158 views 22 mins

Tecnologia 20 a 22/10/2018

em Tecnologia
sexta-feira, 19 de outubro de 2018
seguranca temproario22

Indústria e Segurança da Informação: as principais ameaças de 2018

As empresas, devido à sua importância social e econômica, encontram-se no centro das atenções no que diz respeito à segurança

Foto: Reprodução

seguranca temproario22

Vladimir Prestes (*)

No entanto, ao contrário da segurança física, a proteção das informações tornou-se prioridade apenas recentemente. Enquanto isso, mudanças estão ocorrendo rapidamente neste setor e exigem uma reação igualmente rápida.

Crescimento do número de invasões acidentais de softwares maliciosos
O fator humano tem sido considerado pelos especialistas a principal ameaça à segurança da informação. Os hackers ainda não encontraram uma maneira mais fácil de violar a proteção de uma empresa do que atacando um usuário e um PC específicos. Eles utilizam a engenharia social para obter informações confidenciais, enviando vírus, ransomwares e cavalos de troia.

Para obter sucesso no combate aos riscos gerados pelo fator humano, é necessário controlar todos os canais de transmissão de informações, analisar o tráfego e orientar os funcionários sobre as regras de Segurança da Informação (SI). Monitoramentos regulares no âmbito da SI podem ser realizados dentro da própria instituição ou recorrendo a serviços de empresas especializadas na formação de agentes de segurança da informação, como CTI, Security Awareness Training, entre outros.

Aumento dos ataques às empresas industriais
Em 2017, os especialistas em SI notaram o aumento do interesse de criminosos cibernéticos e agentes internos pelas empresas industriais. Primeiro eles roubam os dados de usuários, planos, esquemas de processos tecnológicos, documentação técnica de engenharia e depois, monetizam os essas informações. O volume de tais crimes só tende a crescer, já que a informatização das instalações industriais tem ganhando cada vez mais força.

Para que os funcionários entendam a responsabilidade pelas atividades internas, é importante informá-los sobre incidentes e respectivas punições em casos de fraudes. Por exemplo, em 2017 foi divulgado o caso de um dos clientes da SearchInform. A empresa Akado Yekaterinburg, iniciou e ganhou uma causa na justiça contra um ex-funcionário e seu cúmplice, que tentaram “vazar” o banco de dados de seus clientes. Os dados obtidos com a ajuda do sistema DLP foram utilizados como prova no processo judicial.

Mineração de moedas criptografadas com recursos da empresa
A mídia tem discutido amplamente os principais escândalos relacionados à mineração de dados no local de trabalho. O caso mais famoso é o da sentença proferida em janeiro de 2017. O funcionário do sistema do Federal Reserve, o Banco Central americano, Nicholas Bertault, instalou no servidor da organização um software destinado à mineração de moedas criptografadas. Bertault alterou a política de segurança para obter acesso remoto ao servidor a partir de seu computador pessoal. Nicholas foi condenado a 12 meses de prisão em liberdade condicional e multa de cinco mil dólares.

Em 2018 a tendência prevalece. Os trabalhadores são atraídos pela facilidade deste tipo de ganho: gastam os recursos da empresa e ainda recebem uma renda adicional. O mais desagradável é que é mais difícil detectar a mineração realizada internamente do que no caso de uma invasão por um vírus minerador. O departamento de segurança deve possuir as ferramentas necessárias para a identificação de tais atividades.

Fraudadores internos usam ferramentas de TI para cometer crimes comuns
Empregados mal intencionados estão utilizando cada vez mais os métodos de fraude cibernética. Um caso real: Um profissional em TI de um dos clientes da SearchInform “espelhou” os e-mails de dois executivos, diretores comercial e geral, em seu próprio correio eletrônico. O acesso ao e-mail foi parar nas mãos dos concorrentes diretos da empresa e, se o sistema de DLP não detectasse as violações, os concorrentes saberiam sobre todos os processos da administração da empresa. As atividades do criminoso foram interrompidas.

Grupos de risco
Em qualquer equipe de trabalho, existem funcionários potencialmente perigosos: pessoas endividadas podem acabar roubando para pagar suas dívidas, alcoólatras e pessoas com outros vícios podem acabar perdendo a cabeça e desrespeitando seus colegas. Esse perfil de empregado será sempre um ponto fraco na empresa, além do que, também podem tornar-se facilmente vítimas de chantagem: quando pressionados, podem acabar cometendo crimes para manter seus segredos pessoais. Munidos com as devidas ferramentas os profissionais em Segurança da Informação podem identificar os “grupos de risco” nas empresas e monitorá-los.

Um cliente da SearchInform conseguiu evitar perdas financeiras em sua empresa graças ao desenvolvimento de uma política de segurança voltada para grupos de risco. O principal analista financeiro da empresa-cliente passou o seu horário de almoço jogando pôquer na internet. O departamento de segurança descobriu que o hobby já havia se tornado um vício há algum tempo, e que o volume anual gasto no jogo pelo funcionário era de mais de 40 mil dólares. A qualquer momento, esse dinheiro poderia ser retirado das contas da empresa. Por isso o funcionário precisou ser desligado.

Integração das soluções de proteção
A segurança da informação é um processo contínuo que requer uma abordagem integrada e uma análise abrangente. A ideia de integração das soluções de proteção em um único sistema é apoiada por reguladores e especialistas da SI, pois aumenta significativamente o nível da segurança da dos dados. Enquanto um sistema identifica o comportamento anormal, determinando o meio de obtenção do acesso à informação, o outro avalia o conteúdo da comunicação. Essa interação entre os sistemas possibilita a investigação completa do crime e a coleta do maior número de evidências.

Apesar da amplitude dos problemas descritos acima, da seriedade dos novos desafios e ameaças, existem razões para olharmos para o futuro com otimismo. Para combater as ameaças à segurança da informação, as empresas de hoje possuem profissionais com a qualificação necessária, e os fornecedores, por outro lado, oferecem soluções de alta tecnologia. Resta combinar esses dois fatores e realizar um trabalho bem planejado.

(*) É Diretor Geral da SearchInform no Brasil, líder russa em sistemas de segurança da informação há mais de 20 anos. Com mais de dois mil clientes e cerca de 1.200.000 computadores protegidos, possui escritórios em 16 países.

Rota 2030: uma oportunidade para
desenvolvimento e inovação

O Brasil começará a praticar o que os maiores países do mundo já fazem em termos de segurança e eficiência energética do setor automotivo. Com o programa Rota 2030, aprovado como medida provisória pelo Governo Federal, está sendo estabelecida uma série de regras a serem cumpridas pela indústria automobilística nos próximos 15 anos.

O primeiro ciclo, que vai até 2023, estabelece a meta de 11% de melhoria da eficiência energética, enquanto novos índices serão definidos ao final do período. Para isso, as marcas terão que investir em novas tecnologias para reduzir o peso, modernizar os sistemas de propulsão, melhorar a aerodinâmica de seus automóveis e investir em eletrificação, entre outras mudanças. A expectativa é que tenhamos mais veículos elétricos e híbridos, com motor, câmbio e outras peças que priorizem a economia energética. E, sem dúvida, esse cenário só será possível com o uso de sistemas para desenho e teste dos automóveis na tela do computador antes mesmo de sua produção.
No que se refere à segurança, os carros deverão ser repensados e a linha de produção terá que incluir itens como frenagem automática, controle de estabilidade e tração, sistemas eletrônicos de direção autônoma, cinto de segurança de três pontos para passageiros do banco traseiro e a adoção do padrão Isofix para fixação de assentos infantis.
Embora o Congresso Nacional ainda precise aprovar a iniciativa para torná-la lei, o programa pode ser uma oportunidade para montadoras e autopeças desenvolverem produtos mais inteligentes e inovadores, planejando melhor investimentos em tecnologia.
Para aumentar sua competitividade no mercado, as indústrias precisarão acelerar a inovação de produtos, otimizar o desempenho e minimizar falhas, fortalecendo sua capacidade de gerir sistemas complexos, o que é possível com uma plataforma integrada de mecânica, eletrônica, software e simulação.
Precisamos também considerar que para o desenvolvimento desses novos veículos as fábricas deverão estar modernizadas e preparadas, adotando tecnologias estratégicas como IOT e o Digital Twin. O Rota 2030 prevê desconto adicional para abatimento de impostos para os investimentos considerados estratégicos. É uma oportunidade sem precedentes para o desenvolvimento nacional em temas ligados à Quarta Revolução Industrial, como manufatura avançada, sistemas de análises e preditivos, conectividade, nanotecnologia, inteligência artificial e Big Data, entre outros avanços que oferecem às companhias a oportunidade de otimizar e agilizar seus processos internos e aumentar a produtividade e a eficiência.
Nesse contexto, o Digital Twin na manufatura terá um papel fundamental para que essas fábricas inteligentes alcancem todos esses benefícios e estejam alinhadas não apenas à legislação, mas às melhores práticas da indústria automobilística mundial. Essa tecnologia permite, além da virtualização da fábrica, a comunicação entre todos os envolvidos na produção, acelerando o desenvolvido do processo e do produto. Outro benefício é que, por meio da aplicação das ações no ambiente virtual, a execução real é otimizada, já que eventuais falhas podem ser percebidas antes mesmo do início da produção do automóvel.
Vale o alerta que as maiores empresas automobilísticas do mundo já estão utilizando modernas plataformas para o desenho e gerenciamento de qualidade, comprovando que a prática garante o uso inteligente de materiais e melhora a execução da produção, inclusive controlando a qualidade dos processos.
Com essas tecnologias, as montadoras instaladas no Brasil poderão adequar rapidamente seus processos ao patamar de qualidade global, com menos ocorrências de recalls e mais rentabilidade, engajando e aumentando a satisfação de seus consumidores. Ao adotar tais melhorias, as indústrias poderão atender os requisitos do Rota 2030 e, com isso, o Brasil terá uma oportunidade única para se destacar no cenário global.

(Fonte: Alejandro Chocolat, Diretor Geral da
Dassault Systèmes América Latina).

A ética antes do compliance

Alexandre Pinheiro (*)

Há um certo encanto numa recorrente cena que, se já não presenciamos em nossas próprias casas, certamente tivemos acesso, que são os primeiros passos de um bebê

Desconcertado pelo equilíbrio ainda em construção, há quedas, trombadas e desacertos, até seguir firme em sua definitiva posição para desenvolver os movimentos próprios. Essa poderia ser apenas a notória e indiscutível narrativa de um passo da evolução de uma vida humana, mas em nada se distanciaria também da ética no Brasil.
Embora as facetas, os conceitos e as aplicações humanas sobre o entendimento da ética nos remetam à antiguidade, no Brasil ela ainda parece dar seus primeiros passos tentando se erguer, mas desequilibrada finda por tombar. Busca, então, se reerguer. E até consegue, mas ainda desequilibrada voltar a tombar e oscila entre a certeza do que quer e a dúvida do que pode.
Assim como a cabeça de uma criança, poucos compreendem qual o momento que a ética verdadeiramente passa no País. O Brasil, hoje, tenta propagar compromisso com a ética, mas ainda engatinha quanto ao seu efetivo entendimento.
O carro foi colocado à frente dos bois. Programas de compliance, normas certificadoras, relatórios de perfis, riscos e integridade. Critérios procuram ser criados, colocados, disseminados e aceitos por variados setores da sociedade, principalmente no meio jurídico. Mas, pouco se faz para criar o entendimento e disseminar a ética em si, assim como o compromisso com os valores pessoais e sociais e a lição sobre o que é fazer a coisa certa.
A ética, infelizmente, se reduziu a um mercado. Os chamados programas de compliance têm se tornado um motor que deu aceleração ao que podemos chamar de ética formal, mas deixou pra trás a ética em sua essência. As certificações – seja qual nome se procure rotular – dão combustível a esse motor que, ávido pela celeridade, abandonou a sua razão de existir.
Porém, a ética não está disponível para medições técnicas por meio de normas certificadoras. Não se trata do cumprimento de requisitos que atestem a solidez de uma estrutura ou a estanqueidade de uma porta corta-fogo. No campo da ética, a comprovação de que cada um cumpre seu papel não se faz mediante o preenchimento de formulários ou da mecanização de procedimentos. Os valores devem ser disseminados com educação e com exemplos.
Em sociedades que já adotam programa de compliance há décadas, não existem tantas normas formais ou certificadoras como se criou no Brasil nos últimos tempos. Ao contrário, os pilares de um programa de compliance, estudados e aprimorados ao longo dessas décadas, se mantêm firmes na residência, justamente, do aprendizado e do exemplo.
Tome-se, para ilustrar essa afirmação, alguns desses pilares. O comprometimento da alta direção numa corporação, como início de análise, é justamente uma forma de se buscar a transferência de conhecimento por meio do exemplo. E, recorde-se: um programa de compliance é considerado eficaz desde que possua o comprometimento da alta direção de uma corporação.
O código de conduta é o instrumento clássico do aprendizado. É a lei dos valores, o guia da coisa certa a se fazer no ambiente profissional e corporativo. Os treinamentos, também alçados à categoria de pilar num programa de compliance, novamente remetem à educação, esta sim o mecanismo mais eficiente para se fazer valer a ética.
Ao lado de instrumentos de detecção de condutas distorcidas da ética, como o canal de denúncias e os sistemas de monitoramento, tem-se, assim, completos os pilares tradicionais de um programa de compliance. Há, portanto, razão para a existência desses pilares, cuja criação se destinou a uma finalidade diferente da mera formalização da ética – o que pode findar por banalizá-la.
Há muito se criou, no Brasil, a cultura de combater a consequência e não se trabalhar na causa. Outro, infelizmente, não tem sido o destino da ética, justamente ela, a principal força para prevenir os diferentes absurdos existentes em nossa sociedade.
Esquecer a cultura e o ensino da ética para apenas cobrar formalmente seu cumprimento não é solução, apenas remediação. São importantes certas formalidades? Sim, tal como é importante combater a corrupção. Mas, ainda mais importante que combater a corrupção é evitá-la, o que só se faz com educação sobre a ética, sobre os valores.
Não se pretende, com esse texto, esvaziar por completo as normas que hoje existem para tentar conferir medições aos programas de compliance. As linhas aqui desenhadas se prestam a convidar o leitor à reflexão sobre a importância de que a ética, os valores e a lealdade sejam precursores do compliance e que este apenas venha a existir em função daqueles, e não como mais uma mercadoria posta à venda.
Que tenhamos mais especialistas em disseminar os valores do que especialistas em criar formalidades vendáveis. Que saibamos usar os primeiros passos com sabedoria e, assim, desenvolvermos todas as habilidades da ética em nossa sociedade, tão carente daquilo o que é fazer a coisa certa.

(*) É diretor Jurídico e Compliance Officer da SONDA, maior companhia latino-americana de soluções e serviços de tecnologia.