quarta-feira, 25 de março de 2009

BIRÔ DIGITAL-TRT/PB-SERÁ MODELO

Tecnologia modelo

Tecnologia desenvolvida na Paraíba será usada em todo o Brasil

A tecnologia do Birô Digital usada no TRT/PB servirá de modelo para ser implantada em toda a Justiça do Trabalho do Brasil. Integrantes da equipe de Requisitos do Suap Nacional - Sistema Unificado de Acompanhamento Processual-, representado pela diretora de Vara, Lara de Paula Jorge e coordenada pelo diretor de TI do TRT de Campinas, em SP, Marcos Antônio Camilo de Camargo visitaram o TRT/PB para conhecer a tecnologia.

Os representantes do Suap Nacional conheceram o funcionamento do Birô Digital – recurso do Suap que permite a inclusão, alteração e despacho de peças eletrônicas nas Varas e do TRT, e estiveram em Santa Rita, onde funciona o primeiro Fórum trabalhista totalmente eletrônico do país.

O diretor da Secretaria de TI do TRT/PB, Max Guedes Pereira ressalta que este é "mais um reconhecimento ao nosso Suap e às Varas Eletrônicas".

Representação Nacional

O servidor da Secretaria de TI do TRT, Agenor da Costa Júnior, foi convidado a integrar a Equipe de Requisitos do Suap Nacional. O convite foi feito pelo integrante da Equipe, Marcos Antônio Camilo, que esteve na Paraíba para conhecer o Birô Digital e o funcionamento das Varas Eletrônicas de Santa Rita. Para Marcos Camilo, "agregar ao projeto as experiências de Agenor trará enormes benefícios ao novo sistema e a todos que dele farão uso", disse, destacando que, mesmo com a abrangência nacional do projeto, será muito benéfico para o TRT/PB ter um representante participando do desenvolvimento do sistema.

O integrante da equipe revelou ainda que a participação de Agenor Costa na Equipe, além do conhecimento a ser adquirido, será muito importante no caso de uma migração de dados. "Ele terá a possibilidade de incluir no projeto detalhes que poderão facilitar sua implantação no Regional. Participar da Equipe e Requisitos significa dedicação integral ao projeto", observou.

Marcos Camilo, revelou que vai sugerir à CAPI que autorize o desenvolvimento de funcionalidades que o sistema utilizado na Paraíba disponibiliza através do Birô Digital. Para isto, pediu a Secretaria de Tecnologia da Informação que remetesse cópias das telas do Birô, e as outras do sistema, que são acionadas a partir dele em arquivos PDF. 

Fonte: Migalhas 25/03/2009

______________________


terça-feira, 24 de março de 2009

ACERVO DA VEJA DIGITAL

Bela iniciativa!

Acervo da Revista Veja, desde a edição nº 1.

 Veja abre todo acervo de 40 anos na internet

A revista Veja está disponibilizando gratuitamente todo o acervo dos 40 anos de vida na internet, trabalho este estimado em R$ 3 milhões de reais.

Internautas poderão acessar todas as reportagens, entrevistas e até mesmo anúncios já publicados em 40 de existência da revista Veja. Todas as edições, desde a primeira, em 11 de setembro de 1968, poderão ser lidas e consultadas em 

www.veja.com.br/acervodigital 

"A idéia é democratizar o acesso à história recente do país e do mundo", diz Yen Wen Shen, diretor da Veja. "Essa iniciativa coloca VEJA ao lado dos maiores acervos digitais do mundo e em condição única no Brasil."

O acervo digital VEJA segue a estrutura da própria revista, ou seja, o usuário navega na web como se estivesse folheando a publicação. 

O conteúdo apresenta as edições em ordem cronológica e conta com um avançado sistema de busca desenvolvido pela Digital Pages especialmente para VEJA. Este sistema permite cruzar informações e realizar filtros por período e editorias.
Assim, basta o internauta digitar uma palavra-chave que automaticamente a ferramenta pesquisa em todos os textos de VEJA. Além disso, o usuário também terá acesso a um conjunto de pesquisas previamente elaborado pela redação do site da revista, com temas da atualidade e fatos históricos sobre o Brasil e o mundo. Será possível, ainda, navegar pelas capas, entrevistas,  reportagens e anúncios publicitários, sempre visualizando a reprodução do material original.

Revista digital
Resultado de 12 meses de intenso trabalho, o projeto foi desenvolvido por VEJA em parceria com a Digital Pages, empresa responsável por estruturar a digitalização de cada uma das mais de 2 mil edições e convertê-las em revistas digitais.
Dado o porte do projeto, uma equipe de 30 pessoas foi montada para cuidar desde o desgrampeamento das edições impressas até a publicação dos quase nove milhões de arquivos que compõem o acervo.

"Como os exemplares em papel não poderiam ser inutilizados pelo processo de digitalização, o fluxo de trabalho contrapôs ciclos de uma sofisticada linha de produção industrial com procedimentos extremamente artesanais, como o nivelamento de página por página por meio de ferros de passar roupa antes do escaneamento", explica Shen.

GOOGLE SERÁ INVESTIGADO

O Centro de Informação de Privacidade Eletrônica, nos Estados Unidos, pediu na terça-feira que a Comissão Federal do Comércio investigue questões relacionadas a privacidade e segurança em serviços online oferecidos pelo Google, como o Gmail e o Google Docs. Segundo o jornal The New York Times, o grupo também quer a transparência das políticas de segurança do Google - e pede que, enquanto não fizer isso, a empresa seja impedida de oferecer tais serviços.

Marc Rotenberg, diretor do grupo de defesa da privacidade, diz que a preocupação se estende a todos os seviços de computação em nuvem - como os oferecidos pela Microsoft e pelo Yahoo, por exemplo - mas que o Google foi escolhido como alvo por ser pioneiro nessa área.

O grupo alega que, apesar de garantir aos usuários que seus documentos hospedados nos servidores do Google estão seguros, nos termos de serviço a companhia “não garante nem se responsabiliza por danos que possam resultar de negligência, descuido ou má intenção da empresa, ou mesmo da desconsideração de obrigações legais para proteger a privacidade e a segurança de dados dos usuários.”

Também são usadas como argumento falhas de segurança descobertas nos serviços do Google em 2005 e 2007, ainda que não se saiba se as falhas foram exploradas por alguém.

O New York Times disse que Adam Kovacevich, porta-voz do Google, declarou que a companhia tem políticas e procedimentos que garantem altos níveis de segurança aos usuários desses seviços. “Estamos conscientes da importância para nossos usuários de seus dados e assumimos essa responsabilidade com muita seriedade,” afirmou.

Redação Terra

Fonte: DNT -  O Direito e as novas tecnologias (Alexandre Atheniense)

GOOGLE LATITUDE

Cada lançamento de um recurso tecnológico temos a nossa privacidade cada vez mais exposta.

Inicialmente, os programas de monitoramento são vistos como novidade e por isso conseguem diversos adeptos.

Entretanto, é importante lançar um olhar crítico para tais novidades para que não haja consequências inesperadas.

Esse é o caso do Google Latitude.

Em uma reportagem especial do portal G1,  foram escutados especialistas de diversas àreas sobre como o uso do Google Latitude influencia a privacidade do usuário, sobre a utilidade do aplicativo e sobre os riscos do Google Latitude.

O QUE É O GOOGLE LATITUDE? 
O Google Latitude é um localizador de pessoas online. O usuário se cadastra a partir do número do celular e compartilha o lugar onde está com os amigos e pode ver o lugar onde os amigos estão. O usuário pode habilitar ou desabilitar o serviço e ainda mentir sua localização.

Fonte: DNT - O Direito e Novas Tecnologias (Alexandre Atheniense)


Segurança jurídica e segurança da informação

Segurança jurídica e segurança da informação

Patricia Peck Pinheiro*

Cada vez mais o trabalho de segurança da informação exige um preparo adequado do ambiente do ponto de vista de blindagem legal, de modo a evitar riscos no uso das próprias medidas de proteção da empresa. É preciso aplicar maior segurança jurídica ao processo, tendo em vista que vivemos um cenário mais complexo, com aumento no uso da mobilidade, quer seja pelo acesso remoto de equipes ou mesmo pelo crescimento das estações de trabalho do tipo notebook e smartphones, associado a um perfil de "colaborador 2.0", que conhece mais de tecnologia, que testa os limites e os controles estabelecidos pela empresa.

No início, a empresa é que tinha o papel de ensinar o funcionário a usar a ferramenta de e-mail ou mesmo navegar ou fazer uma pesquisa na internet. Atualmente, as empresas têm contratado profissionais que já vêm da universidade com uma cultura tecnológica maior, muitas vezes sabendo mais de tecnologia do que seus próprios chefes, e a este novo perfil tem se chamado colaborador 2.0, tecnicamente mais adaptado. No entanto, o que poderia ser uma vantagem pode se transformar em um risco, já que este novo profissional nem sempre conhece os limites, ou seja, qual o uso ético, seguro e legal da tecnologia. E há muitos casos de novas equipes, mesmo aprendizes, que tentam acessar pastas na rede que não possuem permissão, instalar em seus computadores softwares piratas ou gratuitos (que não foram homologados), baixar músicas e filmes usando a internet da empresa, e até mesmo os que acessam o Orkut passando pelo bloqueio do próprio firewall.

Isto quer dizer que para a empresa estar, de fato, com segurança jurídica no uso de tecnologia da informação, não basta ter uma norma de autenticação de usuários. É preciso estabelecer um projeto de identidade digital que alinhe perfis e privilégios a alçadas e poderes, que não apenas solicite uma senha segura, mas amarre isto a alguns hardwares e softwares, com controle de padrão de conduta, até mesmo definindo em que estações aquele usuário está autorizado a se logar, e não apenas em que pastas na rede. Em muitos casos, havendo um cargo crítico ou de segregação de funções, já é uma medida de maior proteção e controle de autoria o uso de uma assinatura digital ou biométrica. O processo tem que ser pensado considerando a necessidade jurídica de prova de autoria. Logo, as áreas de tecnologia, recursos humanos e jurídica precisam estar alinhadas.

Temos visto que cada empresa está em um nível de maturidade distinto, assim como de conformidade legal da segurança da informação. Muitas começaram a escrever que fazem monitoramento em suas políticas, mas ainda não em suas interfaces de sistemas. Há outras que ainda não possuem uma norma de resposta a incidentes, ou um procedimento mais claro e padronizado sobre desligamento de funcionários no tocante a permitir ou não que este retire conteúdos particulares dos equipamentos corporativos. E se for o contrário? Autorizamos uso de notebook pessoal e ficam os dados da empresa lá dentro?

Neste momento, é essencial, para aumentar o nível de gestão da segurança da informação alinhada com o aspecto jurídico, a criação de um código de ética da tecnologia da informação, pois trata dos usuários com maior conhecimento técnico, bem como prepara o terreno previamente para a coleta adequada das provas. Há casos em que na hora do incidente não se consegue obter as provas por falta de planejamento, e isto quando a medida técnica de contenção não elimina a prova.

Temos feito revisões de políticas de segurança da informação (PSI) e normas (NSI) devido ao uso de uma redação que juridicamente gera riscos. Termos como "abre mão da privacidade", "uso moderado" e "uso racional" geram riscos jurídicos devido à sua subjetividade - enquanto o objetivo do documento é tornar a informação objetiva e indiscutível na Justiça. Além disto, é essencial ter um documento específico para os terceirizados, se possível redigido como se fosse um código de conduta do terceiro, com todas as questões relevantes e com um modelo de termo de ciência a ser assinado pela equipe que participar dos trabalhos junto ao fornecedor.

As condutas inadequadas mais comuns no ambiente de trabalho envolvem, na maioria dos casos, falta de informação, falta de conhecimento dos riscos e conseqüências, falta de orientação adequada por parte da empresa e dos gestores e excesso de ingenuidade ou negligência. Os incidentes vão desde o usuário deixar o computador ligado com sua senha nele e se ausentar da estação de trabalhos sem bloqueá-la, passar a senha da rede ou do e-mail para outro colega ou saber a senha de um chefe ou subordinado, deixar documentos confidenciais soltos em cima da mesa ou esquecidos na impressora, portar dados sigilosos em dispositivos móveis como "pen-drive" e notebook sem usar qualquer recurso de criptografia e utilizar o e-mail corporativo ou navegar em sites na internet para fins que não são de trabalho, entre outros.

É preciso fazer um diagnóstico do nível de segurança jurídica atual dos processos de segurança da informação da empresa, avaliando como ela está, de fato, deixando a regra clara, orientando e preparando o terreno adequadamente para conseguir coletar as provas, sob pena de, em um momento de incidente, o que se achava que iria proteger a empresa acabe gerando um risco ainda maior, inclusive para os executivos envolvidos ou responsáveis pela gestão de segurança da informação.

_______________

*Advogada especialista em Direito Digital, sócia do escritório Patricia Peck Pinheiro Advogados 

CRIMES CIBERNETICOS

CAMPUS PARTY
Polêmica na rede
 Tim Berners-Lee, o pai da internet, falou do futuro e defendeu maior liberdade na rede
Tanta futurologia esbarra em questões legais, de acordo com os entusiastas da Campus Party. Sobre o polêmico projeto de lei que versa sobre os crimes na internet no Brasil, Berners-Lee também se posicionou: "É muito importante que a internet continue aberta." Foi ovacionado pelos participantes. "Claro que esses são assuntos que  preocupam a todos, mas o que você vê na web é simplesmente a humanidade: com seus aspectos horríveis, outros maravilhosos. A internet é uma ferramenta poderosa. A informação é algo poderoso, que pode ser usado para coisas horríveis ou para coisas excelentes", continuou.

O texto do projeto causa arrepios na comunidade presente no evento – em sua maioria defensores do código aberto e dos direitos autorais flexíveis. Tanto que rendeu um dos painéis mais disputados entre os campuseiros. Muitos protestaram contra o projeto, que prevê, entre outros pontos, que os provedores de acesso guardem dados de navegação do usuário por três anos e que os quebre caso a Justiça solicite informações. Para o público do evento, o projeto de lei criminaliza civis que baixam conteúdos de redes P2P e representa uma ameaça a direitos básicos.

Defendendo o projeto, o desembargador e membro da Comissão de Tecnologia da Informação do Tribunal de Justiça de Minas Gerais, Fernando Neto Botelho, disse que não foram feitos marcos regulatórios para, por exemplo, a lei de proteção ao consumo, de crimes financeiros, de direito autoral na internet. E apontou dados para justificar a opção por uma "legislação punitiva e educativa", como os de que os incidentes de ataques na rede saltaram de 41% em 2007 para 54% em 2008.

LEI INÓCUA Para o sociólogo e coordenador de conteúdos da Campus Party Brasil, Sérgio Amadeu, é preciso criar uma lei de cidadania digital: "Criminoso é quem viola o meu direito à privacidade, criminoso é quem me vigia na rede", disse. Para o sociólogo, a lei também é "inócua contra os criminosos (que continuarão driblando os sistemas de segurança), arbitrária contra o cidadão comum e precisa, no mínimo, de uma reforma no texto." 

Um dos pontos críticos, de acordo com Amadeu, é o artigo 285 do projeto, que, da forma como está escrito, daria margem, segundo ele, para criminalizar, com pena de 1 a 3 anos e multa, ações como transferir músicas do computador para um pen drive ("Acessar, mediante violação de segurança, rede de computadores, dispositivo de comunicação, ou sistema informatizado, protegidos por expressa restrição de acesso").

O assessor técnico do Senado Federal José Henrique Santos Portugal (representante do autor do projeto senador Eduardo Azeredo) e Botelho esclareceram que o texto deve ser escrito de uma forma que qualquer cidadão possa compreender e que o termo 'violação de segurança', dos mais polêmicos, está relacionado a um conceito tecnológico.

FIM DA SENHA (CARTAO DE INFORMACAO)

Especialistas propõem o fim das senhas

Randall Stross

A melhor senha é uma combinação longa e sem sentido de letras, números e sinais de pontuação jamais antes combinados. Há pessoas admiráveis que conseguem mesmo memorizar seqüências aleatórias de caracteres para suassenhas - e substituí-las por outras senhas igualmente complicadas, selecionadas de forma aleatória a cada dois meses.

» Recusa em revelar senha vira crime na Inglaterra
» Programa usa movimentos da pupila como senha
» Administrador "esconde" senha de rede nos EUA
» Fórum: opine sobre o fim das senhas

E há também o resto de nós, aqueles que selecionam senhas curtas, conhecidas e fáceis de lembrar. E as mantêm para sempre.

No passado eu me sentia envergonhado por não respeitar as normas de seleção de senhas - mas isso passou. Os especialistas em segurança da computação dizem que escolher senhas difíceis de adivinhar na verdade propicia pouca segurança. As senhas não nos protegem contra roubo de identidade, não importa o quanto sejamos espertos ao selecioná-las.

Esse seria o caso mesmo que respeitássemos mais as instruções. Pesquisas demonstram que temos muito apego a velhos favoritos como "123456", "senha" e "queroentrar". O problema subjacente, porém, não está em sua simplicidade, mas no procedimento mesmo de acesso, sob o qual vamos parar em uma página de web que pode ou não ser aquilo que diz, e digitamos uma série de caracteres para autenticar nossa identidade (ou usamos nossossoftware de administração de senhas para fazê-lo em nosso lugar).

Esse procedimento, que agora nos parece perfeitamente natural porque fomos treinados a fazê-lo por meio de incessante repetição, é uma má idéia, que nenhum especialista em segurança que eu tenha consultado se dispôs a defender.

O acesso por senha é suscetível a ataques de diversas maneiras. Considerem uma única delas, a dos praticantes do phishing, que iludem usuários e nos levam a visitar sites que imitam sites legítimos a fim de recolher nossas informações de conexão. Assim que somos atraídos a um desses sites e nossa senha é recolhida, ela pode ser tentada em outros sites.

A solução recomendada pelos especialistas é o abandono das senhas - e a adoção de um modelo fundamentalmente diferente, no qual os seres humanos teriam pouco ou nenhum papel a desempenhar. Em lugar disso, máquinas estabeleceriam uma conversação cifrada que determinaria a autenticidade de ambas as partes, usando chaves digitais que nós, como usuários, nem precisaríamos ver.

Em resumo, o sistema de acesso passaria a depender de criptografia e não de nossa memória.

Como usuários, substituiríamos senhas pelos chamados cartões de informação, ícones em nossas telas que selecionaríamos com um clique para acesso a um site. O clique daria início a um contato entre máquinas. O software necessário a criar esses cartões de informação existe em apenas 20% dos computadores pessoais, ainda que isso represente grande alta ante os 10% de um ano atrás. As máquinas que operam com o Windows Vista dispõem desse tipo de recurso automaticamente, mas as máquinas que operam com Windows XP Mac OS e Linux precisam de downloads.

E isso é apenas metade da complicação. Os sites anfitriões também precisam ser convencidos a aceitar a tecnologia dos cartões de informação, para acesso.

Não conseguiremos grande progresso quanto a isso no futuro próximo, porém, devido ao desperdício de energia e atenção causado por uma grande distração, a iniciativa OpenID. A idéia é "acesso unificado", ou seja, basta se logar em um site, com uma senha, e isso possibilitará acesso a todos os sites que aceitem o sistema Open ID.

O sistema oferece na melhor das hipóteses uma modesta conveniência, e ignora a vulnerabilidade inerente a digitar uma senha em site alheio. Mesmo assim, a intervalos de alguns meses surgem novas empresas grandes aderindo ao OpenID. Representantes do Google, IBM, Microsoft e Yahoo anunciaram que apoiariam esse padrão. No mês passado, quando o MySpace anunciou sua adesão, a OpenID.net, a fundação sem fins lucrativos que administra o sistema, se vangloriou porque o "número de usuários que poderão usar o OpenID" havia ultrapassado os 500 milhões e que era "evidente que estamos apenas começando a ganhar terreno".

Mas o apoio à iniciativa é conspicuamente limitado. Cada uma das grandes potências que teoricamente apóia o OpenID está disposta a criar um nome de acesso e senha OpenID para acesso ao seu site por seus usuários, mas não a aceitar nomes e senhas conferidos por outros integrantes do sistema. Não se pode usar uma OpenID da Microsoft no Yahoo, e nem vice-versa.

Por que não? Porque as empresas percebem as muitas formas pelas quais o processo de acesso por senha, gerido por outra empresa, poderia ser comprometido. Elas não desejam assumir a responsabilidade por enfrentar as conseqüências de traquinagens originadas de sites alheios.

A Microsoft e o Google também estão entre as seis empresas fundadoras da Information Card Foundation, criada para promover a adoção dos cartões de informação.

O único inconveniente dos cartões de informação é que, em ambientes de trabalho, por exemplo, um computador deixado ligado poderia ser usado para acesso por pessoas não autorizadas, que conseguiriam se conectar a qualquer site usando cartões. Mas isso pode ser contornado pelo uso de uma senha simples para acesso ao cartão. Essa senha não causa problemas porque fica sempre na máquina. Não há acesso a ela por sistemas externos.

Desaprender o hábito de digitar senhas em uma página da web talvez demore demais, mas precisamos disso para nossa proteção. O acesso a sites deveria ser mediado por contato criptografado entre máquinas, o que impediria que sem querer nós revelássemos senhas ou códigos.

Ninguém mais precisaria confiar naquela venha companheira, a senha "queroentrar".

FIM DO E-MAIL

Quarta, 24 de setembro de 2008, 19h22  Atualizada às 15h54

E-mail deve ser extinto até 2015, diz especialista

Fernanda Ângelo

Em painel realizado nesta quarta-feira, durante o 17º Congresso Nacional de Auditoria de Sistemas, Segurança da Informação e Governança (CNSAI), evento que acontece na capital paulista, Cezar Taurion, gerente de novas tecnologias aplicadas da IBM Brasil, garante que os hábitos digitais da Geração Y devem levar ao fim do e-mail.

» Empresas combatem avalanche de informações online
» Especialistas propõem fim das senhas
» Leia mais no Convergência Digital
» Fórum: opine sobre o fim do e-mail

"Hoje, a média etária dos usuários de e-mail é de 47 anos", revela, acrescentando que, talvez, apenas essas pessoas, que formam a geração conhecida como Baby Boomers, nascidos após o fim da Segunda Guerra Mundial, continuarão a utilizar a ferramenta.

"O e-mail deixará de existir dentro de cinco a sete anos", profetiza Taurion. O motivo? A entrada da chamada Geração Y - constituída por jovens nascidos já na era da Internet - no mercado de trabalho.

Taurion explica que, com os jovens profissionais, chega também às empresas uma nova postura diante da Tecnologia da Informação (TI), que já é parte do dia-a-dia destes profissionais, na forma de ferramentas de colaboração comowikisredes sociais, comunicadores instantâneos e grupos de trabalho online.

O executivo apresentou dados de uma pesquisa realizada em 2005 destacando que, já naquela época, apenas 6,3% dos jovens entrevistados consideravam inúteis as informações obtidas em blogs. "Significa que a credibilidade das novas ferramentas online é enorme", sinalizou. Na IBM, de acordo com Taurion, já há uma série de projetos em que os participantes não mais utilizam o e-mail.

"A comunicação é muito melhor compartilhada por meio de comunidades", garantiu o gerente de novas tecnologias aplicadas da Big Blue. "Na IBM o profissional cria o blog que desejar, sem sequer pedir autorização a ninguém", enfatizou.

Da mesma forma, há na companhia dezenas de wikis e muitas contratações já se dão por intermédio de comunidades como o LinkedIN. E Taurion ainda deixou um recado aos profissionais da área de TI: "A área precisa acompanhar a evolução. Os profissionais de TI não podem, por questões técnicas, impedir mudanças que interferem diretamente na evolução dos negócios de uma empresa".

VOCE É DR. HOUSE DE TI ?

Não é de hoje que discutimos com os alunos acerca de um novo modelo de gestão de SI, baseada no elemento central: pessoas! Dentre todas as vulnerabilidades que se possa mapear em uma empresa, nenhuma atinge com tanta contundência os objetivos da segurança da informação (confidencialidade, integridade, disponibilidade) como pessoas! Pessoas são o elo fraco de qualquer ativo informacional, e por mais que nos preocupemos com ameaças físicas e lógicas, se as humanas não tiverem a devida gestão, a probabilidade do risco é enorme.

Já dizia o velho lema de segurança da informação: "Não há patch que resista à burrice humana"...

E a reflexão começa a fazer sentido quando um belo dia você pergunta para a Gerente de Finanças de sua empresa onde ela salvou a planilha de pagamentos, e ela, assustada, lhe responde "Ah, está na minha máquina, no Excel!" Boom! A pessoa não tem sequer a noção de sistema de arquivos, hierarquia entre pastas e arquivos, imagine se ela não clicaria naquele "pishing" e-mail com erros de português para verificar "As últimas fotos da vítima do seqüestro" antes de ser assassinada. Você tem dúvida?

A solução é assistir, monitorar e implementar medidas de segurança. E surge uma nova discussão: como implementá-las sem causar a revolta dos membros do operacional e gerência intermediária? A discussão é longa. Eis que muitos profissionais de TI culpam os usuários "desobedientes" pela falha dos planos! Mas será que a culpa é dos usuários e demais colaboradores?

O problema pode estar com você, profissional de Segurança da Informação! Mesmo depois de muitos anos de existência, a área de SI ainda é considerada coisa para poucos do ponto de vista técnico. Ela seria algo como a "fronteira final" em termos de aprendizado. Para poder compreender a segurança de uma tecnologia, você precisava dominá-la totalmente. Por conta disso, ela sempre atraiu muitos profissionais de alta capacidade técnica. Quando a empresa se deu conta de que precisava de alguém para cuidar do assunto, lembrou que havia um técnico trabalhando há anos na empresa. Contratar alguém no mercado seria caro. Além disso, como confiar algo tão crítico a um desconhecido? Logo, por que não promover o técnico a gestor ou coordenador de SI? O problema é que nem sempre esses profissionais têm um perfil exatamente adequado para a posição.

A TI sempre foi conceituada como a profissão do "Eu". Jamais questione um projeto de outro técnico! O jogo de empurra-empurra na TI é presente até hoje: o técnico do servidor leva a senha root para casa, como se fosse DEUS, e não deixa a equipe implantar o ERP. A equipe de ERP diz que o problema na lentidão no sistema é por culpa do DBA. E o DBA? "Ah, o problema é do link, ligue para o 0800 da Telefonia..." Jogo de cobras, ninguém assume erros ou colabora! Este perfil deve mudar, pois a TI perdeu muito com isso! Durante anos, o técnico de TI foi conhecido como o "Naufrago do CPD", um ser isolado dentro de uma caixa que mantinha relações apenas com seu "Wilson", diga-se, seu computador. Resultado: quanto mais técnico e isolado, mais técnico e isolado será. Me respondam... Na empresa em que trabalham, o CIO tem formação em TI? Ou foi "importado" da Administração, do Direito, etc...? É...preocupante, não?

Costumamos brincar que muitos profissionais de Tecnologia da Informação (TI) escolheram esta área justamente para não precisar lidar com pessoas. É um paradoxo curioso que eu chamaria de Complexo de House. Para quem não conhece, House é um seriado médico de grande sucesso, com um personagem principal homônimo, que goza de uma incrível popularidade entre os profissionais de TI. Se nós pudéssemos resumir a personalidade de House, poderíamos dizer que: É um brilhante médico, mas que não gosta de pacientes! Fica fácil entender porque o seriado é amado pelos profissionais e Estudantes de TI. Assim como o Dr. House, na maioria da vezes, em maior ou menor grau, profissionais de TI não gostam de usuários.

Não existe nada mais perigoso que colocar alguém que não gosta de usuários para definir medidas de segurança. Se trabalhando em TI ele já foi responsável por bloquear até a troca do papel de parede das estações, imagine o que ele pode fazer em escala empresarial! Profissionais com esse perfil não costumam possuir sensibilidade para perceber o quanto é delicada e incômoda a mera existência de um departamento de segurança. Não observam o quanto o contexto é capaz de mudar o comportamento das pessoas que nele atuam.

Para elucidar, deve-se destacar um famoso estudo de sociologia feito na Alemanha na década de 70 em um presídio desativado. Voluntários foram chamados a fazer o papel de policiais e presidiários em uma espécie de brincadeira de "faz de conta". Os pesquisadores observaram que, independente do perfil, aqueles que se passavam por policiais desenvolviam uma tendência ao autoritarismo. Já os presidiários se dividiam entre os resignados (que fingiam cooperar, mas não aceitavam a situação) e os rebelados. O estudo é bastante famoso, foi transformado em documentário, e não pôde ser acabado, porque a influência que o ambiente exercia sobre os atores era tamanha que as coisas começaram a fugir do controle.

Nas organizações ocorre uma situação bastante similar. Alguém é promovido a "policial" e, a partir de então, passa a ser exorcizado (ou tratado com falsidade) pelos "presidiários" (se nunca mais te chamaram para um happy hour depois da sua promoção, você sabe bem do que eu estou falando). Numa tentativa de mostrar poder e exercer a sua autoridade, o profissional passa a entrar em embates e tomar medidas de eficácia duvidosa ou de prioridade questionável. Ou seja, ao invés de trabalhar para azeitar uma relação que é inerentemente conflitante, trabalha no sentido oposto. Não é difícil imaginar o resultado disso. Alguém na empresa deverá tomar a decisão de demiti-lo, independente de sua capacidade profissional. O trabalho de um gestor de SI é servir como um agente de mudanças, é ser um facilitador no processo de implementação de medidas que de certo modo privam a liberdade dos colaboradores. É impossível fazer isso brigando com toda a empresa. Entre demitir todos os empregados e demitir o gestor de SI, não é difícil imaginar qual a melhor decisão a ser tomada.

Existe uma verdade que precisa ser aceita. Ninguém gosta de medidas de segurança, a não ser aqueles que estão na posição de defini-las e cobrá-las dos outros. Quando se está sujeito às medidas de segurança, todos a detestam. Porém, num belo dia, a área de segurança é "promovida", ganhando independência. Pode apostar que as primeiras medidas de segurança terão como objetivo atormentar a vida dos técnicos: restrição de uso das contas dos administradores, geração excessiva de logs, controle de mudanças, etc. Estoura o conflito: os técnicos alegam que os profissionais de segurança, agora que são independentes, sugerem controles que jamais recomendariam se fossem responsáveis por sua implementação. Aí é que reside toda a eficácia da separação. Medidas de segurança geram trabalho e desconforto e ninguém gera isso para si mesmo. Se assim o fizer, não estará recomendando aquilo que é necessário, e sim aquilo que dará menos trabalho.

Para alguns, essa sutilezas podem parecer óbvias, mas conhecemos profissionais com anos de experiência que ainda não se tocaram. Colocar um técnico com o perfil do Dr. House para escolher medidas de segurança é uma estupidez administrativa, pois esse tipo de profissional não trabalhará para diminuir essas arestas, e sim para acentuá-las, criando um porno de discórdias e desavenças. Além disso, ele não possui uma das características básicas para amenizar os problemas, que é a capacidade de dar o exemplo. É muito comum ver profissionais de segurança dando sermão nos usuários em campanhas de conscientização, recomendando uma série de procedimentos que eles mesmos não seguem. Se você questioná-los, ouvirá algo do tipo "eles não podem usar o MSN, ou ORKUT porque não sabem amenizar os riscos, mas eu sei". Ridículo!

Essa postura até encontra embasamento técnico, mas não há nada mais ineficaz, além de arrogante, em termos de postura. Técnicos que não gostam de usuários costumam pensar que são seres superiores. Deuses com todos os poderes nas mãos. Podem criar e apagar fatos incriminadores a qualquer momento. Seguem um estereótipo muitas vezes atribuído a padres: "faça como eu digo, mas não como eu faço". Quando o padre diz "vivam juntos para sempre" soa meio caricato, pois ele nunca casou com ninguém! Você jamais vai ter moral para pedir aos usuários para interromper o uso do MSN se você continuar usando a ferramenta todos dias.

E para a Cúpula estratégica aqui vai nosso recado. Você tem controle dos ativos informacionais de sua empresa? Confia no seu "Gestor de SI"? Conhece as senhas, processos e técnicas adotados pelo mesmo? Se ele sair amanhã, tudo continua? É, trilhas de auditoria de Gerência podem ajudar! Se algum dia você precisar ligar para seu Gerente para ter acesso a alguma informação na Empresa, saiba, você está nas mãos dele! Aliás, a TI é uma profissão de poder, e poder corrompe! Confiar piamente no seu técnico promovido a Gestor seria entender que Gerentes de TI seriam todos heróis incorruptíveis que em nenhum momento tomariam um café com um funcionário, onde poderíamos ler seus lábios dizendo "Sua batata assou, quero metade em troca de um delete!" Audite a Auditoria, mas não seja "Policial"!.

Se você conseguiu visualizar claramente o problema, ótimo! Faça uma auto-crítica e avalie seu comportamento dentro do seu ambiente de trabalho. Você está mais para Dr. House ou para Dr. Wilson, do seriado House? O primeiro sem dúvida é mais brilhante, mas não é ético, e só não foi demitido porque tem o segundo para segurar a barra quando a coisa estoura de verdade. E se você pensar bem, eles têm muito mais semelhanças do que diferenças, o que significa que não é tão difícil assim ter uma postura correta e equilibrada, mesmo que você tenha algumas excentricidades. Lição do dia: não são pessoas que devem se adaptar à TI, mas a TI que deve considerar pessoas na adoção de medidas de segurança da informação. Se você achar que é um "Policial", terá dois tipos de presidiários: Funcionários Rebelados e Funcionários Resignados. Então, prepare-se para o pior!

Texto de José Milagre: Advogado, Analista Programador, Perito Computacional, Coordenador do Instituto Tele Direito, Especialista em Direito Eletrônico pelo IPEC/SP, LLM em Direito Penal e Processo Penal pela Faculdade Fênix/SP, Presidente da Comissão de Propriedade Intelectual e Segurança da Informação da OAB/SP 21ª Subsecção, Vice-Presidente de Associação Brasileira de Forense Computacional, Professor de Forensics e Direito da Informática.

Blog: http://josemilagre.blogspot.com/

Leia a Licença aplicável ao Artigo em Tela:
http://creativecommons.org/licenses/by-nc-sa/2.5/br/


Gostou do site? Receba as novidades no seu e-mail! Faça seu cadastro aqui

Postado por Daniel Teixeira  

Marcadores: 


SETE PECADOS EM TI

SETE PECADOS EM TI
Quem não tiver pecado...
Carlos Altman e Frederico Bottrel

Atire a primeira pedra quem nunca cometeu um pecado. A frase de Jesus Cristo ao defender uma mulher do furor de seus algozes é algo tão atual como há milênios. Atire um computador pela janela quem nunca baixou um programa infectado pela internet. Verdade seja dita: tudo de ruim que acontece com o seu computador se deve aos sete pecados, digamos, high-tech. O Informátic@ foi à caça desses novos pecados (e também dos pecadores) e descobriu que eles povoam as residências e as empresas em proporção assustadora. 

Para evitar o "pranto e o ranger de dentes", conversamos com um daqueles "anjos" capazes de salvar a alma dos pecadores high-tech. O especialista em tecnologia da informação, Presleyson Lima, que coordena um departamento de service desk, passa o dia-a-dia socorrendo PCs maltratados em decorrência dos pecados alheios. "Somos nós, os profissionais de TI, que acabamos pagando esses pecados. Mas não podemos reclamar; é o que garante nossos empregos". Amém. 

1 - GULA 
Voracidade de downloads 

A gula é a mãe dos pecados high-tech e um mal reincidente. Se ninguém, como escreve Luis Fernando Verissimo, no livro de mesmo nome, consegue ficar imune a uma suculenta picanha, no mundo da internet é praticamente impossível passar batido diante do "saboroso" software MSN Messenger. Este é o primeiro de vários outros programetes consumidos diretamente da internet ou de um CD de instalação. 

Tudo começa com um inocente download do comunicador instantâneo e, aí, o faminto por novidades tecnológicas não para mais. São programas de fotos, ícones para personalizar a área de trabalho, papéis de parede com paisagens e descanso de tela em forma de aquário com peixinhos dançantes. É aí que mora o perigo. Os sites de programas gratuitos como Baixaki, Superdownload e Baixatudo viraram verdadeiras delicatessens de consumo para os que sofrem da gula. 

Foi o que aconteceu com o computador do professor Marcelo Athayde. Consumidor assíduo dos sites de downloads, Marcelo fica até tarde da noite baixando MP3. Também não consegue dormir sem antes se esbaldar em um delicioso game de RPG. Tanto consumiu que se viu com um problemão. "Minha máquina começou a travar de uma hora para outra. Perdi vários arquivos importantes, inclusive provas que tinha que aplicar no dia seguinte. Tento controlar a gula por novos programas, mas sei que vai ser difícil. Todo dia tem algo novo na internet que chama a minha atenção. Em um ano, precisei levar meu PC para o conserto três vezes. Não posso sofrer mais desse mal", desabafa. 

Para conter o hábito e resolver o problema, o especialista Presleyson Lima tem a dieta: É preciso se livrar das gordurinhas desnecessárias. Ele dá os ingredientes da receita: "Para saber a frequência de utilização de um programa, o Windows XP tem recurso chamado "Adicionar e Remover Programas". O similar do Windows Vista é conhecido como "Programas e Recursos". Ao clicar em cada software instalado, é informada a frequência e a data da última utilização". 

Presleyson ressalta que a utilização esporádica desse software não define se o mesmo é essencial para o usuário ou não. "Caso não seja, basta clicar no botão remover que é apresentado nessa ferramenta de análise na parte inferior de cada software listado. Para acessar, no Microsoft Windows XP, vá em Iniciar, Painel de Controle e em seguida clique em Adicionar e Remover Programas. No Windows Vista , vá em Iniciar, Painel de Controle e em seguida clique em Programas e Recursos. 


2 - IRA 
Caros ataques de fúria 

O relações públicas Anderson Gonzatto por pouco não jogou o computador pela janela no último ataque de fúria. "Odeio quando o computador trava justamente na hora que mais preciso. Tento resolver por conta própria, desinstalando programas, mas não resolve. Eu abomino computador lento e, quando trava então, quero atirá-lo para bem longe." 

Como Anderson, existem outros milhares de pseudo técnicos de plantão que sofrem do pecado da ira. Muitos acham que podem resolver sozinhos os problemas quando um computador para de funcionar. Baixam arquivos para melhorar o desempenho que, em vez de melhorar, só atrapalham. As reações de ataques de fúria são muito comuns. Registros deles estão em larga escala no YouTube para ninguém duvidar. Nos ambientes empresariais, os ataques ocorrem numa proporção menor, mas é dentro de casa ou em pequenas empresas que a ira se faz presente com muito mais fervor. 

Nesta hora não tem jeito mesmo. Acenda um incenso, conte até 100 e desligue o computador A culpa de ele não estar funcionando não é da pobre máquina indefesa. Não adianta quebrar tudo o que estiver pela frente em mil pedaços, pois o ataque de fúria vai lhe custar caro. 

"Não serão as agressões físicas ou verbais ao equipamento que vão solucionar o problema. As várias combinações de socos e pontapés no PC prejudicarão o funcionamento e, muitas vezes, gerarão danos irreparáveis. No fim das contas você terá que desembolsar uma boa quantia para solucionar os problemas adicionais", alerta Presleyson. Outra sugestão dele: "Quando o Windows apresentar a famosa tela azul ou demonstrar algum comportamento anormal, é a hora de solicitar manutenção de um técnico qualificado". 


3 - LUXÚRIA 
Cuidado com os sites que grudam 

Para muitos, a luxúria não é vista como um pecado – não passa de uma válvula de escape e descontração para o estresse do dia-a-dia. Dentro dessa lógica, que mal há em visitar, de vez em quando, um site picante de mulheres envolventes e siliconadas? Se esse voyerismo for exercido no computador de casa, o mal é menor. Quem vai arcar com as consequências é somente o usuário. Mas, se a prática é no local de trabalho, o problema é sério. A rede da empresa pode compartilhar uma Sodoma e Gomorra de todos os tipos de vírus e add-ons! 

Por pouco, o economista casado Roberto F. não entrou em uma fria daquelas. Depois de passar noites ardentes em um site pornográfico, viu-se em apuros. "Fiquei até 2h da manhã na internet, no computador da minha casa. Visitei sites inimagináveis. Quando fui visualizar um vídeo, meu computador começou a abrir várias páginas de sites pornôs e eu não sabia como fechar", relata. Ele conta que reiniciava o computador e, quando abria novamente o navegador, lá estavam as páginas. "Entrei em desespero com a bronca da minha esposa ao me pegar vendo aquelas páginas. Por fim, consegui desligar o PC e fui correndo a uma assistência técnica para retirar o spyware que se alojou em meu computador". 

"O acesso a sites de conteúdo adulto está entre os líderes no ranking de infecção por criminosos virtuais e requer dos usuários atenção redobrada", diz Presleyson. Segundo ele, há os que executam o vídeo no próprio site. Por isso, têm mais segurança, mas, mesmo assim, não estão livres de possíveis ameaças. "Os sites gratuitos que disponibilizam vídeos para downloads estão mais propícios à infecção devido à transferência do arquivo com o código malicioso", avisa. Nem por isso, os sites de fotos escapam, como ele explica: "Existem vários vírus que infectam os computadores por meio de arquivos de imagens, e um dos maiores meios de propagação é o correio eletrônico". É tomar cuidado para não cair em tentação e se livrar do mal. 

4 - VAIDADE 
Narcisos na web 

Neologismo típico dos últimos tempos, poser é palavrinha que define muita gente que se expõe em Fotologs, FlickRs e Orkuts da vida: aqueles que gostam de posar. Com a câmera na mão, um biquinho na boca e um espelho na frente, fazem o maior estrago. E publicam tudo na grande rede, para quem quiser ver. Manifestação pura da nova cara da vaidade, na era pontocom. Se outrora vovó vaidosa pendurava fotografias no espelho da penteadeira, a galerinha teen de hoje se joga (quase literalmente) na web. 

O advogado Régis Godoy não se considera dentro do perfil do poser típico, mas já viu suas fotos caírem em perfis falsos em sites de relacionamento, tradicional forma de pagar esse pecado. "Tinha no meu Orkut 12 shots do tempo em que eu era modelo. Roubaram as fotos e criaram páginas falsas. Pelo menos não usaram meu nome, mas era a minha imagem!", conta. 

Ele questiona os limites da vaidade on-line: "Será mesmo vaidade você tornar acessíveis imagens com as quais gostaria que as pessoas o associassem? Nenhuma das minhas fotos é sem camisa, por exemplo. São só fotos bonitas que quero compartilhar, e, atualmente, graças às inovações do Orkut, só com meus contatos". 

Esse é o ponto em que o próprio recurso pode ajudar o pecador, de acordo com Presleyson: "A maioria desses sites têm alternativas para os usuários, onde é possível habilitar opções, autorizar pessoas a visualizar os seus álbuns de fotos, deixar recados no mural e enviar depoimentos". Mas não é exatamente o paraíso, segundo ele: "Mesmo habilitando todas essas opções, nada impede que uma pessoa realmente mal intencionada copie suas fotos". Em termos de pecado, as pessoas são capazes de burlar qualquer cadeado do bem. 

5 - INVEJA 
Olho comprido no PC alheio 

Na era da superexposição, em algum momento alguém estará de olho em você. Os crackers estão aí para roubar informações como senhas de banco, arquivos confidenciais e até projetos profissionais para destruir ou passar para o concorrente. 

Inveja é um mal secreto. Ninguém afirma que comete esse pecado. O técnico de informática, que aqui vamos chamar de Eduardo, já criou muitos spywares para roubar as senhas de bancos e arquivos de uma empresa de São Paulo na área de engenharia civil. Hoje, garante que não faz mais isso. Viu que podia prejudicar pessoas que tinham pouco dinheiro guardado no banco. "Decidi parar quando percebi que o que fazia, a pedido de uma empresa, estava me afetando pessoalmente. Comecei a vasculhar o e-mail de minha namorada na época e conseguia descobrir todos os gastos dela com o cartão de crédito. Quando ela abriu uma conta no Orkut persegui seus passos dia e noite. Terminamos o namoro e decidi que não faria mais isso", confessa. 

Mas você não precisa ser um hacker ou cracker para vasculhar a vida alheia através dos sites de relacionamentos. Ou se apoderar de algo que não é seu. As senhas para acessar sites restritos e números seriais para legitimar a instalação de cópias ilegais de programas se espalham na internet feito praga. Basta querer para ceder aos apelos da inveja. Aos espertinhos que entram nessa viagem errada, o recado: "Ao acessar sites de crackers, você coloca o seu PC em risco de infecção proveniente de malwares ou criminosos virtuais. Ao usar números seriais de softwares crackeados, você não tem garantia de confiabilidade, disponibilidade de operação e não terá direito a suporte, às atualizações de segurança e novas funcionalidades que são disponibilizadas pelo desenvolvedor", avisa Presleyson 

6 - PREGUIÇA 
A amiga do computador travado 

Você tem um novo pacote de atualizações! Você deve rodar o antivírus freqüentemente! É bom ter cuidado ao baixar softwares e arquivos da web! Se alertas como esse provocam um generoso bocejo, bem-vindo aos domínios da preguiça. Consequência clara da gula, assim como no pecado tradicional em que, devidamente empanturrados, tudo que queremos é uma sonequinha. Aqui, a sonequinha dá lugar à negligência quanto aos hábitos fundamentais para a saúde do computador. 

A publicitária Nair Silva provou desse mal. Comprou um notebook com HD de 80GB e acreditou que esse número a livraria de preocupações com o espaço na máquina. A manipulação de imagens e outros arquivos pesados, além do uso da máquina para entretenimento, obviamente, pesou com o tempo. Ela confessa: "Sempre tive preguiça de ficar passando antivírus ou de ficar esperando aquela chatice de desfragmentador de disco. Fala sério; tem coisa mais torturante que aquelas barrinhas coloridas indicando a porcentagem do processo?". 

Para Nair, teve. O computador simplesmente travou. "Nem ligar, ele ligava. Surtou", conta. Resultado? Teve de sofrer uma re-educação, para evitar que o problema se repetisse. Ela admite que, às vezes, se rende ao pecado de deixar para depois a atualização, mas "não passa de uma semana". 

Presleyson aconselha uma medida prática para quem tem preguiça: delegar a parte chata da coisa, usando o agendador de tarefas, recurso presente no Windows. Ele recomenda programar as tarefas para os momentos em que o preguiçoso estiver longe do PC, como a hora do cafezinho, por exemplo: "Com o agendador, é possível informar qual o software a ser executado e sua periodicidade. Você pode incluir inúmeras ocorrências. Por exemplo, executar o desfragmentador de discos, todas as segundas-feiras às 17h, ou executar o antivírus todos os dias às 9h e assim por diante". 

Para acessar o recurso no Windows XP e Windows Vista, vá em Iniciar, Todos os Programas, Acessórios, Ferramenta de Sistemas e em seguida clique em Agendador de Tarefas. 


7 - AVAREZA 
Socorro online que não funciona 

O operador de computação gráfica Paulo Egídio se considera um mão-de-vaca quando o assunto é pagar para resolver algum problema de tecnologia. Ele só envia o computador para conserto quando não tem mais jeito. Sofre de avareza crônica. Acha que baixando programas gratuitos na internet vai sanar todos os problemas. "Tento a todo custo resolver, por conta própria, as panes no meu computador. Até a desmontar o computador já me atrevi. Não adiantou, perdi tempo, e, de quebra, dinheiro", diz. 

A avareza acomete quase todos os usuários de computador hoje. Com a variedade de softwares gratuitos disponíveis para baixar, ninguém quer saber se eles são confiáveis ou não. E a situação se agrava quando esses softwares milagrosos para eliminar o mal da lentidão do PC são divulgados no pior estilo boca-a-boca. O estrago passa a ser generalizado. 

A preocupação com ferramentas falsas de segurança é a principal questão quando o assunto é avareza, como exemplifica Presleyson: "Existem inúmeros downloads disponíveis para softwares gratuitos de segurança e antivírus falsos. Eles são instalados para obter o controle de qualquer página da internet e se infiltrar no PC. Podem até defraudar números de cartão de crédito, entre outras ações criminosas." 

Quanto a abrir a própria máquina, a recomendação é também taxativa: "Abrir o gabinete requer conhecimentos técnicos de manutenção. Ao realizar alterações nos hardwares internos, corre-se o risco de deixar o equipamento inoperante". Caso o PC esteja apresentando eventos anormais, boa opção é solicitar a visita de um técnico de informática ou enviá-lo para uma empresa especializada.
Sete pecados high tech