Brazil High Technology and Innovation

Brazil is a funny country…While having all the usual (and sometimes unique) problems of an undeveloped country, at the same time it achieves and surpasses standards not even achieved by international developed countries. Just focusing in Hight Technology and Innovation, check some examples:

• Brazil has developed technology that allows taxpayers to file their income tax returns electronically; (99% are submitted via the internet);
• Among Brazilian companies, 6,890 have ISO 900 certification, the biggest among developing countries. In Mexico, there are only 300 companies and in Argentina 265;
• The integrated trade control system (known as SISCOMEX) means that almost 100% of import and export procedures are performed electronically;
• Brazil uses a computerized system for balloting and counting votes. In the last presidential and municipal elections more than 119 million voters spread over an area larger than Europe cast their ballots electronically. Counting was concluded in less than 6 hours thanks to the computerized system, ensuring greater transparency and security during elections;
• The number of checking accounts in Brazilian banks has grown to 71.5 million (2000-03). Growing steady since…;
• Brazil shows technological expertise and competitiveness in several productive sectors: from aircraft, electronic voting systems, and software to agro industrial products and commodities;
• Brazil is the second largest market for executive jets and helicopters;
• The total number of phone lines (mobile and fixed) exceeds 100 million. It’s # 4 in the world;
• The cell phone market is the second largest in the world, growing 650 thousand new lines every month;
• 40% of all internet users in Latin America are from Brazil;
• There are 14 different carmakers with factories in Brazil and 4 more with projects approved;
• Steel production broke all records in 2004 (32.9 million tons). Growing steady since…;
• Brazil has the most advanced bank system in the world. Exporting banking technology even to the USA;
• Biodiesel legislation has now been voted to add yet another vector to the Brazilian energy matrix;
• The country boasts the largest and most diversified industrial base in Latin America and the Caribbean.

All this, has increased internal consumption significantly with higher earnings and better income distribution, inevitably resulting in sustained growth, providing private investors with excellent market and investments opportunities.

International technology companies accelerate sales in Brazil.

I noticed that many international technology companies are interested in accelerating its sales in Brazil, most of them, after a slow entrance in this market.

What we can see is that, without any real investment, the Brazilian market represents 3% to 5% of those companies’ global sales and with just being proactive they can quickly grow this figure.

I mention proactive because most companies didn’t really invest to achieve this number. This was achieved by passive internet sales or a small distributor that asked to represent their products in Brazil.

I noticed this trend as some of those corporations are contacting/ engaging my company, CompuStream, to provide an initial market assessment and recommendation concerning the revenue potential, recommended market entry scenario and required organization structure to increase their sales. They want to become active and in control of their local growth.

Alternatively, companies interested in having a trouble-free local presence are hiring us to provide local infrastructure with bilingual personnel, up-to-date office equipment and facilities; promote their products; identify qualified potential distributors; help to comply with the Brazilian import regulations, licensing requirements and other details and answer promptly all inquiries and requests for information relating to their products.

Brazilian Copyright and Software

When international software companies, interested in doing business in Brazil, hire us to develop their market assessment, their initial concern is always related to copyright.

So, just for your information, Brazil’s copyright Law (Law no. 9,610) was enacted in 1998, and Brazilian Software Law (Law no. 9,609) was issued in that same year.

Even though these laws are considered modern, as in many countries, they have shown themselves to be weak in discouraging piracy and protecting authors and owners of copyright.

If we focus on the specific Brazilian Software Laws, it clearly protects, for example, databases and software and guarantee protection for copyright and software irrespective of any registration in Brazil or in any countries, although copyright and software registrations are also available and can be made here.

On the other hand, there is a lack of clarity over the authorship of works produced for hire and no definite statute of limitations for court actions to recover damages for infringement, which the specific statute leaves defined by general rules of the Civil Code (and were most of the discussions and difficulties over copyright matters occurs).

In the criminal field, in July 2003 the Brazilian legislature passed a new law which increased the criminal penalties for copyright infringement, complying with demands of authors and titleholders of copyrights that complained about the lack of more severe penalties for infringers. However, to date, these modifications have had no noticeable effect on reducing copyright infringement…

How to cope with that? Well, Brazil is not the worst country when dealing with copyright protection; the same issue exists in every country so, let us start your business in Brazil and help you protect in any possible way and, if it happens, we will deal with it…

Experimentation is motivating

I am in the business of helping international companies sell or increase its sales in Brazil for some years now and a motivating thing about this business is that, no matter how much experience and knowledge we acquire, we are always experimenting before we start any new project.

In our business, representing a new client typically begins with an effort to select or create one or more possible promotion concepts, which may or may not include the best possible solutions since no one knows what the best solutions are in advance.

These promotion concepts are then tested against an array of requirements and constraints that are unique based on each client need.

This initial effort, we call it trials, yield new information and learning, in particular about aspects of the outcome we did not, or was not able to know or foresee in advance: the initial project misconceptions.

These misconceptions (this is a positive thing at this point since we are not implementing yet) are used to revise and refine the promotion under development, and progress is made in this way toward an acceptable result.

Is like experimenting and developing something new or at least different every time, not just a copy.

This experimentation is what motivates me.

Simplicity is Key to market technology

I think everyone remember some years ago when the dot com fiascos were alleged exploding technology and “virtual engineering mindsets” (or just a whiz kid), thought they were above the old rules of business and beyond the old needs of marketing.

Most of those masterminds thought they deserved success just because they had invented a new high tech whistle, bell or mousetrap, while all we customers could perceive was a simple need dressed as a complex solution.

I learned a lesson in those years while I helped a couple of those companies to market their products in Latin America: No matter how high the technical complexity, the path to simplicity will get you to the customer quicker.

The product or service may be complex, but the motivation to buy it (if you take the trouble to find it) will be simple.

Remember, technology is only a tool that may provide control, choice, convenience and clarity to a basic need we, the customers, have.

The threat on carry-on gadgets and how to cope with it.

If you are a regular traveler, it is impossible not to have noticed the events of the last couple of days when, British security agents uncovered a suspected bomb plot targeting some UK flights traveling to the US and its impact on the international airlines and specially on the passengers.

The consequences of the guidelines issued by the transport and security agencies in both countries, can be felt already in the UK that has already banned all electronic devices such as MP3 players, mobile phones and laptops from hand luggage on all flights departing from the country, while the US has taken the more conservative step of only banning liquids, gels and beverages from in and outgoing flights.

However, given the nature of the threat which is believed to involve liquid explosives that could be triggered by an electronic signal, tight restrictions for carry-on luggage might spread far beyond UK borders since there is already fear that suspected bombers had discovered new ways to evade airport security, with electronic devices playing an important role.

Shipping expensive devices in cabin luggage is believed to substantially add to the risk of such items being stolen or damaged, and could even involve loss of critical or confidential data.

So, be careful with your carry-on gadgets and follow these suggested measures:

1. Do not check in what is obviously a laptop bag. Instead bury your laptop and other devices in another bag with adequate padding.
2. Remove all the data from your hard drive not deemed essential for your trip. The removed data can be carried on your person on a CD or USB stick if it is required at your destination.
3. Get insurance that will cover the loss of expensive devices should they go missing with the rest of your luggage and maintain a list of serial numbers and product specifications.
4. Explore the various methods of authenticating and encrypting data as well as methods of physically securing hardware devices (especially laptops) so they either lock down or call home in the event that they are stolen.

Brazilian Tax System

Answering an e-mail I received requesting information on the Brazilian tax system and, since this is a complex subject, just describing what is relevant, the Brazilian tax system is based on the principle os strict legal reserve.

That means that the jurisdiction to impose taxes is limited to those provided for in the Federal Constitution, and may only be made through ordinary law voted and approved by National Congress (federal taxes), by state legislatures and city councils.

Despite this legal strictness, in relevant and urgent cases, the President of the Republic may impose federal taxes via Provisional Measures, with legal effect, which must be submited to the approval of the National Congress in order to become a law. Provisional measures that are not converted into law within 30 days lose their legal effect.

The Federal Constitution provides for the application of the following taxes:

1) Taxes: these taxes are due regardless of any specific service directly rendered by the government to the taxpayer;
2) Charges: these charges are levied based on police power (regulatory fees) or as counterpart for specific, divisible public services, which are actually rendered or made available to individuals by the government upon request;
3) Improvement Contributions: or betterment fee; these contributions are collected from real estate owners who benefit from public work;
4) Contributions: compulsory levies destined for specific purposes.

The constitutional system is based on three jurisdiction and tax collection levels. The Federal Constitution grants to the federal government, states, Federal District and municipalities differente and independent powers to impose and collect the following taxes specified therein:

a) Federal Government:

- Import Duty (II - Imposto de Importação);
- Export Duty (IE - Imposto de Exportação);
- Income Tax (IR - Imposto de Renda);
- Excise Tax (IPI - Imposto sobre Produtos Industrializados);
- Tax on Financial Operations (IOF - Imposto sobre Operações Financeiras);
- Rural Land Tax (ITR - Imposto Territorial Rural);
- Tax on Personal Wealth (IGF - Imposto sobre Grandes Fortunas). - Not created yet.

The Federal Government has exclusive jurisdiction to impose domain economic intervention contributions and social contributions.

b) States:

- Tax on estate and donation of assets or rights;
- Value-added Tax on Sales and Services (ICMS - Imposto sobre Circulação de Mercadorias e Serviços);
- Vehicle Tax (IPVA - Imposto sobre Propriedade de Vehículos Automotivos).

c) Municipalities:

- Municipal Real State Tax (IPTU - Imposto Predial e Territorial Urbano)
- Property Transfer Tax (ITBI - Imposto sobre a Transmissão de Bens Intervivos);
- Service Tax (ISS - Imposto sobre prestação de Serviços de qualquer natureza)

In addiction to compliance with the principles of legality mentioned above, the Federal Government, states and municipalities are not allowed to:

a) give different tax treatment to taxpayers with similar situations;
b) claim taxes in relation to taxable events occuring before the date of effect of the law by which taxes have been enacted or increased;
c) charge taxes in the same financial year in which the law (that introduced or increased the taxes) was published;
d) use taxes with the purpose of seizing taxpayers' properties (rule of non-confiscation);
e) restrict the trafic of people or goods by way of interstate of inter-municipal taxes.

There is more:

Federal Income Tax:

- Corporate Income Tax (IRPJ - Imposto de Renda Pessoa Jurídica);
- Social Contribution on Net Income (CSLL - Contribuição Social sobre o Lucro Líquido).

...among others.

Hope it helps.

Always check if you have a valid Visa before traveling to Brazil

A common misunderstanding that often occurs to foreign citizens is arriving in Brazil without a valid visa…and not being accepted into Brazil.

So, my advice: ALWAYS CHECK IF YOU HAVE A VALID VISA before traveling to Brazil.

Brazil works with the following types of Visas:

• Transit: you must apply for this type of visa if your trip is not continuous and you are going to travel through Brazil. This transit visa will allow you to enter the country once, are valid up to 10 days and are not extended.
• Tourist: If you are a foreigner and plan to visit Brazil for recreation or tourism, you must apply for this kind of visa. Beware that with this tourist visa you can not remain for an indefinite period since it does not have immigration purposes and you can not engage in paid activities. Check if your country has ratified international treaties with Brazil ensuring reciprocal rights because if your country does not require Brazilians to have visas, you do not need a visa to enter the country either. In this case, your tourist visa will be valid for up to 90 days and can be extended for another 90.
• Temporary: There are some restrictions to apply for a temporary visa. You must be a foreigner coming on:

1. Cultural trip or study mission – Type I visa - valid for a stay up to 2 years;
2. Business trip – Type II visa – 90 days;
3. Artist or sport person – Type III visa – 90 days;
4. Student – Type IV visa – 1 year;
5. Scientist, professor, technician or any other professional under a contract or employment agreement or on Brazilian government service – Type V visa – 2 years;
6. Correspondent of a foreign newspapers, magazines, radios, televisions or news agencies – Type IV visa – 4 years;
7. Religious representative or congregation member – Type VII visa – 1 year.

• Permanent: This type of visa is for foreigners planning to settle and reside in Brazil definitively.
• Courtesy, official and diplomatic visa: These types of visas are granted by the Ministry of Foreign Relations to personnel of foreign embassies, consulates, and international organizations within Brazil.

It is important to clarify that foreigners holding student, transit or tourist visa may not engage in any paid work in Brazil.

If you are a foreign citizen and want to engage in paid activities in Brazil, you must request a temporary or permanent work visa. Which type, temporary or permanent, and the period you will be authorized to stay will depend on the position and the activities you will hold/perform in Brazil.

Internet Domain Names in Brazil

To clarify the domain name and registration issue in Brazil, let’s start by stating the obvious: a domain name is the name a company or individual uses to identify its website.

There were no specific domain name rules in Brazil until 1998 when the Brazilian Internet Management Committee finally published the domain name rules.

Basically, the rules states that a domain name must be registered at FAPESP (check their web site: https://registro.br) and have an extension matching the services a company provides, for example, a commercial company may use the .com extension or, depending on its activities, .ind for industry, .imb for a real state company, while governmental and non-profit agencies must use .gov for government or .org for organization.

Also, to identify that the extension is one that has being registered in Brazil, it must be followed by .br for Brazil. Example: www.compustream.com.br.

Another demand is that if you want to register a domain name in Brazil, you must have a valid registered Brazilian CNPJ number (for companies) or a valid registered Brazilian CPF number (for individuals) plus, an individual representative in Brazil.

If you are a foreign company and don’t have a local registered branch office or operation, you must have an attorney-in-fact (or representative) in Brazil who must also deliver its CNPJ or CPF number with all the needed documentation to FAPESP.

Be careful, among other documents, you must attach a statement (notarized and legalized at a Brazilian Consulate in the company headquarter country) undertaking that the company will begin business in Brazil within the next 12 months….don’t forget to translate these documents using a sworn translator.

Once you have this documentation:

• Check the domain name availability on https://registro.com.br;
• Enroll your company or representative in FAPESP;
• Once enrolled with FAPESP and with the name and password provided in hand, you can register your domain. There are no limits on number of domain names;
• FAPESP will then activate the domain and within two weeks you must provide FAPESP with two DNS (Domain Name System) that will host the site;
• FAPESP will charge you with an annual registration and maintenance fee for each domain name. As in anywhere else, if you fail to pay the annual fee, FAPESP will suspend and cancel the registration.

Hope this really simple explanation will help you.

Trips for business and pleasure are one and the same

A client asked me last week what do I do when I arrive in a different country.
I told him that, when I travel, my mind is always going nonstop, constantly looking for something new. I’d be depressed if a place didn’t pique my curiosity. I always go to the local markets, shopping centers, museums, and places I know locals will attend, because they make me feel part of the places I’m visiting. I usually walk or drive around with no definite destination. The best experiences are those that make you feel immersed in a different culture. They are the ones you’ll remember.

It doesn’t matter if you are traveling for business of for pleasure, it is important to try to understand and adapt to the culture and customs of the country, until a common ground has been established. I always consider that there will be a:

• Different language;
• Different mentality;
• Different life-style;
• Different behavior and customs;
• Different sense of humor;
• Different way to do business;
• Different legal system;
• Different labor system…among others.

My understanding and acceptance of these differences, will be most beneficial in business and personal matters, and will guarantee my success for the venture being considered.

Brazilian Trading Companies

Still discussing the ways to establish your company in Brazil (see yesterday Blog: Steps to Establishing an Office in Brazil), trading companies could be another type of, basically import marketing organization, to set foot in Brazil.

Although principally designed as an export promotion tool, trading companies may play a role in importing through direct purchase or counter trade activities. The operation of Brazilian trading companies is open to foreign as well as to national interests.

In Brazil, trading companies are called "empresas comerciais exportadoras", "companhias comerciais", or "companhias de comercio exterior". They are set up to give small and medium-sized manufacturers the same operational flexibility as large manufacturers in promoting Brazilian exports, especially of non-traditional exports.

Whichever form of market entry is selected, the bottom line for an international companies is to do your homework before entering the Brazilian market.

Common sense and long-term approaches are a good idea too, but, if you are not sure about the way to go, we’re here to help you grow your business in Brazil.

Steps to Establishing an Office in Brazil

Either setting up a company in Brazil or acquiring an existing entity are options for investing in Brazil. Setting up new companies is relatively easy and inexpensive. Acquisitions of existing companies are monitored by the Central Bank (Banco Central).

The more critical issues are usually related to starting a business without a local partner who knows the lay of the land. Selecting the right partner, as in any other country, is also critical. Specific expertise, track record and business ethics are probably the more important issues to be looked at.

Branch offices are difficult to form, whereas corporations (S.A. - Sociedades Anonimas) and limited liability companies (LTDA - Limitadas) are relatively easy to form. Capital registration with the Central Bank is required for access to foreign exchange, capital repatriation and profit remittance.

Office space and personnel is quite expensive in Brazil so we strongly recommend against this exposure, at least in the beginning. Go slowly and carefully. Be absolutely sure you need an office because you will have to staff it.

Brazil's minimal capital requirements are nominal in general, but are significant for establishment of financial institutions. When selecting the site of an investment, potential local investment incentives should be carefully considered, as should tax considerations.

It is important to look at taxes during the evaluation of entry strategies into Brazil. There are several 'waterfalls' of taxes (Impostos em cascata) that need to be applied for the importation, sale and exportation of products in Brazil. Although there are many taxes, they are well-defined and well-known.

It is essential to consider taxes to assess if your products will be competitive in Brazil. Seek help on this, so you can be informed on all specific taxes and find a good customs broker to get products successfully imported. The broker will know or can research what taxes apply, and will fill out all the importation paperwork. Improperly filled out paperwork or the non-payment of applicable taxes can delay products and trigger heavy fines.

Licensing in Brazil

As in other countries, licensing agreements are common forms of accessing the Brazilian market. All licensing and technical assistance agreements, including trademark licenses, must be registered so is very important to talk to a competent local attorneys specialized in structuring such agreements.

A major concern of foreign companies trading with Brazil is protection of intellectual property rights is often inadequate and uncertain. Brazil is a signatory to the Paris, Bern and Universal Copyright conventions on intellectual property rights (IPR) protection.

Most of the country's statutes on IPR are consistent with Western standards. However, serious gaps exist regarding patent protection for pharmaceuticals, trademarks and trade secrets. Legislation is before Brazil's Congress to address most of these issues.

A firm doing business in Brazil must carefully watch its trademark rights. Licensees, distributors, agents and sometimes purchasers will file trademark applications on your firm's trademarks. You should consider using a trademark watch so you will be able to oppose any such trademark application.

Companies established in Brazil are now virtually free to negotiate technology transfer contracts. INPI (Instituto Nacional da Proteção Industrial - http://www.inpi.gov.br/) will no longer express an opinion on the terms on which a company has negotiated a technology transfer agreement. However, contracts still have to be registered with INPI, a process that should take no longer than one month.

Doing Business in Brazil: Market Entry Information

Brazil has recently been occupying a strong role in the international scenario, reactivating commercial agreements and relations with old partners, and reopening relevant issues for discussion on the development of trade goods and services throughout the international community. Although Brazil has always had a “natural vocation” for international partnerships and relations, it can be said that international trade has only recently received greater attention from the Brazilian government as a result of the need to generate resources internally, aiming at a development that is able to promote social integration.

Future investors seeking to take advantage of the opportunities Brazil has to offer are advised to approach with care. Rapid industrial, urban and commercial development has created a labyrinthine legal and tax system witch requires sound professional advice.

Almost any market entry approach is open to international companies seeking to tap into the huge Brazilian market direct sales (import), agents, distributors, partners, joint ventures, licensing or start-ups. The appropriate form depends largely on the product or service, as well as the international experience of the Company and its sales goals.

One important thing, however, is to find and use competent experts on Brazil. In other words, don't go in alone.

All standard international forms of business relationships are recognized in Brazil. It is difficult to freely state which form is most appropriate since it largely depends on the product or service, as well as the maturity of the business and the probable market penetration.

Small companies with financial and manpower restraints usually rely on agents or distributors to sell their products. This form of distribution is most favored by companies that have limited overseas market experience or exposure. There are low investment risks and this form permits penetration into a foreign market which otherwise would be impossible.

A company that has done its due diligence and has invested in a serious market analysis for its products would most likely prefer to enter into a partnership or joint venture. This permits it to have a participation in the development, marketing and growth of the product, and allows it to invest capital or know-how in the venture, maximizing growth potential.

Many times, it is preferable to license the rights to a local manufacturer rather than enter into a possible competitive situation with the local company.

Whichever form of business venture is decided on, in most cases it is best to stay on the conservative side until experience and results are obtained.

It is important to develop a market research. Do your due diligence and homework first! CompuStream can help you with the initial stages of market entry and strategic planning. When ready for implementation, the product will dictate the distribution channel. Basically, the channel that has proven successful in the US or Europe will prove successful in Brazil.

International companies need to do a good situational analysis of the industry and the participants before committing to one approach or another. Qualify people you are doing business with. The decision to use partners or to form joint ventures needs to be the product of thinking about what the company and local participants will each contribute, in terms of reputation, market, and product knowledge, management/ skills, and experience.

Whatever the inclination, it would be most advisable to seek professional help and benefit from the experience in identifying, screening and qualifying potential local parties, in order to make the best decision. CompuStream can help you on that.

Be cautious when selecting your Brazilian partner. Anywhere in the world, you will find people who are very entrepreneurial. Many people will say they can be your agent, distributor or partner, but they may or may not be your best choice. The importance of being there to understand the issues first-hand, assisted by someone objective who is an expert on Brazil, cannot be overstated.

Are you interested in selling your products or services in Brazil?

The business challenge

• Are you facing the prospect of growing your business into Brazil but don’t know where to start?
• Do you need local information to identify your most profitable local markets?
• Do you need local knowledge to build a productive local sales network?
• Do you need help to price your products competitively?
• Do you know what are and how to comply with Brazilian import regulations, licensing requirements and other details?
  

You're not alone

Many CEOs in small and medium sized businesses trying to reach out to the Brazilian marketplace are daunted at the prospect.

Selling to Brazil? Find someone locally to help you.

Find someone that speaks and understands your language... and knows something about your product or, at least, about your market and that will help you:

• make the right connections in Brazil;
• Select final partner candidates;
• Generate Letters of Intent;
• Negotiate partner agreements;
• Create a comprehensive business plan;
• Identify your most profitable local markets;
• Build a productive local sales network;
• Help you price your products competitively;
• Help you comply with Brazilian import regulations, licensing requirements and other details;
• Promote your products;
• Assist you in budgeting realistically for export sales and revenues;
• Ensure you get maximum results from your overseas trips, including visiting trade shows.

I hope that this will help you start or grow your business in Brazil.

Serviços necessários a uma empresa de Consultoria em Segurança da Informação

Quando me propus a montar e estruturar a CompuStream Security, conversei com muitas pessoas, estudei diversos artigos, conversei com fornecedores de soluções e hardware, acompanhei notícias e visitei sites internacionais para encontrar e compor, o que acredito, seja o modelo ideal de uma empresa que presta serviços de consultoria em segurança da informação.

Após várias combinações, apresento aqui os serviços necessários a uma empresa de Consultoria em Segurança da Informação (e oferecidos pela CompuStream Security):

1. Análise e desenvolvimento de Políticas de Segurança com base na ISO/IEC 17.799: 2005; composto por:

1.1 Diagnóstico de Vulnerabilidades e Conformidade: é o mapeamento e análise de todo o fluxo de informações e da infra-estrutura de TI com foco em acessos, falhas de segurança, pontos vulneráveis a ataques, serviços oferecidos, aplicativos, equipamentos de redes e sistemas operacionais, dentre outros, propondo soluções para a sua correção e/ ou eliminação.

1.2 Desenvolvimento de Política de Segurança: é o desenvolvimento e implementação da Política de Segurança com base em normas e padrões de gestão internacionais de segurança (NBR ISO/IEC 17.799:2005), considerando as características gerenciais, operacionais e culturais de cada empresa. A Política de Segurança é o conjunto de diretrizes, normas e procedimentos que devem ser seguidos com o objetivo de conscientizar e orientar os funcionários, clientes, parceiros e fornecedores sobre como gerenciar, distribuir e proteger as informações e ativos da empresa.

2. Soluções de Segurança; composto por:

2.1 Projeto de Segurança: é a instalação e configuração de todas as ferramentas (software e hardware) e serviços (procedimento e treinamento) necessários para o suporte e gerencia da Política de Segurança da empresa, incluindo sistemas de firewall, criptografia, autenticação, sistemas de monitoração de disponibilidade e integridade, detectores de intrusão, redes seguras e todas as demais ferramentas de segurança necessárias.

2.2 Plano de continuidade: é o desenvolvimento e preparação dos procedimentos e estruturas necessárias para que a empresa retorne as suas atividades, no menor tempo possível, em caso de desastre. Os desastres podem se apresentar de diversas maneiras, entre elas, incêndio, explosão, inundação, roubo, sabotagem, crime eletrônico, corte de serviços, entre outros e devem ser tratados de acordo com seu impacto no negocio da empresa.

3. Verificação e Auditoria periódica da Segurança: é a avaliação diária, semanal ou mensal da segurança, realizada local ou remotamente, acompanhando e analisando imagens, acessos, configurações e Logs, identificando problemas e tomando as medidas corretivas necessárias. Este serviço é gerenciado através de sistema de Help-Desk ativo, que registra todo o atendimento, mantendo e disponibilizando um histórico das ações realizadas.

É importante destacar que apresento apenas serviços de segurança da informação, não entrando em soluções do tipo hardware e software, já discutidos em um artigo anterior.

Processo disciplinar na violação da Segurança da Informação

Um tema que gera polêmica em muitas empresas é o de como proceder com a pessoa responsável quando existe uma violação da segurança da informação.

Como acredito que ninguém goste de sancionar uma outra pessoa (bom...tem alguns que gostam, mas esse não é o assunto do artigo), é importante realizar uma verificação prévia para confirmar de que a violação realmente ocorreu.

Ainda, antes de crucificar o indivíduo, é importante identificar se o funcionário sabe que está cometendo uma violação e acompanhar para medir a freqüência em que a violação ocorre.

Verificar se sabe é bastante óbvio, contudo, muitas vezes, se esquece de informar, treinar ou estabelecer o desempenho desejado e esperado das pessoas. Não sendo este o caso, devemos acompanhar e medir a freqüência para estabelecer se o mesmo se repete, o que constitui, caso este sabe que está cometendo uma violação, um ato de má fé.

Além disso, o acompanhamento irá fornecer informações e evidências para o caso de, após um incidente de segurança da informação, ser necessário entrar com uma ação legal (civil ou criminal) contra uma pessoa ou organização.

Apenas para ilustrar, sem entrar no detalhe, as evidências de violação devem abranger: a admissibilidade da evidência, ou seja, se a evidência pode ser ou não utilizada na corte e; a importância da evidência, que está relacionada à qualidade e inteireza da evidência.

Voltando para o processo disciplinar, uma vez confirmado a violação e decidido proceder com a sanção, é importante que este assegure um tratamento justo e correto aos funcionários que são suspeitos de cometer tais violações.

Para isso, o processo disciplinar deve dar uma resposta de forma gradual, que leve em consideração fatores como a natureza e a gravidade da violação e o seu impacto no negócio.

Devesse observar também, se este não é o primeiro delito, se o infrator foi ou não adequadamente treinado, as legislações relevantes, os contratos do negócio e outros fatores conforme requerido.

Em casos sérios de má conduta, é importante que o processo permita, por um certo período, a remoção das responsabilidades, dos direitos de acesso e privilégios. Ainda, dependendo da situação, devesse solicitar à pessoa que saia imediatamente, de preferência escoltada, das dependências da organização.

A divulgação do processo disciplinar, guardados os devidos direitos do indivíduo, deve ser usada como forma de dissuasão, para evitar que outros funcionários, fornecedores e terceiros também violem as políticas de segurança da informação.

Devo reconhecer e acrescentar também que, dependendo do caso, será um prazer sancionar a pessoa...

Segurança das Telecomunicações

Antes de discutir a segurança das telecomunicações é importante conceituar, para efeito deste artigo, telecomunicações. Telecomunicações é todo instrumento capaz de servir de veículo para a transmissão de dados, voz ou informações de interesse.

Com esta definição, todas as maneiras de telecomunicações são englobadas, como por exemplo: telegrama, fax, transmissão de voz (telefone, rádios, etc), transmissão de imagens (satélites, circuitos fechados de TV, etc) e transmissões digitais (e-mail, workflow, etc). Ainda nesta definição, apesar de não ser o foco de preocupação deste artigo, se encaixa também o mensageiro ou motoboy e as cartas.

Basicamente, nas telecomunicações, o maior problema de segurança é a violação das transmissões, o que chamamos de interceptação. O resto é conseqüência.

Por este motivo, vou focar nas medidas e procedimentos para prevenir, detectar, evitar e neutralizar a interceptação.

Antes de discutir medidas e procedimentos, vou segmentar a segurança das telecomunicações em categorias para facilitar a compreensão. A segurança das telecomunicações pode ser categorizada como:

Segurança dos meios: é a segurança dos meios de transmissão;
Segurança da transmissão: é a segurança dos tipos de transmissão;
Segurança do conteúdo: é a segurança do teor da transmissão;
Segurança dos componentes: é a segurança dos diversos itens que participam ou emanam das transmissões;
Segurança da recepção: é a segurança da recepção das transmissões.

Visando proteger a segurança das telecomunicações, devemos então analisar medidas e procedimentos para cada uma destas categorias por separado (apesar de que muitas ações se apliquem a mais de uma categoria), ficando assim:

Segurança dos meios:

• Escolha locais adequados para a instalação dos equipamentos;
• Estabeleça controles de acesso e de rotinas para utilização;
• Caso possível tenha apenas um operador específico;
• Realize o controle de manutenção, reparação, substituição e obsolescência;
• Defina procedimentos e meios de segurança das estações e antenas de transmissão e retransmissão;
• Instale bloqueadores, alarmes, circuito fechado de TV;
• Limite o universo de usuários.

Escolha de locais:

• Selecione locais evitando que estes estejam suscetíveis à ação das intempéries (chuva, vento, etc) ou às condições que prejudiquem seu desempenho (umidade, calor, etc);
• Selecione locais que possibilitem o controle de acesso, de utilização, da manutenção, do monitoramento, etc.

Segurança da transmissão:

• Para este, cada caso é um caso, contudo, caso possível utilize: scramblers, saltos de freqüência, criptologia, entre outros.
• Estabeleça rotinas para transmissões e tráfego.

Segurança do conteúdo:

• Parecido à Segurança da transmissão;
• Utilize Criptografia;
• Utilize regras de uso definindo quem pode fazer o que, quando e em que circunstancias;
• Estabeleça procedimentos para usuários, agentes, operadores, determinando parâmetros de conduta;
• Estabeleça rotinas para transmissões e tráfego.

Segurança dos componentes:

• Estabeleça regras de controle de acesso a qualquer item que possa permitir acesso aos sistemas que permitem realizar, manter ou avaliar a informação ou o conhecimento nas transmissões;
• Estabeleça uma análise sobre as condições técnicas e operacionais dos sistemas de transmissão;

Segurança da recepção:

• Defina procedimentos e medidas de verificação da idoneidade, identidade e fidedignidade das origens e das fontes, da veracidade dos conteúdos, de sua pertinência, importância e de sua precedência.

Isto deverá ajudá-lo a aumentar a segurança nas suas telecomunicações.

Ainda, para realmente garantir a segurança das (tele) comunicações, se certifique dos antecedentes criminais e da saúde financeira de seus mensageiros e Motoboys.

IP Spoofing – levando gato por lebre

Para definir o termo, spoofing (do termo em inglês spoof ou mascarar em português) significa fingir ser o que você não é. Este é o motivo do título, do popular, gato por lebre.

Dentro da área de Tecnologia da Informação (TI), como sempre mais refinada nas suas definições, IP spoofing é uma técnica de subversão de sistemas informáticos que consiste em mascarar (ou spoof) pacotes IP com endereços de remetentes falsificados.

Para dar um exemplo, um dos tipos de spoofing mais sofisticados é o ataque e alteração da relação nome/IP nos servidores DNS (Domain Name Servers). Neste caso, o endereço registrado no servidor DNS, por exemplo, www.nomedodominio.com.br e associado ao número IP 200.228.142.38 é alterado para um novo número IP 200.227.144.12 (ambos endereços IP são exemplo). Com isso qualquer pessoa tentando acessar o site www.nomedodominio.com.br estará sendo redirecionado para o novo endereço IP (falso).

Para facilitar, isto seria como trocar a placa do número da sua casa pela do seu vizinho com o objetivo de receber a nova TV que você já sabe que ele comprou.

Além desta, entre outras mais criativas, existe outra no qual um indivíduo mal intencionado se apropria do IP de um usuário que está conectado a uma determinada página da Internet e, desta maneira, rouba a sessão e o encaminha para um site falso.

Para evitar o spoofing, existem vários métodos, como a aplicação de filtros de pacotes, filtro ingress nos gateways, filtro egress e até mesmo o uso de um bom firewall, entre outros.

O assunto é bastante complexo e extenso...

Na biometria, as pessoas viram chaves de acesso.

Pode parecer estranho, mas é bem provável que você já utilizou a biometria para ser identificado.

Não se assuste, a biometria já é bastante utilizada nos controles de acesso e identificação por impressões digitais. Existe atualmente em alguns prédios inteligentes, academia de ginástica, aeroportos, etc.

Contudo, uma adição à biometria que conhecemos está se tornando cada dia mais comum; são as imagens faciais, da íris e a geometria da mão, entre outras, que podem ser usadas como meios de identificação ou verificação em procedimentos de liberação de acesso ou comprovação de identidade.

Esta nova tecnologia funciona através da combinação de duas características de um indivíduo para garantir uma identificação mais precisa; por exemplo, associa características anatômicas combinadas com características comportamentais, como a assinatura, a voz ou o padrão de datilografar em um teclado.

Um dos métodos mais comum é o do reconhecimento facial, que hoje se encontra em plena transição de um método 2D para um método 3D, o que fará ser mais seguro.

Ele funciona da seguinte maneira: Para autenticar uma pessoa, suas características pessoais são escaneadas (tirasse uma fotografia digital em 2D ou 3D dependendo da tecnologia) e comparadas com os dados armazenados em uma base de dados. O objetivo é determinar se a pessoa e os dados combinam.

Os sistemas biométricos são sistemas que realizam uma verificação ou uma identificação. A identificação, objetiva determinar a identidade de uma pessoa, enquanto a verificação, objetiva confirmar ou refutar se a identidade é da pessoa.
O princípio da identificação biométrica é o mesmo em todos os sistemas, independente da sua tecnologia (digital, íris, face, etc). O usuário deve, em primeiro lugar, registrar no sistema as suas propriedades biométricas. Estas são então gravadas e convertidas em registros de dados.

O conceito é bastante simples, por exemplo, se o usuário quiser passar por uma verificação, o sistema compara os dados atuais com os dados armazenados.
Focando a segurança, basicamente os sistemas biométricos permitem controlar o acesso às áreas da segurança com maior precisão.

A vantagem da autenticação biométrica é que reduz o risco da informação ser intencionalmente ou involuntariamente roubada, porque as características de um indivíduo, físicas ou comportamentais, são únicas e associadas diretamente a uma pessoa. Além disso, sempre se associa a estas características um determinado prazo de validade.
Além de permitir controles de acesso para instituições físicas, uma identificação digital pode ser usada também para controle de acesso lógico, como por exemplo, para aplicações de comércio ou bancários pela Internet.

Um exemplo deste tipo de identificação pode ser associado a uma assinatura eletrônica que pode fazer parte da proteção de uma transação bancária, por exemplo, um pagamento de uma conta pela Internet. Através deste, a autenticação biométrica assegura-se de que a chave da assinatura esteja ativada de acordo com a da assinatura Digital.

A descrição acima é apenas para dar uma idéia do conceito.

Preciso de ajuda para gerir a segurança da informação de minha empresa?

Como afirmam os gurus da administração, a melhor maneira de esclarecermos algo que a nosso ver é complexo, é através de perguntas.

É por este motivo que o título deste artigo foi escrito como uma pergunta e a seguir relaciono outra série de perguntas que o ajudarão a responder a primeira.

As perguntas não seguem nenhuma ordem ou seqüência específica, mas abordam os aspectos mais importantes na segurança da informação:

• Sua empresa atende aos requisitos legais necessários?
• Suas informações estão seguras?
• Quer diminuir ou eliminar a possibilidade de fraudes eletrônicas, espionagem, sabotagem, vandalismo, incêndio e inundação?
• Precisa proteger as infra-estruturas críticas do negócio?
• Seus usuários e terceiros conhecem e aplicam procedimentos de segurança?
• Você sabe onde sua empresa é vulnerável?
• Você sabe quais informações devem ser protegidas e quais não tem tanta necessidade?
• Sua equipe está preparada para atender questões de segurança e de confiabilidade?
• Existe uma integração entre todas as áreas de sua empresa de modo a mapear os riscos?
• Existe compromisso para com a segurança da informação por parte da alta gerência?
• Faltam procedimentos apropriados?
• Você sabe qual solução de segurança sua empresa precisa?

Está claro? ...

Necessidade de testes e atualizações regulares dos planos e processos de Disaster Recovery Planning

Falar de Disaster Recovery Planning (DRP), pressupõe já ter um plano de Segurança da Informação, pois este faz parte do mesmo.

Um plano de Segurança da Informação nada mais é do que um plano desenvolvido com base em uma análise detalhada da operação da empresa e da sua segurança e é constituído por duas análises; do risco e do impacto no negócio e de dois planos; o de desastre e o de continuidade.

Para que esse plano seja realista e na hora H sirva para alguma coisa, deve ser estruturado e desenvolvido considerando cinco fases distintas que costumo chamar de: inspeção, prevenção, detecção, reação e reflexão.

Inspeção é a avaliação das necessidades de segurança da organização e seu nível atual de preparação;
Prevenção são as ações pro ativas e preventivas de redução de risco para evitar uma possível interrupção do negócio;
Detecção é o momento em que ocorre o risco. É o indicador de reação para minimizar imediatamente as perdas ocorridas com um incidente ou com a interrupção do negócio;
Reação é o plano emergencial a ser implantado quando o incidente de segurança ocorra. Também chamado de DRP – Disaster Recovery Planning;
Reflexão é a avaliação e análise post-mortem e o conjunto de modificação no plano com base nas lições aprendidas.

Em poucas palavras, posso dizer que o DPR só é utilizado se todas as ações de prevenção não funcionaram e algo deve ser feito de imediato para minimizar a interrupção das atividades do negócio.

Utilizando uma definição mais elaborada, o objetivo do DRP é: não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso.

O DPR é um plano ou processo de contingência e para seu desenvolvimento deve-se levar em conta algumas premissas:

1) Entender os riscos a que a organização está exposta, no que diz respeito à sua probabilidade e impacto no tempo, incluindo a identificação e priorização dos processos críticos do negócio;
2) Identificar todos os ativos envolvidos em processos críticos de negócio;
3) Entender o impacto que incidentes de segurança da informação provavelmente terão sobre os negócios e sobre o processamento da informação;
4) Considerar a contratação de seguro compatível que possa ser parte integrante do processo de continuidade do negócio, bem como a parte de gestão de risco operacional;
5) Identificar e considerar a implementação de controles preventivos e de mitigação;
6) Identificar os recursos financeiros, organizacionais, técnicos e ambientais suficientes para atender aos requisitos de segurança da informação;
7) Garantir a segurança de pessoal e a proteção dos recursos de processamento das informações e dos bens organizacionais;
8) Detalhar e documentar os planos de continuidade do negócio que contemplem os requisitos de segurança da informação alinhados com a estratégia atual do negócio;
8) Testar e atualizar constantemente os planos e processos implantados;
9) Garantir que a gestão da continuidade do negócio esteja incorporada aos processos e estruturas da organização.

Desta lista, motivo do título, gostaria de destaca a importância do “testar e atualizar constantemente os planos e processos implantados” que, infelizmente, é esquecido na maioria das organizações.

Não vou entrar no mérito mas, podemos afirmar, que isso ocorre por diversos motivos, como por exemplo: é trabalhoso, toma muito tempo, falta recursos humanos parar se dedicar, não preparamos os controles necessários, a auditoria ainda vai demorar a voltar, outras prioridades operacionais, etc.

Apesar destas desculpas, é de suma importância o teste e a atualização dos planos já que, caso não sejam realizados, a recuperação do desastre pode não ser efetiva e todo este trabalho ter sido feito em vão.

Se você não consegue fazer o teste e a atualização do plano com a devida freqüência usando recursos internos, contrate alguém que o faça, mas não deixe de realizá-lo.
Seu negócio depende disto.

Segurança e tratamento de mídias

Uma falha temível de segurança, sim temível, é a relacionada com o descarte de mídias que não são mais utilizadas.

Apenas parar esclarecer o que são mídias, elas são quaisquer meios magnético, ótico ou de papel que contenham informações. Geralmente são associadas a disquetes, CD’s e fitas, mas podem ser até um simples pedaço de papel.

As mídias são importantes, pois, em determinado momento, imaginou-se armazenar alguma informação para uso posterior ou para distribuição; ou seja, naquele momento era importante que a informação fosse guardada.

Contudo, uma prática comum, é o das pessoas descartarem mídias que ainda contenham informações importantes. Os motivos podem ser vários, como, por exemplo, confundir-se e jogar no lixo um CD contendo informações importantes devido a não ter anotado a descrição ou algum indicativo do que existe gravado nele.

Contudo, neste exemplo, jogar o CD no lixo por descuido não caracteriza a temível falha na segurança. O que caracteriza este ato como temível é sequer haver pensado em quebrá-lo ou inutilizá-lo raspando ou arranhando as trilhas ao longo da superfície de dados do CD antes de jogá-lo.

Como sabemos, as informações (arquivos, senhas, planilhas, cartas, e-mails, fotos, etc) contidas nessas mídias podem conter “algum bem de informação” que, no passado ou no presente, sejam importante e que podem ser usadas por pessoas mal intencionadas.

Só para dar um exemplo, se dentro deste CD existir um arquivo do topo Word contendo uma senha, e esta senha for quebrada, a mesma poderá servir de base para se descobrir outras senhas deste usuário ou da empresa, já que as senhas da maioria das pessoas estão relacionadas e seguem um mesmo padrão.

Parar evitar que isso ocorra, preste atenção e aplique estes cuidados para todas as mídias da empresa que contenham bens de informação, sejam elas em meio magnético, ótico ou papel:

1. Guarde em lugar seguro e adequado à mídia, de acordo com as especificações do fabricante;
2. As que forem transitar para fora das instalações da empresa devem ter as suas saída registrada e a garantia de sua chegada ao destino. Além disso, devem ser embaladas de forma adequada, para garantir a sua integridade;
3. As mídias em meio magnético ou ótico devem ser identificadas externamente, quanto ao seu conteúdo, indicando, quando necessário, o prazo de retenção e observações sobre a mesma;
4. Quando forem descartadas, devem ser apagadas e/ ou destruídas através de trituração ou incineração.

Tenha estes cuidados independentemente do conteúdo da mídia, ou seja, um CD de música que já não lhe interessa deve passar pelo mesmo procedimento de um CD contendo o relatório da previsão das vendas dos próximos 12 meses.

Com isso, o procedimento se torna natural e se incorpora a sua rotina.

Classificação e Controle de ativos

Hoje em dia, é alta a preocupação com a segurança dos bens de informação utilizados pelas empresas.

Por este motivo, diretrizes são desenvolvidas e constantemente atualizadas com o objetivo de garantir esta segurança. Estas diretrizes levam o nome de PSI – Política de Segurança da Informação.

Como a função da PSI é proteger a informação de diversos tipos de ameaças, garantindo assim a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócio, muito se tem focado na importância das informações de uma empresa e da sua classificação como o ativo mais importante da mesma.

Contudo, na prática, todos os ativos de uma empresa são importantes já que existe uma interdependência entre eles e, se alguns falharem por terem sido menosprezados, os efeitos desta falha podem causar problemas ao ativo de informação.

Por esse motivo, dois passos são fundamentais no gerenciamento de ativos:

1. O mapeamento do fluxo e do relacionamento entre ativos e informação;
2. A classificação e o controle dos ativos e das informações

No primeiro, é importante mapear o relacionamento entre os diversos ativos da organização para entender seu relacionamento, dependência e efeito. Contudo, não vou discutir neste artigo o mapeamento e sim a classificação e o controle dos ativos.

Para efeito de uma PSI os ativos devem ser agrupados da seguinte maneira:

1. Os ativos de informação são os dados contidos em Bancos de Dados, os dados contidos em arquivos convencionais, a documentação de sistema, a documentação de softwares básicos e de apoio e os planos de continuidade;
2. Os ativos de software são os programas fonte, os jobs, as ferramentas de apoio ao desenvolvimento, os softwares básicos e de apoio e os utilitários;
3. Os ativos físicos são os equipamentos computacionais (microcomputadores, notebooks, etc.), equipamentos de comunicação (controladoras, roteadores, modens, switchs, etc.), dispositivos de entrada e saída (discos, fitas, impressoras, etc.);
4. Os ativos de infra-estrutura são os no-breaks, os geradores de eletricidade alternativa, os quadros elétricos, os equipamentos de refrigeração, etc.

Para cada grupo de ativo, é feito um inventário contendo pelo menos as seguintes informações:

1. Ativos de informação: nome do ativo, proprietário, custodiante, usuário, localização, mídia;
2. Ativos de software: nome do ativo, fornecedor ou quem desenvolveu, proprietário, custodiante, localização, mídia;
3. Ativos físicos: nome do ativo, fornecedor, proprietário, custodiante, localização e capacidade;
4. Ativos de infra-estrutura: nome do ativo, fornecedor, proprietário, custodiante, localização e capacidade.

Para todos os grupos de ativos, também é feita uma classificação quanto à sua criticidade e, especialmente para o ativo de informação, deverá ser feita uma classificação adicional, quanto ao seu sigilo.

A classificação quanto a criticidade obedecerá aos seguintes critérios:

1. Muito alta, quando a perda do ativo provocar parada total das atividades de TI;
2. Alta, quando provocar perda parcial, de mais de 70% das atividades de TI;
3. Média, quando provocar perda parcial, entre 30 e 70% das atividades de TI;
4. Baixa, quando provocar perda parcial, abaixo de 30% das atividades de TI;
5. Muito baixa, quando não provocar paradas na atividade de TI.

A classificação quanto ao sigilo obedecerá aos seguintes critérios:

1. Confidenciais – informações para conhecimento de um grupo reduzido de usuários. Geralmente são informações de caráter pessoal;
2. Restritas – informações de caráter setorial e para conhecimento de grupo reduzido de pessoas;
3. Internas – informações pertencentes à empresa. Uma informação pode ser interna e restrita ou confidencial ao mesmo tempo;
4. Públicas – informações que podem ser acessadas por qualquer usuário.

Isto é apenas uma das primeiras classificações e controles que devemos estabelecer na PSI com o objetivo de garantir a segurança da informação.

Para se ter segurança, no mínimo, devemos ter desenvolvido uma PSI - Política de Segurança da Informação.

Todo departamento de TI (Tecnologia da Informação) de uma empresa que afirma ter segurança nas suas informações, deve ter desenvolvido, no mínimo, uma PSI – Política de Segurança da Informação.

Resumindo, a PSI é o conjunto das diretrizes necessárias à preservação e segurança dos bens de informação utilizados por uma empresa.

Podemos definir como bens de informação, os seguintes componentes da TI:

• Sistemas aplicativos desenvolvidos e adquiridos;
• Softwares básicos e de apoio;
• Dados;
• Hardware;
• Instalações físicas;
• Equipamentos de infra-estrutura;
• Documentos em papel.

Conforme definição da norma NBR ISO/ IEC 17799:2000, a informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e conseqüentemente necessita ser adequadamente protegida.

A segurança da informação tem por objetivo proteger a informação de diversos tipos de ameaças, para garantir a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócio.

Ainda segundo a norma, a informação pode existir em muitas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou através de meios eletrônicos, mostrada em filmes ou falada em conversas. Seja qual for a forma de apresentação ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.

Para se conseguir a mencionada proteção, a informação deve ser primeiro caracterizada pela preservação da:

1. Confidencialidade, que é a garantia de que a informação é acessível somente a pessoas com acesso autorizado;
2. Integridade, que é a salvaguarda da exatidão e completeza da informação e dos métodos de processamento;
3. Disponibilidade, que é a garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes, sempre que necessário.

Com base nestas, a segurança da informação é obtida a partir da implementação de uma série de controles, que podem ser políticas, prática, procedimentos, instruções de trabalho e funções de software.

Estes controles precisam ser implementados para garantir que os objetivos de segurança específicos da empresa sejam atendidos e seus riscos reduzidos ou eliminados.

Os riscos típicos que a PSI pretende eliminar ou reduzir são:

1. Revelação de informações sensíveis;
2. Modificações indevidas de dados e programas;
3. Perda de dados e programas;
4. Destruição ou perda de recursos computacionais e instalações;
5. Interdições ou interrupções de serviços essenciais;
6. Roubo de propriedades.

Com base nesta rápida explicação, agora você entende o porque da afirmação: Para se ter segurança, no mínimo, devemos ter desenvolvido uma PSI - Política de Segurança da Informação.

A necessidade imediata das empresas são os controles de segurança e não a certificação ISO 17799/ 27000.

Muitas empresas não têm a necessidade ou a possibilidade de participar do processo de certificação ISO 17799 e da nova série ISO 27000.

O que elas precisam e querem mesmo é utilizar os controles e a experiência acumulados na norma, para diminuir de forma eficiente, possíveis ameaças às informações e assim minimizar seus danos comerciais.

Como todos sabem, existe uma grande euforia causada por pressões de mercado e, muitas vezes, pelos próprios órgãos certificadores pela devida certificação.

Contudo, os motivos para a certificação ISO 17799/ 27000, no caso de TI, já não é tão clara quanto quando se falava em ISO 9000.

A justificativa utilizada hoje gira em torno de que a certificação é uma importante demonstração pública de que a empresa utiliza uma sistemática homologada para o gerenciamento de riscos. Além disso, é complementada com uma pitada de “terrorismo psicológico” com o cumprimento da Sarbanes-Oxley (SOX).

Não me levem a mal, acredito ser válida a certificação, mas não imperativa já que considero a certificação como uma conseqüência natural de um sistema de gestão da segurança bem implementado, funcionando e aceito por todos os envolvidos.

Por este motivo, é mais importante utilizar a norma como base para o rápido desenvolvimento e implantação de um Information Security Management System (ISMS), ou Sistema de Gerenciamento da Segurança da Informação (as empresas que usam a ISO 17799/ 27000, certificadas ou não, acabam por desenvolver automaticamente um ISMS), que garanta um bom nível de segurança sobre os aspectos do hardware, do software e das pessoas, do que a preocupação com controles, auditorias, declarações de aplicabilidade, documentos e atestados de certificação.

Então, não perca tempo. Adquira e use de imediato a norma ISO/ IEC 17799 ou a 27000 para identificar os pontos de partida para se desenvolver uma gestão de segurança da informação, realista e eficaz, para sua empresa.

Premissas para adotar uma política de segurança com base na ISO/ IEC 17799:2005.

Todos sabem que a informação são ativos importantes para o sucesso nos negócios.

Hoje, a maioria das informações encontra-se gravadas em sistemas eletrônicos dentro de computadores, servidores, mídias de backup e redes.

Infelizmente muitos sistemas de informação não foram projetados para serem seguros e dependem de meios técnicos, de gestão e de procedimentos apropriados para evitar sua exposição a ameaças.

No tocante à gestão e procedimentos, a identificação de controles a serem implantados requer um planejamento cuidadoso e devem ser desenvolvidos atendendo às premissas descritas abaixo.

Qualquer que seja o controle, ele deve:

• Definir, alcançar, manter e melhorar a segurança da informação nas atividades essenciais da empresa para assegurar a competitividade, o fluxo de caixa, à lucratividade, o atendimento aos requisitos legais e a imagem da organização junto ao mercado;
• Diminuir ou eliminar a possibilidade de fraudes eletrônicas, espionagem, sabotagem, vandalismo, incêndio e inundação;
• Proteger as infra-estruturas críticas ao negócio;
• Estabelecer procedimentos apropriados e legais que vão de encontro aos credos (princípios) da organização;
• Conseguir o compromisso e apoio das pessoas envolvidas (funcionários, acionistas, terceiros, fornecedores, clientes, outros);

Ter em mente estas premissas o ajudará a direcionar e determinar as ações apropriadas e as prioridades para o gerenciamento dos riscos da segurança da informação e na implementação dos devidos controles para a proteção destes riscos.

Lei No. 11.280/06 permitirá ampliar o uso de Certificados Digitais

O Brasil, como muitos outros países do mundo, não consegue se modernizar com a velocidade necessária quando o assunto são as leis que tratam da Economia Digital.

Contudo, no dia 16 de fevereiro, foi sancionada pelo presidente Luiz Inácio Lula da Silva, a Lei nº 11.280/06, a quinta do pacote de reforma infraconstitucional do Poder Judiciário, já aprovada pelo Congresso em 2005.

A sanção desta lei é um passo importante na modernização do judiciário e na ampliação do uso de certificados digitais.

Os certificados digitais são como carteiras de identidade virtuais que certificam que o servidor está criptgrafando os dados pelo protocolo SSL.

O SSL (Secure Socket Layer) é um protocolo suportado pela maioria dos servidores e browsers e trabalha em dois níveis de complexidade: 40-bit e 128-bit. Esses valores se referem ao tamanho da chave criada para criptografar a seção.

As de 128-bit, mais fortes, são recomendadas para aplicações que exigem um grau muito alto de segurança, como as de comércio eletrônico.

Várias empresas comercializam esses certificados de segurança e os preços variam.

É bom lembrar que os certificadoos de segurança são vendidos apenas para empresas.

As principais empresas que comercializam estes certificados são:
VeriSign: http://www.verisign.com/
Thawte: http://www.thawte.com/
GlobalSign: http://www.globalsign.net/
Entrust: http://www.entrust.com/
CertSign: www.certsign.com.br (deverá ser fornecido o número do CNPJ)

A nova legislação, altera o Código de Processo Civil, que passa a vigorar com a seguinte redação:“Parágrafo único. Os tribunais, no âmbito da respectiva jurisdição, poderão disciplinar a prática e a comunicação oficial dos atos processuais por meios eletrônicos, atendidos os requisitos de autenticidade, integridade, validade jurídica e interoperabilidade da Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil" (ver íntegra da Lei 11.280/06).

Estes certificados representam ferramentas fundamentais para o crescimento da Economia Digital e, por conseqüência, para o desenvolvimento sustentável do país.

Continuidade do negócio e o seguro financeiro

Todo negócio, prejudicado por uma brecha na segurança da informação, não pode permitir que ocorra interrupção das atividades, devendo estar preparada para proteger de imediato os processos críticos contra os efeitos de falhas ou desastres.

Para isso, ações de prevenção e proteção, desenvolvidas com base nos processos de gestão da continuidade do negócio devem ser implementados com o objetivo de evitar a falha ou, caso ela ocorra, minimizar o impacto/ efeito da mesma (exemplo: recuperar os ativos da informação).

É importante que estas ações sejam desenvolvidas considerando uma análise prévia dos processos críticos do negócio para que sua implementação garanta que, no mínimo, as operações essenciais do negócio sejam restauradas com a maior brevidade possível.

Além disso, a gestão da continuidade do negócio deve incluir controles que identifiquem e reduzam os riscos de reincidência.

Contudo, não podemos garantir com essas ações o prejuízo financeiro e, por esse motivo, um seguro pode minimizar o seu efeito.

Um seguro, muito comum no mercado europeu é o seguro contra a fraude eletrônica. Este seguro, protege as empresas contra o roubo de valores, falsificação de documentos e dinheiro (exemplo: transferências eletrônicas de recursos indevidas), entre outras.

No ano passado (2005), a Superintendência de Seguros Privados (Susep), disponibilizou no Brasil o Seguro Contra Fraudes Corporativas, devido ao crescimento acelerado dos casos de fraudes eletrônicas e golpes de funcionários nas empresas brasileiras.

Infelizmente, até o momento, este seguro só está disponível para empresas com faturamento anual acima de R$ 500 milhões....para poucos....ora; é um começo!!

Definição e Estatísticas sobre Spam

Para cada pessoa, spam pode ter um significado diferente. Contudo, uma boa definição para efeito deste artigo é: “um e-mail não solicitado, normalmente com objetivo comercial, enviado a um grande número de endereços de e-mail”.

Esta definição pode ser vista por dois lados, o spam e-mail é realmente comercial ou é um vírus ou phishing scam mascarado como um spam e-mail.

Olhando do ponto de vista do e-mail comercial, o spam nem sempre é ruim já que pode estar divulgando a promoção de um produto de seu interesse e, por este motivo, é muito bem vindo. Por outro lado, um spam e-mail com o mesmo objetivo promocional, mas de um produto que realmente não lhe interessa, pode ser mal visto e causar um sentimento de invasão.

Ainda dentro da nossa definição, existe um outro tipo de e-mail que pode ser considerado spam e que gera sentimentos contrários nas pessoas; são os e-mails de piadas, contos, frases, divertidos, filmes, propagandas, políticos, sacanagem, etc, enviados por amigos e parentes. Muitas vezes são bem vindos, mas, parar dizer o mínimo, as vezes o pessoal exagera.

Não vou abordar o outro ponto de vista, ou seja, de vírus e phishing scams mascarados de spam e-mails, pois este ninguém aprecia mesmo.

Para se ter uma idéia do que os spam e-mails representam, apresento aqui algumas estatísticas que recebi hoje em um e-mail spam comercial da CA:

Fatos e Estatísticas sobre spam (traduzido do Inglês):

• Pesquisas indicam que entre 40% e 82% de todos os e-mails recebidos por uma pessoa, são não solicitados e indesejáveis;
• Com base no relatório do Anti-Phishing Working Group de Agosto de 2005, o país sediando (hosting) o maior número de sites de phishing naquele mês, eram os Estados Unidos;
• 13.776 foi o número reportado de phishings somente no mês de Agosto(1);
• 30% de todos os spam é disparado ou enviado sem conhecimento da pessoa, de PC’s residenciais ou de home-offices(2);
• Dois terços dos spam são falsos ou enganosos e violam a lei(3);
• A CNET divulgou que os consumidores classificaram o spam como o problema mais invasivo enfrentado por eles atualmente(4);
• 23% dos usuários de computadores residenciais receberam pelo menos uma tentativa de phishing via e-mail nas últimas duas semanas(5);
• 63% dos usuários de e-mail disseram ter recebido um spam pornográfico, comparado com 71% no ano anterior(6);
• O custo calculado em perda de produtividade por causa de spam nos Estados Unidos alcançou os US$ 21.58 bilhões por ano(7);
• A porcentagem de usuários que:
• Abrem o spam para ver seu conteúdo é de 14%;
• Fazem uma varredura para eliminar spam de suas contas de e-mail pelo menos uma vez por semana é de 68%;
• Recebem pelo menos 40 e-mail spam por dia é de 78%(8).

Observações: 1. Fonte: APWG, 8/05 - 2. Fonte: FTC - 3. Fonte: FTC - 4. Fonte: CNET - 5. Fonte: AOL/NCSA, 12/05 - 6. Fonte: Pew Internet and American Life Project, April 2005 - 7. Fonte: PC Magazine, 9/6/05 - 8. Fonte: PC Magazine, 9/6/05

Níveis de Segurança na Seleção dos RH

Como todos sabem, o organograma da empresa compreende diferentes níveis e funções.
Para cada um destes níveis, diferentes pessoas têm acesso e/ ou são responsáveis por dados ou informações que, dependendo da sua importância, podem ser classificadas como “segredos do negócio”.

Por este motivo, o preenchimento de tais funções exige não só uma seleção mais apurada, como também, um acompanhamento contínuo do comportamento e do desempenho da pessoa a fim de prevenir atitudes que possam provocar danos ao negócio.

Uma seleção mais apurada consiste em assegurar que os funcionários, fornecedores e terceiros antes mesmo da contratação, entendam suas atribuições e responsabilidades. Isto pode ser feito através das descrições de cargos e dos termos e condições de contratação. Além disso, é importante que todos sejam adequadamente analisados (financeiro e criminal), especialmente em cargos com acesso a informações sensíveis.

Ainda, para todos os casos, acordos sobre seus papéis e responsabilidades com a segurança da informação devem ser assinados.

Após a contratação, devemos nos assegurar de que estes estejam conscientes; das ameaças e preocupações da empresa em relação à segurança da informação, das suas responsabilidades e obrigações em relação a segurança da informação e, principalmente, qual é a política de segurança da informação adotada pela organização.

Não podemos esquecer que deve ser fornecido a todos, um nível adequado de conscientização, educação e treinamento nos procedimentos de segurança da informação e no uso correto dos recursos de processamento das mesmas. O objetivo deste é minimizar os riscos e garantir a segurança.

Como complemento, convém que exista e seja apresentado um processo disciplinar formal que trate das violações de segurança da informação.

Por último, não podemos esquecer de estabelecer procedimentos para o caso de um funcionário, fornecedor ou terceiro deixar a organização.

Neste caso, é importante que a saída seja feita de modo controlado e que sejam observados procedimentos, entre eles, de devolução de todos os equipamentos e de retirada de todos os direitos de acesso.

Requisitos de segurança na aquisição de sistemas de informação

Os sistemas de informação incluem sistemas operacionais, de infra-estrutura, aplicações de negócios, produtos de prateleira e aplicações desenvolvidas pelo usuário.

Contudo, muitas empresas ao comprar ou desenvolver um determinado sistema destinado a apoiar o processo de negócio, não leva em conta que a sua implementação pode ser crucial para a segurança da informação.

Muitas falhas de segurança se encontram “embutidas” nos sistemas desenvolvidos ou adquiridos e podem permitir a ocorrência de erros, perdas, acessos e modificações não autorizados ou até o mau uso das informações. Por este motivo, é importante que antes da implementação de novos sistemas de informação os requisitos de segurança sejam identificados e testados.

Para dar um exemplo, o Windows XP da Microsoft®, disponibiliza o Windows Update que oferece as mais recentes atualizações de segurança e outras atualizações importantes, além de drivers de dispositivo e outros recursos disponíveis parar computadores com Windows. O mesmo deve ser considerado nos outros sistemas a serem utilizados.

Mudando este exemplo e pensando em um produto que não seja comprado na “prateleira”, é importante que um processo formal de aquisição e testes seja realizado e que o contrato com o fornecedor leve em consideração os requisitos de segurança estipulados pela empresa.

No caso em que funcionalidades de segurança de um produto não satisfaçam os seus requisitos, é importante que seja realizada uma análise do risco que está sendo introduzido, considerando também os controles necessários para minimizá-lo antes de se efetivar a compra do produto.

Por outro lado, quando novas funcionalidades são incorporadas ao sistema e percebesse que estas acarretam riscos à segurança, convém que as mesmas sejam desativadas ou que a estrutura de controles proposta seja analisada criticamente para determinar se há vantagem na utilização das funcionalidades em questão.

Esta prevenção, não só evita os problemas de segurança mencionados anteriormente como também minimiza custos já que, problemas identificados no estágio anterior à implementação, são muito mais baratos de solucionar do que aqueles identificados posteriormente.

Prioridade na Segurança da Informação

São muitas as empresas que hoje prestam serviços especializados na Segurança da Informação. Contudo, a grande maioria das empresas são integradores/ distribuidores de produtos de informática que, como não poderia deixar de ser, priorizam as soluções que protegem a informação que trafega e/ ou é armazenada nos servidores e computadores de seus clientes, como única maneira de se garantir a segurança.

Do meu ponto de vista, apesar desta ser uma etapa importante da segurança da informação, se os sistemas não estiverem totalmente desprotegidos ou correndo risco iminente de ataque, considero a proteção da informação através de soluções computacionais, o último passo em um projeto de segurança.

Apenas para esclarecer, a informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for à forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.

Segurança da informação é a proteção da informação através da disseminação do conceito de segurança contra vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócios.

A política da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isso seja feito com outros processos de gestão do negócio.

Como podemos ver, um projeto de segurança da informação deve partir do princípio de que a informação encontra-se distribuída dentro da empresa em vários níveis e locais físicos, não somente em computadores e, por esse motivo, a identificação destes requer um planejamento cuidadoso e uma grande atenção aos detalhes.

Para isso, o mapeamento e a análise de todo o fluxo de informações e da infra-estrutura de TI com foco em acessos, falhas de segurança, pontos vulneráveis a ataques, serviços oferecidos (terceiros), aplicativos, equipamentos de redes e sistemas operacionais, dentre outros, devem ser estudados junto com o desenvolvimento e implementação de uma Política de Segurança com base em normas e padrões de gestão internacionais de segurança (NBR ISO/IEC 17799), considerando as características gerenciais, operacionais e culturais de cada empresa.

A Política de Segurança é o conjunto de diretrizes, normas e procedimentos que devem ser seguidos com o objetivo de conscientizar e orientar os funcionários, clientes, parceiros e fornecedores sobre como gerenciar, distribuir e proteger as informações e ativos da empresa.

Como podem ver o desenvolvimento desta fornecerá as diretrizes para a implantação das corretas soluções de segurança computacional.

Segurança Eletrônica Física

Os sistemas de segurança da informação não devem englobar apenas a informação, mas também a segurança dos ativos da empresa.
Para isso, devemos complementar software e aplicativos que focam exclusivamente a informação armazenada em computadores, com equipamentos e serviços voltados ao setor de Segurança Eletrônica Física, que abrangem as áreas de análises de riscos, projetos, instalação, manutenção e monitoramento eletrônico.

Compões a Segurança Eletrônica Física, os seguintes equipamentos e serviços:

Firewall, roteadores e servidores: Instalação e configuração completa de Firewall, roteadores e servidores, entre outros, com teste de todos os serviços necessários, testes de vulnerabilidades e de disponibilidade. Avaliação de todo o ambiente Internet e de sua topologia e configuração.

Alarmes monitorados: Através de terminais de alarme se gerencia todo o sistema de segurança, sensores de movimento, sensores de abertura, detectores de fumaça, detectores de quebra de vidro, teclados, sirenes, luzes estroboscópicas, cercas eletrificadas, botões de emergência, etc.

Sensores: através de sensores de movimento, abertura, quebra de vidros, entre outros, realizamos a detecção de uma condição de alarme. Os sensores do sistema informam a condição de alarme ao terminal que promove o disparo de sirenes locais e simultaneamente a comunicação do evento a uma central de monitoramento 24 horas.

Circuito fechado de TV: Este sistema possibilita o acompanhamento de áreas remotas, identificando possíveis problemas ao mesmo tempo em que também funciona como inibidor de ações de agentes externos e internos. As câmeras são posicionadas conforme a necessidade local e a conveniência do cliente com a possibilidade de gravação. O sistema pode ser ponto a ponto, isto é, um monitor para cada câmera, ou composto por seletores/ multiplexadores apresentando várias imagens no mesmo monitor.

Circuito fechado digital: O sistema digital fechado possui todos os recursos dos sistemas convencionais analógicos, com a grande vantagem de eliminar fitas cassetes, pois armazena imagens de alta resolução em HD, diminuindo sensivelmente a necessidade de manutenção do sistema. As imagens podem ser rapidamente localizadas devido à facilidade de indexação de data e hora. Este sistema permite também a visualização remota das imagens por intermédio de redes locais LAN/ WAN e Internet.

Controle de acesso: Denominasse controle de acesso ao processo limitador de entrada a determinadas áreas ou horários, somente a pessoas autorizadas. O sistema requer que as pessoas autorizadas identifiquem-se a um leitor ou teclado, reduzindo a possibilidade de roubos, eliminando chaves e problemas mecânicos com fechaduras. Para tanto são necessários dispositivos tipo catraca (barreiras) como fechos eletromagnéticos, cancelas, cartões de proximidade, leitoras de cartões, teclados, placas controladoras e opcionalmente software específicos para gerenciamento do sistema.

Proteção perimetral: Destinado á segurança patrimonial sua função básica é conter o acesso de intrusos á área protegida, provendo choques elétricos ou acionamento de sirenes no local e/ou enviando um sinal para uma central de monitoramento.

Minimize o risco de invasão

Existem indivíduos que se dedicam a enganar pessoas para conseguir o que desejam. Esta prática, comúm na nossa sociedade, recebe vários nomes, como por exemplo; furto, roubo, ludibriar, extorção, invasão, surrupiar e, na área de informática, como não poderia deixar de ser, adotou-se um nome pomposo: "Engenharia Social".
As formas de Engenharia Social variam. Vai desde o simples furto da senha deixada pelo usuário num post-it colado na parte de baixo do seu teclado (local óbvio) até ataques a servidores através da conexão direta de um laptop em uma sala de reuniões da empresa em um ponto de rede sem segurança.
Contudo, com o advento das redes sem fio (wireless), os Engenheiros Sociais não precisam mais se arriscar tanto, nem estruturar grandes planos para invadir uma rede. Muitas destas redes se encontram abertas para qualquer um que quiser invadí-las.
Isso ocorre porque, na maioria das vezes, quem instala estas redes não se preocupa em criptografálas ou, no mínimo, alterar a senha padrão de acesso.
Por este motivo, para evitar que invasões aconteçam, pequenas mudanças de comportamento podem fazer toda a diferença em manter seu computador livre de invasão e, por consequência, dos principais tipos de ameaça virtual.
Inicie criptografando (WPA-Wi-Fi Protected Access ou SSL-Security Socket Layer) sua rede. Isso é fácil através do proprio aplicativo/software que vem junto do equipamento. Escolha sempre a criptografia máxima disponível (Exemplo SSL de 128 bits) digitando chaves que, apesar de difíceis, você consiga lembrar mais tarde. Não repita senhas utilizadas em outros aplicativos, nem senhas que possam ser associadas a você, tipo: nome do filho, data do casamento, etc.
Além disso, mude a senha padrão do fornecedor. Todo equipamento vem com username e senha padrão, como por exemplo; username: admin e senha: password.
Faça o recomendado acima e irá dificultar invasões evitando que outras pessoas sirvam-se de sua conexão com a internet.
Por último, consulte regularmente o site do fabricante em busca de atualizações de drivers de segurança.

A distribuição de vírus de computador para fazer o bem.

Muitas vezes somos levados a acreditar que o mundo virtual (da Internet) é um mundo perigoso, onde os hackers e crackers dominam e que tudo que fazemos neste meio está sendo observado por alguém com más intenções.

Contudo, ao parar para pensar, isso é muito parecido com os perigos que vivemos no mundo real, o que me leva a imaginar; o mundo virtual pode ser imaginado como um mundo paralelo, onde sofremos os mesmos medos e apreensões.

Por outro lado, não podemos nos esquecer de que na vida real, também nos divertimos, estudamos, conversamos e temos vidas saudáveis e normais e que, da mesma maneira, isso também acontece no mundo virtual, onde existem sites e chats para se divertir, estudar, conversar e tudo o mais que fazemos no mundo real.

Por isso, da mesma maneira que no mundo real existem pessoas preocupadas com o bem e a ordem, no mundo virtual, também não poderiam faltar estas pessoas.

São pessoas isoladas ou em comunidades, oriundas de universidades, da indústria, técnicos, peitos em segurança, advogados, policiais, entidades civil e militar, organizações de proteção à privacidade, ente outras, que tem por objetivo unir esforços contra o “mal”, ou melhor, contra o desenvolvimento e a proliferação de códigos maliciosos.

Uma destas organizações do “bem” (bastante conhecida) é a http://www.eicar.org/, onde pessoas e organizações das mais variadas formaram uma comunidade que participa e discute a segurança da informação, divulgando informações atualizadas sobre vírus, eventos, curiosidades e links, ente outros, que o manterão atualizado a respeito do que acontece no universo virtual da segurança da informação. Como em toda comunidade, você também pode se associar e participar.

Um tópico interessante desta comunidade é a disponibilidade de alguns códigos maliciosos (conhecidos) para download, que tem o objetivo de ajudá-lo a melhorar a segurança da sua informação através do teste das soluções de firewal e dos softwares Anti-Virus, Anti-Spam, Anti-Adware, entre outros, que você possui.

É importante salientar que realizar o download dos vírus é por sua conta e risco e que o EICAR não se responsabiliza por qualquer dano ou prejuízo causado pelos mesmos.

Por este motivo, para evitar problemas, antes de fazer o download dos vírus, leia os avisos sobre segurança e assegure-se de que seu computador e sua rede estão protegidos por firewal e softwares Anti-Virus, Anti-Spam, Anti-Adware, etc, e de que estes últimos estejam com suas últimas atualizações.

Como no mundo real, no virtual realize sempre o bem...

O jargão utilizado na Segurança Virtual

Qualquer leigo participando de uma conversa entre pessoas da área de informática costuma ficar perdido, ou pior, na maioria das vezes, não entende nada. Isto piora caso a discussão seja relacionada com segurança da informação.
O motivo é muito simples, no mercado da Tecnologia da Informação, além de se utilizar muitas expressões derivadas da língua inglesa, tenta-se associar ocorrências do mundo virtual com termos do mundo real, o que confunde a cabeça de qualquer pessoa, até do próprio pessoal de informática.

Para exemplificar uma destas associações, convencionou-se chamar os programas maliciosos com o nome de vírus. Este termo, vírus, foi criado em 1983 pelo Sr. Fred Cohen, um engenheiro elétrico norte-americano formado pela University of Southern Califórnia que, durante uma palestra, comparou os prejuízos causados aos computadores pelos programas de códigos maliciosos aos danos à saúde humana provenientes dos vírus tradicionais. Daí para frente, o termo pegou rapidamente entre a comunidade tecnológica.

Para piorar, o próprio vírus parece que se multiplicou o que fez com que o vírus do mundo da informática se dividisse em grupos, sendo estes: trojans, worms e os próprios vírus tradicionais (ou códigos maliciosos de onde se originou o nome) que podem, da mesma forma que os anteriores (trojans e worms), se dividir em mais dois grupos: vírus de boot e vírus de programa. No final, a confusão é tão grande que mais parece uma praga.

Então, para ajudá-lo a entender o que estão dizendo, não dar vexame e ainda, causar uma boa impressão numa conversa sobre o assunto, tente decorar os seguintes termos/palavras:

BOT
Ameaça híbrida que reúne funções de worm – uma vez que se propaga automaticamente ao explorar vulnerabilidades pela Internet – e programa espião – ao controlar remotamente o computador afetado. Equipamentos atacados passam a atuar como zumbis, sendo utilizados para ações como ataques em massa a sistemas.

CAVALO-DE-TROIA
Software nocivo que se passa por um programa legítimo para iludir o usuário, infectar sistemas e abrir as portas do computador para hackers e crackers.

DoS
Do inglês Denial of Service (negação de serviço). Estratégia de ataque utilizada por hackers e crackers que consiste em disparar um grande número de requisições a um sistema, tornando-o indisponível.

KEYLLOGER
Ferramenta que captura as seqüências de teclas digitadas pelo usuário do computador contaminado e as envia para criminosos pela Internet.

MALWARE
Termo genérico utilizado para identificar os programas que realizam atividades prejudiciais ao equipamento ou às informações dos usuários.

PHISHING SCAM
E-mail não solicitado que tenta convencer o destinatário a fornecer dados pessoais em sites falsos ou mesmo a baixar programas que sirvam para o roubo de dados, como números de contas e senhas bancárias.

ROOTKIT
Pacote de programas criado para camuflar softwares e garantir a ação de um hacker ou cracker em um PC vulnerável.

SPAM
Correio eletrônico não solicitado. Inicialmente, era apenas uma ferramenta para a divulgação de produtos e serviços, mas se transformou na principal forma de disseminação de pragas e golpes virtuais.

SPYWARE
Programa destinado a coletar informações sigilosas e a monitorar o comportamento do usuário de um computador invadido. Ao se conectar à Internet, os dados são enviados a terceiros.

VÍRUS
Utilizado popularmente para classificar todo tipo de praga virtual, o vírus é, tecnicamente, um programa capaz de se propagar com a inserção de cópias de si próprio em outros softwares e arquivos.

WORM
Palavra que, em inglês, significa verme, o worm é uma ameaça capaz de se propagar automaticamente por redes como a Internet. Ao contrário dos vírus, não insere cópias de si próprio em outros programas.

Sarbanes-Oxley (SOX) e a importância da área de Tecnologia da Informação

Muitos devem ter ouvido falar do SOX (Sarbanes-Oxley), a mais conhecida regulamentação imposta a empresas que tenham ações negociadas na bolsa de valores Norte Americana, em decorrência dos inúmeros escândalos financeiros ocorridos nos Estados Unidos nos últimos anos.
Apenas esclarecendo, em linhas gerais, o atendimento desta regulamentação requer a comprovada introdução de controles que assegurem que os resultados financeiros apresentados ou divulgados ao público sejam estritamente corretos.
Como nosso assunto é segurança da informação, esta regulamentação pressupõe uma variedade de controles por parte da área da Tecnologia da Informação (TI) que permitam gerenciar o acesso seguro a aplicativos e sistemas.
Para se ter uma idéia, não é suficiente restringir o acesso aos sistemas e aplicativos; uma empresa precisa também poder provar, a qualquer momento, quem teve acesso a que sistema e/ ou informação e quando esse acesso foi liberado.
Sem ser muito específico a respeito das regras desta regulamentação (não vou discorrer sobre o SOX), podemos perceber como a área de TI é crítica para assegurar o atendimento (compliance) as regras do SOX.
Contudo, em muitas organizações, o foco inicial tem sido restrito exclusivamente aos departamentos de finanças e jurídico, deixando que a área de TI seja, quando muito, encarada como uma área de suporte.
O problema que encontro nesta abordagem é óbvia já que, o controle dos processos e a segurança/ integridade das informações, ambos gerenciados por TI e assuntos de suma importância nesta (também em outras) regulamentações, não são itens que podem ser desenvolvidos e incluídos rapidamente a posteriori. Estes, ao contrário, devem ser pensados, discutidos e incluídos imediatamente, como parte dos novos padrões e processos que a empresa irá utilizar para realizar seus negócios, independente da área/ departamento.
Para isso, somente através de uma ativa mudança na postura do “como” a empresa enxerga e visualiza a importância da área de TI e dos seus controles, na segurança da informação, no atendimento às regras do SOX e principalmente, na estratégia da organização.
Se analisarmos os riscos descritos no SOX, estes vão desde inconvenientes financeiros e perda de negócios por má reputação, até a prisão de seus executivos.
Por este motivo, decidir o momento e o papel de TI na implementação do SOX é, para muitas empresas, da máxima urgência e seriedade.

Espionagem Digital

Dentro do leque de armamentos disponíveis para criminosos digitais, existem os spywares, programas que vasculham seus dados pessoais e os transmitem a outras pessoas, entre eles, hackers ou crackers.
Basicamente, estes programas se instalam na máquina do usuário e realizam o monitoramento contínuo da navegação (Internet), da digitação (teclado) ou das senhas digitadas, registrando os assuntos de interesse para serem enviados à empresa ou ao hacker que o desenvolveu.
Estes spywares podem ser do tipo adware, na sua maioria composta por anúncios ou propagandas indesejadas, exibidas na tela do usuário e instaladas no micro através de falhas na segurança do navegador ou de visitas a sites do tipo: pirataria, pornográficos, download de programas, etc; ou pior, através de spams (mensagens eletrônicas enviadas sem autorização do usuário) ou hoaxes (boatos infundados espalhados via e-mail) recebidos no seu e-mail pessoal que ao serem ativados através dos links encontrados nos e-mails infestam sua máquina.
O intuito deste bombardeio pode ser variado; alguns têm o simples propósito de congestionar a Internet, outros tem o intuito de ludibriar as pessoas levando a que as mesmas danifiquem arquivos ou o próprio computador, outros apenas causam o transtorno de constantemente aparecerem na tela, outros lotam a caixa postal (e-mails), outros deixam a máquina lenta (devido ao constante envio de informações parar fora do PC) e os mais perigosos invadem a privacidade do usuário e divulgam suas informações pessoais (espionagem digital).
Uma vez, independente do processo, de posse das informações, é estabelecido o perfil do usuário e começa um bombardeio de envio de mais adware, spams ou hoaxes ou pior ainda, aparentemente não acontece nada, sua máquina fica lenta para abrir programas e arquivos, enquanto suas informações são ininterruptamente enviadas parar alguém.
Como os adware, hoaxes e spams não são considerados crime no Brasil, não será através do uso da “lei e da ordem” que vamos nos livrar destes incômodos. Para isso, necessitamos nos armar com softwares anti-adware e anti-spam com o objetivo de, no primeiro, varrer constantemente a memória e os arquivos de programas a procura de adware (é importante mencionar que programas de anti-adware gratuitos não realizam a varredura automaticamente precisando que o usuário o acione a cada tanto) e no segundo, fazer o bloqueio e filtragem de todas as mensagens recebidas através do seu e-mail antes de baixá-las na caixa de entrada.
Outros procedimentos importantes são: tentar evitar navegar por sites “suspeitos”, nunca deixar seu e-mail pessoal ao preencher formulários na Internet, nunca clicar em links do tipo “retire seu nome da lista X” e constantemente/ diariamente atualizar seu anti-adware e anti-spam.