Dá para medir a eficácia da segurança da informação em sua empresa?

Os criminosos digitais estão cada vez mais querendo acessar as empresas e a segurança da informação, nesse contexto, passa a ser um ponto de extrema importância ligada à estratégia corporativa. Para se ter uma ideia, estima-se que o número de ataques cibernéticos aumentou entre 30 e 40% na América Latina nos últimos anos.

Assim, para garantir um bom nível de segurança, é fundamental ter uma infraestrutura robusta. Portanto, deve-se investir em vários aspectos: arquitetura, design de um esquema de proteção, operações e práticas seguras, além de uma boa gestão de riscos.

Quanto à arquitetura, pode-se pensar na análise do projeto de uma prisão ou de uma base militar. Sempre se deve levar em consideração qual é a finalidade de um edifício. Ele abrigará réus de alta periculosidade? Que informações e objetos ficarão dentro de uma área militar?

O sistema precisa ser projetado como um todo, já que ele é formado por um conjunto de componentes que devem ser protegidos individualmente. Uma infraestrutura segura leva em conta um design geral da solução sem deixar de prestar atenção à proteção dos dados. Dessa forma, há uma segurança específica para cada um dos elementos: servidores, computadores, a rede, os componentes de comunicação, etc.

Ao configurar um serviço ou registrar um usuário, essas ações estão relacionadas a uma interação com um sistema e também devem ser feitas com segurança. Uma pessoa pode até ter um automóvel extremamente seguro e equipado com os melhores acessórios de segurança, mas acabará sofrendo um acidente se dirigir bêbado ou ultrapassar o limite de velocidade da via.

É preciso considerar as boas práticas que estabelecem qual é a melhor forma de atuar na maioria dos casos e das vezes. Precisa-se saber como são essas boas práticas e adotá-las para ter uma referência de aprimoramento.

Todas as empresas são diferentes. Cada setor tem suas próprias ameaças e exposições a riscos específicos. Por isso, é importante contar com uma referência. Quais seriam as circunstâncias de uma pequena e média empresa? Depende da área de atuação e da importância das informações com as quais essa empresa trabalha. Traçar um panorama de riscos gera certeza na hora de avaliar até que ponto deve-se otimizar o sistema e o que é preciso priorizar.

Quanto à computação na nuvem, possibilita a realização de operações seguras por causa de sua arquitetura e de seu design de soluções. A arquitetura da nuvem assemelha-se a uma fortaleza. Ela já fica armada e as operações e configurações são feitas pelo provedor, motivo pelo qual há menos exposição aos riscos.

E pode-se medir a eficácia de todo esse sistema?A NBR ISO/IEC 27004 de 04/2010 – Tecnologia da informação – Técnicas de segurança – Gestão da segurança da informação – Medição fornece as diretrizes para o desenvolvimento e uso de métricas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e dos controles ou grupos de controles, conforme especificado na NBR ISO/IEC 27001. Esta norma é aplicável a todos os tipos e tamanhos de organizações.

O usuário deste documento precisa interpretar corretamente cada uma das formas verbais das expressões fornecidas (por exemplo: “deve”, “não deve”, “convém que”, “não convém que”, “pode”, “não precisa” e “não pode”) como sendo um requisito a ser atendido e/ou recomendações em que existe certa liberdade de escolha. Convém que seja consultado o Anexo A da ISO/IEC 27000:2009 para esclarecimentos adicionais.

Esta norma fornece diretrizes para elaboração e uso de medidas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e de controles ou grupos de controles, conforme especificado na NBR ISO/IEC 27001. Isto inclui a política, gestão de riscos de segurança da informação, objetivos de controles, controles, processos e procedimentos, e apoio ao processo de sua revisão, ajudando a determinar se algum processo ou controle do SGSI precisa ser modificado ou melhorado.

É necessário lembrar que nenhuma medição de controles pode garantir segurança completa. A implementação desta metodologia constitui um Programa de Medição de Segurança da Informação. O Programa de Medição de Segurança da Informação vai apoiar a gestão na identificação e avaliação de processos e controles do SGSI ineficazes e não conformes e na priorização de ações associadas com a melhoria ou modificação desses processos e/ou controles.

Também pode auxiliar a organização na demonstração da conformidade com a NBR ISO/IEC 27001 e prover evidências adicionais para os processos de análise crítica pela direção e de gestão de riscos em segurança da informação. Esta norma assume que o ponto de partida para o desenvolvimento das medidas e medições é o entendimento claro dos riscos de segurança da informação que a organização enfrenta e que as atividades de análise de riscos da organização têm sido executadas corretamente (por exemplo, baseada na NBR ISO/IEC 27005), conforme requerido pela NBR ISO/IEC 27001.

O Programa de Medição de Segurança da Informação encorajará que uma organização forneça informações confiáveis às partes interessadas pertinentes relacionadas com os riscos de segurança da informação e com a situação do SGSI implementado para gerenciar esses riscos. Se for eficazmente implementado, o Programa de Medição de Segurança da Informação aumentará a confiança das partes interessadas nos resultados das medições e possibilitará às partes interessadas a usarem essas medidas para realizar a melhoria contínua da segurança da informação e do SGSI.

Os resultados acumulados de medição permitirão a comparação do progresso em atingir os objetivos de segurança da informação sobre um período de tempo como parte de um processo de melhoria contínua do SGSI da organização. A NBR ISO/IEC 27001 exige que a organização “realize análises críticas regulares da eficácia do SGSI levando em consideração os resultados da eficácia das medições” e que “meça a eficácia dos controles para verificar se os requisitos de segurança da informação foram alcançados”.

A NBR ISO/IEC 27001 também exige que a organização “defina como medir a eficácia dos controles ou grupo de controles selecionados e especifique como essas medidas devem ser usadas para avaliar a eficácia dos controles para produzir resultados comparáveis e reproduzíveis”. A abordagem adotada por uma organização para atender os requisitos de medição especificados na NBR ISO/IEC 27001 vai variar de acordo com o número de fatores significantes, incluindo os riscos de segurança da informação que a organização enfrenta, o tamanho da organização, recursos disponíveis, e requisitos legais, regulatórios e contratuais aplicáveis.

A seleção e a justificativa criteriosa do método usado para atender aos requisitos de medição são importantes para assegurar que recursos em excesso não sejam direcionados a estas atividades do SGSI em detrimento de outras. Em condições ideais, as atividades de medição em curso devem ser integradas nas operações normais da organização com um acréscimo mínimo de recursos.

Os objetivos da medição de Segurança da informação no contexto de um SGSI incluem: avaliar a eficácia dos controles ou grupos de controles implementados (ver “4.2.2 d)” na Figura 1); avaliar a eficácia do SGSI implementado (ver 4.2.3 b)” na Figura 1); verificar a extensão na qual os requisitos de segurança da informação identificados foram atendidos (ver “4.2.3 c)” na Figura 1); facilitar a melhoria do desempenho da segurança da informação em termos dos riscos de negócio globais da organização; fornecer entradas para a análise crítica pela direção para facilitar as tomadas de decisões relacionadas ao SGSI e justificar as melhorias necessárias do SGSI implementado.

A Figura 1 ilustra o relacionamento cíclico de entrada e saída das atividades de medição em relação ao ciclo Planejar-Fazer-Checar-Agir (PDCA), especificado na NBR ISO/IEC 27001. Os números em cada figura representam as subseções relevantes da NBR ISO/IEC 27001:2006.

Clique nas figuras para uma melhor visualização

figura-1_medicao

Convém que a organização estabeleça objetivos de medição baseados em certas considerações, incluindo: o papel da segurança da informação em apoiar as atividades globais da organização e os riscos que ela encara; requisitos legais, regulatórios e contratuais pertinentes; estrutura organizacional; custos e benefícios de implementar as medidas de segurança da informação; critério de aceitação de riscos para a organização; e a necessidade de comparar diversos SGSI dentro da própria organização. Convém que uma organização estabeleça e gerencie um Programa de Medição de Segurança da Informação, a fim de alcançar os objetivos de medição estabelecidos e adotar um modelo PDCA nas atividades de medição globais da organização.

Também convém que uma organização desenvolva e implemente modelos de medições, a fim de obter resultados repetitivos, objetivos e úteis da medição baseado no Modelo de Medição da Segurança da Informação (ver 5.4). Convém que o Programa de Medição de Segurança da Informação e o modelo de medição desenvolvidos assegurem que uma organização alcance efetivamente os objetivos e as medições de forma repetitiva e forneça os resultados das medições para as partes interessadas pertinentes de modo a identificar as necessidades de melhorias do SGSI implementado, incluindo seu escopo, políticas, objetivos, controles, processos e procedimentos.

Convém que um Programa de Medição de Segurança da Informação inclua os seguintes processos: desenvolvimento de medidas e medição (ver Seção 7); operação da medição (ver Seção 8); relato dos resultados da análise de dados e da medição (ver Seção 9); e avaliação e melhoria do Programa de Medição de Segurança da Informação (ver Seção 10). Convém que a estrutura organizacional e operacional de um Programa de Medição de Segurança da Informação seja determinada levando em consideração a escala e a complexidade do SGSI do qual ele é parte.

Em todos os casos, convém que os papéis e responsabilidades para o Programa de Medição de Segurança da Informação sejam explicitamente atribuídos ao pessoal competente ( ver 7.5.8). Convém que as medidas selecionadas e implementadas pelo Programa de Medição de Segurança da Informação, estejam diretamente relacionadas à operação de um SGSI, a outras medidas, assim como aos processos de negócio da organização.

As medições podem ser integradas às atividades operacionais normais ou executadas a intervalos regulares determinados pela direção do SGSI. Assim, o Modelo de Medição de Segurança da Informação é uma estrutura que relaciona uma necessidade de informação com os objetos relevantes da medição e seus atributos. Objetos de medição podem incluir processos planejados ou implementados, procedimentos, projetos e recursos.

O Modelo de Medição de Segurança da Informação descreve como os atributos relevantes são quantificados e convertidos em indicadores que fornecem uma base para a tomada de decisão. A Figura 2 mostra o modelo de medição de Segurança da Informação.

figura-2_medicao

Uma medida básica é a medida mais simples que pode ser obtida. A medida básica resulta da aplicação do método de medição aos atributos selecionados de um objeto de medição. Um objeto de medição pode ter muitos atributos, dos quais somente alguns podem fornecer valores úteis a serem atribuídos a uma medida básica. Um dado atributo pode ser usado para diversas medidas básicas.

Um método de medição é uma sequência lógica de operações usadas para quantificar um atributo de acordo com uma escala especificada. A operação pode envolver atividades, tais como a contagem de ocorrências ou observação da passagem do tempo. Um método de medição pode aplicar atributos a um objeto de medição.

Exemplos de um objeto de medição incluem mas não estão limitados a: desempenho dos controles implementados no SGSI; situação dos ativos de informação protegidos pelos controles; desempenho dos processos implementados no SGSI; comportamento do pessoal que é responsável pelo SGSI implementado; atividades de unidades organizacionais responsáveis pela segurança da informação; e grau da satisfação das partes interessadas.

Um método de medição pode usar objetos de medição e atributos de variadas fontes, tais como: análise de riscos e resultados de avaliações de riscos; questionários e entrevistas pessoais; relatórios de auditorias internas e/ou externas; registros de eventos, tais como logs, relatórios estatísticos, e trilhas de auditoria; relatórios de incidentes, particularmente aqueles que resultaram na ocorrência de um impacto; resultados de testes, por exemplo, testes de invasão, engenharia social, ferramentas de conformidade, e ferramentas de auditoria de segurança; ou registros de segurança da informação da organização relacionados a programa e procedimentos, por exemplo, resultados de treinamentos de conscientização em segurança da informação.

tabela-1_medicao

Uma medida derivada é um agregado de duas ou mais medidas básicas. Uma dada medida básica pode servir como entrada para diversas medidas derivadas. Uma função de medição é um cálculo usado para combinar medidas básicas para criar uma medida derivada. A escala e a unidade da medida derivada dependem das escalas e unidades das medidas básicas das quais ela é composta, assim como da forma como elas são combinadas pela função de medição.

A função de medição pode envolver uma variedade de técnicas, como média de medidas básicas, aplicação de pesos a medidas básicas, ou atribuição de valores qualitativos a medidas básicas. A função de medição pode combinar medidas básicas usando escalas diferentes, como porcentagens e resultados de avaliações qualitativas. Um exemplo do relacionamento de elementos adicionais na aplicação do modelo de medição de Segurança da informação, por exemplo, medidas básicas, função de medição e medidas derivadas são apresentadas na Tabela 2.

tabela-2_medicao

Um indicador é uma medida que fornece uma estimativa ou avaliação de atributos especificados derivados de um modelo analítico de acordo com a necessidade de informação definida. Indicadores são obtidos pela aplicação de um modelo analítico a uma medida básica e/ou derivada, combinando-as com critérios de decisão. A escala e o método de medição afetam a escolha das técnicas analíticas utilizadas para produzir os indicadores. Um exemplo de relacionamentos entre medidas derivadas, modelo analítico e indicadores para o modelo de medição de Segurança da informação é apresentado na Tabela 3.

tabela-3_medicao

Se um indicador for representado em forma gráfica, convém que possa ser usado por usuários visualmente debilitados e que cópias monocromáticas possam ser feitas. Para tornar a representação possível, convém que ela inclua cores, sombreamento, fontes ou outros métodos visuais.

Os resultados de medição são desenvolvidos pela interpretação de indicadores aplicáveis baseados em critérios de decisão definidos e convém que sejam considerados no contexto global dos objetivos de medição para avaliação da eficácia do SGSI. O critério de decisão é usado para determinar a necessidade de ação ou investigação futura, bem como para descrever o nível de confiança nos resultados de medição.

Os critérios de decisão podem ser aplicados a uma série de indicadores, por exemplo, para conduzir análise de tendências baseadas em indicadores recebidos a intervalos de tempo diferente. Alvos fornecem especificações detalhadas para desempenho, aplicáveis à organização ou partes dela, derivados dos objetivos de segurança da informação tais como os objetivos do SGSI e objetivos de controle, e que precisam ser definidos e atendidos para se alcançar esses objetivos.

Anúncios

Reduzindo a vulnerabilidade das suas senhas conforme a norma técnica

senha

Quer fazer um teste em sua empresa? Determine que os funcionários devem alterar suas senhas a cada 45 dias. Elas vão abrir uma guerra contra os os gestores de segurança da informação, quer apostar? A resistência a mudanças é tão grande que os funcionários sempre vão travar um verdadeiro duelo contra a política de segurança da informação.

É lógico que as empresas não falam sobre isso na campanha de conscientização ou na divulgação da política de segurança da informação, mas a empresa cria a regra sobre alteração de senha para atender aos requisitos de uma auditoria externa. São raríssimos os casos em que a organização define este tipo regra para melhorar a segurança.

Atualmente, há senhas do internet banking, do e-mail pessoal, do corporativo, da rede, da intranet, da rede social, do programa de mensagens instantâneas, cartão do banco, do blog, etc. Para ajudar ainda mais, a organização solicita que você crie uma nova senha complexa. Ou seja, deve contar letras maiúsculas e minúsculas, números e caracteres especiais.

No mundo moderno um problema sério se chama senhas. O maior pesadelo dos usuários – e dos profissionais – de TI. Sua função é que quem está acessando aquele recurso seja, de fato, quem solicitou acesso, mas, na prática, elas se tornam uma tremenda dor de cabeça. Por quê? Porque as pessoas tem aversão a tudo que envolva lembrar, decorar ou, em geral, aprender.

As pessoas não gostam de senhas, e isso se mostra de várias formas. Nos bancos, a maior parte dos atendimentos ocorrem porque um cliente, geralmente idoso, teve seu cartão bloqueado por ter digitado a senha incorreta três vezes. Uma pessoa que usa uma rede social, ao perder sua senha, em geral, ao invés de seguir os procedimentos padrões de recuperação, preferirá criar outro perfil.

Enfim, os problemas de segurança relacionados à senhas (ou à falta delas) são incontáveis e, certamente, não se resolverão da noite para o dia. São o reflexo de uma sociedade alienada vítima de um governo que, ao invés de investir na melhoria da qualidade da educação, prefere abrir cotas para os menos possibilitados de entrar no ensino superior.

A NBR 12896 de 11/1993 – Tecnologia de informação – Gerência de senhas fixa procedimentos a serem adotados para reduzir a vulnerabilidade das senhas nestas circunstâncias. A segurança oferecida por um sistema de senhas depende de estas senhas serem mantidas secretas durante todo o tempo em que estiverem em uso.

Assim, a vulnerabilidade de uma senha ocorre quando ela for utilizada, armazenada ou distribuída. Em um mecanismo de autenticação baseado em senhas, implementado em um Sistema de Processamento Automático de Dados (SPAD), as senhas são vulneráveis devido a cinco características básicas de um sistema de senhas, a saber: uma senha inicial deve ser atribuída a um usuário quando este for cadastrado no SPAD; os usuários devem alterar suas senhas periodicamente; o SPAD deve manter um banco de dados para armazenar as senhas; os usuários devem se lembrar de suas respectivas senhas; e os usuários devem fornecer suas respectivas senhas em tempo de conexão ao SPAD.

Os assuntos tratados nesta norma incluem as responsabilidades do Administrador de Segurança do Sistema (ASS) e dos usuários, a funcionalidade do mecanismo de autenticação, e a geração de senhas. Os aspectos relevantes são: os usuários devem estar aptos a alterar suas respectivas senhas; as senhas devem ser preferencialmente geradas pelo SPAD, em vez de o serem pelo usuário; o SPAD deve fornecer aos usuários informações sobre suas conexões ao ambiente. Por exemplo: data e hora da última conexão.

O ASS é responsável por gerar e atribuir a senha inicial para cada identidade de usuário. A identidade e a senha que lhe foram atribuídas devem, então, ser informadas ao usuário. Para evitar a exposição da senha ao ASS, ou anular uma exposição ocorrida, podem ser utilizados os métodos a seguir.

Evitando a exposição; há métodos que podem ser implementados para evitar a exposição da senha ao ASS, após esta ter sido gerada. Uma técnica é imprimi-la num formulário múltiplo selado, de maneira que não seja visível na página facial do formulário. O ASS deve manter, em local seguro, a guarda do formulário, até que este seja entregue ao usuário.

Neste caso, a senha é gerada aleatoriamente pelo SPAD, não sendo determinada diretamente pelo ASS. O formulário contendo a senha deve estar selado para que esta não seja visível e não possa tornar-se visível, sem a quebra do selo.

Um outro método, para evitar a exposição da senha, é o usuário estar presente no processo de geração desta. Neste caso, o ASS deve iniciar o processo de geração da senha, deixar que somente o usuário tenha acesso a esta e destrua a informação apresentada. Este método não se aplica a usuários em terminais remotos. Qualquer que seja o método utilizado para a distribuição de senhas, o ASS deve ser notificado do recebimento destas, dentro de um período de tempo predeterminado.

Anulando a exposição: quando a senha inicial for exposta ao ASS, esta exposição deve ser anulada por um procedimento normal de troca imediata desta senha pelo usuário, considerando que este procedimento não torne também a nova senha exposta ao ASS. Quando a senha inicial não for protegida de exposição ao ASS, a identidade do usuário deve ser considerada pelo sistema como tendo uma “senha expirada”, a qual requer que o usuário efetue procedimento de troca de senha (ver 4.2.2.3) antes de receber autorização para acessar o sistema.

Atribuição do nível de segurança: quando houver necessidade de compartimentar os direitos de acesso dos usuários, devem ser atribuídos níveis de segurança (por exemplo: “confidencial”, “reservado”, “secreto”) às senhas. A atribuição dos níveis de segurança é feita pelo ASS.

A norma inclui alguns Anexos: Anexo A – Determinação do comprimento da senha; Anexo B – Algoritmo de geração de senhas; Anexo C – Proteção básica para senhas; Anexo D – Algoritmo de cifração de senhas Anexo E – Procedimento para o uso em aplicações muito sensíveis; e Anexo F – Probabilidade de adivinhação de uma senha.

Material escolar: até 47,49% de impostos

A chegada do ano novo traz também a preocupação com a lista do material escolar. Como a educação é um dos itens que mais causam impacto no orçamento familiar, antes de sair às compras, os pais devem pesquisar os melhores preços, visto que  em alguns itens a  carga tributária equivale a quase metade do preço do produto, como a caneta, que tem  47,49% de impostos e a régua com 44,65%.

Em outros itens da lista os impostos também são salgados: o consumidor terá de desembolsado aos cofres públicos, pagando os tributos federais, estaduais e municipais,  em uma cola (42,71%), em um estojo (40,33%), em uma lancheira, (39,74%), no fichário (39,38%) e no papel sulfite (37,77%).

Quanto aos livros didáticos, apesar de  possuírem imunidade de impostos, a incidência de encargos sobre a folha de pagamento e o sobre o lucro da sua venda, faz também com que tragam uma carga tributária de 15,52%.

De acordo com o presidente do IBPT, João Eloi Olenike, “o Brasil é um dos poucos países do mundo que tributam a educação, e esse fator certamente dificulta o acesso dos brasileiros ao conhecimento e à boa formação. Se a tributação incidente sobre os materiais escolares não fosse tão elevada  a educação seria muito mais acessível aos consumidores”.

A Diretiva RoHS aplicada a equipamentos eletromédicos

NORMAS COMENTADAS

NBR 14039 – COMENTADA de 05/2005

Instalações elétricas de média tensão de 1,0 kV a 36,2 kV. Possui 140 páginas de comentários…

Nr. de Páginas: 87

NBR 5410 – COMENTADA de 09/2004

Instalações elétricas de baixa tensão – Versão comentada.

Nr. de Páginas: 209

NBR ISO 9001 – COMENTADA de 09/2015

Sistemas de gestão da qualidade – Requisitos. Versão comentada.

Nr. de Páginas: 28

José Carlos Boareto e Guilherme Valença da Silva Rodrigues

A primeira revisão da Diretiva RoHS (Restrição ao Uso de Substâncias Perigosas) foi lançada em 2002 e colocada em vigor em 2006. Nesta versão, os equipamentos eletromédicos eram deixados de fora das necessidades de eliminação de substâncias nocivas. No ano de 2010, foi lançada uma revisão da Diretiva, chamada RoHS 2 ou RoHS Recast.

Nesta revisão, foram introduzidas algumas alterações. Entre as mais fortes está a inclusão dos equipamentos eletromédicos com um cronograma para entrada em vigor. Lançaram-se ainda, após a RoHS 2, uma série de publicações, incluindo novas exceções que permitem o uso de substâncias em determinadas aplicações, e foram adicionadas novas substâncias.

Este artigo faz uma revisão do status atual da Diretiva, conforme a última versão consolidada de junho de 2015, a fim de atuar em conjunto com nossos clientes do setor eletromédico nas adaptações necessárias para, frente ao atual cenário econômico, explorar mercados internacionais de exportação. A Diretiva RoHS foi uma das ações da comunidade europeia com o intuito de redução do impacto ambiental de produtos eletroeletrônicos. Outras ações paralelas foram: WEEE, EuP, Ecodesign e REACH.

O foco específico da RoHS é eliminar o uso de substâncias que sabidamente são perigosas para a saúde humana e que possuem substituto técnica e economicamente viável. As substâncias inicialmente proibidas, constantes do anexo II da Diretiva, foram: chumbo (0,1%), mercúrio (0,1%), cádmio (0,01%), cromo hexavalente (0,1%), bifenilos polibromados (PBB) (0,1%), e éteres difenílicos polibromados (PBDE) (0,1%).

Em junho de 2015, foi publicada uma versão consolidada com uma atualização do anexo II, que inclui quatro novas substâncias: ftalato de bis (2-etil-hexilo) (DEHP) (0,1 %), ftalato de benzilo e butilo (BBP) (0,1 %), ftalato de dibutilo (DBP) (0,1 %) e ftalato de di-isobutilo (DIBP) (0,1 %). A restrição é direcionada a equipamentos eletrônicos das seguintes categorias: grandes eletrodomésticos; pequenos eletrodomésticos; equipamentos de informática e de telecomunicações; equipamentos de consumo; equipamentos de iluminação; ferramentas elétricas e eletrônicas; brinquedos e equipamentos de esportes e lazer; dispositivos médicos; instrumentos de monitoração e controle, incluindo instrumentos industriais de monitoramento e controle; distribuidores automáticos; e outros EEE não incluídos em nenhuma das categorias acima.

Não fazem parte da diretiva: os equipamentos necessários à defesa dos interesses essenciais dos estados membros no domínio da segurança, nomeadamente armas, munições e material de guerra destinado a fins especificamente militares; os equipamentos concebidos para serem enviados para o espaço; os equipamentos concebidos especificamente para serem instalados como componentes de outros tipos de equipamentos excluídos ou não abrangidos pela presente Diretiva, que só podem desempenhar a sua função quando integrados nesses outros equipamentos e que só podem ser substituídos pelo mesmo equipamento especificamente concebido; as ferramentas industriais fixas de grandes dimensões; as instalações fixas de grandes dimensões; os meios de transporte de pessoas ou de mercadorias, excluindo veículos elétricos de duas rodas que não se encontrem homologados; as máquinas móveis não rodoviárias destinadas exclusivamente a utilizadores profissionais; os dispositivos médicos implantáveis ativos; os painéis fotovoltaicos a serem utilizados num sistema concebido, montado e instalado por profissionais para utilização permanente num local definido, com o objetivo de produzir energia a partir de luz solar, para aplicações públicas, comerciais, industriais e residenciais; os equipamentos especificamente concebidos para fins de investigação e de desenvolvimento disponível exclusivamente num contexto entre empresas.

Além das aplicações acima determinadas, a Diretiva prevê ainda exceções à proibição de certas substâncias em aplicações específicas. Estas exceções estão apresentadas nos anexos III (Produtos em Geral) e IV (Eletromédicos e Monitoramento e Controle) e são atualizadas constantemente.

As exceções possuem um prazo de expiração e podem ou não ser renovadas. Outra importante atualização da RoHS 2 foi o vínculo desta diretiva com a Marca CE, o que significa que, para que um produto tenha a marca CE, é necessário que o produto esteja em conformidade com a Diretiva.

A categoria de equipamentos eletromédicos, devido em especial ao difícil processo de certificação, é tratada de forma especial pela Diretiva. A aplicação da restrição das substâncias atende a um cronograma, da seguinte forma: equipamentos eletromédicos – 22 de julho de 2014; equipamentos médicos para diagnóstico – 22 de julho de 2016; proibição das novas substâncias (DEHP, BBP, DBP e DIBP) – 22 de julho de 2021.

Desta forma, a maioria dos equipamentos eletromédicos já está em período de obrigatoriedade frente às seis substâncias originalmente restritas há mais de um ano. Várias exceções específicas para equipamentos eletromédicos foram lançadas no anexo IV da segunda revisão da Diretiva RoHS.

Após 2011, foram publicadas atualizações das exceções em 2012, 2013, 2014 e 2015. Um exemplo destas exceções é o uso de chumbo para montagem de placas eletrônicas de equipamentos eletromédicos portáteis das classes IIa e IIb da Diretiva 93/42/CEE (exceção esta prevista para expirar em junho de 2016 para equipamentos da classe Iia). Outras exceções que têm relação com produtos médicos são apresentadas na tabela abaixo:

Clique na figura para uma melhor visualização

certi

A responsabilidade de garantir a conformidade com a Diretiva é de quem coloca o produto no mercado europeu. Entretanto, a Diretiva aceita o repasse de responsabilidade através da cadeia de suprimentos. Isto é necessário para garantir não só que o produto esteja conforme no momento de seu desenvolvimento, mas que mantenha este status durante todo o seu ciclo de vida.

Entre as responsabilidades que o fabricante do produto tem, estão: emitir uma declaração de conformidade; criar um Documento de Comprovação de Conformidade (Technical Compliance File); aceitar ou realizar testes analíticos de partes que compõem o produto; guardar a declaração de conformidade e o documento de comprovação de conformidade por no mínimo dez anos após o produto ter sido colocado no mercado; obter marcação CE para comprovar conformidade.

A norma apresenta no anexo VI um modelo que pode ser utilizado para emissão de uma declaração de conformidade. Entretanto, a criação do documento de comprovação de conformidade demanda um processo mais complexo.

O método mais utilizado é apresentado na norma harmonizada pela comunidade europeia EN 50581:2012. Ela prevê uma descrição completa da lista de materiais e geração de uma matriz de risco, incluindo cada item da lista.

O risco de cada item pode solicitar diferentes ações, entre elas: solicitação de declaração de conformidade; solicitação de declaração de materiais; análise química analítica inicial; análise química analítica periódica; e auditorias do local da produção do item. O resultado de todas estas ações, organizado juntamente com a matriz de análise de risco, pode ser utilizado como comprovação de conformidade.

Existem alguns sistemas que auxiliam na criação e atualização destes documentos. Entretanto, a qualidade da documentação gerada por estes sistemas depende ainda da qualidade da documentação emitida pelos fornecedores das partes do produto.

Muitos fabricantes ainda enfrentam dificuldades com fornecedores locais para adequação de seus produtos. A introdução de novas substâncias é, neste caso, um complicador adicional.

Finalmente, o desenvolvedor e o fabricante do produto são responsáveis também pela confiabilidade do mesmo. A alteração de materiais no produto é sempre um item de preocupação, pois materiais diferentes possuem comportamentos diferentes que podem levar a novas falhas.

Foi com o intuito de prover algum tempo para que os fabricantes de equipamentos eletromédicos garantam a confiabilidade de seus produtos, mesmo utilizando soldas sem chumbo, que as exceções foram criadas. Entretanto, já em 2016, uma destas exceções expira: equipamentos da classe Iia. A preparação para eliminação do chumbo da montagem das placas eletrônicas é um processo que demanda esforço e tempo e, se deixado para última hora, pode criar dificuldades na manutenção do certificado de conformidade, ou mesmo levar à colocação de produtos de baixa confiabilidade no mercado.

Enfim, a restrição ao uso de substâncias perigosas é algo em constante atualização. Uma vez que novos desenvolvimentos são feitos e que novas tecnologias são disponibilizadas à indústria, o critério utilizado para as exceções muda.

Os equipamentos eletromédicos, por sua vez, são produtos cujo tempo de desenvolvimento e validação são longos e estas mudanças nas restrições sempre geram impactos. A comunidade europeia entende isso e, portanto, sempre destina mais tempo para que as empresas deste setor adaptem seus produtos.

É importante que este tempo seja utilizado. Deixar para última hora para, por exemplo, alterar a montagem das placas para lead-free, pode ser muito prejudicial à empresa. O LABelectron conta com uma equipe especializada, tanto na criação de documentação de suporte à geração de uma declaração de conformidade, quanto no desenvolvimento de processos em conformidade com a Diretiva RoHS e na análise da confiabilidade destes produtos. O LABelectron pode ser um parceiro para sua empresa nestes aspectos.

Referências bibliográficas

● UNIÃO EUROPEIA. Directiva 2011/65/EU do Conselho, de 08 de Junho. Jornal Oficial das Comunidades Europeias L 174/88, 2011.

● UNIÃO EUROPEIA. Directiva 2012/19/EU do Conselho, de 04 de Julho. Jornal Oficial das Comunidades Europeias L 197/38, 2012.

● UNIÃO EUROPEIA. Directiva 2014/1/EU do Conselho, de 18 de Outubro. Jornal Oficial das Comunidades Europeias L 4/45, 2013.

● UNIÃO EUROPEIA. Directiva 2014/3/EU do Conselho, de 18 de Outubro. Jornal Oficial das Comunidades Europeias L 4/49, 2013.

● UNIÃO EUROPEIA. Directiva 2014/7/EU do Conselho, de 18 de Outubro. Jornal Oficial das Comunidades Europeias L 4/57, 2013.

● UNIÃO EUROPEIA. Directiva 2014/10/EU do Conselho, de 18 de Outubro. Jornal Oficial das Comunidades Europeias L 4/63, 2013.

● UNIÃO EUROPEIA. Directiva 2014/12/EU do Conselho, de 18 de Outubro. Jornal Oficial das Comunidades Europeias L 4/67, 2013.

● UNIÃO EUROPEIA. Directiva 2014/13/EU do Conselho, de 18 de Outubro. Jornal Oficial das Comunidades Europeias L 4/69, 2013.

● UNIÃO EUROPEIA. Directiva 2014/15/EU do Conselho, de 18 de Outubro. Jornal Oficial das Comunidades Europeias L 4/73, 2013.

● UNIÃO EUROPEIA. Directiva 2014/16/EU do Conselho, de 18 de Outubro. Jornal Oficial das Comunidades Europeias L 4/75, 2013.

● UNIÃO EUROPEIA. Directiva 2014/70/EU do Conselho, de 13 de Março. Jornal

Oficial das Comunidades Europeias L 148/74, 2014.

● UNIÃO EUROPEIA. Directiva 2014/71/EU do Conselho, de 13 de Março. Jornal

Oficial das Comunidades Europeias L 148/76, 2014.

● UNIÃO EUROPEIA. Directiva (EU) 2015/573 do Conselho, de 30 de Janeiro. Jornal Oficial das Comunidades Europeias L 94/4, 2015.

● UNIÃO EUROPEIA. Directiva (EU) 2015/574 do Conselho, de 30 de Janeiro. Jornal Oficial das Comunidades Europeias L 94/6, 2015.

● DEPARTMENT FOR BUSINESS INNOVATION E SKILLS. Restriction of hazardous substances (RoHS) Regulations 2012: government guidance notes for rohs 2. London, 2014.

● LINDSAY, Iand. European directives: an overview for OEMs and system integrators. Reino Unido: Copyright, 2015.

● CALDER, James. How will the european directive ‘RoHS 2’ impact the medical device industry? Journal of medical device regulation, 2012.

● SILVEIRA, M. A. et al. Inovação e sustentabilidade no setor de equipamentos eletromédicos brasileiro: projeto piloto para adequação de grupo de empresas a requisitos ambientais.

● COCIR. Edma diagnostic fot health. Eucomed medical technology. RoHS 2 obligations for medical devices and IVDS: frequently asked questions, 2014.

● EUROPEAN COMMISSION. COMMISSION DELEGATED DIRECTIVE ../…/EU of 31.3.2015: amending Annex II to Directive 2011/65/EU of the European Parliament and of the Council as regards the list of restricted substances. 2015

● EUROPEAN COMMISSION. RoHS FAQ. 2012

● UL LLC. Impact of rohs 2 on eu medical device notified body submissions. 2013

● SILVEIRA, A. M. et al. Eliminação de substâncias perigosas e de resíduos de equipamentos da indústria eletrônica: adequação de empresas de equipamentos eletromédicos à RoHS, WEEE e PNRS. XXXII encontro nacional de engenharia de produção. Rio Grande do Sul, 2012.

José Carlos Boareto e Guilherme Valença da Silva Rodrigues são servidores do LABelectron – www.labelectron.org.br – (48) 99155519 – labelectron@certi.org.br

A importância de educar digitalmente seus funcionários

Aterramento e a Proteção de Instalações e Equipamentos Sensíveis contra Raios: Fatos e Mitos – A partir de 3 x R$ 257,81 (56% de desconto)

Proteção contra Descargas Atmosféricas de acordo com a Nova NBR 5419 de 06/2015 – A partir de 3 x R$ 264,00 (56% de desconto)

Todos precisam recorrer à ajuda dos especialistas em TI de vez em quando. Mesmo quem não tem dificuldades para alterar configurações no computador ou instalar e atualizar softwares, muitas vezes, sente-se em apuros ao sofrer um ciberataque. O que você faria se perdesse o smartphone da empresa, que contém dados sigilosos de vendas? Ou se o computador do escritório fosse infectado por um vírus que exclui ou transfere dados importantes e necessários para o seu trabalho?

Geralmente, ao pedir ajuda da equipe de TI, já ocorreu uma violação das políticas de segurança. O maior risco é a perda ou roubo de dados, que podem resultar diretamente em prejuízos para a empresa, como tempo de inatividade, perda de clientes, danos à reputação, roubo de dinheiro das contas da empresa, divulgação de informações confidenciais, etc.

Há medidas que podem ser tomadas para evitar que estes episódios ocorram, melhorando o cuidado de cada um em relação a sua própria segurança digital. Lembre-se de que os executivos da empresa formam a linha de frente da defesa virtual e muitas coisas dependem de sua conduta. Os especialistas da Kaspersky Lab reuniram regras simples que protegerão você e a sua empresa de ataques. Algumas delas podem parecer óbvias, mas muitas empresas têm detectado tarde demais que seus funcionários não as seguem.

Não confie em e-mails suspeitos

  • Ao receber um e-mail com um link estranho, um anexo ou uma solicitação de dados privados ou corporativos, não o abra imediatamente, mesmo que tenha sido enviado de um endereço conhecido. Provavelmente, são cibercriminosos tentando enganá-lo para obter acesso a informações confidenciais da empresa.
  • Não clique imediatamente nos links, mesmo que pareçam conhecidos. Passe o mouse sobre o link e verifique se o endereço coincide com o endereço do e-mail (ele é exibido na janela que é aberta).
  • Não presuma que um e-mail com um link, anexo ou solicitação de dados pessoais é seguro só porque veio de um endereço conhecido. Confirme se ele foi mesmo enviado por seu colega ou amigo.
  • Não use seu endereço de e-mail corporativo para atividades pessoais; se o fizer, mais cedo ou mais tarde, receberá e-mails de phishing com avisos do Facebook ou LinkedIn.


Use somente pendrives USB que foram verificados

Evite usar dispositivos USB de outras pessoas. Se for imprescindível, primeiro faça uma verificação de malware da memória USB. Cuidado com qualquer dispositivo de armazenamento recebido como presente, especialmente se você não conhece a pessoa que te presenteou. Os pen drives USB são ótimos para armazenar ou transferir dados, mas também são fáceis de perder e roubar, portanto, os dados gravados na mídia de armazenamento devem estar criptografados para que não sejam úteis a terceiros.

Não se esqueça das atualizações

Cibercriminosos não dormem em serviço! Eles estão sempre buscando maneiras de invadir redes corporativas. Não deixe de fazer rapidamente todas as atualizações sugeridos pelo seu sistema operacional e pelos aplicativos instalados em seus dispositivos. Não espere até que seja tarde demais.

Redes públicas de Wi-Fi não são seguras

Ao usar o Wi-Fi em locais públicos, tente se conectar somente a redes de grandes empresas de telecomunicações, que têm conexões seguras. Não entre em redes sem proteção ou redes privadas desconhecidas. Se estiver em um Wi-Fi público. sempre que possível, use conexões de VPN para trabalhar com documentos da empresa. Ao usar seu dispositivo em um lugar público, preste atenção, pois as pessoas ao seu redor podem ver as informações na tela ou adivinhar uma senha que você digite.

Cuidado ao colocar informações pessoais ou corporativas nas redes sociais

Cuidado com as informações que você coloca nas redes sociais. Lembre-se de que qualquer informação pode se tornar pública. Nunca inclua informações importantes em seu perfil público. Não adicione pessoas desconhecidas como amigos. Verifique as recomendações e os amigos em comum para ter certeza de que não se trata de um criminoso querendo ganhar sua confiança.

Não deixe outras pessoas usarem a câmera de seus dispositivos

Se o dispositivo tiver uma webcam, sempre desconfie. Um criminoso pode obter acesso à câmera sem você perceber, e eles não precisam nem de um software especial para fazer isso. Sempre que você usar o Skype ou qualquer outro aplicativo de comunicação com a câmera ativa, fique atento! Ao terminar a conversa, pressione o botão para encerrar a telecomunicação. Não basta fechar a caixa de diálogo, achando que a comunicação foi desligada. Lembre-se de que é possível gravar qualquer conversa pela câmera sem você saber. Quando não estiver usando a câmera, ela deve ficar coberta. Não atenda chamadas de vídeo de estranhos.

Não ignore a linha de frente da defesa virtual individual

Ninguém gosta de usar senhas longas e complexas em seus dispositivos, especialmente quando elas são diferentes em cada dispositivo. É difícil lembrar-se de todas, e também não é fácil mudá-las regularmente. No entanto, essa é a linha de frente de defesa e é essencial contra os crimes virtuais. Não é possível ignorar o fato de que uma senha simples facilita o acesso dos criminosos a seus dados pessoais e corporativos. Quanto maior for a senha, mais confiável será a proteção que ela proporciona ao dispositivo contra roubo de dados e hackers. As senhas devem combinar caracteres, números e símbolos. Não use a mesma senha em todos os dispositivos e contas. Troque suas senhas periodicamente. Não guarde suas senhas nos dispositivos, especialmente quando eles não são criptografados.

É muito fácil invadir, perder ou roubar dispositivos móveis

Lembre-se: quanto menor for o dispositivo, mais fácil será perdê-lo ou esquecê-lo em algum lugar, ou mesmo tê-lo roubado. Sempre cuide de seus dispositivos enquanto viaja ou está em lugares públicos. Sempre guarde o dispositivo enquanto estiver prestando atenção em outra coisa ou ao terminar de usá-lo. Não esqueça que apenas uma senha não é o suficiente para proteger um dispositivo. Use outras ferramentas de proteção, como a criptografia de dados e o controle remoto fornecido por políticas de segurança. Elas permitem  bloquear remotamente seu dispositivo ou apagar dados importantes caso ele seja perdido ou roubado.

A logística no e-commerce

COLETÃNEAS DE NORMAS TÉCNICAS

e-commerceO comércio eletrônico, para ser eficiente, deve ter uma cadeia logística que é composta por recepção e condicionamento de produtos; estocagem; picking ou deslocamento de produtos para a preparação do pedido; e intervenção das transportadoras assumindo a entrega. Essas etapas devem ser inseridas em ferramentas de rastreamento dos pedidos, permitindo um melhor controle das diferentes operações, e dando aos clientes informações em tempo real da fase em que se encontra o produto adquirido.

A Associação Brasileira de Comércio Eletrônico (ABComm) fez um levantamento sobre logística no e-commerce brasileiro que apontou: 61% das lojas virtuais têm como principal problema o atraso nas entregas, seguido por extravios, furtos e roubos mencionado como maior dificuldade por 39% dos entrevistados. “O preço pago pela falta de planejamento aumenta a cada dia e afeta todos os setores da economia, incluindo o comércio eletrônico. A falta de segurança é um problema nacional e não deixa de impactar também o comércio eletrônico. Essa questão traz ainda aumento de custos na operação, pois há casos de transportadoras que necessitam de escolta para entregar em algumas áreas, além dos custos elevados de seguro”, aponta o presidente da ABComm, Maurício Salvador.

O levantamento levou em consideração três pontos da logística: armazenagem, transportes e manuseio. A pesquisa coletou 585 questionários online, entre 10 e 20 de junho de 2013, considerando proprietários de lojas virtuais do varejo e bens de consumo. “A logística foi escolhida para ser o tema do primeiro estudo ABComm por ser de alta relevância para a competitividade das lojas virtuais brasileiras. Considerando um universo de 11 mil lojas virtuais no Brasil, a margem de erro da pesquisa é de 6% com grau de confiança de 95%”, explica o presidente.

A pesquisa revelou também que 82% das lojas virtuais entrevistadas têm armazenagem própria. A justificativa dos entrevistados é que umas entre as vantagens estão o custo mais baixo e o maior controle sobre a operação. “Nem sempre é uma verdade. Aumento brusco na curva de vendas em datas sazonais é um dos pontos negativos pela baixa adaptabilidade e menor poder de barganha com transportadoras privadas por volume transportado. Um fator nas empresas que tem armazenagem terceirizada, é que conseguem operar a partir de outros estados, aproveitando incentivos fiscais”, afirma Salvador.

Uma parcela de 13% da amostra declarou ter frota própria para as entregas por oferecer entrega no mesmo dia e produtos especiais/perecíveis (jóias, flores, alimentos, etc) aos seus clientes. No entanto, os Correios ainda têm papel fundamental no transporte de encomendas do comércio eletrônico nacional, pois 81% das lojas virtuais entrevistadas utilizam esse serviço.

Mas, 23% das lojas virtuais optam pela contratação de transportadoras de acordo com a região da entrega. “O número é significativo e mostra amadurecimento e preocupação em ter uma estratégia de transportes. Ao criar tabelas de fretes separando transportadoras por região, a loja virtual reduz custos e aumenta a qualidade dos serviços prestados aos seus clientes”, enfatiza.

O frete grátis aparece com força no comércio eletrônico brasileiro e 69% das lojas virtuais entrevistadas oferecem frete grátis. Dois terços disseram que ao oferecer frete grátis, suas vendas aumentam. Por outro lado, 34% disseram que oferecem porque seus concorrentes também oferecem. A rentabilidade das lojas virtuais vem sendo espremida pelos custos cada vez mais elevados em duas pontas: mídia online e frete. Percebendo isso, 55% das lojas virtuais entrevistadas repassam o valor do frete para os consumidores e 30% adotam um modelo híbrido, repassando apenas parte do valor.

“Quando bem planejado, o frete grátis pode ser uma ferramenta bastante útil para aumentar o tíquete médio da loja virtual. Por outro lado, utilizar frete grátis sem ter definidas estratégias de preços e transportes, é como ativar uma bomba relógio.”, ressalta o presidente da ABComm. Quando perguntados sobre a partir de qual valor oferecem frete grátis, 19% dos entrevistados disseram que oferecem a partir de qualquer valor, ou seja, para todas as compras no site. 40% disseram que oferecem frete grátis para pedidos na faixa de 100 a 300 reais.

As alternativas de gerenciamento da logística desse tipo de comércio incluem o gerenciamento da sua própria logística ou delegar a atividade logística utilizando plataformas logísticas externas. Importante dizer que no início de atividade de uma loja virtual o volume de pedidos é normalmente baixo e é possível se gerenciar internamente a logística.

CLIQUE NA FIGURA PARA UMA MELHOR VISUALIZAÇÃO

logistica

À medida que se torna mais popular, a loja virtual passa a entregar um volume cada vez maior de pedidos. Nesses casos, a delegação da atividade logística passa a ser uma opção interessante. A terceirização da atividade logística implica em: dispor de uma interface de gestão da plataforma logística, o que significa que cada pedido feito no site será levado em conta. Apos o envio do pedido a loja virtual e o cliente poderão fazer o tracking do pedido, e a loja pode gerenciar o estoque de seus produtos.

Além disso, a logística poderá fazer a recepção, o controle e o estoque dos produtos, além de fazer o picking, empacotar e enviar os pedidos aos clientes. Igualmente, é fudamental fazer uma melhor gestão dos pedidos devolvidos, pois cada produto devolvido pode ser reintegrado ao estoque ou então descartado caso esteja em más condições.

Enfim, para obter sucesso esse tipo de negócio necessita de uma cadeia logística que atenda a necessidade de entregas em um país continental com uma velocidade extremamente restrita, em vista que uma das principais questões valorizadas por clientes de e-commerce é justamente o tempo de espera entre a compra e a chegada do produto. Atualmente esse tempo depende de algumas variáveis logísticas, tais como: aquisição de estoques, recebimento, conferência, separação (picking), expedição, transporte de mercadorias e atendimento ao consumidor.

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Linkedin: http://br.linkedin.com/pub/hayrton-prado/2/740/27a

Facebook: http://www.facebook.com/#!/hayrton.prado

Skype: hayrton.prado1

Os riscos de ameaças móveis e as cópias de segurança de dados

VÍDEO EXPLICATIVO

Treinamento Prático ASP 3.0 – Disponível pela Internet

Introdução à linguagem e objetos intrínsecos.

Apesar da grande popularização dos dispositivos móveis, os usuários ainda subestimam os riscos que correm ao se conectarem. Segundo uma pesquisa realizada pela Kaspersky Lab e pela B2B International, 28% dos usuários sabem nada ou muito pouco sobre malware móvel. Infelizmente, esta falta de conhecimento é benéfica aos cibercriminosos.

A pesquisa mostra que, dentre os aparelhos com sistema Android, somente 58% dos smartphones e 63% dos tablets estão protegidos por alguma solução antivírus enquanto, no geral, 31% dos smartphones e 41% dos tablets nem sequer estão protegidos por uma senha. A conduta despreocupada dos usuários talvez se deva ao fato de que 28% deles não sabem da existência de ameaças cibernéticas dirigidas a dispositivos móveis e 26% sabem, porém não se preocupam com elas.

Para piorar o cenário, dentre os Androids desprotegidos, 18% contém as informações que os criminosos mais querem encontrar: senhas dos cartões de banco, senhas de e-banking e outros dados financeiros. 24% dos mesmos usuários armazenam as senhas das redes sociais, e-mails pessoais e de trabalho, VPN (rede privada virtual) e outros recursos sensíveis. Mesmo os usuários que não se preocupam em proteger seus dispositivos com senhas, armazenam em seus smartphones e-mails pessoais (49%), e-mails de trabalho (18%), e “dados que não querem que ninguém veja” (10%).

Ainda de acordo com a pesquisa, usuários de Android enfrentam ameaças online com mais frequência do que os usuários de Windows*. Estes últimos têm mais conhecimento dos perigos da internet e 90% deles costumam proteger seus dispositivos. Desta forma, a pesquisa descobriu que, em um período de 12 meses, 41% dos usuários de smartphones e 36% dos usuários de tablets possuem aplicativos maliciosos; as contas de serviço de 18% dos usuários de smartphones e de 24% dos usuários de tablets foram hackeadas, enquanto os ciberataques financeiros afetaram 43% dos usuários de smartphones e 50% dos usuários de tablets. Contabilizando todos os sistemas de diferentes plataformas móveis, a média de ataques soma 31% (aplicativos maliciosos), 14% (invasão de contas de serviços online) e 43% (ciberataques financeiros) – significativamente menor do que apenas os valores da plataforma Android.

“O fato das ameaças para dispositivos móveis crescerem não surpreende, já que os dispositivos estão fazendo cada vez mais e muitas pessoas passaram a utiliza-los. É claro que isto atrai os fraudadores. Para que não se tornem vítimas, aconselhamos que os usuários protejam seus dispositivos contra ciberameaças, especialmente se armazenam dados financeiros”, explica Victor Yablokov, diretor da Kaspersky Lab.

Outro estudo concluiu que aproximadamente um quarto dos usuários (24%) que mantinha cópias de segurança dos seus dados em dispositivos físicos perdeu tais informações. No mundo moderno, em que a informação tem valor crescente, é importante não apenas criar cópias dos arquivos, mas fazê-lo de forma correta.

O estudo relevou que, embora a vasta maioria (92%) dos entrevistados mantenha informações confidenciais — como correspondência privada, fotos, senhas ou dados financeiros — em seus dispositivos, menos de um terço opta por fazer cópias de segurança para prevenir eventuais perdas. Além disso, 29% dos usuários não toma qualquer medida de segurança deste gênero e 11% admitiram que não pretendem fazê-lo no futuro.

O estudo revela ainda que mesmo quem faz cópias de segurança não tem a garantia de não perder os arquivos. Os dispositivos de armazenamento físico, tais como discos externos ou memórias flash, continuam sendo os mais populares: 87% dos entrevistados mantiveram as suas cópias guardadas neste tipo de dispositivo, enquanto apenas 12% usaram serviços na nuvem. Contudo, dentre os que preferem os métodos físicos de armazenamento, 24% já sofreram alguma perda irreversível de informação, como resultado do extravio, avaria ou roubo do dispositivo.

“Optar por fazer backups de forma sistemática, permite tomar conta dos dados de maneira eficaz. Decida quais informações são mais valiosas para você e crie cópias de segurança regularmente. A melhor maneira é manter a informação importante em pastas criptografadas, guardadas tanto em suportes físicos como na nuvem. Isto irá proteger os seus dados mesmo se acontecer algo de extraordinário que leve à destruição de um dos mecanismos de armazenamento dos seus dados”, afirma Elena Kharchenko, responsável pela gestão de produtos para consumidores da Kaspersky Lab.

Problemas de segurança em pulseira de atividade física

COLETÂNEAS

Coletânea Série Tecnologia da Informação

Coletânea Digital Target com as Normas Técnicas, Regulamentos, etc, relacionadas à Tecnologia da Informação
Saiba Mais…

Coletânea Série Trabalhos Acadêmicos

Coletânea Digital Target com as Normas Técnicas, Regulamentos, etc, relacionadas à Trabalhos Acadêmicos

As pulseiras inteligentes – que medem batimentos cardíacos e calorias queimadas, entre outros quesitos – se tornaram muito populares, pois ajudam os usuários a monitorarem suas atividades físicas, a ingestão de calorias e se manterem em forma. No entanto, tais dispositivos também processam dados pessoais valiosos dos proprietários e é importante mantê-los seguros. O pesquisador Roman Unuchek, da Kaspersky Lab, examinou como várias pulseiras inteligentes interagem com os smartphones e descobriu alguns fatos surpreendentes.

Segundo concluiu em sua investigação, o método de autenticação utilizado em muitas pulseiras inteligentes permite que terceiros possam se conectar de maneira invisível com o dispositivo, executar comandos e, em alguns casos, extrair dados armazenados no dispositivo. Nos aparelhos inspecionados pelo pesquisador, os dados se limitavam à quantidade de passos dados pelo proprietário na hora anterior. No entanto, no futuro, quando a próxima geração de pulseiras, capazes de armazenar um volume maior e mais variado de dados, começar a ser vendida, é possível que se aumente de maneira significativa o risco de vazamento de dados médicos delicados dos proprietários.

A conexão maliciosa é possível devido a forma como a pulseira inteligente se conecta com o smartphone. Segundo a investigação, um dispositivo com sistema operacional Android versão 4.3 ou posterior, com um aplicativo especial não autorizado instalado, pode se conectar com pulseiras inteligentes de alguns fornecedores.

Para estabelecer uma conexão, os usuários devem confirmar o emparelhamento apertando um botão na pulseira inteligente. Os invasores podem vencer facilmente este obstáculo, porque a maioria das pulseiras de atividade física não têm tela. Quando a pulseira vibra solicitando que seu proprietário confirme o emparelhamento, a vítima não tem como saber se está confirmando uma conexão com seu próprio aparelho ou com o de outra pessoa.

 
“Esta Prova de Conceito depende de muitas condições para funcionar apropriadamente. Além disso, um invasor não poderia reunir dados realmente críticos, tais como números de senhas ou de cartões de crédito. Contudo, demonstra que há formas de um invasor se aproveitar de erros deixados por parte dos desenvolvedores do dispositivo. As pulseiras inteligentes disponíveis no mercado hoje em dia são bastante limitadas, e capazes apenas de contar passos e ciclos de sono. No entanto, a próxima geração destes dispositivos está a caminho e deve manipular um volume maior de informações dos usuários. É importante pensar na segurança destes dispositivos agora, e assegurar que a maneira como o rastreador interage com smartphone seja segura”, afirma Roman Unuchek, analista sênior de malware da Kaspersky Lab.

Os especialistas da Kaspersky Lab aconselham aos usuários que fiquem atentos quanto a segurança de seus dispositivos e verifiquem com os fornecedores das pulseiras se há possibilidade de um potencial ataque em seu produto.