risk report

36
Premiação valoriza os profissionais de SI Security Leaders Embates da computação em nuvem Cloud versus Cloud Ataques estão mais específicos Cibercrime Bancos avaliam tendências em autenticação Em busca de um padrão Ano 6 SEGURANÇA DA INFORMAÇÃO E GESTÃO DE RISCO Número 10 2011 Jorge Krug, superintendente executivo da Unidade de Segurança de TI do Banrisul RISK.indb 34 31/3/2011 16:30:28

Upload: gabriela-makhoul

Post on 02-Nov-2014

63 views

Category:

Technology


0 download

DESCRIPTION

Já está circulando a edição 10 da revista Risk Report. Confira!Você encontra a Risk Report nas mesas dos principais executivos do País

TRANSCRIPT

Page 1: Risk Report

Premiação valoriza os profissionais de SI

Security Leaders

Embates da computação em nuvem

Cloud versus Cloud

Ataques estão mais específicos

Cibercrime

Bancos avaliam tendências em autenticação

Em busca de um padrão

Ano 6

SEgurAnçA dA InformAção E gEStão dE rISco

número 10 2011

Jorge Krug, superintendente

executivo da Unidade de

Segurança de TI do Banrisul

RISK.indb 34 31/3/2011 16:30:28

Page 2: Risk Report

RISK.indb 2 31/3/2011 16:30:36

Page 3: Risk Report

EditorialDireção e eDição geral

Graça [email protected]

reportagemLéia Machado

[email protected]

David [email protected]

ColaBoraDor

Júlia Zillig

CorreSpoNDeNteSAlda Campos, EuropaGilda Furiati, Brasília

Vera Dantas, Rio de Janeiro

DeSigNRafael Lopes Lisboa

FotograFiaIzilda França

Direção De marketiNg

Sérgio [email protected]

eXeCUtiVa De CoNtaDébora Garbosa

[email protected]

CoorDeNaDoreS De eVeNtoSGabriela Makhoul

[email protected]

Marcos Carvalho [email protected]

A revista risk report é uma publica-ção da Conteúdo Editorial, uma em-presa de produtos e serviços editoriais na área de Tecnologia da Informação e Comunicação. Saiba mais sobre a Risk Report no www.riskreport.com.br. Mais sobre a Conteúdo Editorial em w w w . c o n t e u d o e d i t o r i a l . c o m . b r Fale CoNoSCo: (11) 5049.0202

Alameda dos Maracatins, 992, Cj 71A04089-001 São Paulo SP

Tel/Fax: 11-5049-0202www.conteudoeditorial.com.br

w w w . r i S k r e p o r t . C o m . B r

março 2011

Segurança 4.0 Ao conSultAr o EdItorIAl dA PrImEIrA EdIção dE Risk RepoRt, em 2007, ratifiquei o quanto a Segurança da Informação evoluiu nesses quatro anos. Vista como um mal necessário, a SI era considerada um custo pelos executivos fora da área de tI e entrave pelos usuários. Ao líder de Segurança da Informação, na maioria das vezes subordinado ao cIo, restava estabelecer regras e monitorá-las. de lá para cá, o cenário vem mudando drasticamente.Em primeiro lugar, os ataques tornaram-se mais sofisticados, exigindo atenção redo-brada do board da companhia e não só dos mais envolvidos com tecnologia. Segundo, o fenômeno das redes sociais transformou as empresas, atraindo uma legião de usuários, mas aumentando consideravelmente as vulnerabilidades. Qual a empresa que pode ne-gligenciar, hoje, a questão da Segurança? Qual a companhia que pode subestimar os ataques ou considerá-los apenas uma questão de tecnologia?Segurança hoje é comportamento, é cultura, é compartilhamento, é globalização e, em mui-tos casos, diferencial competitivo. Isso elevou os cSos e os gerentes envolvidos diretamente com os riscos a um patamar estratégico dentro das corporações. risk report acompanha essa trajetória e tem por missão mostrar a evolução da questão sob todos os ângulos. de um lado as empresas e os desafios da nova visão holística da Segurança. de outro, a evolução dos profissionais responsáveis pela condução das políticas e a implementação das soluções. fechando as pontas, está o mercado fornecedor, que também evoluiu no mesmo ritmo, oferecendo uma miríade de produtos e serviços aprimorados para a nova demanda.resta a clássica pergunta: SI já é vista como investimento? Essa é a verdadeira Seguran-ça 4.0? Ao acompanhar as matérias desta edição, é fato que a segurança vai além de ferra-mentas e serviços. As soluções e a infraestrutura necessárias para garantir que os ambien-tes estejam cada vez mais seguros sempre representarão um custo para as empresas e não há como mudar isso. Por outro lado, ao aliar aos produtos, políticas e comportamentos adequados ao novo cenário de vulnerabilidades, as empresas passam a enxergar Segurança como fator estratégico. E essa é a grande transformação que estamos vendo agora.Educar, mais do que proibir. monitorar, mais do que cercear. compartilhar, mais do que isolar. Enfim, saem de cena antigas expressões e entra um vocabulário mais condizente com os novos tempos, em que as mídias sociais disseminam a informação para além das empresas e da própria internet. Se olharmos o termo Segurança da Informação, vemos que o cerne está exatamente no que hoje se tornou o bem mais precioso das empresas, a Informação. Em nome dela, a Segurança deve e merece ser alçada a uma posição de destaque e vista como elo e não como ruptura.o evento Security leaders, promovido pela primeira vez em novembro do ano passa-

do, retratou esse quadro. Entretanto, iremos acompanhar, ao longo do ano, a evolução e as novas cores desse cenário. confiram nesta edição os principais temas debatidos no evento e acompanhe conosco essa trajetória. o Security leaders 2011 irá coroar esse trabalho e você faz parte dele. Participe!

r I S K r e p o r t 3

Graça [email protected]

RISK.indb 3 31/3/2011 16:30:38

Page 4: Risk Report

4 r I S K r e p o r t

10 ConhEçA AS noVIDADES Do MERCADo DE SEGURAnçA DA InFoRMAção

8 Segurança da Informação em três dimensõesCheck Point apresenta solução baseada na Arquitetura de Software Blade

12 Cloud versus CloudA computação em nuvem vem quebrando paradigmas. Porém, seu conceito precisa superar o principal obs-táculo, a Segurança da Informação

16 A nova fronteira da autenticaçãonão há um padrão de segurança para as transações financeiras. De acordo com especialistas, existe um conjunto de tecnologias e normas para o setor

28 Security Leaders homenageia CSOs

o Congresso Security Leaders 2010 premiou os profissionais de Se-gurança da Informação e os projetos que mais se destacaram ao longo

do ano

6 Uma nova SegurançaEm entrevista à Risk Report, Gijo Mathew, VP de Marketing de Produtos de Segurança da CA Technologies, fala sobre a visão de SI mais voltada para processos de negócios

32 Tecnologia: Desvendando a segurançaCom o avanço tecnológico, o desafio é viabilizar a rotina de milhões de “weblovers” para estabelecer atos prudentes no ambiente pessoal e profissional

20 A especialização do cibercrimenovas mídias como as redes sociais e os novos dispositivos móveis tornam os ataques virtu-ais cada vez mais sofisticados

22 O outro lado das redes sociaisMesmo com o avanço das novas mídias presentes no mundo corporativo, ainda há questões como segurança e treinamento de funcionários para lidar com a informação

24 PCI na pauta do e-commerceA adoção do padrão PCI entra em regime de urgên-cia diante do avanço dos negócios via Web. 2012 é o deadline brasileiro

25 Riscos sob controleo conceito GRC vem ganhando notoriedade no mercado, mas o amadurecimento e cultura organi-zacional são barreiras que precisam ser vencidas

27 Muito mais do que nomes e númeroso gerenciamento de identidade virou condição fundamental para o aprimoramento de proces-sos, definição de perfis e redução de custos

9 Trend Micro adquire Mobile ArmorExpandir o portfólio é o objetivo da aquisição da especialista em criptografia de dados

9 Proteção contra brechas internasCA adiciona novos recursos e funcionalidades à ferramenta Access Control

Índice

4 r I S K r e p o r t

OVERVIEW

TREND

FINANCIAL

PREMIAÇÃO

SPOT FOCUS

PORTFÓLIO

RISK.indb 4 31/3/2011 16:30:44

Page 5: Risk Report

C

M

Y

CM

MY

CY

CMY

K

AF_ANUNCIO_PER_FINANCEIRAS_EXCEDA_22X29.ai 1 03/03/11 11:17

RISK.indb 5 31/3/2011 16:30:50

Page 6: Risk Report

6 r I S K r e p o r t

Spot

6 r I S K r e p o r t

Especialista da CA Technologies fala sobre a visão de Segurança mais voltada para processos de negócios e menos para a infraestrutura - Por Graça Sermoud

Uma novasegurança

Durante encontro de cSos promovido pela cA tech-nologies em nova Iorque, no final do ano passado, o tema que dominou as conversas foi a nova visão da Segurança em um cenário cada vez mais voltado

para serviços. nesse contexto, a questão da Segurança começa a ser vista de uma forma diferenciada. Estamos diante de uma nova realidade para as empresas, isto é, uma outra forma de consumir e oferecer tI e consequentemente de Segurança. Essa maneira não representa apenas uma fronteira para os fornecedores de tecnologia da Informação, mas também para os líderes de tI e Segurança, que passam a disponibilizar e olhar a tecnologia em um novo formato. mas de que Segurança estamos falando então? As empresas estão preparadas para essa nova maneira de olhar a Seguran-ça? Será que os líderes estão conscientes a mudança? A nova forma pode, enfim, ajudar os cSos a mostrar que Segurança é um investimento?o VP de marketing de Produtos de Segurança da cA technologies, gijo mathew, falou com exclusividade à risk report e comentou essas e outras questões relativas à adoção de tecnologia como serviço e ao desafio da gestão dos ambientes corporativos no novo cenário.

Líderes de ti (Cios) e de segurança (Csos) falam sobre a grande dificuldade em mostrar que segurança não é um custo, mas sim investimento. Como convencer o setor financeiro das empresas disso? Há como mudar essa visão?

o primeiro passo é ter uma boa definição do que é Segurança. Há dois tipos: segurança em processos de negócio e segurança em infraestrutura. Segurança em infraestrutura é um custo, claro, já que é preciso proteger os sistemas, ter antivírus, to-das as coisas necessárias para promover a defesa do ambiente. A preocupação é como fazer isso e reduzir custos. A outra parte da segurança tem a ver com processos de negócio, em ter as informações necessárias aos usuários de forma segura, fornecer a informação certa, na hora certa. É essa parte da segurança que garante a criação de novos serviços e a pos-sibilidade de tirar vantagem de outros paradigmas, como as redes sociais. muitas empresas querem usar redes sociais para negócios. como fazer isso sem comprometer os dados?

Então, nessa nova visão de computação, as empresas pre-cisam pensar em termos de processos de negócio e menos em infraestrutura?o que está acontecendo com o surgimento do cloud compu-ting é que a infraestrutura está perdendo importância. Se você gasta menos com segurança de infraestrutura, você pode focar mais nos processos de negócio. com isso pode conectar seus aplicativos sem se preocupar tanto com a parte física do processo. A atenção passa a estar no SlA (Service licensing Agreement), o que importa é acesso seguro aos dados, quan-

Acho que cloud computing pode ser uma grande oportunidade de mudar a visão de Segurança

* Gijo Mathew é VP de Marketing de Produtos de Segurança

RISK.indb 6 31/3/2011 16:30:51

Page 7: Risk Report

r I S K r e p o r t 7

r I S K r e p o r t 7

do eu acessei e de quais parceiros são esses dados.Com o tempo, será mais fácil para o CSO mostrar que a se-gurança é importante para os negócios, para melhorar ou-tros produtos e mercados?Acho que cloud computing pode ser uma grande oportunidade de mudar a visão de Segurança. não tem a ver com o cSo somente. Ele não é responsável só pela segurança e pela infraestrutura, ele é res-ponsável pela segurança dos aplicativos compartilhados e por fazer a interface dos processos de negócio com o restante da companhia.

Mas os CSOs não costumam olhar mais para a infraestrutu-ra? Isso não é um problema?Antes, o nosso trabalho era proteger a infraestrutura. Hoje é proteger o ambiente computacional da empresa. os cSos co-meçam a entender que o importante é olhar para os processos de negócios e como a segurança dos dados está ligada a isso. como alterar/mexer nos dados pode afetar os negócios. um dos focos desse processo é o gerenciamento de identidade. Alguns executivos já focam mais nos processos de negócios. Infraestru-tura está virando parte do setor de operações das empresas e o pessoal operacional lida com firewall e coisas do tipo. lidamos mais com a administração e como ajudar os negócios a melho-rarem e, aí sim, reduzir custos. mas você tem razão, 70% dos cSos ainda pensam em infra-estrutura.

Você acha que é mais fácil para o CIO entender essa mudan-ça de visão da Segurança do que o próprio CSO?Eu acho que sim. E se eles entenderem isso, fica mais fácil a ado-ção de novas soluções para os negócios. E se eles não pensarem nisso, as mudanças acontecerão de qualquer jeito. Eu vou dar um exemplo: estive numa companhia para implementar um sistema SAP e um dos diretores disse: eu não posso esperar outros oito meses e nem mesmo havíamos falado com o cIo. É tarefa do cIo e do cSo pensar em como manter a segurança de dados e fa-zer com que os negócios sejam da maneira que a empresa quer.

Vamos falar do mercado de segurança. Hoje vemos for-necedores de produtos de segurança que sempre atuaram nesse segmento e vemos uma nova geração de provedores já oferecendo segurança de uma forma diferenciada. Você acha que no futuro os produtos de segurança se tornarão um serviço? Estamos no meio de uma mudança, mas a maioria ainda pensa a segurança em termos de infraestrutura. A estratégia é pensar em como oferecer esses serviços de segurança com foco no processo de negócios. E como a segurança muda esses processos. como fazer isso de modo mais inteligente, mais rápido e mais barato? E como oferecer soluções de modo mais prático às empresas? o que estamos fazendo é mostrar as características do nosso pro-duto mais que propagandear o produto em si. como cada uma dessas características ajuda o cliente a aumentar a segurança e reduzir seus custos. Será preciso integrar características de diversos produtos para atender as necessidades de empresas e governos e saber integrar esses produtos com sistemas de cloud computing. Isso traz outra implicação: é melhor comprar ou alugar uma solução em cloud e os produtos devem garantir a segurança num ambiente computacional desse tipo.

Ainda do ponto de vista do fornecedor, é difícil integrar os programas quando acontecem muitas aquisições e é mais difícil ainda para os clientes entenderem isso. A CA Techno-logies vem fazendo várias aquisições na área de Segurança. Como vocês estão resolvendo esse problema?nós começamos a projetar a integração entre os produtos antes mesmo de adquirir a outra empresa. não é nosso interesse ad-quirir tecnologias muito divergentes. nós só compramos algo sabendo que os produtos vão funcionar bem juntos. Procura-mos desenvolver uma “inteligência de integração”. o mais im-portante nesse processo é o compartilhamento de informações com o parceiro de aquisição e com isso unir produtos que ge-rem valor para as empresas. com a computação em nuvem, a questão é a de entregar um serviço e não importa mais como ele funciona “atrás das cortinas”. nós gerenciamos todo esse pro-cesso “oculto” e garantimos que o cliente tenha o serviço dese-jado. É assim que funcionam as redes de telefones celulares. As empresas fazem melhorias dia a dia e o cliente não percebe. os clientes não devem fazer integração – não é know-how deles, não é o trabalho deles. É o nosso.

Nossa estratégia é pensar em como oferecer serviços de segurança com foco no processo de negócios

É tarefa do CSO manter a segurança e os negócios da maneira que a empresa quer

RISK.indb 7 31/3/2011 16:30:52

Page 8: Risk Report

8 r I S K r e p o r t r I S K r e p o r t 98 r I S K r e p o r t r I S K r e p o r t 9

A Check Point apresenta ao mercado o Check Point R75, a última versão do conjunto de produtos para segurança de rede baseado na Arquitetura de Software Blade. A solução conta com os elementos da visão de Segurança 3D, combinando polí-ticas, pessoas e fiscalização.

o conjunto de produtos apresenta quatro novos softwares bla-des para Controle de Aplicativo, Informação de Identidade, Pre-venção contra a Perda de Dados e Acesso Móvel. o controle de aplicativos proporciona uma combinação de tecnologia robusta de segurança, garantindo que os funcionários usem as ferra-mentas de Web 2.0 sem prejudicar a segurança da empresa.

o novo blade inclui o UserCheck para envolver os funcioná-rios no processo de adaptação e permite personalizar as po-líticas de uso de aplicativos com base no nível de risco e nas necessidades de usuários.

A Informação de Identidade é um software blade que permite gerenciar as políticas de segurança por usuários e grupos. Com ela, as empresas ganham controle sobre aplicativos e acesso por meio da criação de políticas precisas.

“hoje, as empresas devem desenvolver um plano de seguran-ça que atende às necessidades corporativas enquanto reforçam a segurança de suas informações. A solução trabalha para isso”, diz Dorit Dor, vice-presidente de Produtos da Check Point.

Segurança da Informação em três dimensões

Overview

8 r I S K r e p o r t r I S K r e p o r t 9

RISK.indb 8 31/3/2011 16:31:05

Page 9: Risk Report

8 r I S K r e p o r t r I S K r e p o r t 98 r I S K r e p o r t r I S K r e p o r t 9

Proteção contra brechas internas

Trend Micro adquire Mobile Armor

A CA anuncia a adição de novos recursos

e funcionalidades à solução CA Access Control, para

ajudar os clientes a atender às necessidades críticas

do Gerenciamento de Usuários Privilegiados por meio

do controle, monitoramento e auditoria centralizados,

tudo a partir de um único console de gestão.

os novos recursos da ferramenta incluem Ges-

tão de Senha de Usuário Privilegiado para opera-

ções automatizadas, Aplicação-para-Aplicação e

Aplicação-para-Servidor. Este recurso ajuda a me-

lhorar a segurança, reduzir o custo relacionado à

gestão de senhas de contas no sistema e também

A Trend Micro acaba de adquirir

a Mobile Armor, empresa especializada em

criptografia de dados e gerenciamento de

dispositivos móveis. A iniciativa expande o

portfólio de proteção da Trend Micro, esten-

dendo suas ofertas de criptografia para todos

os tipos de dispositivos.

“Com a aquisição, queremos proteger as in-

formações dos nossos clientes de uma maneira

mais ampla. Com o uso da criptografia, pode-

mos estender a proteção além do e-mail e as-

segurar dados em ambientes virtualizados ou

endereça as diretrizes PCI-DSS ao gerenciar auto-

maticamente estas senhas.

outro recurso é a Gravação e Playback das Ses-

sões de Usuário Privilegiado. A partir do momento

em que um usuário privilegiado entra com sua senha

em qualquer dispositivo gerenciado pelo PUPM, suas

ações podem ser gravadas com segurança e ficam

disponíveis para o playback em vídeo.

E, por fim, o Login Automático PUPM e Integra-

ção Avançada, que automatiza o login do usuário fi-

nal para qualquer dispositivo gerenciado pelo PUPM,

ajudando a prevenir contra o roubo de senha.

na nuvem pública”, afirmou Fabio Picoli, coun-

try manager da Trend Micro para o Brasil.

o próximo passo será o desenvolvimento

em conjunto de soluções de Segurança para

atender principalmente as grandes empresas e

o Governo brasileiro.

“o foco principal da Mobile Armor é o aten-

dimento ao mercado e Governo norte-america-

no. Com a aquisição, queremos adicionar o que

eles têm de melhor para atender nosso merca-

do interno e levar esse portfólio ao setor públi-

co”, completa Picoli.

Overview

8 r I S K r e p o r t r I S K r e p o r t 9

RISK.indb 9 31/3/2011 16:31:14

Page 10: Risk Report

1 0 r I S K r e p o r t

Portfólio

A SonicWALL anuncia a série SuperMassive E10000 de firewalls de próxima geração. A solu-ção conta com arquitetura escalável chegando até a 96 núcleos de processa-mento, mais de 40 Gbps de taxa de transferência no firewall e mais de 30 para controle de aplicati-vos e serviço de preven-ção de invasão (IPS), com métricas de potência, espaço e resfriamento.A série utiliza o mecanis-mo RFDPI (Reassembly-Free Deep Packet Inspec-tion) para varrer cada byte de cada pacote, fazendo uma inspeção total do conteúdo de todo o fluxo, mas com alto desempe-nho e baixa latência. o mecanismo também garante inspeção do tráfego SSL codificado e das aplicações fora do proxy. oferece prote-ção independente do transporte ou protocolo. A ferramenta atende as necessidades de seguran-ça de empresas, órgãos do governo, universidades e provedores de serviço, além de proteger as redes corporativas, data centers e grupos de servidores.

o Symantec Data Loss Prevention 11 é uma solução baseada na identificação de conteúdo que descobre, monitora, protege e gerencia dados críticos onde quer que eles estejam armazena-dos. Permite reduzir o ris-co de violação de dados, demonstrar a conformida-de regulatória e garantir a privacidade dos clientes, a proteção da marca e da propriedade intelectual. A nova versão tem como objetivo simplificar a detecção e a proteção das informações mais críticas para as empresas e, consequentemente, proteger sua propriedade intelectual. Essa nova versão inclui o Vector Machine Learning, tecnologia com siste-ma de monitoramento baseado nos equipamen-tos, desenvolvida para facilitar a detecção de ativos de propriedade intelectual difíceis de identificar. A ferramenta também torna o processo de correção mais eficien-te e eficaz com os novos recursos do Data Insight, além de incluir medidas de segurança adicionais nos endpoints.

Desenvolvido com a finalidade de propor-cionar autenticação simples e fácil pelo uso de uma senha dinâmica oTP baseada em tem-po, através de um token virtual localizado na Bar-ra de Tarefas do Windo-ws, o SafeMoBILE for Windows, da BRToken, é multiusuário e com-patível com os sistemas operacionais Windows XP, Vista, Server 2003 e Server 2008, além de Windows 7.As senhas continua-mente geradas pelo aplicativo podem ser arrastadas e copiadas para o campo de au-tenticação desejado. A solução também permite a migração do token do usuário para aparelhos celulares ou smartpho-nes e vice-versa.A versão do SafeMoBI-LE for Windows pos-sibilita a utilização do aplicativo por mais de um usuário na mesma estação. A solução conta com visual leve e amigável e soma-se às versões para JAVA, iPhone, BlackBerry e Android.

A recente regulamen-tação do Registro de Identidade Civil (RIC) no Brasil abre novas oportunidades para modernizar os bancos de dados eletrônicos. Para isso, a nEC Brasil disponibiliza ao mercado o Sistema Automático de Identificação de Impres-sões Digitais (Automated Fingerprint Identification System - AFIS). A solução é baseada na tecnologia biométrica e tem por objetivo unificar os bancos de dados dos brasileiros em todo o País, com um sistema digital voltado para go-verno e empresas. A identificação de im-pressões digitais auto-matizada está baseada no processamento dos pontos característicos das impressões. o sistema proporciona alta precisão, independentemente do ta-manho da base de dados.As imagens são recebi-das e o sistema extrai automaticamente as minúcias, classifica os tipos de padrões, realiza a busca na base de da-dos e reporta o resultado otimizando a intervenção humana nos processos referentes à identificação.

Firewalls de próxima geração

Dados críticos protegidos

Autenticação móvel

RIC exige biometria

RISK.indb 10 31/3/2011 16:31:17

Page 11: Risk Report

RISK.indb 5 31/3/2011 16:31:18

Page 12: Risk Report

1 2 r I S K r e p o r t

Cloud versus CloudTrend

É cErto dIzEr QuE todAS AS EmPrESAS, independente do segmento de atuação, sejam elas grandes, médias ou pequenas, estão analisando a adoção da computação em nuvem, mas é fato também

que todas ainda têm dúvidas em relação ao quanto esse ambiente é seguro. o que parece estar claro é que a computação em nuvem traz vantagens para todos os envolvidos, o que nos faz acreditar que em 2011 a nova maneira de oferecer e consumir tecnologia pode superar os principais desafios e conquistar um amadureci-mento significativo.os benefícios são muitos. Performance, flexibilidade, escalabili-dade, arquitetura inteligente, autonomia, disponibilidade, agili-

dade e redução de custos, são alguns exemplos de vantagens da computação em nuvem, destacados pelos usuários que já imple-mentaram a solução. mesmo assim, o cloud computing ainda precisa quebrar alguns paradigmas. de acordo com um estudo da Idc, sobre aplicações de computação em nuvem no Brasil, 75% das empresas locais ainda não adotaram o cloud. “As principais razões para isso são: eu não sei o que é computação em nuvem; não me sinto seguro e confortável em utilizar esse tipo de tecnologia; vou estudar, avaliar e identificar internamente se há necessidade e se essa tecnologia pode me auxiliar segundo minhas estratégias”, aponta célia Sarauza, gerente de Segurança da Infor-mação da Idc Brasil.

Caminhos da computação em nuvemo maior desafio é evangelizar as companhias sobre sua estrutura, implementação e riscos. Há muitos questionamentos, principal-mente no âmbito da Segurança da Informação que traz uma sensa-ção de inconfiabilidade.como funciona a computação em nuvem? onde estão os dados e as aplicações? A que vulnerabilidades as informações estão sujeitas?

Com benefícios tangíveis, a computação em nuvem vem quebrando barreiras. Mas ainda precisa superar seu principal obstáculo, a Segurança da Informação - Por Léia Machado

RISK.indb 12 31/3/2011 16:31:34

Page 13: Risk Report

r I S K r e p o r t 1 3

Qual é o nível de proteção? Essas e outras questões são colocadas na mesa no momento da contratação de serviços e tecnologias baseadas nesse conceito.o desafio é lançado principalmente aos fornecedores que têm a missão de informar e exemplificar situações de como funciona toda essa infraestrutura para que se propague a divulgação e evan-gelização dessa tecnologia. na opinião de Alexandre moraes, team leader Systems Engineering lAt da HP, o ponto chave para a adoção do cloud é o orçamento.“As empresas sabem que o lado financeiro pesa muito em qualquer decisão, é função do gestor de finanças cobrar retorno de investi-mento. todos que trabalham com Segurança sofrem com isso, pois tem todo o trabalho de explicar que trata-se de uma medida de prevenção para justamente evitar perda de dados e prejuízos para a companhia. Além disso, as PmEs, muitas vezes, não conseguem desfrutar de uma solução completa de Segurança porque tudo é muito caro”, dispara.“Se uma empresa tem um ambiente de cloud com uma infraestru-tura robusta, atualizada, com sistema de proteção de rede de fire-wall, IPS, dlP, além de todas as vantagens da nuvem, ela terá um excelente ambiente para trabalhar com alto nível de automação e competitividade. Ela terá uma infraestrutura tão completa que, muitas vezes por questão de orçamento, dificilmente conseguiria ter em house”, acrescenta moraes.

EconomiaEssa questão de custos é sempre um dos critérios preponderantes na adoção de qualquer tecnologia. com isso, a tI como serviço vem se tornando uma tendência como, por exemplo, os modelos SaaS (Software as a Service) ou IaaS (Infrastructure as a Service). Essa evolução tem sido muito natural também para a computação

em nuvem e virtualização. tudo que poderá ser serviço e deixar de ser custo de aquisição tem grandes chances de ter uma boa aceitabilidade no mercado. “uma das grandes vantagens do cloud e da virtualização é a racionalização de custos. A economia se destaca por meio da computação mais utilitária, onde a companhia paga apenas por aquilo que usa”, opina o gerente de canais da check Point Brasil, daniel romio. José Antunes, gerente de Engenharia de Sistemas da mcAfee, com-partilha dessa mesma opinião e acrescenta os ganhos do aluguel de uma infraestrutura baseada em nuvem.“Estamos falando em custos e a grande vantagem para as empresas que não têm como investir em infraestrutura, comprar bons servi-dores, hardwares, equipamentos para disponibilizar segurança para seu usuário, elas terão muito benefícios utilizando modelos SaaS e IaaS. E se ela crescer, a infraestrutura de nuvem cresce junto acompanhando todo o desenvolvimento corporativo”, completa.

Seleção de Serviçosoutro procedimento fundamental para o sucesso da implementa-ção de um ambiente em nuvem é a escolha do provedor. cada em-presa tem suas próprias características de negócio e necessidades particulares de infraestrutura. nesse caso, o processo de escolha do provedor passa por uma série de análises contratuais de entrega de serviço, performance, garantias, nível de redundância e a segu-rança desse ambiente.Questões como: o fornecedor tem a melhor solução de link para o meu negócio? Ele pode me garantir armazenamento? Eu terei

um alto nível de segurança ao contratar esse serviço? como esse provedor fará a adminis-tração desse ambiente em nuvem? tudo está sendo feito de forma adequada? São procedi-mentos analíticos que os especialistas destacam no momento de contratação de um provedor de computação em nuvem.“nós temos uma latência muito grande no acesso as informações, o que depende muito do provedor. muitas vezes, o cloud público não está no Brasil e esse acesso é feito pela Internet. como será a desempenho desse acesso? Por isso a importância em escolher criteriosamente esse parceiro de tecnologia. o provedor que consiga hospedar a solução dele mais próximo da reali-dade da empresa passa a ser mais interessante o acesso das aplicações”, aponta claudio Ban-

Como são as instalações do provedor?o fornecedor tem a melhor solução de link para o meu negócio?o fornecedor pode me garantir armazenamento? Como se dá o acesso aos dados e quem tem acesso a eles?Qual é o plano para recuperação em casos de desastre?As senhas do cliente estão armazenadas de forma segura? Como?Senhas são transmitidas usando conexão criptografada?Como funciona o monitoramento do ambiente cloud?Como funciona o registro de logins autorizados e negados?Eu terei um alto nível de segurança ao contratar esse serviço?Como esse provedor fará a administração desse ambiente em nuvem?

Pontos importantes para escolha do provedor de cloud computing

PerformanceFlexibilidadeEscalabilidadeArquitetura inteligenteAutonomiaSegurançaDisponibilidadeAgilidade Redução de custos

Vantagens do cloud

RISK.indb 13 31/3/2011 16:31:41

Page 14: Risk Report

1 4 r I S K r e p o r t

processos de aquisição de ambientes em nuvem. Acessos aos con-teúdos alocados, quem terá ou não permissão para obter as infor-mações e, em casos de desastres, se essas informações poderão ser recuperadas, são algumas dúvidas que surgem. na opinião de Bre-no lastra, líder técnico de rede da locaweb, o acesso aos dados e a questão da permissão, dependem muito da gestão da informação, independente se o ambiente for físico ou em nuvem. “na virtualização, meus dados estão no storage do meu fornece-dor, que precisa ter acesso para fazer a manutenção. É nessa hora que posso ter problemas com segurança. mas também posso ter vulnerabilidades em um servidor físico. Por exemplo, se der um problema no disco com a necessidade de troca, a empresa pode fazer um descarte inadequado sem apagar os dados e qualquer pes-soa pode ter acesso às informações daquele disco. ou seja, tudo depende do gerenciamento desses dados”, explica lastra.Em relação à recuperação de dados, o executivo é bem categórico. “Se um servidor está sendo invadindo por um hacker, com acesso àquela máquina, ele pode simplesmente rodar um software para apagar tudo que está no disco. mas em um servidor virtual, mesmo que isso ocorra, todos os dados poderão ser recuperados”. o fato é que em qualquer aquisição de tecnologia, a companhia precisa contar com um bom planejamento interno para que a Se-gurança da Informação seja preservada. São várias as ofertas de cloud pública, privada ou híbrida.A verdade é que o provedor precisa entregar uma série de ga-rantias à companhia que está contratando o serviço. Segurança, disponibilidade de infraestrutura, performance, comunicação, acesso aos dados e ambiente seguro são peças fundamentais na contratação do serviço. Além disso, a empresa contratante espera uma maturidade profissional para garantir a segurança dos dados.Existem muitos serviços ofertados com vários níveis de segu-rança, mas essa garantia depende do bom planejamento inter-no, relação custo-benefício e escolha do provedor. os critérios de adoção dependem da confiança da empresa contratante em relação ao seu fornecedor. um relacionamento transparente é o melhor caminho para a confiabilidade. São quesitos importantes que precisam ser colocados na balança.

nwart, responsável pela área de Segurança da compugraf.Essa análise crítica também é destacada por moraes. “A com-panhia que pretende adotar uma infraestrutura baseada em cloud computing precisa conhecer bem seu parceiro para evitar problemas futuros. É muito importante analisar a relação custo-benefício, pois nem sempre o fornecedor mais barato é o melhor. Se o custo for muito baixo, é prudente questionar se os procedi-mentos serão feitos adequadamente. A questão da redução de custo no ambiente na nuvem é algo real, mas precisamos pon-derar as opções de fornecedores para não cair numa cilada”.

Segurançao modelo cloud computing ainda deixa muitas dúvidas entre os gestores de tI, com isso, surgem antigos questionamentos nos

TrendTrend

De acordo com um estudo da IDC, 75% das empresas brasileiras ainda não adotaram o cloud Principais razões citadas pelos gestores de TI:

eu não sei o que é computação em nuvemnão me sinto seguro e confortável em utilizar esse tipo de tecnologiavou avaliar a possibilidade de conhecer esse ambiente cloudvou analisar internamente se há necessidade e se essa tecnologia pode me auxiliar segundo minhas estratégias

Desafios da computação em nuvem

RISK.indb 14 31/3/2011 16:31:45

Page 15: Risk Report

TABU SOBRE E-COMMERCE

“Vai demorar para as pessoas comprarem pela Internet.”

TABU SOBRE CLOUD COMPUTING

“Vai demorar paraeliminarem os servidoresfísicos nas empresas.”

SEGURO

Seus dados sãoarmazenadosisoladamente.

Utiliza a tecnologiaXen de virtualização,e cada cliente possuisua própria VLAN.

RÁPIDO

Você não gasta com infraestrutura e só pagapela capacidade queutilizar.

ECONÔMICO SIMPLES E ÁGIL

São diversos sistemas operacionais para vocêescolher e gerenciar suas informações.Em até 30 minutos* os servidoresjá estão à sua disposição.

*Prazo para a instalação-padrão, após o reconhecimento do pagamento.Em alguns casos é necessário confi rmar a disponibilidade técnica e operacional.

Locaweb.com.br/CloudServerPro

Há pouco tempo, muitos achavam que as pessoas teriam medo de fazer compras pela web. Mas o e-commerce no Brasil cresce cerca de 30% ao ano e já movimenta bilhões. E, ainda hoje, há quem ache que manter os servidores na empresa gerando custos de manutenção e gerenciamento é a melhor alternativa para o processamento de dados. Para mudar essa mentalidade, a Locaweb lançou o Cloud Server Pro, a mais avançada e segura computação em nuvem do mercado. É a solução para empresas que querem atuar com mais inteligência, cortando gastos e ganhando performance.

TABU FOI FEITO PARA SER QUEBRADO. CHEGOU O CLOUD SERVER PRO LOCAWEB.

kwarup

.com

Ganhe R$ 199,00

de desconto!

Acesse Locaweb.com.br/CloudServerPro

e utilize o código promocional:

DREP62706A

Com esse desconto o 1º mês no

Cloud Server Pro 1 GB Linux* é grátis.

*Desconto de R$ 199,00 válido para

as 1000 primeiras contratações de

Cloud Server Pro pelo site, até 31/05/2011.

RISK.indb 5 31/3/2011 16:31:47

Page 16: Risk Report

1 6 r I S K r e p o r t r I S K r e p o r t 1 71 6 r I S K r e p o r t r I S K r e p o r t 1 7

Financial

CIfrAS, cHEQuES, cArtõES, InVEStImEntoS. A humanidade é dependente do setor financeiro, des-de um simples pagamento de uma fatura de cartão de crédito às altas aplicações nas bolsas de valores. com o avanço da Web e da mobilidade, essa dependência ficou facilitada. Hoje, os equipamentos tecnológicos

permitem transações financeiras independente da presença física do usu-ário. A contratação de um empréstimo ou cheque especial, por exemplo, pode ser feita com alguns cliques no Internet Banking.

contudo, essa revolução tecnológica ao mesmo tempo em que pro-porciona comodidade, flexibilidade e agilidade aos usuários, também avança no campo das fraudes, com ameaças online cada vez mais sofisti-cadas e com claros objetivos de roubar informações de cartões e contas bancárias para obter lucro com elas. o desafio do setor é desenvolver soluções de proteção e autenticação nas transações financeiras de acordo com o aumento da demanda.

“Todos os sistemas de autenticação tem suas vantagens e vulne-rabilidades. dificilcimente teremos um padrão de segurança para o setor financeiro, pois todas as tecnologias de autenticação de transações são vá-lidas como uma nova camada de segurança”, aponta francimara Viotti, gerente Executiva do Banco do Brasil.

Para francimara, as transações bancárias são realizadas através de vá-rias tecnologias e não seria diferente usar vários dispositivos para propor-cionar a segurança aos clientes. “Há riqueza na tecnologia onde as pessoas usam a criatividade para desenvolver formas de proteção. cada tecnologia tem o nível de fragilidade e, às vezes, é preciso agregar outras soluções para complementar a segurança na atutenticação financeira”, explica.

Medidas de SegurançaAo longo dos anos, o mercado financeiro, sendo a principal vítima de fraudes e roubos milionários, vem desenvolvendo novas ferramentas de

Especialistas debatem as tendências em autenticação e segurança para o setor financeiro. Não há apenas um padrão que assegure as transações, mas um conjunto de tecnologias e normas - Por Léia Machado

A nova fronteira da autenticação

1 6 r I S K r e p o r t r I S K r e p o r t 1 7

RISK.indb 16 31/3/2011 16:31:56

Page 17: Risk Report

1 6 r I S K r e p o r t r I S K r e p o r t 1 71 6 r I S K r e p o r t r I S K r e p o r t 1 7

proteção para as transações presenciais e online. Por uma questão de segurança, a partir da colaboração entre os sistemas de pagamento mundiais Europay, mas-tercard e Visa, criou-se o padrão EmV para as transações de cartões de débito, crédito e smart card.

“ou seja, o início da migração da tarja magnética – que é carente de se-gurança sem proteção por criptografia, capacidade de memória limitada de fá-cil reprodução e clonagem dos dados – para os cartões com chip. Por sua vez, possuem maior capacidade de armaze-namento de dados criptografados, com microprocessador interno sem a pos-sibilidade de clonagem do cartão por meios simples”, diz Jorge Krug, supe-rintendente Executivo da unidade de Segurança de tI do Banrisul.

mais adiante, de novo as bandeiras se reuniram para a criação do padrão Pay-ment card Industry (PcI), segurança de dados de cartões de pagamento. trata-se de um conjunto de normas que garante a proteção das informações do titular dos cartões durante as transações finan-ceiras, online e presenciais. Em termos gerais, as operadoras de cartão estabele-ceram normas de segurança, nas quais o comércio precisa entrar em conformida-de com o padrão.

Por outro lado, o token também é um fator a mais para autenticar as transações financeiras através do Internet Banking. A confirmação da transação é online, tanto as de maiores riscos quanto as de valores menores. “o dispositivo, que está passan-do por uma revolução com novos recursos de segurança e assinatura de transações associada a outras funções como garantia do browser, já faz parte da vida de muitos clientes bancários. o fato é que ele veio para ficar”, afirma Alexandre cagnoni, di-retor de tecnologia da Brtoken.

Há também a questão da assinatu-ra cega, onde acontece uma adulteração

da memória do computador no ato da transação. de acordo com francimara, a forma de combater essa ameaça seria a blindagem do browser. “com isso, o usu-ário não permite que um malware consi-ga ler o que está na memória para fazer a adulteração dos dados da transação antes de entrar para um smart card, token ou qualquer outro dispositivo para assinatu-ra. Esse procedimento é um reforço para a segurança do usuário”.

Além disso, o rIc (registro de Iden-tidade civil) também poderá ser usado como um método convergente de autenti-cação para as transações financeiras. o do-cumento será um registro único para todos os cidadãos brasileiros e contará com um chip de armazenamento de documentos como rg, cPf, título de eleitor, informa-ções previdenciárias e trabalhistas, além de dados biométricos e certificado digital.

“o rIc é uma forma natural de man-ter a autenticação no mundo físico e vai se transferir para o universo virtual. Ele iden-tifica o indivíduo e tem tecno-logia para fazer a assinatura de uma transação eletrônica, garantindo a autenticação do cidadão. claro que ele não

será uma solução única, mas pode agregar maior segurança”, acrescenta francimara.

Padrões e Regrasdiante dessas tendências em autentica-ção e segurança para o setor financeiro, hoje, a área não tem uma bala de prata que seja 100% segura, barrando qualquer tipo de fraude. não há uma única forma de proteção. o que está sendo feito é o uso de um conjunto de soluções de segu-rança de acordo com a complexidade de cada transação, seja usando o certificado digital, token, biometria ou cartões de crédito e débito com chip.

“O fato é que o mundo ficou mais complexo e, por consequência, a segurança também. Antigamente, uma das fraudes que mais davam dor de cabeça aos bancos era a falsificação de cheques, hoje estão sendo acrescentadas novas modalidades para burlar a segurança das instituições. Para mudar esse cenário, acredito em algumas convergências tecnológicas específicas para determinados negócios”, opina cesar Augusto faustino, gerente de Auditoria na Banco Itaú e coor-denador da Sub-comissão de Prevenção a fraudes Eletrônicas na febraban.

1 6 r I S K r e p o r t r I S K r e p o r t 1 7

“O RIC é uma forma natural de manter a

autenticação no mundo físico e vai se transferir

para o universo virtual. Ele identifica o indivíduo e

tem tecnologia para fazer a assinatura de uma transação eletrônica, garantindo

a autenticação do cidadão. Claro que ele não será uma

solução única, mas pode agregar maior segurança”, diz Francimara Viotti, gerente

Executiva do Banco do Brasil

RISK.indb 17 31/3/2011 16:31:58

Page 18: Risk Report

1 8 r I S K r e p o r t r I S K r e p o r t P B

Além disso, há ainda um outro fator relevante nesse processo. o avanço da mobilidade. A cada dia aumenta o nú-mero de pessoas realizando transações bancárias através dos smartphones, o que expande o desafio do setor em de-senvolver padões de segurança para os usuários. “Em pouco tempo teremos mais 100 milhões de celulares fazendo transações bancárias, fica dificil que se estabeleça apenas um de padrão de se-gurança”, acrescenta faustino. Cabe aos bancos e instituições fi-nanceiras a monitoração permanente de cada transação, checando as infor-mações com os clientes e estabelecen-do um atendimento personalizado. “o importante é a proteção da transação com o uso das ferramentas existentes no mercado, da padronização e regras de segurança que as bandeiras e insti-tuições financeiras estão discutindo em conjunto”, alerta Krug.

Educação do usuáriooutro pilar importante para a segurança nas transações financeiras é a conscien-tização do usuário, que precisa ser evan-gelizado em relação às fraudes e amea-ças do universo digital. Aquele cliente

bancário com um menor grau de instru-ção, tem dificuldades para acompanhar a evolução das transações até mesmo em uma agência bancária. É comum nos depararmos com funcionários do ban-co auxiliando alguns clientes durante a transação em um caixa eletrônico.

Essa dificuldade é ainda maior no ambiente online, com diversas senhas, tokens e assinaturas eletrônicas. A mi-gração dessas transações para a Internet obriga as instituições financeiras a de-senvolverem cartilhas e ações para ensi-nar seus clientes, inclusive as crianças, a usar a internet de uma maneira mais segura, além de conscientizá-los sobre os riscos de fraudes no mundo digital. Essa preocupação com a segurança não se restringe apenas aos bancos com a febraran, mas também de outros ór-gãos como a fecomercio e a oAB, que desenvolvem cartilhas e ações de cons-cientização do usuário. “Essa série de recomendações que falamos o tempo todo tem que ser exaustivamente deba-tida”, complementa faustino.

Para Krug, esse modelo de cons-cientização precisa ser difundio o mais rápido possível, mas alerta que o esfor-ço não depende apenas dos bancos e da

Financial

1 8 r I S K r e p o r t r I S K r e p o r t P B

“O importante é a proteção da transação com o uso das ferramentas

existentes no mercado, da padronização e regras de segurança que as bandeiras e instituições financeiras estão discutindo em conjunto”, alerta

Jorge Krug, superintendente executivo da Unidade de Segurança de TI do Banrisul

sociedade. “Eu coloco isso em dois pata-mares: o primeiro é essa evangelização da sociedade digital que avança no uso da tecnologia, precisamos sim falar em segurança com todos, sem exceção”.

“mas um outro ponto importante é a legislação do país. não adianta ter todo um processo de conscientização se não temos uma legislação eficiente que garanta segurança em todo o processo. os bancos investem muito dinheiro em segurança e eles têm processo muito se-guros. mas o próprio país precisa ofere-cer infraestrutura eficiente para ajudar nesse combate às fraudes”. Na opinião de Francimara, é preciso ter uma conscientização de que crime é crime independente se for co-metido na esfera online ou física. “nor-malmente as pessoas entendem as amea-ças quando são atacadas, quando passam por desvio de dinheiro em conta corren-te ou em alguma situação de clonagem de cartão. Essa evolução na educação será natural na sociedade”, finaliza.

Leia mais: http://www.fraudes.org/showpage1 http://portal.mj.gov.br/ric

RISK.indb 18 31/3/2011 16:32:04

Page 19: Risk Report

Transmissão:Apoio de Mídia:Realização:

2011

CONGRESSO, EXPOSIÇÃO E PREMIAÇÃO DE LÍDERES E PROFISSIONAIS DE

SEGURANÇA DA INFORMAÇÃO E RISCO

Exposição de Soluções, Produtos e Serviços•

Painéis de debates com • transmissão ao vivo e interatividade

Apresentação de Cases•

Prêmio Security Leaders• : Premiação dos principais líderes do

setor de Segurança da Informação

Tel. (11) 5049-0202 www.securityleaders.com.br

RISK.indb 10 31/3/2011 16:32:34

Page 20: Risk Report

2 0 r I S K r e p o r t

Focus

cibercrimeA especialização do

OS crImES VIrtuAIS forAm EVoluIndo conforme a própria internet. no passado, o ciber-crime não tinha uma motivação financeira e era comandado por jovens com objetivos distintos.

Atacavam para mostrar as vulnerabilidades de um sistema ou para ganhar status por sua capacidade de invasão. mas com o avanço da Internet e o surgimento de novas tecnologias essa ideia está obsoleta. os ataques no universo online estão cada vez mais sofisticados e conta com as mais diversas ferramentas tecnológicas, o pró-prio perfil do cibercriminoso mudou. Hoje, são quadrilhas inteiras que atacam via web e tem um objetivo claro: roubar informações pessoais para obter lucro com elas. “na Internet há muita vulnera-bilidade, o que facilita a criação de novas ferramentas de ataques”, afirma michael Sutton, pesquisador na área de Segurança e vice-presidente da zscaler.na última década, o cibercrime prospe-rou e custou aos consumidores centenas de milhões de dólares. A sofisticação dos

crimes virtuais é clara, desde a criação do worm “I love You”, em 2000, até as ameaças atuais como o geneXus. Segundo a enti-dade Internet World Stats, o uso da Web cresceu de 361 milhões de usuários, em 2000, para quase 2 bilhões em 2010. com isso, a Internet tornou-se um importante alvo para os criminosos.

Variedades de ataquesde acordo com Sutton, os aplicativos da Web 2.0 são muito di-

nâmicos e mais fáceis de atacar. uma das grandes tendências destacadas pelo pes-quisador é o phishing, um golpe online de falsificação de sites legítimos. os cri-minosos usam spams, websites malicio-sos e mensagens de e-mail para roubar informações sigilosas. “normalmente são sites que usamos no nosso dia a dia e esses criminosos tentam nos convencer a entrar nessa página infectada”, comenta Sutton.Além disso, as práticas de ataques são as mais variadas. os e-mails, por exemplo, já não são os maiores vilões na disseminação de ameaças de segurança pela Web. As re-des sociais são os atuais alvos de ataques

Novos dispositivos e redes sociais tornam os ataques virtuais mais específicos e sofisticados. Especialista internacional aponta outras técnicas de golpes - Por Léia Machado

RISK.indb 20 31/3/2011 16:32:40

Page 21: Risk Report

r I S K r e p o r t 2 1

virtuais tornando-se uma das principais fontes de disseminação do cibercri-me. outra vítima dos crimes digitais sãos os mecanis-mos de busca. Segundo Sutton, a cada 100 resul-tados 1 já se refere a uma página maliciosa. Esses

endereços contaminados estão entre os primeiros que aparecem nas pesquisas. A mobilidade também não escapou dos ataques por meio da Web, o cibercrime desenvolve vírus específicos para esses dispositivos.Sutton também destacou outra vulnerabilidade chamada clickja-cking. trata-se de uma técnica usada por um cracker para escon-der programas maliciosos embaixo de um botão legítimo de um site legítimo. ou seja, é uma forma de enganar o usuário para que entre em uma página, embora tenha visualizado outra. “os criminosos simplesmente tiram vantagens, eles conhecem as formas legitimas de formatar uma página, enganam os usuários e exploram a credibilidade dos sites. normalmente eles tiram van-tagem de uma vulnerabilidade, escrevem um script e colocam conteúdo malicioso. A meta é atingir o maior número possível de sites”, explica o executivo.Em um estudo realizado pelo website maliciousnetworkin.org, mantido pelo International Secure Systems lab, Vienna univer-sity of technology, Eurecom france e uc Santa Barbara, entre os dez países que possuem a maior quantidade de conteúdo mali-cioso o Brasil aparece em quarto lugar, atrás apenas dos Estados unidos, rússia e china, respectivamente.”definitivamente, essa

não é a lista em que um país gostaria de figurar nos primeiros lugares. A Segu-rança deve estar na mente das pessoas e das empresas”.

Medidas de segurançacom a especialização do cibercrime, é natural que as empresas tomem me-didas de Segurança em seu ambiente corporativo. E Sutton provoca algu-mas discussões: as companhias devem bloquear o acesso às redes socias? Em relação aos ataques, qual é o foco dos recursos de Segurança? como é feita a Segurança nos dispositivos móveis?diante dessas questões, o executivo foi bem categórico. “não acredito que blo-

quear o acesso às mídias sociais seja um caminho seguro. muito menos de 1% dos ataques na Web vêm dessas mídias. com o blo-queio desses websites, os usuários acabam achando outra manei-ra de acessá-los, o que pode causar um maior descontrole na rede e aumento da vulnerabilidade”.o pesquisador acredita que a melhor medida nessas situações é monitoração do tráfego no ambiente corporativo. As empre-sas podem criar suas próprias regras e políticas internas, o que garante o controle e transparência no relacionamento. Em rela-ção aos recursos de Segurança, o executivo afirma que o melhor caminho é investir na educação do usuário. “gastamos muito dinheiro protegendo servidores, mas esquecemos dos nossos co-laboradores, é aí que devemos trabalhar”.Em termos de mobilidade, a Segurança precisa ser semelhante à de um desktop. “os ataques funcionam muito bem em qualquer plataforma, se as empresas não fizerem nada para proteger todos os dispositivos, independente se for móvel ou não, provavelmen-te já esteja infectada”, finaliza o pesquisador.

Country Score C&C Servers

Phish Servers

Spam Servers

Exploit Servers

US 190.79 398 81 214 335RU 31.25 60 0 8 55Cn 27.61 255 7 28 89BR 26.65 88 0 4 11DE 25.84 51 32 8 43UK 21.02 46 0 1 44KR 17.65 66 9 0 93CA 14.47 22 9 0 21Ph 12.64 17 0 3 16nL 12.46 31 0 0 19

MaliciousNetworking.org

os cibercriminosos usam técnicas para atacar

as vulnerabilidades dos sites. A cada 100 resultados 1 já se refere a uma página maliciosa. Esses endereços

contaminados estão entre os primeiros que aparecem

nas pesquisas

Mecanismos de busca

As redes sociais são os atuais alvos de ataques virtuais, tornando-se uma das principais fontes de disseminação do cibercrime

RISK.indb 21 31/3/2011 16:32:43

Page 22: Risk Report

2 2 r I S K r e p o r t

Focus

AlÉm dE EStAr PrESEntE nA VIdA das pessoas, até mesmo dentro do bolso, por meio de smartphones, a realidade das redes sociais também já faz parte do mun-

do corporativo. Para as pessoas, a palavra que resume sua vantagem, em grande parte do tempo, é relaciona-mento. nesse caso, estamos falando de um universo de 70 milhões de usuários, que representam 40% do total

O outro lado das redes sociais

As mídias sociais estão cada vez mais presentes no mundo corporativo. Como é possível utilizá-las em favor dos negócios? Ainda há algumas questões a serem olhadas com atenção, como a segurança e o treinamento de funcionários para lidar com a informação - Por Júlia Zillig

de dois bilhões de pessoas que acessam a internet no país. Para as corporações, o horizonte é um pouco mais amplo. Essa plataforma pode ajudar a incrementar seus negócios. A grande questão é como lidar com esse mo-vimento e obter lucro com ela. Segundo marcelo duarte, gerente de infraestrutura do Banco carrefour, a rede social pode trazer agilida-de. “temos olhado isso como uma possibilidade de se comunicar mais rápido e isso significa também fazer negócios com mais agilidade. Já existem empresas ganhando dinheiro por meio das redes sociais, outras estão perdendo. no entanto, precisamos ficar aten-tos, pois a penetração das redes sociais nas empresas é algo inevitável e vai nos abrir a oportunidade de fazer negócios diferentes.” Além do lado financeiro, a questão da segurança é ou-tro aspecto que está sendo olhado com cuidado pelas empresas. “não acredito na liberação das redes sociais para todas as pessoas da empresa, mas sim para aque-las que façam sentido, ou seja, que têm a oportunidade

RISK.indb 22 31/3/2011 16:32:45

Page 23: Risk Report

r I S K r e p o r t 2 3

O outro lado das redes sociais

de trazer resultados para a companhia, o que é uma tendência natural”, diz duarte. Isso deve se tornar cada vez mais realidade pelo fato de que mais de 70% dos problemas de ataque de seguran-ça provêm de dentro da empresa, segundo frederico Pacheco, gerente de Educação e Investigação da ESEt para a América latina. “Se eu vou colocar várias bar-reiras internas e proteger minha empresa de maneira simples, isso se torna complicado, pois eu preciso for-necer acesso às pessoas. muitas vezes, uma pessoa que tem acesso acaba sendo usada por outra que quer pre-judicar a empresa de alguma forma. A coisa fica pior quando envolvem o pessoal mais técnico.” Alexandre moraes, team leader dos engenheiros de Sistemas da HP tippingPoint, ressalta que, por mais que a empresa implante a solução tecnológica mais sofisticada, o elo mais fraco da corrente é o usuário. duarte completa. “Ainda não existem tecnologias que controlem o ser humano na utilização da informação inadequada. Esse não é um problema da rede social, mas sim do convívio em sociedade.”o número de pessoas com acesso a essas redes sociais não para de aumentar e isso maximiza os riscos dos efeitos colaterais das mídias sociais no mundo cor-porativo. “As pessoas têm uma falsa sensação de im-punidade. Elas acham que podem acessar o orkut, criar comunidades, falar mal das empresas, mas não

sabem que estão sujeitas às ações das leis civis, penais e criminais. Hoje a internet é monitorada. Existem mais de 30 mil processos em andamento no país por uso indevido desse tipo de ferramenta”, explica Yanis cardoso Stoyannis, gerente de Segurança Informa-ção da Embratel. no entanto, o caminho pode ser muito promissor para a empresa. “Por meio das redes sociais, que atrai seguidores, as companhias devem criar modelos de atratividade para que o público em geral se interesse em seguir as tendências e/ou benefícios que elas tra-zem. Se o consumidor entender que há valor agrega-do por trás das informações da empresa na rede, ele passará a segui-la. Isso é uma grande oportunidade”, enfatiza duarte, do Banco carrefour.mas é necessário direcionar seus esforços em relação a uma questão: a conscientização e treinamento de seus colaboradores. “uma frase in-devida pode gerar uma interpretação errada”, diz morais. Essas ações de-vem acontecer antes de ter o seu acesso liberado. E duarte, complementa.“É importante que as pessoas compreen-dam que a Segurança da Informação é um problema delas mesmas e não so-mente da empresa. É importante tra-balhar com os usuários internos dentro das nossas companhias, para que as in-formações confidenciais nas quais temos acesso sejam utilizadas de forma adequa-da. É fundamental ter ética”.

“As pessoas têm uma falsa sensação de impunidade. Elas acham que podem acessar o Orkut, criar comunidades, falar mal das empresas, mas não sabem que estão sujeitas às ações das leis civis, penais e criminais. Hoje a internet é monitorada”, Yanis Cardoso Stoyannis, gerente de Segurança da Informação da Embratel

RISK.indb 23 31/3/2011 16:32:50

Page 24: Risk Report

2 4 r I S K r e p o r t

Focus

PCI na pauta do e-commerceCom a explosão dos negócios via Internet, adoção do PCI entra em regime de urgência. Especialistas apontam 2012 como o deadline brasileiro - Por David Plassa

NA últImA dÉcAdA, o mercado mundial absorveu o e-commerce em grande esca-la. de acordo com pesquisa da

consultoria J.P. morgan, a expectativa de fa-turamento do comércio eletrônico mundial para 2011 é de uS$ 680 bilhões, um aumen-to de 18,9% em comparação com o último ano. fatores como comodidade, variedade de produtos e preços mais acessíveis salien-tam as perspectivas neste nicho. Entretanto, especialistas apontam outro elemento como crucial ao desenvolvimento do e-commer-ce: a segurança do consumidor.

o aumento do uso de cartões de crédi-to acompanha a expansão dos negócios via internet. Preservar os dados dos clientes passa a ser a grande preocupação para quem realiza esse tipo de transação. no último natal o comércio eletrônico arrecadou r$ 2,2 bilhões no Brasil. “Isso representa um aumento de 40% em relação a 2009. o país cresce e os cartões emitidos também, mas surgem as fragilidades”, diz Victor murad, conselheiro e vice-presidente de comércio Eletrônico da câmara e-net.

como reação a esse cenário, as princi-pais bandeiras de cartão de crédito desen-volveram a regulamentação Payment card Industry (PcI) - data Security Standard (dSS). um conjunto de normas que ga-rantem o nível de segurança exigido para proteção dos dados do titular do cartão du-rante as transações.

O deadline brasileiroo Brasil é membro do comitê executivo do PcI desde 2009, sob representação do

Banrisul. o objetivo é estudar o modelo mais adequado à realidade do país. E qual o prazo para o comércio aderir às normas? “o PcI passar a ter validade desde o dia 1ºde janeiro de 2011. As bandeiras orien-tam 1º de julho deste ano em algum nível de comércio, mas vejo 2012 como o ano do deadline para a adoção”, diz Jorge Krug, superintendente executivo da unidade de Segurança de tI.

o consenso é de que o PcI é uma re-alidade irreversível. Algumas empresas já estão em conformidade com a regulamen-tação como cielo, redecard, casas Bahia, entre outras. “São empresas de grande porte, projetos complexos. A mensagem que passam é o da viabilidade do PcI. o mercado precisa se adaptar”, diz Alexan-dre Sieira, cto do cipher.

Segurança onlineEm termos gerais, o padrão abrange à confi-dencialidade das informações, assegura me-didas de monitoramento e estabelece testes das redes periodicamente. Quanto maior o armazenamento e processamento de dados por parte de uma empresa, maior a necessi-dade de estar em conformidade com as nor-mas. o que coloca o comércio eletrônico em destaque no processo de adaptação. de acor-do com Sieira, o PcI nasceu para o e-com-merce. “A maior parte das transações com cartão presente migra para os cartões com chip, o que reduz o impacto da clonagem. o risco de uma operação financeira pela inter-net é real e precisa ser gerenciado.”

o esforço é grande, mas os números denunciam o tamanho do problema. no

Brasil, 90% das empresas foram alvos do cibercrime, como mostrou recente relató-rio da global fraud report e da the Eco-nomist Intelligence unit, da revista the Economist. o país é o terceiro no ranking de fraudes eletrônicas, atrás da china, com 98% de incidências e colômbia com 94%. o número de empresas brasileiras adequa-das ao PcI é baixo.

Para Henrique takaki, coordenador do grupo de Segurança e Prevenção a frau-des da Associação Brasileira das Empresas de cartões de crédito (ABEcS), a falta de adesão pode ser atribuída à maneira como a regulamentação tem sido implementada. “o PcI é excelente, mas o modelo binário não é o correto. Apenas empresas que ado-tem 100% das diretrizes conseguem o cer-tificado. Será que as regras não poderiam ser implementadas progressivamente, a partir das prioridades?”

RISK.indb 24 31/3/2011 16:32:54

Page 25: Risk Report

r I S K r e p o r t 2 5

“o conceito está claro na literatura, mas na forma de aplicação para o mercado ainda faltam alguns desafios a serem superados. Isso está diretamente ligado à cultura da companhia, desde o pre-sidente até a recepcionista”, afirma fabian martins, consultor de compliance e segurança da informação em tI da fIAP.Segundo martins, o maior desafio para a implementação do grc é a cultura. É justamente promover esse ambiente de colaboração na companhia para gerar uma motivação comum. “mas essa ini-ciativa precisa partir da diretoria até os níveis mais baixos. Isso é fundamental para o processo amadurecer”, completa coelho. “Sem o apoio dos principais executivos da companhia fica com-plicado a adoção do grc. Quando se tem o envolvimento desses profissionais conseguimos justificar os investimentos e apresen-tar uma governança diferenciada e transparente”. diante do positivo cenário brasileiro com um merca-do em constante progresso, com empresas internacio-nais apostando no País e uma economia bastante mo-vimentada, o caminho para investimentos em grc está propício. “Estamos em um bom momento para evoluir na cultura organizacional das companhias. o grande diferencial é conhecer bem o negócio para que o apoio dos altos executivos seja mais natural e transparente. É pre-ciso ter perseverança nesse processo”, finaliza coelho.

Riscos sob controleO conceito de GRC vem ganhando notoriedade entre os gestores, mas ainda precisa vencer as barreiras do amadurecimento e da cultura organizacional - Por Léia Machado

GoVErnAnçA corPorAtIVA. gEStão dE risco. conformidade. A combinação dessas três vertentes tem o objetivo de proporcionar às empre-sas controle dos negócios, sinergia entre os depar-

tamentos, inteligência de mercado e gerenciamento centraliza-do. o conceito, chamado pela sigla grc, vem sendo aprimorado nas grandes organizações e o resultado é bastante satisfatório.“Hoje, a oi é uma empresa de processo e continuidade. A imple-mentação do grc foi conduzida junto a um programa de seguran-ça no qual fotografamos cada parte da companhia e mostramos o que realmente era necessário naquele momento. foi uma quebra de paradigma”, aponta Angelo coelho, cSo da operadora.Para o grc não existe tamanho ou segmento de empresa, ele serve para todos. A gestão de risco abrange a parte de Segurança da Informação, da companhia e dos negócios. o compliance é conformidade com leis, regulamentos, imposições de padrões municipais, estaduais, federais ou internacionais. Por outro lado a governança é um elemento indispensável no gerenciamento de pessoas a fim de buscar o resultado positivo dentro da empresa. “A junção dessas três questões proporciona uma lógica mais fácil de integrar departamentos e garantir efetividade nos re-sultados. o grc é um conceito que vem sendo muito bem en-tendido pelos gestores corporativos, principalmente quando se deparam com os benefícios somados dessas três vertentes. mas é um caminho que muitos ainda precisam percorrer”, opina João roberto Peres, especialista em grc e professor da fgV. Maturidade o grc precisa fazer parte da estratégia corporativa com o intuito de unificar áreas que, mesmo com objetivos próximos, atuavam distantes uma das outras. o processo não envolve apenas o de-partamento de tecnologia, mas todo o ambiente organizacional.

RISK.indb 25 31/3/2011 16:32:59

Page 26: Risk Report

tar esse tipo de ferramenta? o primeiro passo é definir os papéis. “Quanto mais bem definidos estiverem esses perfis, mais chances do sucesso da ferramenta de ges-tão de identidade. Além disso, é importan-te ter aprovadores amparados por políticas e regras bem definidas para a questão do acesso.” E o envolvimento de áreas da companhia como financeiro, controles in-ternos e tI é fundamental para isso. o ca-minho não é árduo. Basta investimento e coragem para abraçar essa nova realidade.

Otimizar é precisooutra dificuldade é a cultura da mudança dentro da própria empresa. “Há uma re-sistência nesse sentido”, explica fernando leite, cIo regional da Esab para a Améri-ca do Sul. Para divulgar o novo direciona-mento, a Esab trabalhou principalmente a parte de comunicação com seus funcio-nários. “fizemos reuniões presenciais, divulgamos o assunto no jornal interno e também via e-mail. mesmo assim, ainda aconteceu casos de usuários reclamando sobre a perda de acesso”, diz leite.o ganho de agilidade na autorização de acesso foi obtido pela Esab e também pela cSn. Almir Xavier, da gerência de ris-cos corporativos da cSn, diz que um dos ganhos obtidos com essa ferramenta foi o prazo médio de cinco dias para conceder acesso. “Sem esse gerenciamento, esse pe-ríodo era muito maior.” Para a Esab, trou-xe uma redução de 1/5 do tempo para fazer a análise e liberação de acesso. “A seguran-ça é o controle”, finaliza.

O unIVErSo dA tEcno-logia nas empresas adota a máxima de que o céu é o li-mite. cada vez mais, novas

soluções e processos garantem um bom de-sempenho dos negócios das companhias. Se-gundo Almir Xavier, da gerência de riscos corporativos da cSn, “a tecnologia atua nos bastidores para poder apoiar toda e qualquer decisão tomada pela área de negócios.”

Atualmente, no âmbito das grandes corporações, muito tem se falado sobre ges-tão de identidade como uma das principais contribuições dessa evolução. Qual é a im-portância disso para o sucesso de um negó-cio? A resposta é “significativa”. Por meio dela, é possível reduzir custos, aumentar a agilidade no fornecimento de acessos, da-dos mais claros e, principalmente, minimi-zar os riscos com a questão da segurança. Segundo marcio ricardo Episcopo, geren-te de Vendas de Soluções da SAP, a grande

questão está em como manter uma base de identidades atualizadas, já que as empresas são organizações vivas, em constantes mu-danças. “A empresa desenvolve um projeto de gestão de identidade, estabelece os parâ-metros, implementa, e a partir daí começa o problema. Eu posso ter provisionado e definido papeis ao longo do tempo, mas minha base acaba sendo contaminada, ge-rando perfis conflitantes. não é possível ter todos os papeis funcionais distribuídos por usuários diferentes.” A principal causa está na mutabilidade dos perfis.

“o pessoal da área da Segurança da In-formação tem condições de avaliar a qualida-de dos processos, ou seja, podem rever esses perfis e também se os usuários que partici-param do provisionamento estão aprovan-do as solicitações no momento adequado.” E as empresas somente começam a buscar esse tipo de solução quando necessitam de uma aplicação mais crítica, de acordo com Edison fontes, especialista em Segurança da Informação e professor da fIAP.

Envolvimento e clarezaA gestão de identidade permite à empre-sa tomar as decisões adequadas e não ter problemas com dados levantados em audi-torias. “Por isso é importante documentar e justificar todas as autorizações. Em caso de ocorrer alguma inspeção, a ferramenta permite que eu obtenha os dados da pessoa que concedeu o acesso, sob quais tipos de circunstâncias, por quanto tempo, entre outras informações.

Por onde é possível começar a implan-

Muito mais do que nomes e númerosFazer a gestão de identidade virou condição fundamental para as empresas aprimorarem seus processos, redefinir perfis e reduzir custos - Por Júlia Zillig

Focus

2 6 r I S K r e p o r t

RISK.indb 26 31/3/2011 16:33:07

Page 27: Risk Report

Cloud Computing

Redes Sociais: Controlar o Incontrolável

Prontuário Eletrônico

Varejo Digital: Como competir em um mundo globalizado, multicanal e colaborativo

Segurança Pública: Como o Brasil está se preparando para a Copa das

Confederações; Copa do Mundo e Olimpíadas

Outsourcing 2.0 e BPO: Custo X desempenho

Firewall de próxima geração: Funcionalidade, Disponibilidade e Conectividade

Gestão de Risco, Segurança da Informação e Monitoração

NF-e, SPED Contábil e SPED Fiscal: Operacionalização, Impactos e Benefícios

Gestão em Contact Center

Fraudes Eletrônicas – Como Prevenir

Mobilidade Segura: Novas Soluções de Negócios

Comércio Eletrônico: Evolução e Prevenção às Fraudes

Crimes Digitais: O Impacto no Comércio Eletrônico

Informações: +55 (11) [email protected]

Entre nessa Programação!

próximos temas:

2011

RISK.indb 10 31/3/2011 16:33:11

Page 28: Risk Report

2 8 r I S K r e p o r t

Premiação

NoS dIAS 24 E 25 dE noVEmBro PASSAdo, aconteceu em São Paulo o Security leaders 2010 - congresso, Exposição e Premiação de líderes e Profissionais de Segurança da Informação e ris-

co, que contou com presença de vários profissionais do setor debatendo a importância da Segurança no ambiente corpora-tivo, além da conscientização e educação do usuário no acesso aos dados e informações.na noite de encerramento, o Prêmio Security leaders, ini-ciativa que valorizou o trabalho dos profissionais e líderes de Segurança e risco das grandes e médias empresas brasileiras, premiou os cases e trabalhos escritos que foram avaliados por uma comissão técnico científica constituída por especialis-tas, acadêmicos e juristas. Além disso, em uma segunda fase da avaliação, os executivos de Segurança e risco preencheram um extenso questionário de avaliação do perfil desses profissionais, elaborado pela Idc em parceria com a revista Decision Report. foram 300 traba-lhos e profissionais inscritos, 60 finalistas e 20 premiados. Segue a lista dos vencedores em cada categoria:

Banco de crédito: ricardo oliveira, do Banco carrefourBanco Privado: laércio Albino cesar, do BradescoBanco Público: Jorge Krug, do BanrisulBens de consumo: daniel delgado e daniel dahan, da Souza cruzconstrução civil: Adriano Polidoro, da tigre diversos: Antonio nogueira, da Votorantim Educação: nivaldo marcusso, da fundação Bradesco Hospitais: murilo Santos, do Hospital Santa genoveva Indústria Automobilística: Angelo fígaro, da renault Indústria de Bebidas: rafael Santos, da Schincariol

Na noite de encerramento, o Congresso Security Leaders 2010 premiou os profissionais de Segurança da Informação e os projetos que mais se destacaram ao longo do ano. Objetivo da premiação é valorizar a atuação desses executivos nas corporações

Security Leaders homenageia CSOs

Indústria logística: Edson chiedde, da rodobens Indústria têxtil: marcelo Alves, da m.officer mídia: Sérgio ricupero, da Editora Abril recursos Humanos: marcelo ribeiro, da catho online Seguradora: ticiano Benetti, da Porto Seguro Serviço Público: raphael mandarino, da Presidência da repúblicaServiços médicos: Paulo luconi, da única telecomunicações: Edmo lopes, da Algar telecom trabalho Acadêmico: fábio figueiró, da faculdade Impactatransporte aéreo: ricardo froés, da tAm

Confira nas páginas seguintes as fotos dos premiados:01 - Graça Sermoud, Marcelo Duarte e Sérgio Sermoud02 - Graça Sermoud, Jorge Krug e Sérgio Sermoud03 - Cesar Lovisaro e Douglas Tevis 04 - Fernando Bertelli e Ticiano Benetti05 - Sérgio Sermoud e Fernando Santos06 - Célia Sarauza e Nivaldo Marcusso07 - Graça Sermoud e Sérgio Ricupero08 - Samer Risk e Marcelo Ribeiro09 - Felipe Bolças e Ruth Bernardes 10 - Marcos Vinicius e Rozelito Felix 11 - Cesar Lovisaro e Paulo Luconi12 - Sérgio Sermoud e Camillo Di Giorgi13 - Antonio Nogueira e Rodrigo Fragola14 - Denis Prado e Claudio Lezcano15 - Graça Sermoud e Rafael Santos16 - Marcelo Murad e Adriano Polidoro17 - Daniel Dahan, Victor Murad e Daniel Delgado18 - Paulo Hamilton e Rodrigo Castanho19 - Eduardo Abreu e Edmo Lopes20 - Edison Fontes e Fábio Figueiró

2 8 r I S K r e p o r t

RISK.indb 28 31/3/2011 16:33:25

Page 29: Risk Report

r I S K r e p o r t 2 9

01 02

03 04

05 06

07 08

09 10

r I S K r e p o r t 2 9

RISK.indb 29 31/3/2011 16:33:44

Page 30: Risk Report

3 0 r I S K r e p o r t

Trend

11

13

15

17

19

12

14

16

18

20

3 0 r I S K r e p o r t

RISK.indb 30 31/3/2011 16:34:05

Page 31: Risk Report

RISK.indb 5 31/3/2011 16:34:28

Page 32: Risk Report

3 2 r I S K r e p o r t

Tecnologia: Desvendando a segurança

TEcnologIA. umA PAlAVrA dE dEz letras e com muito mais de dez motivos para

ser um dos termos mais impactantes da atualidade. com incontáveis significados, desde “a moda do momento” para os fãs de novidades, até “paixão mundial” para os heavy-users, o que tecnologia significa para você? Para aqueles cujo habitat natural é o cyber espaço, tecnologia representa, simplesmente, um estilo de vida. Está cada vez mais comum e natural nos depara-rmos com pessoas, de todos os lugares do mundo, que não saem de casa sem seus celulares (e se esquecerem, elas voltam para pegá-los, não importa em que parte do caminho já estejam), que trocaram os notebooks por tablets e que não carregam mais livros, deixando-se seduzir pelos e-books. São essas as mesmas pessoas que aposentaram seus aparelhos de dVd e esperam ansiosas pela propaga-

Inside

ção do 3d, enquanto se contentam com os já popu-larizados blue-rays, que não conhecem uma realidade sem o 3g e que só admitem e-mails se forem corpora-tivos, porque a comunicação simultânea é indispen-sável no dia a dia e o Blaving veio para ficar! não há como contestar, portanto, que o mundo está frenético, e as pessoas que o habitam acompanham tal tendência. As novas gerações, que já nasceram envol-tas nessa atmosfera, e mesmo as gerações do passado, interam-se constantemente das incontáveis inovações tecnológicas. o que no antes só existia em filmes e na imaginação de alguns, hoje existe na rotina de todos. consequentemente, passar cerca de 1/3 do dia conectado à Internet é praticamente inevitável, o que faz desse acesso um motivo de prazer e, em muitos casos, a causa de grandes preocupações. Passageiro ou não, fato é que este fenômeno tornou-se um dos catalisadores do século XXI. nas ruas, em ca-sas de família, dentro de escritórios ou nos ambientes educacionais, os meios digitais são constantemente empregados e os maiores beneficiados, são justamente os seus usuários. tal mensagem, porém, muitas vezes é interpretada erroneamente. o ano de 2011 tem pouco mais de dois meses e os ci-dadãos, ou mesmo “cyberaholics”, já estão ávidos por novas informações deste boom tecnológico, que é, ao mesmo tempo, benéfico e perigoso. As precauções a serem tomadas ao acessarmos um website, ao praticarmos o e-commerce, ao interagir nas notórias redes sociais, ou mesmo ao enviarmos um torpedo SmS, muitas vezes são esquecidas e quando adotadas, podem ser facilmente neutralizadas pelas ações, cada vez mais sofisticadas, daqueles que se valem dessa febre digital para praticar ilícitos. Assim, tecnologia, para nós operadores do direito Eletrônico, tornou-se a defesa de uma causa, causa essa que objetiva viabilizar, com a devida segurança, a rotina de milhões de “weblovers” que se viciaram neste prisma de possibilidades ilimitadas. caros leitores, o futuro já chegou, razão pela qual en-tender que a Internet deixou de ser somente um lazer e passou a ser também pauta de encontros e reuniões de negócios, cenário de conflitos estatais, promessas políticas e até mesmo objeto de demandas judiciais em todo o globo, é condição sine qua non para faz-

* Doutor Renato opice Blum, especialista em Direito Eletrônico e Digital e CEo do

opice Blum Advogados Associados

PoR Renato oPICe Blum*

3 2 r I S K r e p o r t

O fenômeno tecnológico tornou-se um dos catalisadores do século XXI. Com isso, o desafio atual é viabilizar a rotina de milhões de “weblovers”, que se viciaram neste prisma de possibilidades ilimitadas, para estabelecer atos prudentes a fim de resguardar o ambiente pessoal e profissional

RISK.indb 32 31/3/2011 16:34:32

Page 33: Risk Report

r I S K r e p o r t 3 3

r I S K r e p o r t 3 3

er de tal prática um hábito realmente lucrativo. Quando se trata desse assunto, os atos prudentes dos próprios usuários são os maiores aliados no resguardo do ambiente pessoal e também do ambiente profis-sional dessas pessoas, isso em prol de uma segurança que não só deve estar presente no meio físico, como também no meio digital.os internautas ao redor do mundo devem ter a con-sciência de que além de uma imagem à ser mantida perante a sociedade e um nome à ser zelado no uni-verso corporativo, há igualmente uma estrutura fa-miliar para ser resguardada e inúmeras são as vezes que o mau uso da tão cultuada tecnologia torna-se um pesadelo real. diligência, portanto, passou a ser uma obrigatorie-dade durante o uso, especialmente se considerarmos o fato de que crimes estão sendo mais praticados pe-las vias tecnológicas do que no mundo fenomênico e crakers são os novos vilões da população. não se permita prejudicar. uma vez on-line, não conceder senhas, não divulgar imagens ou dados sen-síveis, utilizar bons softwares e anti-vírus, são essen-ciais. faça da privacidade uma aliada que não deve, de nenhuma forma, ser violada, mesmo porque trata-se de uma garantia constitucional. o zelo com o ambiente familiar também é fundamental. Instruir aqueles que já aderiram as novidades tecnológi-cas, porém não estão aptos à evitarem os males oriundos

delas, pode dar o devido fim nessa problemática. uma vez vitimado pelo uso, o importante é não ser inerte, quando a adoção de medidas preventivas não vinga, valer-se de medidas repressivas também é fun-damental. no mundo, boa parte dos ilícitos digitais são reconhecidos e punidos pelo poder judiciário. o principal, porém, é ter a consciência de que não devemos nos esquivar do uso, mas não podemos, igualmente, nos deixar tornar uma vítima dele. Seja para o lazer, seja para a aquisição de conhecimento, seja para consumir ou mesmo para viabilizar a rotina profissional, os meios eletrônicos, na constância de sua utilização, devem ser saudáveis.

“o futuro já chegou, razão pela qual é preciso entender que a Internet deixou de ser somente um lazer e passou a ser também pauta de encontros e reuniões de negócios, cenário

de conflitos estatais, promessas políticas e até mesmo objeto de demandas judiciais em todo o globo”

RISK.indb 33 31/3/2011 16:34:37

Page 34: Risk Report

3 4 r I S K r e p o r t

ServiceEmpresas citadas nessa edição

Anunciantes

ABECSACAlgar TelecomAndroidBanco CarrefourBanco do BrasilBanco Itaú BanrisulBlackBerry BradescoBRTokenCâmara e-netCasas BahiaCatho onlineCheck Point CieloCipherCompugrafCSnEditora AbrilEmbratelEsabESETEurecom FranceEuropayFaculdade ImpactaFebrabanFecomercio FGVFIAPFundação Bradescohospital Santa GenovevahPIDCInternational Secure Systems LabInternet World StatsJ.P. MorganLocawebM.OfficerMaliciousnetworkin.orgMastercard McAfeenEC oABoiorkutPorto SeguroPresidência da RepúblicaRedecardRenaultRodobensSAPSchincariolSonicWALLSouza CruzSymantecTAMThe EconomistTigreTrend Micro UC Santa BarbaraÚnicaVienna University of TechnologyVisaVotorantimZscaler

mídias Sociaiswww.twitter.com/decisionreportwww.twitter.com/riskreport

www.twitter.com/security_leader www.facebook.com/conteudoeditorial

3 4 r I S K r e p o r t

aNUNCie nas nossas publicações. Ligue (011) 5049-0202 e fale com o Departamento Comercial no ramal 16.

A Conteúdo editorial é uma empresa de Serviços e Produtos editoriais na área de tecnologia da informação e Comunicação (tiC). A editora possui duas divisões de negócios: Publicações Próprias e Produtos Customizados.

No segmento de Publicações Próprias, produz as revistas Decision report e risk report, em mídia impressa e versão online, newsletters Decision Report Weekly e Risk Report Weekly. Além disso, a Conteúdo promoveu o Congresso, Exposição e Premiação Security leaders 2010.

Lançada em 2005, a revista Decision Report é a primeira publicação do mercado brasileiro sobre TIC aplicada a Negócios. A revista acompanha as movimentações do mercado, aborda produtos e serviços diferenciados e fala a linguagem business com uma abordagem analítica, crítica e com credibilidade.

A Decision Report ainda possui um canal de TV na Internet: TV Decision, com painéis de debates sob moderação da jornalista Graça Sermoud e reportagens do setor. Além disso, a TV Decision promove os eventos De-cision Report Meeting e o Decision Report Analysis.

Já a Risk Report, lançada em 2007, é a primeira publicação do mercado brasileiro de TIC a tratar simultaneamente de Segurança da Informação e Gestão de Risco. Traz reportagens, cases de sucesso e artigos que auxiliam os leitores na escolha da tecnologia adequa-da de proteção, envolvendo estratégias de Segurança e Risco e na adoção das melhores políticas e práticas para garantir a integridade dos dados da corporação.

O Congresso, Exposição e Premiação Security Leaders é um evento que tem como objetivo in-centivar uma ampla discussão acerca dos desafios de negócios e as tendências em soluções e serviços em Segurança da Informação e Gestão de Risco. Com abrangência nacional, o evento reúne usuários, fornecedores e especialistas do setor para uma programação que inclui paineis de debates, premiação e exposição de produtos.

No segmento de Produtos Customizados, a editora mantém produtos em mídia impressa e em formato web. Produz as revistas SASCOM, Smart e conteúdos exclusivos como whitepapers, informativos, newsletters, webcast e vídeos em geral na versão online.

Na área de projetos especiais, Decision Report On-line oferece para download, em formato pdf, o Executive Report, relatórios baseados em temas de Tecnologia da Informação e Comunicação, além de Financial Report, Government Report, Customer Report, Communication Report.

Excedawww.exceda.com.br

Inspiritwww.inspirit.com.br

IDCwww.idcbrasil.com.br

Locawebwww.locaweb.com.br

nECwww.neccloud.com.br

Plusoftwww.plusoft.com.br

Teliumwww.telium.com.br

RISK.indb 34 31/3/2011 16:34:42

Page 35: Risk Report

RISK.indb 2 31/3/2011 16:34:45

Page 36: Risk Report

Interagir com clientesficou ainda mais fácil com oPlusoft Mobile SAC - SMS

A nova geração de consumidores tem o poder da comunicação ao alcance

dos seus dedos e buscam a interação de forma prática e rápida.

Mais uma vez a Plusoft inova, lançando a solução Plusoft Mobile SAC - SMS.

Integrada ao CRM, a ferramenta complementa a suíte de gestão

de relacionamento, habilitando mais um canal de

comunicação da empresa com seus consumidores,

otimizando os processos de atendimento

e baixando os custos operacionais.

Satisfazer o cliente 2.0 exige uma atitude 2.0!

www.plusoft.com.br

[email protected] • twitter:@plusoft

tel.: 11 5091.2777

Mar

ço/2

01

1

ESPECIALISTA EM CRM

A Solução que você precisa!

RISK.indb 5 31/3/2011 16:34:49