Maioria das empresas já sofreu incidentes de segurança relacionados ao mobileO último relatório da CompTIA com foco no Brasil, o International Trends in Cybersecurity, revelou que 81% dos negócios brasileiros já reportaram algum incidente de segurança envolvendo o mobile, como perda de dispositivos, malwares e ataques de phishing Carlos Rodrigues (*) Recentemente, uma vulnerabilidade crítica de segurança no WhatsApp, que no último ano anunciou a implementação de criptografia de ponta a ponta para todas as conversas no aplicativo, permitiu que o Facebook e outros usuários interceptassem e lessem mensagens criptografadas. Aplicações de mensagem como o WhatsApp, Facebook Messenger e iMessage já fazem parte do cotidiano de milhões de funcionários no mundo todo, mesmo que não sejam ferramentas corporativas. Isso acontece porque a maioria das empresas está falhando em acompanhar o avanço da mobilidade com soluções ágeis e seguras. Os funcionários de hoje são móveis. Isso não significa que eles estejam trabalhando remotamente ou viajando mais, mas que eles esperam poder acessar seus e-mails enquanto esperam na fila do banco ou manter comunicações com clientes e fornecedores enquanto tomam um café na padaria. Como a maioria das ferramentas para uso no ambiente de trabalho não oferecem a agilidade necessária no mobile, os funcionários acabam recorrendo a aplicativos como o WhatsApp para preencher essa lacuna de produtividade, algo que pode custar caro em termos de segurança da informação. Empresas terão de incluir mobile na estratégia de segurança Mesmo que ofereçam atributos de segurança para o usuário, essas aplicações acabam sendo desafiadoras para profissionais de segurança porque não oferecem os controles necessários para o uso no ambiente corporativo. Você encorajaria um funcionário a usar sua conta de e-mail pessoal para comunicações corporativas? Provavelmente não, pelo simples fato de ser impossível revogar o acesso, caso o funcionário deixe a empresa, controlar o armazenamento de dados e implementar políticas de uso. O mesmo serve para os aplicativos mobile. Se, mesmo com toda a segurança das ferramentas corporativas, ainda é possível encontrar vulnerabilidades e sofrer grandes violações de dados, mesmo que os desenvolvedores afirmem que ninguém pode bisbilhotar as comunicações dos usuários em apps mobile, sempre vai haver a possibilidade de explorar falhas de segurança por meio de backdoors escondidas ou especificamente criadas. É claro que não precisamos passar a comunicar dados confidenciais apenas com papel e caneta, porém, em uma era de violações diárias de dados, é necessário partir do princípio de que nossas comunicações não vão permanecer privadas por muito tempo. A vigilância constante é essencial para os consumidores de hoje e, também, para que marcas como o Facebook protejam os dados de seus clientes. Isso mostra que as empresas terão de incluir o mobile em sua estratégia de segurança, garantindo, desde a segurança física dos aparelhos, com controles mínimos de definição de senha e travamento, até o monitoramento da reputação e da segurança de aplicativos e a adoção de tecnologias de defesa que ajudem a proteger os dados de novas ameaças que possam tirar proveito de possíveis falhas de segurança em aplicativos mobile. (*) É vice-presidente da Varonis para América Latina. Emissor de NF-e em nuvem traz praticidade às micro e pequenas empresasApós o encerramento do emissor gratuito de notas fiscais eletrônicas para as empresas que trabalham com a venda de produtos, surgiu em 2017 a necessidade de uma alternativa confiável para continuar emitindo os documentos fiscais eletrônicos. Para atender as micro e pequenas empresas com uma solução segura, moderna e simples para gestão fiscal, a companhia alagoana Mais Sistemas de Informática desenvolveu, de forma inovadora, um software para emissão e controle online de Notas Fiscais Eletrônicas (NF-e), o Saldo MAIS. O sistema atua como opção alternativa ao emissor gratuito de documentos fiscais fornecido pela Secretaria de Fazenda de São Paulo a empresas de todo o país e que foi descontinuado em 1º de janeiro de 2017. De acordo com Sady Nunes, diretor da Mais Sistemas, o objetivo do Saldo Mais é atender esta demanda de forma rápida, simples e em conformidade com a legislação tributária vigente. “Nossa intenção é agilizar e simplificar a rotina de trabalho dos profissionais que lidam diariamente com atividades de gestão fiscal em micro e pequenas empresas”, ressalta o executivo. | Bloco k: como ajustar os processos fabris e os estoquesTransportar para o papel a posição dos estoques das empresas ou apontar nos registros dos arquivos magnéticos as quantidades de mercadorias estocadas nos estabelecimentos não é uma tarefa fácil. As variáveis que compõem os processos representados pelas anotações e pelos registros das movimentações de entradas e saídas do estoque nas suas várias fases são proporcionais à complexidade de cada conjunto de processos dentro de um estabelecimento, em especial os industriais. Para todas as empresas de manufatura, foco do “Bloco K” (Livro de Registro de Controle da Produção e do Estoque), os principais processos críticos que devem ser revistos são os da produção dos produtos acabados e do consumo das matérias primas, insumos e materiais de embalagem. Indústrias do setor químico, por exemplo, possuem variáveis que afetam o resultado de sua produção real e diferenciam a aplicação do seu padrão de consumo estabelecido pelo planejamento. A obsolescência dos equipamentos fabris é uma causa de distorção entre o que realmente foi produzido ou consumido em relação aos registros da produção e do consumo. Portanto, a revisão da forma de registro dos processos industriais é necessária e, se for o caso, alterações e adaptações deverão ser feitas na documentação que leva o quanto produziu e o quanto foi consumido para a informação refletir o que, de fato, foi produzido e qual o real estoque. Antecipando este ajuste o empresário terá maior confiança no resultado a ser demonstrado ao Fisco, pois até o momento atual as informações de movimentações internas provocadas pela produção e respectivos consumo dos componentes ficavam restritas ao ambiente empresarial e somente eram expostos no momento da fiscalização. Os ajustes nos controles nas quantidades produzidas ou consumidas são, na maioria das vezes, consideradas normais na visão dos controladores dada as características dos produtos produzidos. Para a fiscalização, entretanto, não são normais porque todo o processo é analisado na frieza dos números informados nos arquivos magnéticos que estão sob análise. Portanto, adiantar o tratamento a ser dado nas divergências que serão certamente encontradas nos saldos dos estoques é mais que uma necessidade, ou melhor, é obrigatório. E o empresário deve aproveitar o tempo maior dado pela legislação com a prorrogação gradativa da entrega do Bloco k. As empresas podem antecipar as entregas do Bloco K nos arquivos magnéticos da EFD-ICMS/IPI desde já. Porém, ficarão submetidas à fiscalização normal e as evidências e inconsistências apresentadas poderão ser levadas como falta de documentos fiscais e acarretar autuações. O desafio é revisar os processos de controles e registros para se chegar às quantidades em estoque exatamente de acordo com o inventariado (ou com a fotografia das mercadorias estocadas). Vários testes deverão ser realizados e em vários cenários para reduzir ao máximo os questionamentos que virão a partir do momento em que a fiscalização receber as informações. Utilizar esse tempo para ajustar o processo utilizando o suporte de especialistas reduzirá, e muito, a correria na entrega deste complexo que vem pela frente. (Fonte: Edmir Teles é gerente de consultoria BPO da Divisão de Aplicativos da SONDA, maior companhia latino-americana de soluções e serviços de tecnologia). Os desafios decorrentes da discrepância de incentivos na área de segurança cibernéticaCandace Worley (*) Os cibercriminosos são motivados pelos resultados que desejam alcançar, seja roubar dinheiro, derrubar serviços ou ganhar notoriedade, e podem rapidamente mudar táticas ineficazes Mas o que motiva uma equipe de segurança cibernética a dar seu melhor? Ou, talvez ainda mais importante, o que a desmotiva? A Intel Security entrevistou 800 profissionais de segurança cibernética de importantes setores e os questionou sobre seus incentivos, métricas e processos. Ao analisar as respostas, identificamos três principais incentivos desalinhados: entre as estruturas corporativas e o fluxo livre das empresas criminosas, entre estratégia e implementação e entre executivos de nível sênior e pessoas em funções de implementação. Estruturas corporativas x empresas criminosas As duas grandes diferenças entre os criminosos cibernéticos e uma típica equipe de segurança cibernética corporativa são o fluxo de informações e o uso de recursos especializados. Os mercados de informações destinados aos criminosos cibernéticos rapidamente divulgam ataques bem-sucedidos, códigos e vulnerabilidades recém-descobertas, incentivando e impulsionando a inovação. Apesar da maior adoção da prática de compartilhamento de informações sobre ameaças, ainda falta muito para equiparar-se à velocidade e aos detalhes disponíveis na dark web. Esses mercados também possibilitam um alto nível de especialização, permitindo que programadores de malware, hackers de exploração e golpistas de engenharia social sejam excelentes naquilo que fazem. Essa é uma diferença enorme em relação aos departamentos de segurança cibernética, que desempenham funções mais genéricas e só chamam os especialistas de segurança externos quando necessário. Estratégia x implementação Segundo o estudo realizado, a maioria das organizações considera a segurança cibernética seu principal risco e desenvolveu estratégias para lidar com ameaças novas e existentes. No entanto, existem algumas lacunas significativas entre estratégia e implementação, particularmente a maior consequência de uma violação de segurança e os métodos usados para proteger a organização. A principal preocupação dos executivos de TI é o impacto na reputação e menos de um terço deles acredita que um incidente resultaria em prejuízos financeiros, possivelmente criando uma falsa sensação de segurança. Ao mesmo tempo, quase dois terços estão adquirindo tecnologias de segurança que se sobrepõem para proteger a organização. Embora isso possa parecer uma boa ideia, a sobreposição de tecnologias que não são integradas e não se comunicam entre si pode resultar em lacunas de segurança em virtude de políticas inconsistentes e ferramentas de configuração discrepantes. Executivos de nível sênior x implementadores Em relação à opinião sobre incentivos, parece haver uma lacuna significativa entre os executivos de TI e a equipe de operações de segurança cibernética. Mais de um quarto dos operadores entrevistados alegaram não haver incentivos em sua organização, como bônus ou reconhecimento, em comparação com apenas 5% dos executivos. É possível que funcionários em níveis inferiores da estrutura organizacional não tenham conhecimento dos incentivos por desempenho ou que não acreditem que as ofertas tenham um impacto significativo. Nem sempre é necessário dar dinheiro para conseguir melhores resultados. Outros estudos mostraram que oportunidades de desenvolvimento profissional são consideradas um incentivo equivalente ou mais valioso do que bônus, além de expandir os conhecimentos e os recursos da sua equipe. O que pode ser feito? A ideia de copiar alguns aspectos do comportamento criminoso pode parecer estranha, mas há lições que podem ser aprendidas com a forma como os criminosos cibernéticos operam. A Segurança como Serviço pode oferecer a flexibilidade necessária para combater operações do “crime cibernético como serviço”. Consultores especializados podem complementar a equipe interna com conhecimentos e recursos direcionados, quando necessário. Reconhecimento e incentivos por desempenho podem resultar em defesas mais reforçadas e em ciclos de patches acelerados. (*) É vice-presidente de marketing para soluções empresariais da Intel Security. |