes tecnolgicas. o que no antes s existia em filmes e na imaginao de alguns, hoje existe na rotina de todos. consequentemente, passar cerca de 1/3 do dia conectado Internet praticamente inevitvel, o que faz desse acesso um motivo de prazer e, em muitos casos, a causa de grandes preocupaes. Passageiro ou no, fato que este fenmeno tornou-se um dos catalisadores do sculo XXI. nas ruas, em casas de famlia, dentro de escritrios ou nos ambientes educacionais, os meios digitais so constantemente empregados e os maiores beneficiados, so justamente os seus usurios. tal mensagem, porm, muitas vezes interpretada erroneamente. o ano de 2011 tem pouco mais de dois meses e os cidados, ou mesmo cyberaholics, j esto vidos por novas informaes deste boom tecnolgico, que , ao mesmo tempo, benfico e perigoso. As precaues a serem tomadas ao acessarmos um website, ao praticarmos o e-commerce, ao interagir nas notrias redes sociais, ou mesmo ao enviarmos um torpedo SmS, muitas vezes so esquecidas e quando adotadas, podem ser facilmente neutralizadas pelas aes, cada vez mais sofisticadas, daqueles que se valem dessa febre digital para praticar ilcitos. Assim, tecnologia, para ns operadores do direito Eletrnico, tornou-se a defesa de uma causa, causa essa que objetiva viabilizar, com a devida segurana, a rotina de milhes de weblovers que se viciaram neste prisma de possibilidades ilimitadas. caros leitores, o futuro j chegou, razo pela qual entender que a Internet deixou de ser somente um lazer e passou a ser tambm pauta de encontros e reunies de negcios, cenrio de conflitos estatais, promessas polticas e at mesmo objeto de demandas judiciais em todo o globo, condio sine qua non para faz-
32
rISK report
er de tal prtica um hbito realmente lucrativo. Quando se trata desse assunto, os atos prudentes dos prprios usurios so os maiores aliados no resguardo do ambiente pessoal e tambm do ambiente profissional dessas pessoas, isso em prol de uma segurana que no s deve estar presente no meio fsico, como tambm no meio digital. os internautas ao redor do mundo devem ter a conscincia de que alm de uma imagem ser mantida perante a sociedade e um nome ser zelado no universo corporativo, h igualmente uma estrutura familiar para ser resguardada e inmeras so as vezes que o mau uso da to cultuada tecnologia torna-se um pesadelo real. diligncia, portanto, passou a ser uma obrigatoriedade durante o uso, especialmente se considerarmos o fato de que crimes esto sendo mais praticados pelas vias tecnolgicas do que no mundo fenomnico e crakers so os novos viles da populao. no se permita prejudicar. uma vez on-line, no conceder senhas, no divulgar imagens ou dados sensveis, utilizar bons softwares e anti-vrus, so essenciais. faa da privacidade uma aliada que no deve, de nenhuma forma, ser violada, mesmo porque tratase de uma garantia constitucional. o zelo com o ambiente familiar tambm fundamental. Instruir aqueles que j aderiram as novidades tecnolgicas, porm no esto aptos evitarem os males oriundos
O futuro j chegou , razo pe a qua preci l l so entender que a I nternet dei xou de ser somente um l azer e passou a ser tambm pauta de encontros e reuni es de negci , cen o os ri de confl tos estata s i i, promessas po i l t cas e at mesmo objeto de demandas j udi a s em todo o g obo ci i l
delas, pode dar o devido fim nessa problemtica. uma vez vitimado pelo uso, o importante no ser inerte, quando a adoo de medidas preventivas no vinga, valer-se de medidas repressivas tambm fundamental. no mundo, boa parte dos ilcitos digitais so reconhecidos e punidos pelo poder judicirio. o principal, porm, ter a conscincia de que no devemos nos esquivar do uso, mas no podemos, igualmente, nos deixar tornar uma vtima dele. Seja para o lazer, seja para a aquisio de conhecimento, seja para consumir ou mesmo para viabilizar a rotina profissional, os meios eletrnicos, na constncia de sua utilizao, devem ser saudveis.
rISK report
33
Service
Empresas citadas nessa edio
ABECS AC Algar Telecom Android Banco Carrefour Banco do Brasil Banco Ita Banrisul BlackBerry Bradesco BRToken Cmara e-net Casas Bahia Catho online Check Point Cielo Cipher Compugraf CSn Editora Abril Embratel Esab ESET Eurecom France Europay Faculdade Impacta Febraban Fecomercio FGV FIAP Fundao Bradesco hospital Santa Genoveva hP IDC International Secure Systems Lab Internet World Stats J.P. Morgan Locaweb M.Officer Maliciousnetworkin.org Mastercard McAfee nEC oAB oi orkut Porto Seguro Presidncia da Repblica Redecard Renault Rodobens SAP Schincariol SonicWALL Souza Cruz Symantec TAM The Economist Tigre Trend Micro UC Santa Barbara nica Vienna University of Technology Visa Votorantim Zscaler
Anunciantes
Exceda www.exceda.com.br Locaweb www.locaweb.com.br Inspirit www.inspirit.com.br nEC www.neccloud.com.br IDC
www.idcbrasil.com.br
Plusoft www.plusoft.com.br
Telium www.telium.com.br
A Contedo editorial uma empresa de Servios e Produtos editoriais na rea de tecnologia da informao e Comunicao (tiC). A editora possui duas divises de negcios: Publicaes Prprias e Produtos Customizados. No segmento de Publicaes Prprias, produz as revistas Decision report e risk report, em mdia impressa e verso online, newsletters Decision Report Weekly e Risk Report Weekly. Alm disso, a Contedo promoveu o Congresso, Exposio e Premiao Security leaders 2010. Lanada em 2005, a revista Decision Report a primeira publicao do mercado brasileiro sobre TIC aplicada a Negcios. A revista acompanha as movimentaes do mercado, aborda produtos e servios diferenciados e fala a linguagem business com uma abordagem analtica, crtica e com credibilidade. A Decision Report ainda possui um canal de TV na Internet: TV Decision, com painis de debates sob moderao da jornalista Graa Sermoud e reportagens do setor. Alm disso, a TV Decision promove os eventos Decision Report Meeting e o Decision Report Analysis. J a Risk Report, lanada em 2007, a primeira publicao do mercado brasileiro de TIC a tratar simultaneamente de Segurana da Informao e Gesto de Risco. Traz reportagens, cases de sucesso e artigos que auxiliam os leitores na escolha da tecnologia adequada de proteo, envolvendo estratgias de Segurana e Risco e na adoo das melhores polticas e prticas para garantir a integridade dos dados da corporao. O Congresso, Exposio e Premiao Security Leaders um evento que tem como objetivo incentivar uma ampla discusso acerca dos desafios de negcios e as tendncias em solues e servios em Segurana da Informao e Gesto de Risco. Com abrangncia nacional, o evento rene usurios, fornecedores e especialistas do setor para uma programao que inclui paineis de debates, premiao e exposio de produtos. No segmento de Produtos Customizados, a editora mantm produtos em mdia impressa e em formato web. Produz as revistas SASCOM, Smart e contedos exclusivos como whitepapers, informativos, newsletters, webcast e vdeos em geral na verso online. Na rea de projetos especiais, Decision Report On-line oferece para download, em formato pdf, o Executive Report, relatrios baseados em temas de Tecnologia da Informao e Comunicao, alm de Financial Report, Government Report, Customer Report, Communication Report. aNUNCie nas nossas publicaes. Ligue (011) 5049-0202 e fale com o Departamento Comercial no ramal 16. mdias Sociais
www.twitter.com/decisionreport www.twitter.com/riskreport
www.twitter.com/security_leader www.facebook.com/conteudoeditorial
34
rISK report
Interagir com clientes ficou ainda mais fcil com o Plusoft Mobile SAC - SMS
A nova gerao de consumidores tem o poder da comunicao ao alcance dos seus dedos e buscam a interao de forma prtica e rpida. Mais uma vez a Plusoft inova, lanando a soluo Plusoft Mobile SAC - SMS. Integrada ao CRM, a ferramenta complementa a sute de gesto de relacionamento, habilitando mais um canal de comunicao da empresa com seus consumidores, otimizando os processos de atendimento e baixando os custos operacionais. Satisfazer o cliente 2.0 exige uma atitude 2.0!
ESPECIALISTA
EM CRM