Menos riscos de segurança para a Internet das CoisasMedidores de energia elétrica, câmeras de segurança, sensores e caixas eletrônicos estão menos expostos a problemas de cyber segurança com o protocolo De acordo com a Gartner Inc., empresa de pesquisa e aconselhamento de mercado 8,4 bilhões de coisas conectadas estariam em uso em 2017 e a expectativa era de 20,4 bilhões até 2020. O crescimento exponencial de aparelhos conectados à internet, tais como smart TVs, caixas de HDTV, medidores de energia e câmeras de segurança oferece, tanto aos usuários B2B quanto B2C, diversas oportunidades de serviços por chamada, mais conveniência, entre outros benefícios. No caso de sistemas de segurança eletrônica, a Internet das Coisas (IoT na sigla em inglês) permite a organizações o monitoramento remoto, bem como a identificação e a resposta a questões de segurança. Senhas digitais podem ser rapidamente alteradas, por exemplo, para limitar ou permitir o acesso, adicionando uma camada extra de segurança ao sistema. Mas, com a tecnologia interconectada vêm também ameaças digitais na forma de phishing (uma maneira desonesta que cibercriminosos usam para enganar e revelar informações pessoais, como senhas de cartão de crédito, CPF e número de contas bancárias, enviando e-mails falsos ou direcionando a websites falsos), bots (diminutivo de robot, também conhecido como Internet bot ou web robot, que nada mais é que uma aplicação de software concebida para simular ações humanas repetidas vezes de maneira padrão, da mesma forma como faria um robô), ransomware (tipo de software nocivo que restringe o acesso ao sistema infectado e cobra um resgate para que o acesso possa ser restabelecido e, caso não ocorra, arquivos podem ser perdidos e até mesmo publicados) e malware (software nocivo), entre outras técnicas usadas por quem ataca desta forma para manipular as vulnerabilidades do network do software e sistemas operacionais. O que está em jogo? A Symantec (empresa de segurança cibernética), no seu Relatório de Ameaça de Segurança na Internet de 2017, apresenta estas estatísticas, obtidas a partir da análise conduzida em 2016: • 1 em de cada 2,596 e-mails contém tentativas de phishing • Um total de 357 milhões de novas variantes de malware • 98.6 milhões de bots • 229 mil ataques na web bloqueados por dia, em média • Aparelhos ligados à internet foram atacados em média uma vez a cada dois minutos Para contextualizar esses números, um ataque ocorrido em outubro de 2016 ganhou as manchetes quando câmeras hackeadas levaram a uma impressionante negação de serviço distribuída (DDOS na sigla em inglês), afetando websites como Amazon, Twitter, Spotify, Yelp, Netflix e Reddit. Um exército de botnets, conhecidos como Mirai, causou um problema gigantesco derrubando sites ou diminuindo severamente sua frequência operacional. Novos artigos relatam que o tráfego foi conduzido por vários tipos de aparelhos de IoT, incluindo, roteadores, gravadores de vídeo e câmeras. Aparelhos conectados como esses são usados como opção para hackear networks legítimos No Brasil, hospitais foram alvos de ataques que derrubaram suas redes e causaram problemas no atendimento de pacientes. Estima-se que, em 2017, o Brasil ficou atrás apenas da China em relação a casos de ataques cibernéticos com danos de US$ 22 bilhões para as empresas, organizações e pessoas vitimadas. (www.jornaldooeste.com.br/noticia/brasil-perdeu-us-22-bilhoes-em-2017-com-ataques-ciberneticos). Segundo Jose Antonio de Souza Junior, Gerente de Operações da UL do Brasil, empresa especializada em certificações e segurança, muitos dos dispositivos de IoT possuem um servidor web interno que hospeda um aplicativo para gerenciar o dispositivo. O que acontece é que pode haver falhas no código que permitem que sejam atacados. “Como esses dispositivos estão conectados, os pontos fracos podem ser explorados remotamente”, explica. Segurança do design A Comissão Federal de Comunicação dos Estados Unidos (FCC em inglês) alertou fabricantes de aparelhos IoT, no início do ano passado, sobre informarem os riscos de cyber segurança logo ou enfrentar mais interferência do governo e regulações mandatórias. No centro do problema estão os ataques DDOS por meio dos botnets, como os Mirai, e um crescente escrutínio de canais pouco seguros que podem ser facilmente interceptados por hackers. Muitos fabricantes produzem aparelhos fáceis de “quebrar”, conforme mostrado por uma investigação ao QuickLock Padlock, conduzida pelo estado de Nova York (EUA). A FCC propôs num documento sobre redução de riscos de cyber segurança (Cybersecurity Risk Reduction White Paper, January 18, 2017) a implementação de práticas inteligentes de cyber design, como autenticação de safeguards e aderência a melhores práticas antes de simplesmente priorizar o lançamento do produto. A FCC prefere utilizar parcerias público/privadas, mas complementa que “a Comissão tem as ferramentas para fazer ajustes erestaurar o equilíbrio, se necessário”. A solução Para ajudar a melhorar a segurança de sistemas de segurança eletrônica, a UL disponibiliza o UL 2900-2-3, a mais nova contribuição à série UL 2900 de normas de cyber segurança. Desenvolvido com a ajuda da indústria, fornece um conjunto fundamental de desempenho de cyber segurança e requisitos de segurança que fabricantes de produtos conectáveis podem estabelecer como base de proteção contra vulnerabilidades e fraqueza conhecidas e malware. O Programa de Segurança Cibernética da UL (UL CAP) pode testar e avaliar o software de um produto e certificar sua arquitetura e design de software de acordo com as especificações enumeradas na Descrição de Investigação (Outline of Investigation). Infraestruturas de segurança eletrônica incluem sistemas de comunicação de emergência, sistemas de alarme de fogo, sistemas de recebimento de alarmes, sistemas de caixa eletrônicos automatizados, sistemas de controle de acesso, câmeras de segurança, gravadores de vídeo, gravadores de vídeo digitais e outros. O UL 2900-2-3 foi desenvolvido com uma exigência de segurança maior a cada nível. Os testes incluem fuzz testing (teste automatizado de software), detecção de vulnerabilidade conhecida, análise de código, análise binária, análise de controle de risco, teste de penetração estruturada e avaliação de riscos de segurança. Nível 1 — inclui os requisitos de segurança de base para avaliação de riscos de segurança em software de produtos inclusos na Descrição de Investigação (Outline of Investigation). Este nível é recomendado como nível mínimo de avaliação. Nível 2 — inclui todos os requisitos do primeiro e requisitos adicionais de avaliação de riscos de segurança em software de produtos. Este nível também fornece avaliação de capacidades de segurança de um produto com conhecimentos de controles internos de segurança. Nível 3 — inclui requisitos de avaliação e testes dos dois acima e requisitos adicionais de processo do fabricante e gerenciamento. Também fornece avaliação de capacidades de segurança de um produto com conhecimento de controles internos de segurança e de práticas de negócio do fabricante para endossar o tempo de validade do produto. No mundo conectado de hoje, há uma variedade enorme de aparelhos que oferecem pontos de entrada para ataques cibernéticos. Agora é a hora de desenvolvedores de software e fabricantes entenderem as vulnerabilidades dos sistemas e protegerem seus produtos contra ataques. O UL 2900-2-3 pode ajudar a garantir o desempenho e a confiabilidade do software do produto a mitigar esses riscos. | Pioneirismo na tecnologiaEm 1996 ainda não havia internet comercial no Brasil. Os primeiros portais começaram a surgir dois anos depois, quando a antiga Embratel, ainda estatal, autorizou as primeiras conexões. Era uma novidade para empresas, usuários e principalmente, para os órgãos públicos de todo o Brasil. Vinte e um anos depois, a rede mundial de computadores está se tornando cada vez mais indispensável, assim como a água, a energia elétrica e o petróleo. Por quê? Nesse ínterim, as instituições descobriram a importância dessa tecnologia, e a capacitação ajudou a expandir o potencial dela para praticamente todas as atividades humanas. Mas para que chegássemos até aqui, não foi fácil. Imagine qual era o cenário em uma cidade do interior catarinense três décadas atrás. Distante cerca de 200 quilômetros da capital Florianópolis, Rio do Sul, no Alto Vale do Itajaí, tinha pouca relação com o setor tecnológico. Talvez apenas alguns jovens sonhassem em fazer um curso superior nesta área, já que isso demandaria recursos e estrutura suficientes para mantê-los em outros municípios. Empreender nesta área então, nem pensar. Mas pensamos — e executamos. E conseguimos buscar um espaço que hoje é mais uma oportunidade para a formação de jovens, que não precisam mais ficar distantes das suas famílias para crescerem profissionalmente. Eles ficam perto da terra deles, geram riquezas e investem no seu lugar. Mas como foi possível mudar essas realidade? Por meio de parcerias. Quando fundamos uma “fábrica de softwares” no Alto Vale do Itajaí, não encontrávamos mão-de-obra qualificada. Não havia cursos, e os profissionais tinham que vir de fora. Aos poucos o mercado foi sendo formado: uma empresa precisava de gente especializada. Mas ao invés de continuar importando essa força de trabalho, aproximações como a que ocorreu com a Fundação Educacional Hansa Hammonia, na cidade vizinha de Ibirama, permitiram lançar uma semente de desenvolvimento completamente nova. Em pouco tempo tínhamos instalado na região o primeiro curso de Sistemas da Informação. Fornecemos os equipamentos, montamos os laboratórios e concebemos o embrião do que seria o programa Jovens Talentos, que existe até hoje e é responsável por 20% do total de colaboradores que atuam na empresa atualmente. De lá pra cá, diversas faculdades procuraram a região e elevaram o Alto Vale do Itajaí a outro patamar educacional e profissional. Quando se quer, nem a ausência de estrutura impede o desenvolvimento. (Fonte: Aldo Luiz Mees, administrador e diretor da IPM Sistemas (e-mail: [email protected])
Inovação não é só TecnologiaJosé Paulo Graciotti (*) Muito se tem falado ultimamente sobre os impactos das novas tecnologias em todas as áreas e no Direito não seria diferente. Vários autores têm preconizado até o termino da profissão, que a meu ver é um pouco de sensacionalismo para chamar a atenção como grandes gurus futurólogos Não se pode negar que a evolução tecnológica está sendo brutal e que vai mudar tudo ao nosso redor, desde o simples fato de usarmos a internet (com todos aqueles softwares que descobrem nosso padrão de navegação e sugerem automaticamente coisas que possam nos interessar em qualquer navegador que utilizemos, como se fizessem parte da página original) até nos mais novos robots que chegam a cozinhar (www.moley.com). Sou apaixonado pelo futuro e tudo que se refere a novas tecnologias e tenho certeza que essa nova revolução vai nos impactar de maneira que nunca havíamos sentido, mas o ponto que quero abordar é que ultimamente confunde-se inovação com tecnologia (que é um tipo de inovação) e esses conceitos são bastante diferentes. O mercado jurídico está passando por uma pressão brutal, não causada pela tecnologia e sim pela ameaça da concorrência mais acirrada, pela mudança das responsabilidades atribuídas aos Diretores Jurídicos e seus departamentos, pelo aperto que tais setores estão exercendo nos seus prestadores de serviços jurídicos e tudo isso exigindo adaptações brutais num mercado que sempre esteve numa zona de conforto. O que mais tem me espantado é a visão endógena que vários gestores de escritórios ainda têm de si mesmos, pois quando questionados sobre seus diferenciais, quase sempre respondem com as frases: “temos os melhores advogados” (falam inglês, têm LLM, trabalharam em escritórios americanos e por aí vai), “atendemos bem nossos clientes” (quase sempre consta uma frase de efeito nos sites), “ temos a melhor expertise”, apenas para citar as principais. Não sei se esta atitude é de autoenganação, “wishfullthinking” ou até a própria visão incorreta de seu negócio. Por outro lado, os mesmos gestores percebem que têm problemas internos e externos, que aparecem na falta de plano de carreira correto (lembremos das expectativas das novas gerações), na falta de um critério profissional de relativização de sócios, na falta de produtividade e rentabilidade, na falta de um conhecimento mais profundo do mercado que atuam e na falta de um planejamento (mínimo que seja) de suas atividades atuais e movimentos futuros. Perguntas emblemáticas que evidenciam as dificuldades internas: Por que não consigo fazer boas contratações de profissionais? Por que não consigo mais comprometimento da minha equipe? Por que não consigo melhorar o nível das contratações dos meus serviços? Por que é tão difícil aumentar a rentabilidade? A simples adoção das novas tecnologias irá, sem sombra de dúvidas, trazer o aumento de eficiência na operação, mas é apenas um approach evolucionário, no qual tentamos fazer um pouco melhor aquilo que sempre fizemos. O que se espera do mercado jurídico é uma mudança inteira na forma de prestar tais serviços e isso só ocorre quando muda o “mindset” de seus gestores, pulando para um approach revolucionário, ou seja, pensando fora da caixa e principalmente tendo a coragem de experimentar novas soluções. Pensar à frente não quer dizer fazer melhor e sim fazer diferente, mais ágil, mais barato e melhor! Essa mudança não virá da implantação de novos sistemas, mas sim de uma nova relação com clientes, mudando da forma tradicional passando de “legal advisor” do cliente, para ser o “business partner” do mesmo. As perguntas que devem ser feitas são: O que meu cliente quer efetivamente de mim? O que o mercado espera dos prestadores de serviços jurídicos no momento econômico atual? Será que o serviço que ofereço (pelo valor cobrado), o mercado quer consumir? Sou efetivamente atraente para os profissionais do futuro? Quais são minhas vantagens e desvantagens competitivas? Como melhorar minha eficiência e eficácia? Com certeza, a tecnologia ajudará em muito nas soluções de todos os problemas identificados quando tais perguntas forem feitas e respondidas. Resumindo: muito mais do que a simples adoção de novas tecnologias, é preciso mudar a forma de encarar o seu negócio, seus clientes, o mercado e oferecer a todos esses elementos, soluções que os surpreendam e os entusiasmem. Isso é Inovação! (*) É consultor, autor do livro “Governança Estratégica para escritórios de Advocacia”, sócio da GRACIOTTI Assessoria Empresarial, membro da ILTA– International Legal Technology Association e da ALA – Association of Legal Administrators. Há mais de 30 anos implanta e gerencia escritórios de advocacia – www.graciotti.com.br |