quarta-feira, 29 de maio de 2019
quinta-feira, 23 de maio de 2019
sexta-feira, 17 de maio de 2019
quarta-feira, 15 de maio de 2019
Para uma Internet + Segura
Em uma
sociedade cada vez mais conectada e dependente de tecnologia para se comunicar,
relacionar, estudar, jogar online e se manter informado ou ficar em dúvida se a
informação é fake ou não. Grandes poderes trazem grandes responsabilidades, já
dizia o sábio tio Ben. Olhando para o outro lado da tecnologia, vemos problemas
que vão se agravando ao decorrer do tempo como cyberbullying, nudes de vingança
e extorsões financeiras para devolver ou desbloquear dados.
Ausência de Privacidade
Muitos sites e
redes sociais provêm segurança e restrições ao acesso da privacidade de seus
usuários, porém a segurança pode falhar e as informações podem ser expostas sem
o nosso consentimento e nos trazer grandes problemas.
Exposição Excessiva
Deixamos
de lado o cuidado que temos no mundo real quando estamos no mundo digital. Em
redes sociais marcamos o local onde estamos com a intenção de encontrar amigos
e colegas, mas esquecemos que mostramos onde estamos para pessoas que não estão
com boas intenções. Mencionamos quem são nossos parentes, animais de estimação,
além de outros itens que gostamos, e assim deixamos rastros que podem ser
usados contra nós mesmos. E não estou falando somente dos regulares vazamentos
de dados, mais sim da excessiva exposição. Precisamos pensar se queremos ou
precisamos que tudo isso seja conhecido por nossos contatos sociais, pois
muitas vezes não temos o controle de quem está compartilhando nossas
informações.
As principais informações
compartilhadas e usadas para crimes são fotos de onde moramos, estudamos,
trabalhamos, local onde estamos visitando ou viajando. Os possíveis crimes com
essas informações podem ser sequestros, extorsões, roubos, furtos entre outros.
Reputação
Uma
das melhores coisas que ocorreu com a popularização da Internet é o aumento da
liberdade de expressão. Porém algumas pessoas usam essa liberdade ampliada para
ofender ou causar danos a imagem e a reputação de outras pessoas. Uma publicação
não pensada ou com as emoções afloradas pode provocar uma demissão, gerar um
processo ou pior, magoar alguém.
Se for ofendido
Como
nem tudo são flores na internet, se você for ofendido procure manter a calma, copie
o link da publicação, faça uma cópia da tela e entregue para as autoridades
responsáveis.
Cuidados especiais com as crianças
Como
uma proteção adicional sempre que possível, utilize o controle parental configurando
de acordo com a idade da criança, mais não deixe de monitorar o uso. Caso você
identifique um site ou vídeo que utiliza personagens infantis descaracterizados
ou com dublagens distorcidas, denuncie imediatamente. Cuide da privacidade das
crianças, fotos e vídeos podem viralizar, positiva ou negativamente, principalmente
quando ela crescer e é praticamente impossível excluí-las depois de publicadas,
compartilhadas, comentadas etc. Observe o comportamento de seu filho, fique
atento ao cyberbullying, pois seu filho pode ser a vítima ......... ou
praticá-la. Diálogo aberto, educativo e franco, sempre é a melhor proteção.
Onde posso obter ajuda?
·
helpline.org.br (ajuda psicológica especializada,
atendimento via chat e e-mail)
·
safernet.org.br (dados indicadores, denúncias,
ajuda e orientação)
Escrito por Marcos Gomes – Executivo de TI e Segurança da Informação
A importância da segurança da informação nos negócios
Em agosto de 2020, entrará em vigor a LGPD (Lei Geral de Proteção de Dados – 13.709/2018 / MP n° 869)). E muitas empresas brasileiras estão preocupadas com a proteção de dados de seus clientes. Em muitos casos, se o fornecedor não dispor de um sistema protetivo de informações, o negócio já não é fechado.
Recentemente, tive a oportunidade de me reunir com
um amigo profissional. Ele me contou que numa recente visita, realizada na
empresa onde trabalha, os futuros clientes logo de início o questionaram sobre
como protegiam as informações dos clientes e se existiam sistemas tecnológicos,
políticas e procedimentos para atender às normas atuais e a futura lei geral de
proteção de dados. Eles bateram muito nesta tecla e ressaltaram que este tópico
era de grande importância e fator decisório para contratação, principalmente,
porque parte do negócio deles continham alguns itens de capital intelectual, ou
seja, de grande valor e que demanda anos para construir.
Pode parecer exagero, mas essa é uma tendência
para os próximos anos. As empresas fecharão negócios somente com companhias que
protegerem não só suas informações como as de seus clientes e de seus
fornecedores.
Está nítido que a lei será levada a
sério, principalmente, porque a multa para quem não respeitar será pesada, ou
seja, entre 2% do faturamento a R$ 50 milhões por infração.
Confira algumas dicas abaixo:
·Elaborar políticas
e procedimentos como uso aceitável para senhas, e-mails, internet, equipamentos
e sistemas.
·Treinar os
colaboradores internos e externos. É fortemente recomendável treinar a
liderança, funcionários e terceiros de acordo com as práticas de segurança da
empresa.
·Proteger
computadores e redes com firewall, antivírus entre outros
·Controlar o
que e quem acessa cada informação
·Manter todos
os sistemas atualizados de acordo com as especificações dos fabricantes
Artigo escrito por: Marcos Gomes, executivo de
TI e Segurança da Informação
Cuidados com planilhas de cálculos
Dificilmente encontraremos alguém que utiliza
dispositivos eletrônicos e nunca utilizou um aplicativo de planilha, mesmo sendo
para cálculos simples. Presenciei em diversas empresas, baixo ou nenhum
controle sobre sua utilização tanto para decisões financeiras quanto
estratégicas. Algumas companhias somente começaram a dar mais atenção depois de
perdas financeiras ou após serem apontadas por auditorias. Em uma outra
situação a planilha era tão importante que o responsável optou por gravar
somente em seu próprio laptop, para que outros não usassem ou alterassem.
Apesar de ser um programa confiável,
quando utilizado para cálculos complexos, decisões financeiras ou estratégicas,
alguns cuidados adicionais precisam ser adotados para garantir a integridade e
precisão dos resultados. Geralmente esses dados são importados de sistemas ERP
– softwares que integram todos os dados e processos de uma organização em um
único sistema -, financeiros, produção entre outras fontes. Essas informações são
analisadas, simuladas e podem ser utilizadas, por exemplo, para decidir sobre a
compra ou não de uma outra empresa.
Imagine uma situação hipotética onde
uma empresa consolida todas as informações financeiras do grupo em uma planilha.
No dia do fechamento, com a correria da empresa, foi esquecido de adicionar o
resultado de uma nova unidade, comprometendo o relatório final.
Este é um fato que tenho abordado
muito quando ministro palestras. E a maioria das pessoas quando ouvem o assunto
ficam surpresas, como se esta situação jamais pudesse ocorrer com elas ou com a
empresa em que trabalham. É importante ressaltar que os gestores devem ficar
atentos a estas planilhas, porque o ser humano é passível de erros e um
equívoco pode comprometer os resultados financeiros da empresa. A fiscalização
e a manutenção dos arquivos são imprescindíveis.
Abaixo estão alguns controles que
podem ser adotados para minimizar os riscos de perdas financeiras ou de
negócios devido a erros não intencionais na utilização das planilhas.
·
Classifique as
planilhas de acordo com a criticidade e os riscos que podem trazer para a
empresa. Exemplo:
o Alta: utilizada para consolidação financeira com
complexos cálculos
o Baixa: utilizada para monitorar atividades;
·
Tenha um
inventário das planilhas críticas com o nome, a localização, a descrição e o propósito,
quem é o responsável e os autorizados a fazer alterações nas fórmulas ou macros;
·
Crie um
cronograma para revalidar as fórmulas e macros, para assim garantir que estão logicamente
corretas e não foram alteradas inadvertidamente;
·
Garanta que
elas tenham controle de versão, backup e estejam em diretório restrito somente
aos usuários que necessitam usá-las;
·
Mantenha um
histórico de quem e quando foram alteradas as fórmulas e macros.
Em muitas empresas, quando as
planilhas consideradas críticas são identificadas, inicia-se um plano de ação para
que essas informações sejam manipuladas através de um sistema, que pode reduzir
drasticamente os riscos para os negócios. Se isso não for o seu caso, evite
erros ou perdas financeiras, faça uma avaliação em seus arquivos.
Artigo escrito por: Marcos Gomes, executivo de
TI e Segurança da Informação
Como posso me proteger no mundo cibernético?
Você
não precisa se preocupar com esse tema se tem fobia tecnológica ou se está
isolado em algum lugar remoto do planeta. Mas como a maioria utiliza regularmente a
tecnologia para acessar as redes sociais, notícias verdadeiras e as fakes, cartões de bancos, e até usar
para trabalhar, seria interessante ficar atento a algumas dicas para poder
vivenciar melhor o mundo tecnológico.
Abaixo
estão algumas dicas para que o internauta conviva melhor o mundo tecnológico.
Senhas
Senha
é uma sequência de letras, números ou um mix deles, e utilizada para acessar os
diversos sistemas. Se você utiliza: senha, 123456, querty, password ou
123456789 você não está entre os mais criativos para criar senha, pois estas
são as cinco mais utilizadas no mundo tecnológico segundo o “SplashData annual worst password list”.
Outro problema que nos afeta é a grande quantidade de senhas necessárias no
dia-a-dia, o que força algumas pessoas a anotá-las. E as senhas correspondem a
cerca de 30% dos chamados de suporte para o TI e muitas senhas nunca são trocadas,
mesmo aquelas que são padrões de fábrica de equipamentos novos.
Em
algumas auditorias e treinamentos de conscientizações de segurança da
informação que apliquei em empresas, encontrei senhas anotadas em diversos
lugares como: em post-it grudado na
tela dos monitores, outras mais escondidas debaixo do teclado ou na contracapa
da agenda que fica sobre a mesa. Se precisar anotar as senhas, anote em um
lugar seguro e que encontre depois, claro. Para criar uma senha forte e que não
esqueça facilmente, utilize as dicas abaixo:
·Use números, letras e símbolos
·Use pelo menos 8 caracteres de
extensão
·Se há alguma suspeita de que alguém
conhece sua senha, troque-a
·Utilize senhas pessoais diferentes das
profissionais
·Quando disponível, utilize o token
·Ative a dupla autenticação se houver
essa funcionalidade no sistema
·Não use: data de nascimento, nome de
familiares, pets, time de futebol etc.
·Utilize parte de frases, músicas,
poemas etc.
o
Exemplo:
Para ser 5incero só espero
que você
§ Ps5seqv@
·Utilize formas geométricas do teclado
o
Exemplo:
cvfd89oi
Mas
fique tranquilo que melhorias já estão entre nós e será através da biometria. Para
os computadores, com Microsoft Windows 10 ™ que utiliza o Windows Hello, estes
podem configurar o reconhecimento facial ou digitais para acessar os sistemas,
mas essa funcionalidade depende do equipamento usado. Nos smartphones também já
são aplicadas essas duas tecnologias, além de diversos apps que facilitam muito
nossa vida digital.
Hoje
há grandes corporações financeiras – como os bancos americanos e europeus –
investindo em tecnologia para acessar ao sistema através da voz. O resultado
tem sido surpreendente. Além de seguro, tem sido 80% mais rápido. Há estudos
avançados onde será possível a combinação da biometria e o reconhecimento da
voz na mesma autenticação, proporcionando maior segurança para o cliente e para
a prestadora dos serviços.
Tipos
de biometria
·Digital:
são os desenhos da pele na ponta dos dedos, que formam desenhos únicos. É a
forma mais antiga de biometria.
·Íris:
a autenticação é feita através de sensores ou câmera que fazem a leitura da
íris
·Facial:
analisa as formas, traços e distância entre olho e o formato da boca.
·Palma
das mãos: similar à impressão digital, faz a leitura das
veias da palma da mão, porém não precisa ter contato direto com o sensor de
biometria.
·Caminhar:
um sensor no calçado analisa a forma de andar, a pressão exercida pelos pés e a
frequência dos passos.
·Fala:
analisa o timbre, a frequência e o modo de falar.
Por que fazer a Gestão de Identidade?
De
acordo com a pesquisa “2018 Thales Data Threat Report” 67% das
empresas do mundo já sofreram violação de dados, dessas 42% já haviam sido
fraudadas. Há muitas empresas que mantêm por vários meses acessos de
ex-funcionários em seus sistemas de ERP, o que acarreta um custo maior no
pagamento de licenças desnecessárias. Algumas companhias têm recorrido ao
serviço de Gestão de Identidade ou Identity
and Access Management (IAM) com o objetivo de realizar um monitoramento das
contas dos usuários e os perfis correspondentes; minimizar a vulnerabilidade
dos sistemas e do banco de dados de uma empresa; prevenir fraudes e prejuízos
gigantescos.
Não
é uma tarefa fácil. Em média uma pessoa tem que decorar pelo menos o login de cinco sistemas diferentes como login de rede, ERP, e-mail, portal RH,
VOIP além de outros mais específicos de cada área da empresa. É preciso realizar um trabalho em conjunto
que envolva departamentos importantes como TI, Controladoria e RH. Vamos a um
exemplo bem prático.
Recentemente
foi descoberto que um ex-funcionário de uma operadora de TV tinha acesso ao
banco de dados da empresa por meio do seu computador pessoal. Realizava
procedimentos invasivos e alterava o valor das contas dos clientes, que
intermediava, em pelo menos três cidades da região metropolitana de São Paulo.
Só para ter uma ideia, em alguns casos o valor contratado era reduzido para 10%
do valor contratado, resultando num prejuízo de quase R$3 milhões para as
operadoras. Outro caso de violação de dados ocorreu numa empresa dos Estados
Unidos, onde um funcionário insatisfeito criou um usuário com poderes de
administrador. Na véspera de se desligar da empresa, apagou informações chaves
que impactaram a operação de 88 servidores, provocando um caos.
Mas, afinal como funciona a
Gestão de Identidade?
Quando
a empresa opta pelo serviço de Gestão de Identidade o risco de fraude ou erro
não intencional é minimizado. Com este processo implementado, o usuário terá
acesso somente aos dados importantes para desempenhar suas funções e o que for
excesso será removido, para que não haja mal-uso.
A
Gestão de Identidade trabalha com a segregação de acessos, ou seja, considera a
função exercida pelo usuário e as correlações com outros integrantes e
sistemas. Para evitar surpresas e diminuir fraudes, revisões periódicas e
análises no perfil dos funcionários são imprescindíveis, para que identifiquem
acessos desnecessários em seus sistemas.
Além
da análise individual das contas, a Empresa precisa atentar-se aos
inter-relacionamentos de sistemas. Um funcionário, por exemplo, que tenha
acesso aos sistemas de “supply chain” e contas a pagar, pode aumentar o risco
de fraude. Ele pode facilmente simular necessidade de compras de peças em um
sistema e autorizar o pagamento no outro.
Para
auxiliar as empresas, existem no mercado alguns softwares especialistas na
gestão de identidade e são integrados com os principais sistemas de ERPs.
As
melhorias que a Gestão de Identidade traz para as empresas são:
·
Disponibilização dos usuários, perfis
e acessos mais rápidos
·
Melhoria nos relatórios de auditoria e
na satisfação dos usuários
· Gerenciamento centralizado, tornando mais
simples o atendimento de normas e regulamentações
·
ROI (Retorno do Investimento)
o Melhoria da gestão das informações por
volta de R$ 1 mil/ano por usuário
o Economia de aproximadamente R$ 10 mil
por auditoria, pois as informações já estão controladas
o Economia média de R$ 650,00/mês por
usuário com licenças de softwares para ex-funcionários ainda ativos nos
sistemas da empresa
o
Redução dos custos do Service Desk,
quase 30% do custo é relacionado a acesso de usuários
Dicas importantes na Gestão de
Identidade
•Todo login deve ter apenas um responsável
•Não compartilhar login
· Utilize Acesso Simplificado (Single
Sign-on) sempre que possível
•Validar regularmente a base de usuários
ativos
•Em caso de desligamento, bloquear os
acessos imediatamente e eliminar conforme política de retenção
•Tenha a política de expiração de usuários
automatizada
Artigo escrito por: Marcos Gomes - Executivo de Segurança e Tecnologia
da Informação
Assinar:
Postagens (Atom)