Os riscos de ameaças móveis e as cópias de segurança de dados

VÍDEO EXPLICATIVO

Treinamento Prático ASP 3.0 – Disponível pela Internet

Introdução à linguagem e objetos intrínsecos.

Apesar da grande popularização dos dispositivos móveis, os usuários ainda subestimam os riscos que correm ao se conectarem. Segundo uma pesquisa realizada pela Kaspersky Lab e pela B2B International, 28% dos usuários sabem nada ou muito pouco sobre malware móvel. Infelizmente, esta falta de conhecimento é benéfica aos cibercriminosos.

A pesquisa mostra que, dentre os aparelhos com sistema Android, somente 58% dos smartphones e 63% dos tablets estão protegidos por alguma solução antivírus enquanto, no geral, 31% dos smartphones e 41% dos tablets nem sequer estão protegidos por uma senha. A conduta despreocupada dos usuários talvez se deva ao fato de que 28% deles não sabem da existência de ameaças cibernéticas dirigidas a dispositivos móveis e 26% sabem, porém não se preocupam com elas.

Para piorar o cenário, dentre os Androids desprotegidos, 18% contém as informações que os criminosos mais querem encontrar: senhas dos cartões de banco, senhas de e-banking e outros dados financeiros. 24% dos mesmos usuários armazenam as senhas das redes sociais, e-mails pessoais e de trabalho, VPN (rede privada virtual) e outros recursos sensíveis. Mesmo os usuários que não se preocupam em proteger seus dispositivos com senhas, armazenam em seus smartphones e-mails pessoais (49%), e-mails de trabalho (18%), e “dados que não querem que ninguém veja” (10%).

Ainda de acordo com a pesquisa, usuários de Android enfrentam ameaças online com mais frequência do que os usuários de Windows*. Estes últimos têm mais conhecimento dos perigos da internet e 90% deles costumam proteger seus dispositivos. Desta forma, a pesquisa descobriu que, em um período de 12 meses, 41% dos usuários de smartphones e 36% dos usuários de tablets possuem aplicativos maliciosos; as contas de serviço de 18% dos usuários de smartphones e de 24% dos usuários de tablets foram hackeadas, enquanto os ciberataques financeiros afetaram 43% dos usuários de smartphones e 50% dos usuários de tablets. Contabilizando todos os sistemas de diferentes plataformas móveis, a média de ataques soma 31% (aplicativos maliciosos), 14% (invasão de contas de serviços online) e 43% (ciberataques financeiros) – significativamente menor do que apenas os valores da plataforma Android.

“O fato das ameaças para dispositivos móveis crescerem não surpreende, já que os dispositivos estão fazendo cada vez mais e muitas pessoas passaram a utiliza-los. É claro que isto atrai os fraudadores. Para que não se tornem vítimas, aconselhamos que os usuários protejam seus dispositivos contra ciberameaças, especialmente se armazenam dados financeiros”, explica Victor Yablokov, diretor da Kaspersky Lab.

Outro estudo concluiu que aproximadamente um quarto dos usuários (24%) que mantinha cópias de segurança dos seus dados em dispositivos físicos perdeu tais informações. No mundo moderno, em que a informação tem valor crescente, é importante não apenas criar cópias dos arquivos, mas fazê-lo de forma correta.

O estudo relevou que, embora a vasta maioria (92%) dos entrevistados mantenha informações confidenciais — como correspondência privada, fotos, senhas ou dados financeiros — em seus dispositivos, menos de um terço opta por fazer cópias de segurança para prevenir eventuais perdas. Além disso, 29% dos usuários não toma qualquer medida de segurança deste gênero e 11% admitiram que não pretendem fazê-lo no futuro.

O estudo revela ainda que mesmo quem faz cópias de segurança não tem a garantia de não perder os arquivos. Os dispositivos de armazenamento físico, tais como discos externos ou memórias flash, continuam sendo os mais populares: 87% dos entrevistados mantiveram as suas cópias guardadas neste tipo de dispositivo, enquanto apenas 12% usaram serviços na nuvem. Contudo, dentre os que preferem os métodos físicos de armazenamento, 24% já sofreram alguma perda irreversível de informação, como resultado do extravio, avaria ou roubo do dispositivo.

“Optar por fazer backups de forma sistemática, permite tomar conta dos dados de maneira eficaz. Decida quais informações são mais valiosas para você e crie cópias de segurança regularmente. A melhor maneira é manter a informação importante em pastas criptografadas, guardadas tanto em suportes físicos como na nuvem. Isto irá proteger os seus dados mesmo se acontecer algo de extraordinário que leve à destruição de um dos mecanismos de armazenamento dos seus dados”, afirma Elena Kharchenko, responsável pela gestão de produtos para consumidores da Kaspersky Lab.

Anúncios

Problemas de segurança em pulseira de atividade física

COLETÂNEAS

Coletânea Série Tecnologia da Informação

Coletânea Digital Target com as Normas Técnicas, Regulamentos, etc, relacionadas à Tecnologia da Informação
Saiba Mais…

Coletânea Série Trabalhos Acadêmicos

Coletânea Digital Target com as Normas Técnicas, Regulamentos, etc, relacionadas à Trabalhos Acadêmicos

As pulseiras inteligentes – que medem batimentos cardíacos e calorias queimadas, entre outros quesitos – se tornaram muito populares, pois ajudam os usuários a monitorarem suas atividades físicas, a ingestão de calorias e se manterem em forma. No entanto, tais dispositivos também processam dados pessoais valiosos dos proprietários e é importante mantê-los seguros. O pesquisador Roman Unuchek, da Kaspersky Lab, examinou como várias pulseiras inteligentes interagem com os smartphones e descobriu alguns fatos surpreendentes.

Segundo concluiu em sua investigação, o método de autenticação utilizado em muitas pulseiras inteligentes permite que terceiros possam se conectar de maneira invisível com o dispositivo, executar comandos e, em alguns casos, extrair dados armazenados no dispositivo. Nos aparelhos inspecionados pelo pesquisador, os dados se limitavam à quantidade de passos dados pelo proprietário na hora anterior. No entanto, no futuro, quando a próxima geração de pulseiras, capazes de armazenar um volume maior e mais variado de dados, começar a ser vendida, é possível que se aumente de maneira significativa o risco de vazamento de dados médicos delicados dos proprietários.

A conexão maliciosa é possível devido a forma como a pulseira inteligente se conecta com o smartphone. Segundo a investigação, um dispositivo com sistema operacional Android versão 4.3 ou posterior, com um aplicativo especial não autorizado instalado, pode se conectar com pulseiras inteligentes de alguns fornecedores.

Para estabelecer uma conexão, os usuários devem confirmar o emparelhamento apertando um botão na pulseira inteligente. Os invasores podem vencer facilmente este obstáculo, porque a maioria das pulseiras de atividade física não têm tela. Quando a pulseira vibra solicitando que seu proprietário confirme o emparelhamento, a vítima não tem como saber se está confirmando uma conexão com seu próprio aparelho ou com o de outra pessoa.

 
“Esta Prova de Conceito depende de muitas condições para funcionar apropriadamente. Além disso, um invasor não poderia reunir dados realmente críticos, tais como números de senhas ou de cartões de crédito. Contudo, demonstra que há formas de um invasor se aproveitar de erros deixados por parte dos desenvolvedores do dispositivo. As pulseiras inteligentes disponíveis no mercado hoje em dia são bastante limitadas, e capazes apenas de contar passos e ciclos de sono. No entanto, a próxima geração destes dispositivos está a caminho e deve manipular um volume maior de informações dos usuários. É importante pensar na segurança destes dispositivos agora, e assegurar que a maneira como o rastreador interage com smartphone seja segura”, afirma Roman Unuchek, analista sênior de malware da Kaspersky Lab.

Os especialistas da Kaspersky Lab aconselham aos usuários que fiquem atentos quanto a segurança de seus dispositivos e verifiquem com os fornecedores das pulseiras se há possibilidade de um potencial ataque em seu produto.

Continuidade dos negócios e segurança da informação

Por quanto tempo a empresa poderia sobreviver sem as suas instalações, pessoas e sistemas? Quais são as ações a serem tomadas para manter a empresa funcionando na ocorrência de um vazamento de informações tecnológicas? Todos os funcionários sabem o que fazer, para onde ir ou anquem chamar em caso de um desastre? A continuidade dos negócios é uma abordagem integrada que envolve a mobilização de toda a organização para gerenciar crises e recuperar as operações após a ocorrência de qualquer evento que cause uma ruptura operacional.

Um plano desse tipo descreve as ações e processos necessários para recuperar as operações em caso de ruptura. Um plano de recuperação de desastres ou vazamento por falta de segurança da informações descreve os procedimentos para recuperar os sistemas e componentes de infraestrutura em casos de desastre.

Já a gestão de crises procura unir todos os elementos necessários à atuação coordenada durante a crise, a tomada de decisão de contingência e acionamento das equipes. Juntos, esses planos são o mecanismo necessário para garantir que uma organização possa se recuperar de forma eficaz após um desastre.

As organizações que não possuem planos de contingência estão sujeitas a impactos significativos e atraso no processo de recuperação após um evento de catástrofe. Muitas destas organizações podem nunca se recuperar. As organizações, portanto, precisam assegurar a existência de planos adequados para facilitar a recuperação. Esta é uma questão relevante para todas as organizações.

A NBR ISO/IEC 27031 de 01/2015 – Tecnologia da informação – Técnicas de segurança – Diretrizes para a prontidão para a continuidade dos negócios da tecnologia da informação e comunicação descreve os conceitos e princípios da prontidão esperada para a tecnologia de comunicação e informação (TIC) na continuidade dos negócios e fornece uma estrutura de métodos e processos para identificar e especificar todos os aspectos (como critérios de desempenho, projeto e implementação) para fornecer esta premissa nas organizações e garantir a continuidade dos negócios.

É aplicável para qualquer organização (privada, governamental e não governamental, independentemente do tamanho) desenvolvendo a prontidão de sua TIC para atender a um programa de continuidade nos negócios (PTCN), requerendo que os serviços e componentes de infraestrutura relacionados estejam prontos para suportar as operações de negócio na ocorrência de eventos e incidentes e seus impactos na continuidade (incluindo segurança) das funções críticas de negócio.

Também assegura que a organização estabeleça parâmetros para medir o desempenho que está correlacionado à PTCN de forma consistente e organizada. O escopo desta norma inclui todos os eventos e incidentes (incluindo os relacionados com segurança) que podem impactar a infraestrutura da TIC e sistemas, incluindo e estendendo às práticas de gestão de incidentes em segurança da informação e a prontidão esperada para o planejamento e serviços em TIC.

Através dos anos, as tecnologias da informação e comunicação (TIC) tornaram-se uma parte integrante de muitas atividades fundamentais para suportar a infraestrutura crítica em organizações de todos os setores, sejam públicas, privadas ou voluntárias. A proliferação da internet e de outros serviços de comunicação digital, somada à capacidade dos sistemas e aplicações utilizados hoje, resultaram em um cenário onde as organizações tornaram-se mais dependentes de uma infraestrutura de TIC confiável e segura.

Enquanto isso, a necessidade da Gestão de continuidade de negócios (GCN), incluindo a preparação para incidentes, planejamento para recuperação de desastres e gestão de respostas emergenciais, tem sido reconhecida e suportada por meio de domínios específicos de conhecimento, expertise e normas desenvolvidas e promulgadas recentemente, incluindo a norma de GCN, desenvolvida pelo ISO/TC 223.

As falhas nos serviços de TIC, incluindo a ocorrência de questões na segurança, como invasão de sistemas e infecções por códigos maliciosos, impactam a continuidade das operações de negócio. Dessa forma, o gerenciamento da TIC e dos aspectos relacionados à continuidade e segurança, integra os processos chave para estabelecer os requisitos na continuidade dos negócios.

Além disso, na maioria dos casos, as funções críticas de negócio que demandam ser providas de estratégias para a continuidade são geralmente dependentes da TIC, o que resulta em um cenário onde qualquer interrupção funcional pode resultar em riscos estratégicos para a reputação da organização e sua capacidade de operar. A prontidão da TIC é um componente essencial para muitas organizações na implementação da gestão para a continuidade dos negócios e segurança da informação.

Como parte da implementação e operação de um sistema de gestão de segurança da informação (SGSI) especificado na NBR ISO/IEC 27001 e de um sistema de gestão de continuidade de negócios (SGCN), é uma questão crítica desenvolver e implementar um plano para a prontidão dos serviços de TIC que suportem a continuidade dos processos de negócio. Como resultado, um SGCN efetivo é frequentemente dependente da efetividade da prontidão de TIC em garantir que os objetivos organizacionais continuem a ser atendidos durante a ocorrência de um evento de interrupção.

Isso é especialmente importante, uma vez que as consequências de rupturas na TIC têm a complicação adicional de não serem facilmente detectadas. Para que uma organização alcance a Prontidão de TIC para a Continuidade de Negócios, é necessário prover um processo sistemático de prevenção e gerenciamento de incidentes e interrupções no funcionamento da TIC que tenham o potencial de gerar impactos para o funcionamento esperado dos serviços e sistemas.

Isso pode ser alcançado aplicando os passos cíclicos estabelecidos em um Plan-Do-Check-Act (PDCA) como parte da gestão de PTCN. Dessa forma, a PTCN suporta o GCN ao garantir que os serviços de TIC são resilientes como esperado e podem ser recuperados em níveis predeterminados em tempos de resposta requeridos e acordados com a organização.

Clique nas figuras para uma melhor visualização

tabela 1-continuidade

Se uma organização usa a NBR ISO/IEC 27001 para estabelecer um SGSI e/ou normas relevantes para estabelecer um SGCN, convém que o estabelecimento da Prontidão de TIC para a Continuidade de Negócios preferencialmente leve em consideração a existência ou previsão de processos relacionados com estas normas. Esta relação pode suportar o estabelecimento da PTCN e também evitar a duplicação de esforços para a organização.

No planejamento e implementação de uma PTCN, a organização pode referenciar a NBR ISO/IEC 24762:2009 no planejamento e entrega dos serviços para recuperação de desastres de TIC, independentemente se estes são providos por uma entidade externa ou interna. A Gestão da Continuidade de Negócios (GCN) é um processo holístico de gestão que identifica os impactos potenciais que ameaçam a continuidade das operações de negócio de uma organização e fornecesse uma estrutura para construir a resiliência e capacidade de resposta eficaz que protegem os interesses organizacionais de interrupções.

figura 1-continuidade

Como parte de um processo de GCN, a PTCN refere-se à gestão de um sistema que complementa e suporta a GCN e/ou um programa de SGSI, promovendo a prontidão organizacional para: responder as mudanças constantes dos riscos do ambiente; garantir a continuidade das operações críticas de negócio suportadas pelos serviços de TIC; estar pronta a responder antes que uma interrupção ocorra em um serviço de TIC, por meio da detecção de um ou mais eventos que podem tornar-se incidentes; e responder e recuperar frente à ocorrência de incidentes, desastres e falhas. A Figura 2 ilustra os resultados esperados da TIC para suportar as atividades da Gestão da Continuidade de Negócios.

figura 2-continuidade

A NBR ISO 22301 sumariza a abordagem da GCN para prevenir, reagir e recuperar de incidentes. As atividades envolvendo a GCN incluem a preparação para incidentes, gestão da continuidade operacional (GCO), plano para recuperação de desastres (PRD) e mitigação de riscos com foco em incrementar a resiliência da organização, preparando-a para reagir efetivamente a incidentes e recuperar dentro de escalas temporais predeterminadas.

Entretanto, cada organização define as suas prioridades para a GCN, e estas são utilizadas como base para direcionar as atividades da PTCN. Dessa forma, a GCN depende da garantia provida pela PTCN de que a organização pode alcançar seus objetivos de continuidade sempre que necessário, especialmente durante períodos de interrupção.

Como apresentado na Figura 3, as atividades de prontidão visam:

a) incrementar as capacidades de detecção de incidentes;

b) prevenir a ocorrência de falhas drásticas ou súbitas;

c) estabelecer um nível de degradação aceitável do status operacional se a falha não puder ser interrompida;

d) reduzir ao máximo o tempo de recuperação previsto; e

e) minimizar os impactos gerados pelo incidente.

figura 3-continuidade

A PTCN é baseada nos seguintes princípios fundamentais:

– Prevenção de Incidentes: Proteger os serviços de TIC de ameaças, como as geradas pelo ambiente, falhas em hardware, erros operacionais, ataques maliciosos e desastres naturais, é uma questão crítica para manter os níveis desejados de disponibilidade dos sistemas de uma organização;

– Detecção de Incidentes: Detectar incidentes o mais cedo possível minimiza os impactos para os serviços, reduzindo o esforço de recuperação e preservando a qualidade dos serviços;

– Resposta: Responder a um incidente da maneira mais apropriada possível irá resultar em uma recuperação mais eficiente e minimizar as paradas, pois uma reação inadequada pode resultar no escalonamento de um incidente pequeno para algo muito mais grave;

– Recuperação: Identificar e implementar a estratégia de recuperação apropriada irá garantir a recuperação dos serviços dentro de um tempo aceitável e manter a integridade dos dados. O entendimento das prioridades de recuperação permite que os serviços mais críticos possam ser reinstalados primeiro. Serviços de natureza menos crítica podem ser reinstalados posteriormente ou, em algumas circunstâncias, não ser recuperados.

– Melhoria: Convém que lições aprendidas de incidentes de variadas intensidades sejam documentadas, analisadas e analisadas criticamente. O entendimento dessas lições irá permitir que a organização esteja melhor preparada, estabeleça um controle adequado e evite a ocorrência de incidentes ou interrupções.

A Figura 4 ilustra como os respectivos elementos em uma PTCN suportam uma linha de tempo para a recuperação de um desastre que afete a TIC e suportam a continuidade das atividades de negócio. A implementação da PTCN permite que a organização responda efetivamente a ameaças novas e emergentes, assim como esteja pronta para reagir e se recuperar dos efeitos de interrupções.

figura 4-continuidade

Os elementos fundamentais da PTCN podem ser resumidos como apresentados: Pessoas: os especialistas com o conhecimento e capacidade apropriados, e equipe de reposição competente; Instalações: o ambiente físico onde os recursos de TIC estão localizados; Tecnologia: 1) hardware (incluindo racks, servidores, equipamentos de armazenamento de dados, unidades de fita e similares); 2) rede de dados (incluindo a conectividade de dados e serviços de voz), switches, roteadores; e 3) software: incluindo sistema operacional, software de aplicação, links ou interfaces entre aplicações e rotinas de processamento batch; Dados: dados de aplicações, voz e outros tipos; Processos: incluindo a documentação de suporte que descreve a configuração dos recursos de TIC e suporta uma operação efetiva, recuperação e manutenção dos serviços de TIC; e Fornecedores: outros componentes de serviços nos quais os serviços providos pela TIC dependem de um fornecedor externo ou outra organização dentro da cadeia de suprimentos, como provedores de dados do mercado financeiro, empresas de telecomunicações e provedores de serviços para acesso a internet.

Os benefícios de uma PTCN efetiva para a organização são: entender os riscos para a continuidade dos serviços de TIC e suas vulnerabilidades; identificar os impactos potenciais das interrupções dos serviços de TIC; encorajar a colaboração entre os gestores das áreas de negócio e seus provedores de serviços de TIC (internos e externos); desenvolver e melhorar as competências da equipe de TIC ao demonstrar credibilidade nas respostas providas por meio do exercício dos planos para a continuidade de TIC e testes dos arranjos mantidos para a PTCN; garantir para a alta direção ela pode contar com determinados níveis de serviços para TIC, assim como o suporte e as comunicações adequados, mesmo diante dos impactos gerados por uma interrupção; garantir para a alta direção que a segurança da informação (confidencialidade, integridade e disponibilidade) está sendo adequadamente preservada, estabelecendo a aderência esperada para as políticas de segurança da informação; fornecer confiança adicional na estratégia para continuidade dos negócios, relacionando os investimentos feitos em tecnologia da informação para atender às necessidades organizacionais e garantir que os serviços de TIC estão protegidos em um nível apropriado de acordo com a sua importância para os processos de negócio; ter os serviços de TIC dentro de uma relação custo/benefício aceitável e não subestimada ou superestimada, benefício este alcançado por meio de um entendimento dos níveis de dependência dos serviços providos, natureza, localização, interdependência e uso dos componentes que estabelecem os serviços esperados; poder incrementar a reputação organizacional pela prudência e eficiência estabelecidas; potencializar os ganhos em vantagens competitivas por meio da demonstração da habilidade para entregar serviços de continuidade e manter o fornecimento de produtos e serviços mesmo em períodos de interrupção; e entender e documentar as expectativas das partes interessadas, os relacionamentos suportados e uso dos serviços providos pela TIC. A PTCN fornece uma forma clara de determinar o status dos serviços de TIC de uma organização em suportar os objetivos para a continuidade de negócios ao endereçar a questão “nossa TIC tem a capacidade de resposta adequada” em vez de “nossa TIC é segura”.

Em um mundo sob demanda, abertura é a chave

Vídeo explicativo

Apresentando os novos requisitos e as alterações para a ISO 9001:2015 – Disponível pela Internet

Tem sido verificado em todo o mundo, nos últimos anos, um significativo aumento no interesse pelo desenvolvimento de Sistemas de Gestão “integrados”

Hector Silva, diretor de tecnologia para a América Latina da Ciena

Para ajudar a aliviar a poluição do ar e reduzir o congestionamento nas grandes cidades da América Latina, os governos locais implementaram programas que restringem o uso de carros durante a semana, ao mesmo tempo em que criaram iniciativas para expandir o sistema de metrôs e aumentar a frota de ônibus nas ruas. Esses esforços alimentaram grandes expectativas para resolver as necessidades de transporte na região.

Embora esses programas tenham apresentado alguns resultados positivos, não conseguiram acompanhar o crescimento populacional da região. Não demorou muito para que os ônibus e metrôs ficassem tão lotados quanto as alternativas que existiam antes.

A fim de resolver o problema, os governos e a sociedade adotaram medidas adicionais, construindo pistas de dois andares, cobrando pedágio para quem podia pagar a despesa extra para tornar a viagem mais rápida, ou então incentivando as empresas a começarem o dia de trabalho antes ou encerrarem depois do horário de pico, quando as pessoas vão e voltam do trabalho. Porém, alguns dizem que por todo o esforço e custos despendidos com essas medidas, a expansão da infraestrutura é ainda tímida em comparação com o atraso extremo em relação as formas eficientes para tornar suportável o trajeto até o trabalho para a maioria dos latino-americanos.

Em resumo, o que os motoristas almejavam começou a ficar cada vez mais distante do que as estradas podiam oferecer, gerando uma lacuna – uma lacuna que foi aparentemente preenchida  pelos engarrafamentos. Essa lacuna está começando a surgir na rodovia da informação (Information Superhighway), na medida em que mais usuários utilizam a rede e os provedores de conteúdo e nuvem movimentam mais e mais dados pelo mundo.

Uma única transação para um único usuário agora tem o potencial de monopolizar uma quantidade significativa de recursos da rede.  Isso não acontecia muito quando a rede servia apenas para tráfego de voz e acesso básico à internet.

Na América Latina em específico, o engarrafamento aumenta rapidamente. Em nossa pesquisa realizada em parceria com a International Data Corporation (IDC) e publicada em fevereiro, foi revelado que 80% dos líderes empresariais de TI da América Latina preveem que as necessidades de conectividade de suas organizações aumentarão quase o dobro durante os próximos 24 meses.

Líderes na região estimaram que quase metade (45%) do seu tráfego de rede têm origem de tablets e smartphones, e atribuíram a mudança em suas necessidades de conectividade empresarial a aplicativos como vídeo, comunicações unificadas, aplicativos de compartilhamento de arquivos e uma demanda crescente de serviços adicionais. Com as  demandas de negócios voltadas à interação software/hardware, é evidente que grandes mudanças estão chegando aos mercados da América Latina e Caribe – fato que eu pude reforçar enquanto percorria as sessões e apresentações da Futurecom, onde mais de 15.000 participantes e centenas de expositores se reuniram para discutir sobre como as redes de telecomunicação podem ser aperfeiçoadas a fim de atender às tendências emergentes.

O que os usuários querem e o que a rede pode oferecer é um desafio, pois as redes atuais – construídas com uma mistura de hardware antigo e soluções de ponta – não são projetadas para oferecer o que o usuário deseja em tempo real. Com novas redes inteligentes definidas por software, no entanto, não será mais necessário confiar apenas em recursos físicos para atender às exigências do usuário. Estamos migrando para um mundo no qual as redes poderiam oferecer serviços e capacidade de acordo com a necessidade – “sob demanda”.

Por exemplo, os provedores de nuvem e provedores de serviços de streaming de vídeo estão tentando largar na frente, criando novos aplicativos e serviços de última geração, que por sua vez, estão criando padrões imprevisíveis de tráfego. Provedores de nuvem, como o Dropbox, têm acordos de nível de serviço (SLA) bastante restritos, que garantem essencialmente um nível “sempre disponível” de conectividade e serviços, e a globalização desses provedores de nuvem significa que há uma mudança entre horas de pico de uso previsíveis para os picos que podem ocorrer a qualquer momento.

A cada dia, mais dispositivos e usuários se conectam à rede. Somente na América Latina, a IDC estimou que o mercado de TI se tornará um negócio de aproximadamente US$ 4 bilhões até o fim de 2014, com uma taxa de crescimento anual composta prevista de 30% até 2017 (Previsões da IDC América Latina para 2014). Isso significa que os provedores de serviços precisam de uma infraestrutura que seja programável e que possa dar suporte a picos de tráfego repentinos e imprevisíveis.

Enquanto o ambiente 4G da América Latina ainda está no começo, a infraestrutura da rede deve continuar evoluindo e crescendo. Porém, a capacidade de oferecer ou modificar um serviço existente e sempre em evolução – com a rede sendo capaz de entregá-lo – ainda é algo muito distante para a maioria dos provedores de serviços.

Pense em uma estrada, onde se leva tempo para pintar as linhas, instalar placas e alertar os motoristas sobre as novas normas. Hoje em dia, é preciso mais de 60 dias para que um serviço ao cliente final seja implantado ou modificado, sem mencionar que são necessários 18 meses, ou mais, para que uma nova estrutura de serviços seja criada e disponibilizada comercialmente. Isso não condiz com a dinâmica que a internet exige e coloca os provedores de serviços em crescente desvantagem em sua busca por novas receitas.

Apesar dos benefícios, as redes baseadas em protocolo são rígidas e fragmentadas. Para habilitar todos os potenciais aplicativos que os clientes desejam a cada minuto, os provedores de serviços precisam fechar o que chamamos de “lacuna de agilidade”, tornando a rede mais dinâmica e programável.

As redes atuais podem fechar a lacuna de agilidade trazendo um novo atributo vital para as redes: a abertura. As redes deverão estar abertas aos aplicativos de software externos e terão de ser programáveis e automatizadas, a fim de responder às solicitações feitas por esses aplicativos.

A abertura alavanca os princípios da rede definida por software (SDN) para desobstruir a rede das restrições das operações baseadas em protocolo e colocar a inteligência e a capacidade do software (e o poder da TI moderna) no controle. A abertura faz com que a rede se torne mais adaptável e flexível – elementos importantes no mundo de alta disponibilidade atual.

Com a programabilidade do software, as operadoras podem criar uma base virtual de testes para novos tipos de serviços, que pode ser implementada muito mais rapidamente do que o período de 2 a 18 meses projetado em uma rede estática baseada em protocolo. Mudanças são muito mais fáceis de serem implementadas quando o que precisa ser mudado pode ser alterado com um clique.

O interessante da Futurecom 2014, possivelmente o evento mais importante de telecomunicações e TI da América Latina, em comparação com 2013, foi que, no ano passado, a maioria das pessoas falava sobre SDN/NFV de forma puramente teórica. Neste ano, mais empresas demonstraram soluções e software que contextualizam SDN/NFV. Isso mostra que o tráfego — para as redes, no mínimo, se não for para os carros — tem potencial para diminuir em breve.

De onde vem o lucro das empresas que oferecem softwares de segurança gratuitos?

NORMAS COMENTADAS

NBR 14039 – COMENTADA
de 05/2005

Instalações elétricas de média tensão de 1,0 kV a 36,2 kV. Possui 140 páginas de comentários…

Nr. de Páginas: 87

NBR 5410 – COMENTADA
de 09/2004

Instalações elétricas de baixa tensão – Versão comentada.

Nr. de Páginas: 209

NBR ISO 9001 – COMENTADA
de 11/2008

Sistemas de gestão da qualidade – Requisitos. Versão comentada.

Ariel Sepúlveda

Com frequência cada dia maior, parte de nossas vidas se digitaliza e altera o compasso de nossos atos. O que realizamos no mundo virtual tem tanta importância e sentido quanto o que acontece na vida real. E, da mesma maneira que buscamos segurança e privacidade da vida real, deveríamos valorizar segurança e privacidade no mundo virtual.

Mas nem sempre a percepção das pessoas e das empresas acompanha de fato o que está acontecendo nos bastidores da indústria. Isto vale, por exemplo, para a Internet das Coisas. A IoT vai disseminando a percepção de que todos os recursos virtuais de que se necessita são invisíveis, estão na nuvem e não precisam ser contratados.

De uma rede Wi-Fi a portais para arquivar dados, tudo pode ser acessado de qualquer ponto geográfico, tudo pode ser gratuito.  Fica literalmente no ar uma sensação de bem-estar, de contar com os serviços que se precisa sem ter de fazer escolhas, sem ter de checar contratos, sem ter de pagar por nada. Basta fazer um search e pronto – a rede ou a aplicação que se precisa está ali, pronta para ser usada, totalmente gratuita.

Para o usuário, porém, todo este conforto pode ser uma armadilha. Para refletir a importância de ver com novos olhos esta realidade, sempre apelo a um conto indutivo de Bertrand Russel para demostrar como certas percepções podem nos levar a cometer um erro que, no futuro, pode nos custar muito caro e afetar tanto nossos bens quanto nossas informações pessoais.

Em sua primeira manhã dentro de uma granja, um peru descobriu que seu cuidador lhe dava de comer às nove horas da manhã. Porém, sendo, como era, um bom peru indutivo, não tirou conclusões precipitadas. Esperou para elaborar uma teoria até haver coletado uma grande quantidade de observações do fato de seu cuidador lhe dar de comer todos os dias às nove horas da manhã; ele fez essas observações em uma grande variedade de circunstâncias, em quartas-feiras e domingos, em dias frios e quentes, em dias chuvosos e em dias ensolarados.

A cada dia, acrescentava um novo enunciado observacional à sua lista. Por fim, sua consciência indutiva se sentiu satisfeita e efetuou uma inferência indutiva para concluir: “O melhor amigo de um peru é seu cuidador”. Mas a conclusão falhou na véspera de Natal, pois, em vez de lhe dar comida, seu cuidador lhe cortou o pescoço. Uma inferência indutiva com premissas verdadeiras levou a uma conclusão falsa.

Mas o que têm a ver a digitalização dos serviços e a Internet das Coisas com um peru? A questão é que o peru, sem saber, estava em perigo – assim como os dados, imagens e logs de acessos das pessoas que acreditam no conto de fadas das soluções gratuitas de segurança e privacidade. Cada vez que vejo um dispositivo que tem instalado um software de antivírus gratuito, por exemplo, creio que seu usuário é um “peru”. A pessoa que pensa estar levando vantagem ao usufruir de uma tecnologia sem pagar nada não sabe que já está pagando, e muito.

Afinal, quem está por trás da digitalização de serviços e da Internet das Coisas são grandes corporações. Todas as empresas têm um dever fundamental: ganhar dinheiro para ser sustentáveis, pagar salários e dar lucros a seus acionistas. Fica claro, portanto, que nenhum produto gratuito tem a capacidade de se sustentar se não utilizar alguma maneira de obter lucros a partir dos volumes de informações gerados por sua própria oferta.

O usuário crê inocentemente que, baixando uma aplicação gratuita de segurança, está isento de qualquer ameaça. Julgando-se protegido, ele abre o flanco e livremente entrega ao fornecedor da solução que usa uma grande quantidade de dados pessoais. Existem rumores muito críveis de que essas empresas vendem os padrões de comportamento de seus usuários a empresas de marketing que buscam o lugar justo e adequado para colocar seu produto com o menor esforço.

A melhor forma de escapar a esta armadilha é desistir de contos de fadas e compreender que a segurança do seu dispositivo de acesso – seja um PC, um tablet ou seu smartphone – demanda que você utilize uma solução consistente, sempre atualizada e paga. Ao pagar, você ganha direitos e passa a contar com a garantia de que seus dados serão protegidos não só de ataques externos mas de uso indevido da parte do próprio fornecedor da solução de segurança ou privacidade.

Pense racionalmente: o valor de qualquer licença de software de segurança ou privacidade é mínimo quando comparado ao prejuízo que pode ser ocasionado pelo uso de uma solução gratuita que pode, inicialmente, parecer confiável. Mais cedo ou mais tarde, porém, o que parece um presente trará ao seu dispositivo digital o Natal – exatamente o mesmo tipo de Natal que chegou para o peru da narrativa de Bertrand Russel.

Ariel Sepúlveda é engenheiro de sistemas da F-Secure Brasil.

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Linkedin: http://br.linkedin.com/pub/hayrton-prado/2/740/27a

Facebook: http://www.facebook.com/#!/hayrton.prado

Skype: hayrton.prado1

Aprendendo com as maiores ameaças de 2014

REGULAMENTOS TÉCNICOS

Os Regulamentos Técnicos, estabelecidos por órgãos oficiais nos níveis federal, estadual ou municipal, de acordo com as suas competências específicas, estabelecidas legalmente e que contém regras de observância obrigatórias às quais estabelecem requisitos técnicos, seja diretamente, seja pela referência a uma Norma Brasileira ou por incorporação do seu conteúdo, no todo ou em parte, também estão disponíveis aqui no Portal Target. Estes regulamentos, em geral, visam assegurar aspectos relativos à saúde, à segurança, ao meio ambiente, ou à proteção do consumidor e da concorrência justa, além de, por vezes, estabelecer os requisitos técnicos para um produto, processo ou serviço, podendo assim também estabelecer procedimentos para a avaliação da conformidade ao regulamento, inclusive a certificação compulsória. Você pode realizar pesquisas selecionando o produto “Regulamentos Técnicos” e informando a(s) palavra(s) desejada(s). Clique no link https://www.target.com.br/produtossolucoes/regulamentos/regulamentos.aspx

hackerA Avast! divulgou um resumo com a ideia de oferecer uma analise do que aconteceu para aprender a se proteger e não cometer os mesmos erros de novo. Até os usuários iCloud da Apple foram alvos dos cyber criminosos. Foi divulgado um resumo das ameaças que mais se destacaram em 2014, um ano muito ativo para o cyber criminosos.

Começando pelos ataques mais recentes e, depois, uma breve olhada em outros eventos importantes do ano passado que envolveram segurança. A ideia é ver o que aconteceu para aprender a se proteger e não cometer os mesmos erros de novo. Os comentários são de Lisandro Carmona, especialista em segurança da companhia.

Espionagem patrocinada pelo governo – Ao final de 2014 ocorreu o hackeamento mais publicado e destrutivo de uma grande companhia multinacional por outro país, a Coreia do Norte. O ataque à Sony Entertainment, ainda sob a investigação do FBI, resultou no roubo de 100 terabytes de dados confidenciais dos funcionários, documentos corporativos e filmes ainda não lançados. Foi um ataque à privacidade devido ao roubo de uma quantidade enorme de dados pessoais, mas também essencialmente uma chantagem: querendo silenciar algo que supostamente o governo da Coreia do Norte não teria gostava: o lançamento de A Entrevista, um filme que descreve uma tentativa de assassinato contra Kim Jong-Un. A maioria das reclamações contra cyber crimes patrocinados por governos em 2014 foram contra hackers da Rússia e China. Independentemente se foram patrocinados por pessoas ou pelo governo, estes hackers tentaram acessar informações secretas do governo dos Estados Unidos, militares ou de grandes companhias. Recentemente, hackers chineses patrocinados pelos militares espionaram o departamento de justiça norte americano.

Vazamento de dados – Além do vazamento da Sony, outras importantes empresas sofreram com o cyber crime, incluindo Home Depot, eBay, Michaels, Staples, Sally Beauty Supply e outras. Um número significativo destes vazamentos começou há meses ou anos, mas somente foram descobertos ou tornados públicos em 2014. Quase 110 milhões de dados foram roubados da Home Depot: o maior vazamento de um atacadista americano. Entre os dados estavam 56 milhões de números de cartão de crédito e 53 milhões de endereços de e-mail. O vazamento de dados do JPMorgan Chase impactou cerca de 80 milhões de norte-americanos, bem como 7 milhões de pequenas e médias empresas. Os cyber criminosos foram capazes entrar no sistema através do roubo da senha de um funcionário, uma cópia do vazamento da Target de 2013. Este vazamento é tido como um dos maiores em uma instituição financeira. O caso ainda está sendo investigando.

Malwares financeiros e de roubo de dados – O GameOver Zeus, chamado de o pior malware já criado, infectou milhões de usuários da internet em todo o mundo e roubou milhões de dólares obtendo dados bancários de computadores infectados. O trojan bancário Tinba utiliza uma técnica de engenharia social chamada spearfishing para atingir suas vítimas. A campanha via e-mail atingiu os clientes do Bank of America, do ING Direct e do HSBC, utilizando táticas de amedrontamento para levá-los a baixar o trojan que obtinha dados pessoais.
Hackers chineses atuaram uma e outra vez, atingindo com malware bancário os clientes dos bancos sul coreanos através de uma conexão VPN. Os clientes eram enviados a uma página muito parecida onde informavam suas senhas e informações bancárias aos cyber criminosos.

Vulnerabilidades dos programas – Muitos dos vazamentos que ocorreram em 2014 foram devidos a falhas de segurança nos programas, que os hackers souberam aproveitar muito bem. Os nomes que mais ouvimos foram o Adobe Flash Player/Plugin, Apple Quicktime, Oracle Java Runtime e Adobe Acrobat Reader.

Inúmeros novos ataques – Falhas em programas trouxeram dois nomes que causaram terror nos corações dos administradores de TI: Shellshock e Heartbleed. O Heartbleed aproveita-se de uma séria falha no protocolo OpenSSL. Ele permite que os cyber criminosos roubem as chaves de criptografia, nomes e senhas, dados bancários e outros dados privados e não deixa nenhuma pista de que foram roubados. O Shellshock acabou afetando mais da metade dos sites da internet. Hackers distribuíram malware em sites legítimos para obter dados confidenciais dos computadores infectados.

Ransomware – Outro nome que foi muito falado foi um grupo de malwares chamados ransomware, como, por exemplo, o CryptoLocker, e as suas variantes Cryptowall, Prison Locker, PowerLocker e Zerolocker. O mais disseminado é o Cryptolocker, que criptografa os dados de um computador e exige da vítima um resgate em dinheiro para fornecer a chave de criptografia.
Ransomware fez o seu caminho do Windows para o Android durante o ano passado, e a Avast criou o Ransomware Remover, um aplicativo para remoção do ransomware do Android que desbloqueia os arquivos criptografados gratuitamente. Fazer regularmente backup dos arquivos importantes é vital para evitar a sua perda para um ransomware.

Ataques à privacidade – Os usuários Mac ficaram chocados, as celebridades foram atingidas mortalmente e os fãs se deliciaram com as notícias sobre o hackeamento do iCloud que tornou públicas online numerosas fotos íntimas de famosas celebridades de Hollywood. A séria falha no serviço da nuvem iCloud foi conseguida através de métodos de força bruta contra as contas do iCloud.

Engenharia social – A arte do engano é um método de grande sucesso para os cibercriminosos. O ponto mais fraco na segurança é o usuário final e os hackers tiram vantagem de nós o tempo todo utilizando estratégias de engenharia social.

Phishing – Em um ataque de phishing ou despearphishing, hackers utilizam emails para enganar as pessoas e conseguir informações privadas, clicar nos links ou baixar malware. Um dos ataques mais famosos foi a falha na Target, na qual hackers conseguiram uma senha de rede de um vendedor terceirizado da Target, entraram na rede e comprometeram as máquinas dos pontos de venda em novembro de 2013.

Fraudes nas redes sociais – As redes sociais como o Facebook oferecem um ambiente perfeito para a engenharia social. Eles podem agitar, atrair a atenção dos usuários com conteúdo chocante, encorajar as próprias pessoas a compartilhar as fraudes. Estas fraudes vêm na forma de links para falsos vídeos que mostram pesquisas e sites falsos.

Exploit Kits à venda – No ano passado, o Laboratório de Vírus da Avast observou um aumento na atividade de malware disseminado através de exploit kits. Estes kits, geralmente à venda no mercado negro online, a deep web, permitem aos cibercriminosos desenvolver ameaças personalizadas para atacar alvos específicos. O código fonte do malware Zeus foi utilizado para desenvolver o Gameover e a rede Zeus Gameover foi utilizada para baixar e instalar o Cryptolocker.

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Linkedin: http://br.linkedin.com/pub/hayrton-prado/2/740/27a

Facebook: http://www.facebook.com/#!/hayrton.prado

Skype: hayrton.prado1

Pequenas atitudes reduzem os riscos de ataques dos cyber criminosos

CURSO PELA INTERNET

Armazenamento de Líquidos Inflamáveis e Combustíveis de acordo com a Revisão da Norma ABNT NBR 17505 – Disponível pela Internet – Ministrado em 22/05/2014

O curso visa a orientação de todo o pessoal envolvido no Projeto, na Construção, na Aprovação de Licenças e na Fiscalização de Instalações voltadas para o Armazenamento de Líquidos Inflamáveis e Combustíveis.

Especialista indica algumas ações simples que ajudam na proteção de dados

O ataque cibernético é uma das maiores preocupações dos usuários de computador e dispositivos móveis. Mesmo com adoção de uma solução antivírus eficaz, as tentativas de roubo de dados bancários e pessoais assombram até os usuários mais experientes e também profissionais que atuam em Segurança da Informação. Isto porque diariamente surgem novos tipos e variações de códigos maliciosos e os criminosos não se cansam de utilizarem diversas formas de realizar seus ataques.

No entanto, medidas simples podem ajudar muito nesta eterna batalha contra os ataques virtuais, como conta Emanoel Souza, diretor da FirstSecurity, distribuidora da G Data.O especialista listou algumas delas:

Bloqueio do computador – Se for necessário deixar o PC ligado e precisar se ausentar do ambiente é aconselhável bloquear o sistema. Os criminosos sempre se utilizam das oportunidades. Um PC trabalhando sozinho pode ter o efeito de um convite para alguém mal intencionado bisbilhotar o sistema para obter dados pessoais.

Adequação das configurações de segurança – Muitos componentes do computador, tanto do sistema operacional como de aplicativos, oferecem possibilidades de configuração para diferentes níveis de segurança. Nem sempre as configurações de segurança padrão são selecionadas pensando especialmente na segurança. Vale a pena verificar as configurações e ajustá-las para cada tipo de situação. Caso se sinta sobrecarregado com as inúmeras possibilidades de configuração, solicite o conselho de um especialista.

Desligar o computador ou desconectar a conexão de rede – Se não for utilizar o seu sistema por um tempo mais longo, pense em desligá-lo totalmente ou desconectar a conexão de rede. É muito confortável ficar online o tempo todo, mas um PC que não está pendurado na rede, ou seja, que está desligado, não pode ser atacado.

Fazer backup – A perda ou roubo de dados e informações pessoais e de negócios cria aborrecimentos diversos. É prudente realizar cópias de backup do sistema, aplicações e arquivos diariamente. Mesmo sem um ataque iminente, existe, a todo momento,o risco dos dados serem perdidos, seja em decorrência de uma queda de luz, defeito de hardware, raios ou outros eventos não esperados. Utilize produtos que permitem backups automáticos e regulares em todos os formatos de mídias de dados comuns. As mídias de backup devem ser guardadas em um local seguro. Como alternativa, os backups também podem ser feitos online (em nuvem), onde o reduzido risco residual da perda ou dano das mídias de backup também pode ser diminuído.

O especialista também sugere que o usuário mantenha seu sistema operacional, aplicativos de software e de segurança sempre atualizados, com a mais recente versão. “Não se pode brincar com segurança e mesmo que se invista um pouco a mais de seu orçamento para isso, vale a pena e é uma forma inteligente de se evitar ser vítimas dos criminosos cibernéticos”, destaca o especialista.

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Linkedin: http://br.linkedin.com/pub/hayrton-prado/2/740/27a

Facebook: http://www.facebook.com/#!/hayrton.prado

Skype: hayrton.prado1