Reduzindo a vulnerabilidade das suas senhas conforme a norma técnica

senha

Quer fazer um teste em sua empresa? Determine que os funcionários devem alterar suas senhas a cada 45 dias. Elas vão abrir uma guerra contra os os gestores de segurança da informação, quer apostar? A resistência a mudanças é tão grande que os funcionários sempre vão travar um verdadeiro duelo contra a política de segurança da informação.

É lógico que as empresas não falam sobre isso na campanha de conscientização ou na divulgação da política de segurança da informação, mas a empresa cria a regra sobre alteração de senha para atender aos requisitos de uma auditoria externa. São raríssimos os casos em que a organização define este tipo regra para melhorar a segurança.

Atualmente, há senhas do internet banking, do e-mail pessoal, do corporativo, da rede, da intranet, da rede social, do programa de mensagens instantâneas, cartão do banco, do blog, etc. Para ajudar ainda mais, a organização solicita que você crie uma nova senha complexa. Ou seja, deve contar letras maiúsculas e minúsculas, números e caracteres especiais.

No mundo moderno um problema sério se chama senhas. O maior pesadelo dos usuários – e dos profissionais – de TI. Sua função é que quem está acessando aquele recurso seja, de fato, quem solicitou acesso, mas, na prática, elas se tornam uma tremenda dor de cabeça. Por quê? Porque as pessoas tem aversão a tudo que envolva lembrar, decorar ou, em geral, aprender.

As pessoas não gostam de senhas, e isso se mostra de várias formas. Nos bancos, a maior parte dos atendimentos ocorrem porque um cliente, geralmente idoso, teve seu cartão bloqueado por ter digitado a senha incorreta três vezes. Uma pessoa que usa uma rede social, ao perder sua senha, em geral, ao invés de seguir os procedimentos padrões de recuperação, preferirá criar outro perfil.

Enfim, os problemas de segurança relacionados à senhas (ou à falta delas) são incontáveis e, certamente, não se resolverão da noite para o dia. São o reflexo de uma sociedade alienada vítima de um governo que, ao invés de investir na melhoria da qualidade da educação, prefere abrir cotas para os menos possibilitados de entrar no ensino superior.

A NBR 12896 de 11/1993 – Tecnologia de informação – Gerência de senhas fixa procedimentos a serem adotados para reduzir a vulnerabilidade das senhas nestas circunstâncias. A segurança oferecida por um sistema de senhas depende de estas senhas serem mantidas secretas durante todo o tempo em que estiverem em uso.

Assim, a vulnerabilidade de uma senha ocorre quando ela for utilizada, armazenada ou distribuída. Em um mecanismo de autenticação baseado em senhas, implementado em um Sistema de Processamento Automático de Dados (SPAD), as senhas são vulneráveis devido a cinco características básicas de um sistema de senhas, a saber: uma senha inicial deve ser atribuída a um usuário quando este for cadastrado no SPAD; os usuários devem alterar suas senhas periodicamente; o SPAD deve manter um banco de dados para armazenar as senhas; os usuários devem se lembrar de suas respectivas senhas; e os usuários devem fornecer suas respectivas senhas em tempo de conexão ao SPAD.

Os assuntos tratados nesta norma incluem as responsabilidades do Administrador de Segurança do Sistema (ASS) e dos usuários, a funcionalidade do mecanismo de autenticação, e a geração de senhas. Os aspectos relevantes são: os usuários devem estar aptos a alterar suas respectivas senhas; as senhas devem ser preferencialmente geradas pelo SPAD, em vez de o serem pelo usuário; o SPAD deve fornecer aos usuários informações sobre suas conexões ao ambiente. Por exemplo: data e hora da última conexão.

O ASS é responsável por gerar e atribuir a senha inicial para cada identidade de usuário. A identidade e a senha que lhe foram atribuídas devem, então, ser informadas ao usuário. Para evitar a exposição da senha ao ASS, ou anular uma exposição ocorrida, podem ser utilizados os métodos a seguir.

Evitando a exposição; há métodos que podem ser implementados para evitar a exposição da senha ao ASS, após esta ter sido gerada. Uma técnica é imprimi-la num formulário múltiplo selado, de maneira que não seja visível na página facial do formulário. O ASS deve manter, em local seguro, a guarda do formulário, até que este seja entregue ao usuário.

Neste caso, a senha é gerada aleatoriamente pelo SPAD, não sendo determinada diretamente pelo ASS. O formulário contendo a senha deve estar selado para que esta não seja visível e não possa tornar-se visível, sem a quebra do selo.

Um outro método, para evitar a exposição da senha, é o usuário estar presente no processo de geração desta. Neste caso, o ASS deve iniciar o processo de geração da senha, deixar que somente o usuário tenha acesso a esta e destrua a informação apresentada. Este método não se aplica a usuários em terminais remotos. Qualquer que seja o método utilizado para a distribuição de senhas, o ASS deve ser notificado do recebimento destas, dentro de um período de tempo predeterminado.

Anulando a exposição: quando a senha inicial for exposta ao ASS, esta exposição deve ser anulada por um procedimento normal de troca imediata desta senha pelo usuário, considerando que este procedimento não torne também a nova senha exposta ao ASS. Quando a senha inicial não for protegida de exposição ao ASS, a identidade do usuário deve ser considerada pelo sistema como tendo uma “senha expirada”, a qual requer que o usuário efetue procedimento de troca de senha (ver 4.2.2.3) antes de receber autorização para acessar o sistema.

Atribuição do nível de segurança: quando houver necessidade de compartimentar os direitos de acesso dos usuários, devem ser atribuídos níveis de segurança (por exemplo: “confidencial”, “reservado”, “secreto”) às senhas. A atribuição dos níveis de segurança é feita pelo ASS.

A norma inclui alguns Anexos: Anexo A – Determinação do comprimento da senha; Anexo B – Algoritmo de geração de senhas; Anexo C – Proteção básica para senhas; Anexo D – Algoritmo de cifração de senhas Anexo E – Procedimento para o uso em aplicações muito sensíveis; e Anexo F – Probabilidade de adivinhação de uma senha.

Material escolar: até 47,49% de impostos

A chegada do ano novo traz também a preocupação com a lista do material escolar. Como a educação é um dos itens que mais causam impacto no orçamento familiar, antes de sair às compras, os pais devem pesquisar os melhores preços, visto que  em alguns itens a  carga tributária equivale a quase metade do preço do produto, como a caneta, que tem  47,49% de impostos e a régua com 44,65%.

Em outros itens da lista os impostos também são salgados: o consumidor terá de desembolsado aos cofres públicos, pagando os tributos federais, estaduais e municipais,  em uma cola (42,71%), em um estojo (40,33%), em uma lancheira, (39,74%), no fichário (39,38%) e no papel sulfite (37,77%).

Quanto aos livros didáticos, apesar de  possuírem imunidade de impostos, a incidência de encargos sobre a folha de pagamento e o sobre o lucro da sua venda, faz também com que tragam uma carga tributária de 15,52%.

De acordo com o presidente do IBPT, João Eloi Olenike, “o Brasil é um dos poucos países do mundo que tributam a educação, e esse fator certamente dificulta o acesso dos brasileiros ao conhecimento e à boa formação. Se a tributação incidente sobre os materiais escolares não fosse tão elevada  a educação seria muito mais acessível aos consumidores”.

Resistência à crise

CURSO TÉCNICO

Aterramento e a Proteção de Instalações e Equipamentos Sensíveis contra Raios: Fatos e Mitos – Disponível pela Internet

Luiz Gonzaga Bertelli

Muitas áreas são afetadas pelo processo de desaceleração da economia. O comércio e a produção industrial são os primeiros a sentirem o impacto negativo. A população sente os efeitos principalmente com o aumento do desemprego e da inflação. Alguns setores, no entanto, sentem mais do que outros. há também aqueles que crescem em momentos de crise. Historicamente, os contadores, por exemplo, costumam manter ou até aumentar o faturamento nesses períodos. Existem também carreiras nas quais a demanda social é tão grande que nem as sequelas da crise é capaz de recrudescer.

Esse é o caso das áreas de tecnologia. As empresas do setor e startups continuam no sentido inverso da crise, mantendo o nível de crescimento. Isso porque, cada vez mais, as empresas necessitam de investimentos em tecnologia para amenizar os efeitos da crise. Tecnologia da informação (TI), por exemplo, é uma carreira em que os jovens podem apostar sem medo. Muitas organizações reclamam da falta de mão de obra qualificada para essa profissão. O gap, segundo entidade de classe que representa a profissão, fica em torno de 100 mil profissionais.

A área de saúde também promete boas perspectivas a longo prazo, já que o envelhecimento da população é num fato marcante para as estatísticas dos próximos anos. Mesmo em tempos de crise, as famílias procuram resistir aos cortes nas despesas com saúde, principalmente pela qualidade a desejar dos serviços públicos no setor. O segmento representa boa fatia do Produto Interno Bruto (PIB) e deve continuar a atrair investimentos.

Quanto à educação, a crise trouxe um forte impacto nas universidades privadas, por causa do enxugamento de recursos do governo federal para os programas de financiamento estudantil, como o Fies. Muitos alunos não tiveram condições de pagar as mensalidades no ensino superior e desistiram do curso. Mesmo assim, a área deve continua aquecida em razão da estrutura precária que ainda existe no país. Faltam professores de disciplinas mais técnicas, como matemática, física e química e há uma necessidade de investimentos nas áreas de licenciatura.

Com o dólar em alta, sobem também as expectativas para oportunidades de exportação de produtos agrícolas e manufaturados. O agronegócio também sentiu o impacto da crise com os insumos e tecnologias importadas. Nas atividades de produção de carne e produtos florestais, no entanto, seguem em alta.

A dica para os jovens é não desanimar em épocas de crise. Elas costumam passar e quem estiver melhor preparado terá mais oportunidades de sucesso na profissão. Por isso, fazer bons cursos, apostar em língua estrangeira e informática, além de investir em programas de estágio e aprendizagem, são boas opções de qualificação para o mercado de trabalho.

Luiz Gonzaga Bertelli é presidente do Conselho de Administração do CIEE, do Conselho Diretor do CIEE Nacional e da Academia Paulista de História (APH).