blog.dennyroger.com.br

Dear readers,

The Kretcheu Vídeo Blog main focus is technology and everything built/based on it. You will find news, how to’s, funny things and everything else you could think of.

In this interview, I’m talking about my presentation in VOL DAY I. The aim of my presentation was to briefly outline the experience in the work carried (information security). Please visit http://www.myinfosecjob.com/2010/02/the-immortals-and-mortals-of-information-security/. Part of my presentation was cover the elements of Cybercrime.

This is a great blog. The topics on the blog are my kind of thing and I have been watching them with great interest.

Please visit the interview: http://www.kretcheu.com.br/?p=182

Regards,

Denny Roger
denny@dennyroger.com.br
55 11 8136 8025

Follow me on Twitter: http://twitter.com/dennyroger
Professional profile on LinkedIn: http://www.linkedin.com/in/dennyroger
Member of International Association of Emergency Managers (IAEM)

Sem comentários »

A tendência para os primeiros meses de 2010 surpreendeu as empresas de segurança da informação. Isso ocorre porque janeiro costuma ser um mês de queda de negócios. “Algumas pessoas gostam de dizer que o Brasil só funciona depois do carnaval. Porém, a situação agora é outra e foi uma boa surpresa para as empresas que atuam com segurança da informação”, explica Denny Roger, diretor da EPSEC.

A demanda por novos projetos, que começou a surgir no pós-crise a partir de outubro, continuou forte em janeiro. A tendência surpreendeu, porque janeiro costuma ser um mês de queda nos negócios, e tem chamado a atenção de investidores. “Com a demanda de crédito para investimento, muitas empresas retomaram os projetos pré-crise e estão investindo na melhoria dos processos de segurança da informação. Isso ocorre porque algumas empresas estão se preparando para abrir o capital e outras precisam assumir projetos de alto risco. O Sistema de Gestão da Segurança da Informação fornece apoio nos dois casos.”, diz o executivo da EPSEC.

Algumas empresas que desenvolvem produtos ou serviços relacionados a segurança da informação precisam expandir seus negócios agora e aumentar sua capacidade produtiva referente ao desenvolvimento de novas tecnologias de segurança. “Embora o Brasil não esteja nos níveis anteriores aos da crise, as consultorias precisam retomar o investimento no desenvolvimento de novas soluções”, disse Denny Roger. O fato tem chamado a atenção de investidores que buscam oportunidades de negócios com rápido crescimento. Porém, o principal entrave é descobrir quais consultorias estão à venda e também calcular o valor da empresa referente ao seu poder de inovação. “O investimento em empresas que têm capacidade para inovar na área de segurança da informação voltou a ser uma opção viável. O valor dessas empresas está aumentando cada vez mais, graças aos novos contratos assinados em janeiro. O momento de negociar a compra e venda de uma empresa focada em segurança da informação pode ser agora”, complementa o diretor da EPSEC.

Equipe EPSEC
info@epsec.com.br
www.epsec.com.br

Sem comentários »

Por Paula Zaidan

Fechar um balancete em que ônus e bônus se equilibrem no projeto de NF-e é tarefa árdua que envolve diversas áreas: TI, auditoria, contabilidade, financeira, jurídica e até a logística. Essa conta ainda está longe de equilibrar pesos e medidas na mesma balança, uma vez que muitas empresas concluíram a implementação da Nota Fiscal Eletrônica, avançaram no Sped Contábil e Sped Fiscal, mas o retorno desse investimento se traduz apenas em uma palavra e não em números na receita das organizações: conformidade com as regras do governo. Independente do setor da economia, indústria, varejo, atacado, finanças ou até pequenos empreendimentos, a obrigatoriedade dos documentos fiscais digitalizados é um caminho sem volta e tende a avançar cada vez mais.

Na opinião de Adriano Santos, gerente de negócios para o Centro de Excelência SAP Brasil, a conta fecha a partir do uso dos investimentos tirando proveito deles e trazendo isso como benefícios e melhorias de processos, a exemplo de deixar de manipular informação, reduzir erros recorrentes da Nota Fiscal.

A premissa valeu para a discussão entre diretores de TI, auditores, advogados, especialistas e donos de empresas que estiveram nesta quarta-feira (27/01) no debate “NF-e, Sped Contábil, Sped Fiscal: O Desafio da Terceira Fase”, realizado pela Conteúdo Editorial, transmitido pela TV Decision para aproximadamente 700 executivos online que interagiram com empresas como GM do Brasil, Grupo Angeloni, Grupo Martins, Instituto Nacional de Tecnologia da Informação (ITI), Tejofran de Saneamento e Serviços, Conselho Regional de Administração (CRA), Associação Brasileira de Segurança da Informação (Abrasinfo) e a Ordem dos Advogados do Brasil (OAB/SP).

Apesar de aplicar muito recurso, tecnologia e envolver diversas áreas, muitos concordam e esperam que o maior benefício seja a redução da carga tributária, uma vez que todos terão que declarar as suas informações fiscais para a Receita Federal. “Além da redução da carga tributária, haverá uma simplificação dos nossos impostos, além de queda nas alíquotas. Essa é uma expectativa puxada pela concretização do Sped”, reflete Claudinei Zanotello, gerente sênior de TI da Thyssenkrupp.

Entretanto, embora o projeto seja um dos maiores responsáveis pela digitalização da vida das organizações e da sociedade, o modelo brasileiro foi importado e costurado para uma realidade bastante distinta de nossos vizinhos chilenos. Aqui, o calcanhar de Aquiles ainda é a legislação de cada região seja numa cidade, Estado ou no âmbito Federal.

“As empresas importadoras estão preocupadas porque se uma companhia está em Vitória (ES) e, por conta da logística, usa o porto do Rio de Janeiro e o destino final da mercadoria é no Distrito Federal. Dessa forma, serão cobrado três vezes o ICMS, um imposto de cada Estado independente de quem seja a adquirente. A jurisprudência concorda com a três interpretações, uma vez que cada um defende quem é o real importador”, explica Coriolano Aurélio de Almeida Camargo Santos, presidente do Comitê sobre Crimes Eletrônicos da OAB SP.

Num primeiro momento, a implementação da NF-e só traz custos para as organizações porque precisam se mobilizar para cumprir os prazos do governo, o que exige mudanças de processos, treinamento de pessoas e aquisição de tecnologia. Mas a redução de papeis arquivados, a organização da empresa, mais transparência e agilidade nos processos junto ao Fisco também são percebidos depois de enfrentar os desafios iniciais.

Na Thyssenkrupp, Zanotello destaca vários benefícios depois da implementação, realizada em meio à crise financeira global. “Com a NF-e, houve a melhora na qualidade dos dados. Chegamos a zero de retrabalho na emissão da Nota Fiscal e principalmente, também conseguimos gerar os dados para o Sped. Isso foi em decorrência de ajustes nos processos e dados mestres e cadastros. A empresa manteve o processo de emissão de Nota Fiscal”. Ele afirma ainda que houvesse redução no número de cancelamento de NFs em decorrência de problemas de cadastro, informações colocadas de forma indevida no sistema.

Hélio Silva, gerente de TI da GM, observa que do jeito que aconteceu o Sped nas empresas e, no caso da GM que tem uma cadeia de valor muito grande, vindo desde o aço, cada produto tem muitos componentes e peças complexas, a tendência foi que puxamos primeiro o processo e o sistema depois. “O que acontece é que a simplificação do processo e dos impostos virão depois. Estamos aplicando sistemas dentro de processos complexos. Ou seja, partimos de traz para frente. Portanto, os resultados virão a longo prazo”, avalia Hélio Silva.

“Na Dedini também sentimos o efeito da adaptação da NF-e e Sped. Tivemos que fazer adaptações e fomos piloto na implementação da Nota Fiscal, em 2006. No início toda a empresa tem que fazer o maior investimento e o retorno é pequeno comparado com o benefício em valores. Na minha opinião, é a oportunidade que o Fisco está oferecendo às empresas para reverem os seus procedimentos de redução de custos”, diz Ariovaldo Cunha, gerente de auditoria da Dedini.

Cunha recorda que não é a primeira vez que o País vive uma mudança no sistema tributário. Para mim, isso é só o início. “Dentro de cada segmento cada um está vendo onde aperta o seu sapato. Mas no final teremos maior transparência da empresa em relação ao Fisco, à sociedade (hoje boa parte das empresas já publica o seu balanço)”.

Enivaldo Gomes Mithidieri, gerente contábil da Tejofran de Saneamento e Serviços, que atua em 22 Estados, recebeu recentemente um consultor na área tributária e fiscal. “Eles tendem a achar que o pessoal da contabilidade precisa saber todas as leis. Esse consultor teve a ideia de trazer a quantidade de leis para a equipe e chegou a 65 mil que deveríamos aplicar nas 10 atividades que trabalhávamos. Se você tiver 16 mil funcionários teria que passar em média 40 a 50 leis para cada um conhecer e aplicar nas é importante dizer que desde o começo do cenário que estamos hoje, os fornecedores tem dificuldade em entender o que o governo quer”, diz Mithidieri.

Segurança e transparência
Para Renato Martini, Presidente do ITI, o processo de digitalização dos procedimentos da Nota Fiscal, Sped Contábil e Fiscal é talvez o maior movimento do País no sentido de desmaterializar os procedimentos chegando, inclusive, em hospitais. “A NF-e já é uma realidade. Ontem, às 18h10, já eram 704 milhões de NF-e responsáveis por movimentar R$ 9 trilhões. Isso significa racionalizar a arrecadação e a melhoria na fiscalização. Além disso, atualmente o que vale é o documento eletrônico, a impressão é uma cópia”, diz Martini.

Além de todo o arsenal tecnológico, as empresas ainda se deparam com um grande desafio: garantir a segurança da informação e confidencialidade dos dados. Muitas empresas não sabem a diferença entre os dois certificados digitais para a realização do procedimento fiscal, denominados como A1 e A3. `O primeiro pode ser, inclusive, carregado em um pen drive, e é bem comum ver pequenas e médias empresas usando. Já o segundo é bastante usado pelas grandes empresas e é mais difícil quebrar a chave de criptografia`, explica Denny Roger, presidente da Abrasinfo.

“Uso o certificado A1 e claro que tive que aperfeiçoar o sistema de segurança em que só uma pessoa maneja o certificado. Isso fez com que tivesse alguns benefícios interessantes. Tive que realmente rever todo o meu cadastro (500 clientes), a base de dados. Mas conquistei mais agilidade, transparência, confiabilidade, redução de custo operacional, por meio da revisão dos procedimentos internos e aperfeiçoamento dos sistemas de segurança”, conta José Alfredo Machado, vice-presidente do Conselho Regional de Administração (CRA) e presidente da importadora Telemotion.

Portanto, a segurança das informações garante transações eletrônicas mais confiáveis também no B2B, um avanço do EDI, market place e trocas de pedidos na cadeia logística. Tanto é assim que o acréscimo de notas fiscal com comércio eletrônico foi de 60%, o que gerou mais de R$ 1 bilhão no ano passado. Victor Murad, vice-presidente de Serviços Públicos e Projetos de Governança da câmara e-Net aposta na evolução dos impostos eletrônicos como alavancador para o crescimento não só do comércio online, como também um influenciador nas relações humanas, da sociedade. “Hoje você tem cadastro de Pessoa Física, Jurídica, mas e o Digital? Onde é que você armazena o seu PDF?”.

Atacado versus Varejo
Na avaliação de Flávio Martins, CIO do Grupo Martins, o maior benefício será a redução da concorrência desleal. “Isso, no nosso caso, será bastante positivo porque muitas empresas menores não emitem a nota e, ainda, acabam em nossos clientes – em Estados como o Mato Grosso – e alertam para que eles não comprem conosco porque vamos entregá-los ao Fisco. O contrário também existe. Já houve interesse de muitos clientes em implementar a NF-e e contaram com a nossa ajuda para o projeto”.

A concorrência desleal também se dá no varejo. Mas, ao contrário do que pensa Flávio Martins, quando defende que a NF-e terá benefícios de longo prazo, Clementino Bolan Filho, diretor Administrativo e Financeiro do Grupo Angeloni, acredita que o projeto deveria ser pensado melhor, estruturado de maneira macro e não uma colcha de retalhem em que cada região possui a sua legislação. “Estamos pegando um modelo de outros países e fazer um remendo dentro de uma estrutura de um ambiente alucinado, com tributos municipal, estadual e federal, é complicado”, avalia. Mas Bolan concorda com Martins quando se trata de concorrência.

“O objetivo é girar uma concorrência saudável de forma que o processo econômico e brasileiro fosse realizado de maneira saudável”, diz o executivo que conclui com o desabafo: “não vejo um benefício hoje no projeto”.

O executivo de TI do Martins concorda: “de fato, o benefício não é visível agora. A criatividade do legislador é absurda. Hoje é difícil manter as suas operações comerciais pari e passo, mas o compliance para o Grupo Martins representa o cumprimento de regras para não ter que ter que pagar multa mais tarde”.

Lições aprendidas
Muitas dúvidas ainda pairam a respeito da implementação da NF-e e Sped, como fazer em casa ou terceirizar. Essa foi uma das questões abordadas por Luis Cesar Lopes, gerente de Planejamento Tributário da M. Officer: “A companhia estava fase inicial da NF-e e do Sped Contábil e Fiscal. Olhando para dentro da empresa nos deparamos na seguinte questão: várias empresas interessadas em prestar serviço para o Grupo e oferecem algumas soluções e não consigo avaliar se compro ou não porque tenho dúvidas se parto para uma suíte de soluções ou terceirizo”.

Claudinei Zanotello, gerente sênior de TI da Thyssenkrupp, conta que uma das medidas adotadas foi contratar uma auditoria antes de enviar os dados para a Secretaria da Fazenda. “Isso nos garante, embora o custo seja alto, a garantia de mais transparência. Além de fazer a validação, essa empresa terceirizada verifica o balanço contábil e assim adiante. Hoje, usamos a solução da SAP, que elimina as inconsistências para que a NF-e seja enviada com precisão sem haver falhas internas. Não existe sistema dentro da empresa só de TI. Nenhum sistema que a TI colocar vai funcionar se não houver o envolvimento do usuário. Nas questões fiscais, é importante que eles também (contábil, jurídica, logística) para que na emissão de uma nota tenha a segurança necessária para que a empresa não sofra penalizações e multas”, conta Zanotello.

Veja também

Cuidado com a segurança da NF-eDedini, em dia com o Fisco

Fonte: http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=5847&sid=29

Sem comentários »

Rafael Porto (raporto@redegazeta.com.br)

Acessar bancos pela internet exige atenção redobrada. Segundo estimativa da Federação Brasileira de Bancos, fraudes onlilne causam um prejuízo anual de R$ 500 milhões.

O valor alarmante despertou a Polícia Federal para uma parceria com bancos: objetivo é reduzir pela metade o número de fraudes bancárias na web em 2010. E em 90% em 2011.

Para o delegado chefe da Unidade de Repressão a Crimes Cibernéticos (URCC), Carlos Eduardo Sobral, a agilidade no acesso às informações vai fazer a diferença. “Até fevereiro de 2009, recebíamos cada fraude de forma isolada, em papel, sem cruzamento de dados. Era difícil relacioná-las entre si”, lembra.

Com a participação dos bancos, que passam a alimentar a polícia com informações sobre transações financeiras ilegais, será possível calcular o número de quadrilhas e o raio de ação dos criminosos.

“Temos uma grande quantidade de casos de criminosos atuando em São Paulo, por exemplo, de um computador a 3.000km de distância. Com informações isoladas, a gente não conseguia chegar na quadrilha”, diz.

Fraudes
Há basicamente dois tipos de crimes de internet banking: a engenharia social e o phishing. No primeiro caso, o criminoso engana o usuário criando um site clonado, com o mesmo layout do original. Sem perceber, o usuário inclui dados de conta-corrente e senha, e se torna vítima do golpe.

Na segunda técnica, o cliente tem a senha roubada após clicar em uma isca – razão do nome “phishing”, que em inglês significa “pescaria”. E-mails prometendo fotos sensuais, recados e convites no Orkut, arquivos de fotos no MSN, tudo que atraia a curiosidade dos internautas é usado no golpe.

Depois de visitar o link, o usuário acaba fazendo download de um vírus rastreador. Tudo que é digitado no PC passa a ser automaticamente enviado pela web aos bandidos, que só têm o trabalho de entrar nas contas e transferir o dinheiro para “laranjas”.

Twitter está na mira dos cibercriminosos
Segundo previsão da McAfee Labs Twitter e Facebook serão os principais alvos dos hackers. “Os cibercriminosos aproveitam a confiança entre amigos para atraí-los aos seus sites. O uso de URLs abreviadas em sites como Twitter contribuem para que os cibercrimonosos camuflem ou disfarcem sites mal-intencionados”, explica estudo divulgado pela McAfee.

Falta prender os culpados
Denny Roger , Consultor em segurança da informação

Quando você recebe a informação de que existe uma página de banco clonada na internet, a polícia consegue pedir uma ação e tirá-la do ar, mas não vai prender ninguém, nem ir atrás dos estelionatários. Os criminosos não usam recursos hospedados no Brasil para disseminar vírus por e-mail, mas servidores estrangeiros. Quando a Polícia vê a origem do ataque, não pode fazer nada, porque não tem poder sobre a legislação de outros países. A iniciativa dos bancos de notificar a Polícia Federal não vai minimizar o número de crimes na internet, só vai melhorar as estatísticas. Ninguém aplica golpe no Brasil deixando pegadas aqui no país. O papel da Polícia é prender, mas para prender é preciso ter evidências. Os criminosos pararam de fazer transferências para ?laranjas? porque sabem que isto aumenta a chance de serem pegos. As quadrilhas são organizadas, têm estelionatários que fazer pagamentos de terceiros nas contas das vítimas, recebendo os valores em dinheiro depois. Hoje, o bandido sabe mais que um advogado.

Pesquisa
No Brasil

Prejuízo dos crimes online
327,6 mil – É o número de crimes cibernéticos registrados na internet pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil

26% – É o percentual equivalente ao crime de fraude, onde há furto de senhas com objetivos financeiros

72% – É o número de fraudes causadas por trojans, arquivos instalados no computador por meio de links enviados por e-mails e scraps

“Clonaram minha senha e fizeram uma limpa”
Um pequeno deslize pode por a perder um mês inteiro de trabalho. O chefe de recepção Stephan Romualdo Oliveira, 27, sentiu na pele – e no bolso – o que é isso.

Usuário experiente de internet, arriscou acessar sua conta fora de casa e, poucos dias depois, teve uma péssima surpresa: não encontrou dinheiro algum. “Clonaram minha senha e fizeram uma limpa. Acho que tinha algum vírus na máquina. O dinheiro foi transferido para outra conta, e depois para outra conta, até perder ele de vista”, lembra.

A história de Stephan teve final feliz. Depois de notificar o roubo, teve seu dinheiro devolvido pelo seguro do banco em 24h. Acessar bancos pela internet, nunca mais, garante Oliveira.

“Eu não tenho mais acesso ao internet banking, não confio mais. Mexendo na internet você está vulnerável a qualquer tipo de problema. Não dá para evitar”, define.

1 > Fora de casa
Evite acessar sua conta por meio de sites de bancos se estiver usando computadores instalados em locais de grande circulação de pessoas, como cibercafés, lan houses e outros computadores, mesmo que pessoais, de seu local de trabalho ou estudo que são compartilhados com outras pessoas.

2 > Phishing
Antes de clicar em qualquer link enviado por e-mail, desconfie. Sendo de origem duvidosa ou não, não custa nada confirmar com o remetente se ele enviou mesmo um e-mail para você. No Orkut, MSN e Twitter, é a mesma coisa. Não vale a pena arriscar sua segurança em serviços que prometem vantagens milagrosas.

3 > Trojan e Bots
Esses tipos de vírus estão em todo o lugar da internet. Para evitá-los, o melhor é não ceder às estratégias tentadoras do phishing. A segunda opção é manter um antivírus constantemente atualizado em seu computador. Avast (www.avast. com) e AVG (www.avgbrasil. com.br) estão entre os melhores programas gratuitos disponíveis na internet.

4 > Roubo de Senha
Antes de inserir seus dados, verifique se o site possui um certificado de segurança – caracterizado pela exibição de um cadeado na parte inferior do navegador – e se na barra de endereços o endereço começa com “https”. Troque periodicamente a senha utilizada para acessar seu banco na internet.

5 > Site Clonado
Se o usuário caiu em um site clonado, com certeza, foi redirecionado por um endereço eletrônico falso. A melhor forma de evitar esse tipo de crime é não clicar em links e optar sempre por digitar o endereço do banco na barra de endereços manualmente. Sites seguros têm um cadeado fechado na barra inferior.

Fonte: http://gazetaonline.globo.com/index.php?id=/local/a_gazeta/materia.php&cd_matia=593961

Sem comentários »

A CFSEC Security Architects, uma das principais empresas brasileiras que busca e desenvolve novos pontos de vista sobre Segurança da Informação, tem à sua frente, desde sua fundação em 2001, Nelson Corrêa. Desde 2005, o executivo tem conscientizado as empresas sobre como as inovações biométricas podem aumentar a segurança ou agregar valor aos softwares desenvolvidos. Ele também comenta, nesta entrevista exclusiva a EPSEC, suas experiências sobre a criação de uma escala de maturidade para a gestão da segurança, o crescimento do uso da biometria no Brasil e os desafios para estruturar uma área de segurança da informação. Conversamos com Nelson Corrêa sobre sua brilhante carreira e o perfil do profissional que atua na área de segurança da informação. Acompanhe a entrevista completa.

Acesse: http://epsec.com.br/blog/?p=129

Sem comentários »

Quando André Pitkowski surgiu no cenário de segurança da informação, em 1986, ele foi saudado com a necessidade de recuperar dados perdidos e remover vírus do ambiente computacional. Em entrevista exclusiva a equipe da EPSEC, o consultor em Governança, Riscos e Compliance, professor titular das cadeiras de BS7799 e Governança de TI no MBA e Pós do Instituto Mauá de Tecnologia, contou detalhes de sua brilhante carreira na área de segurança da informação e como as empresas podem implementar melhorias através da mitigação de riscos.

Confira a entrevista completa, acesse:
http://epsec.com.br/blog/?p=109

Sem comentários »

The International Association of Emergency Managers (IAEM) expresses sympathy for the people of Haiti, who are suffering in the aftermath of the massive 7.0-magnitude earthquake on Jan. 12 that left behind thousands of victims dead, injured, trapped in debris, and homeless. It will take several days, according to the International Red Cross, to know the full extent of the disaster.

Many nations are already coming to the aid of Haiti, with humanitarian efforts underway to assist the Haitian people with food, water, temporary shelter, medical services, and more. However, as with any major disaster, governments are not able to provide 100 percent of what is needed. In a statement issued today by the U.S. Department of Homeland Security, Secretary Janet Napolitano described U.S. assistance en route to Haiti, also stating, “I encourage the American people to donate what funds they can afford to disaster relief organizations such as the American Red Cross to allow these voluntary groups to provide goods and services to disaster survivors as quickly as possible.”

“IAEM encourages its members and the public to get involved in the relief efforts,” said Rick Cox, CEM, Chairman, IAEM-Global Board of Directors. “We recognize that the most effective means is often through donations to reputable organizations that are coordinating and providing emergency response.”

Here are a few of many options when considering donations to aid Haiti:

American Red Cross (www.redcross.org)
Florida International Volunteer Corps (www.favaca.org)
Pan American Development Foundation (www.panamericanrelief.org)
Samaritan’s Purse (www.samaritanspurse.org)
UN ReliefWeb (www.reliefweb.int)

The International Association of Emergency Managers (IAEM), which has more than 5,000 members in 58 countries, is a non-profit educational organization dedicated to promoting the goals of saving lives and protecting property during emergencies and disasters. IAEM provides: access to the largest network of emergency management experts who can provide advice and assistance; the Certified Emergency Manager® program; annual scholarships; a comprehensive monthly newsletter; and more. Learn about the work of IAEM at www.iaem.com.

Sem comentários »

Por Rafael Porto (raporto@redegazeta.com.br)

Conscientização. Essa é a palavra-chave para quem deseja se proteger da ameaças internas. Segundo pesquisa realizada pela RSA, divisão de segurança da EMC, em 41% dos casos de vazamento de informações, a ocorrência foi acidental.

O primeiro passo é classificar o grau de sigilo dos dados que circulam na empresa. Mas atenção: se a informação é “super-secreta”, tente mantê-la longe dos curiosos, alerta Roger. Um exemplo simples dado pelo consultor são as folhas de pagamento.

“Não adianta: todo mundo quer saber quanto o outro ganha. A líder de ocorrências de quebra de sigilo nas empresas é a tentativas de acessar a folha de pagamento do colega ou do chefe”, detalha.

O segundo passo é questionar: o que os funcionários precisam acessar e quem tem permissão para fazer alterações no sistema? A resposta pode não agradar a todos, mas garante a segurança da empresa.

“Essa questão deve ser avaliada com calma, mas se a empresa não usa orkut, twitter ou messenger no relacionamento com os clientes, por que deixá-los liberados? Tudo o que não pode ser monitorado deve ser bloqueado”, radicaliza o consultor.

Por último, mas não menos importante, se faz necessário registrar acessos e alterações feitas pelos funcionários nos documentos da empresa. No momento da fraude, explica Denny Roger, o primeiro “entrevistado” é o computador. Se o sistema não registra as mudanças, não há como identificar um culpado, garante.

Outra opção mais radical é fechar entradas USB para usuários que não possuem permissão de alterar documentos. A decisão pode até gerar reclamações, mas evita a cópia de documentos importantes e o vazamento de informações sigilosas.

Melhore a segurança da informação

Avaliação
Ações simples, como a instalação de gavetas com chaves para documentos importantes, evitam que dados sigilosos fiquem sobre a mesa ao alcance de todos.

Permissões
Quem deve mudar o quê? Verifique as permissões que cada funcionário possui e registre sempre as alterações feitas por cada um deles.

Sites disponíveis
Se não há como monitorar o que seu funcionário divulga em sites e redes de relacionamento, como Orkut, Messenger ou no Twitter, bloqueie os sites.

Confiança mútua
Trabalhe uma relação de confiabilidade entre empresa e funcionário. Afinal, o que ele diz fora da empresa não pode ser controlado.

Bloqueios
Bloqueie entradas USB e a gravação de CDs e DVDs dos funcionários sem acesso aos dados confidenciais. Evita o trânsito indesejável de informações sigilosas

Dispositivos móveis
Evite armazenar informações importantes em dispositivos móveis como smartphones e notebooks. A perda de um destes aparelho pode gerar muitas dores de cabeça.

Principais crimes
1. Uso indevido de senha
2. Mau uso da ferramenta de trabalho tecnológica
3. Uso não autorizado da marca da empresa na internet
4. Contaminação por vírus e trojans
5. Vazamento de informação confidencial
6. Problemas com contratos de TI
7. Pirataria e download indevido
8. Furto de dados
9. Ofensas a direitos autorais
10. Fraudes eletrônicas
Fonte: Patrícia Peck Pinheiro, sócia de escritório especializado em Direto Digital.

Fonte:
http://gazetaonline.globo.com/index.php?id=/dv2/materia_a_gazeta.php&cd_matia=564542

Sem comentários »

A Abrasinfo (Associação Brasileira de Segurança da Informação) alerta para a vulnerabilidade do uso do certificado digital A-1 e informa que já há empresas em busca de cancelamento do certificado em função do risco. Denny Roger, que acaba de assumir a presidência da entidade, explica que a vulnerabilidade do certificado está na possibilidade de armazenar o certificado após sua emissão em um software ou dispositivo USB.

“Qualquer empresa que participou do projeto NF-e pode ter tido acesso à chave de segurança da contratante para testar o software. Agora podem emitir as notas fiscais, que só serão percebidas quando vier o imposto de renda”, diz Roger.

Ele explica que a vulnerabilidade está no fato do A1 ser armazenado num software ou dispositivo de armazenamento, que pode ser roubado, copiado e replicado. Ou seja, um funcionário ou terceirizado insatisfeito pode ter tido acesso à chave ou mesmo tê-la copiado sem ninguém perceber. Vale ressaltar que o A1 demanda apenas o uso de senha para a emissão da nota criptografada a ser concretizada.

Custo e produtividade

Tal risco, entretanto, não atinge todas as empresas do sistema de Nota Fiscal Eletrônica, uma vez que havia a opção de uso do certificado A3. Nesse caso, a emissão da chave é feita dentro do próprio equipamento conhecido como HSM. Roger explica que uma das funcionalidades do HSM é a capacidade de acelerar a emissão de criptografia para suprir a demanda de produtividade dos altos volumes de notas fiscais. Esse equipamento foi adquirido pela maioria das grandes organizações. E, consequentemente, o nicho mais vulnerável das empresas é o das médias e pequenas que optaram pelo A1 em função do preço e da tecnologia.

“Não tinha muito sentido comprar um HSM (capaz de emitir 20 notas fiscais por hora) para uma empresa pequena, com um volume mensal de 40 notas fiscais por mês”, comenta. Além disso, a diferença de custo chega a ser quase dobro. Roger acredita que uma solução HSM pode custar de US$ 2 mil até US$200 mil. O custo está muito atrelado ao volume de notas fiscais emitidas.

Na visão do presidente da Abrasinfo, não há mecanismos de proteção para vulnerabilidade do A1 a não ser a mudança do tipo certificado. “Mesmo que haja uma relação de confiança entre usuário, fornecedor e prestador de serviço da solução, a vulnerabilidade sempre existirá”, ressalta o executivo. Ele ainda acredita que o ideal é não só mudar o certificado A1 pelo HSM (certificado A3) como também não adotar o modelo de terceirização. “A única forma de se livrar dos riscos é fazer tudo dentro de casa”, recomenda.

Esse e outros temas relacionados à Nota Fiscal Eletrônica serão discutidos no dia 27/01, quarta-feira, em debate transmitido pela TV Decision.

Fonte: http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=5774&sid=42

Sem comentários »

O paulistano Denny Roger tem viajado o mundo para desenvolver e, em alguns casos, apresentar, o futuro da segurança da informação. Em dezembro de 2009, o executivo, há mais de 15 anos na área de Tecnologia da Informação e Segurança da Informação, foi eleito presidente da Associação Brasileira de Segurança da Informação (Abrasinfo). Um dos seus objetivos é incluir o tema “segurança da informação” no planejamento estratégico das empresas, especialmente as em desenvolvimento acelerado no Brasil e no exterior, como as organizações em Angola.

“Nosso principal objetivo em Angola é assistir as organizações na formulação de políticas e normas de segurança da informação para reforçar a transparência, a prestação de contas, a equidade e a responsabilidade corporativa, que gera emprego, renda e, ao mesmo tempo, resultados com base no alinhamento estratégico e na melhoria continua”, diz o executivo.

No Brasil, o ambiente para desenvolvimento das atividades relacionadas à segurança da informação melhorou nos últimos anos. Um dos componentes dessa mudança é a inclusão da segurança da informação como parte do risco operacional e iniciativas na área de implementação do Sistema de Gestão da Segurança da Informação (SGSI), principalmente. Apesar disso, Denny Roger estima que o potencial das atividades de segurança da informação estão subutilizadas no País. “O Brasil tem abundância de talentos na área de segurança da informação. Exportamos profissionais para o mundo todo. Porém, podemos fazer muito mais do que estamos fazendo”, explica Roger.

A seguir, os principais trechos da entrevista:

Como tem sido seu trabalho nos últimos anos, no Brasil e no exterior?

Nosso principal objetivo foi assistir as organizações na formulação de políticas e normas de segurança da informação para reforçar a transparência, a prestação de contas, a equidade e a responsabilidade corporativa, que gera emprego, renda e, ao mesmo tempo, resultados com base no alinhamento estratégico e na melhoria continua.

Nós últimos 3 anos, trabalhamos para que as organizações assumissem projetos de alto risco, principalmente entre 2008 e 2009. Até então, a discussão nas organizações sobre segurança da informação se dava sob o ponto de vista cultural. Nosso trabalho é ajudar as empresas no mapeamento do nível de maturidade, em um setor extremamente dinâmico, e elaborar o plano de crescimento dos processos relacionados a segurança da informação.

O que evoluiu no Brasil?

A discussão sobre segurança da informação evoluiu muito. Estamos sentindo cada vez mais interesse do governo e das instituições privadas, principalmente as que atuam na bolsa de valores. Apesar de nossos principais interlocutores serem as empresas fabricantes de tecnologias ligadas a segurança da informação, podemos comprovar isso através dos eventos, os profissionais que atuam na área estão participando cada vez mais através de blogs, listas de discussão, podcasts etc. Não podemos esquecer da brilhante atuação do Comitê da ABNT/CB21 – Comitê Brasileiro sobre as normas de gestão de segurança da informação, da série 27000.

Quais são os setores que irão investir mais em segurança da informação em 2010?

No Brasil, o setor financeiro sempre liderou os investimentos em segurança da informação. Mas muita coisa interessante aconteceu nos últimos meses. Por exemplo, algumas construtoras estruturaram um departamento de segurança da informação. Fato inédito no setor.

É possível que a indústria de carne, onde o Brasil tem 41% de participação no mercado global, volte a investir em segurança da informação em 2010. Outro setor que deve investir no assunto é o farmacêutico. Porém, diversos economistas prevêem forte expansão para todos os setores em 2010, na comparação com 2009.

Na sua opinião, como tem evoluído o assunto segurança da informação no Brasil?

O assunto evoluiu muito não só no Brasil, mas no mundo inteiro. No Brasil, há grupos de trabalho sobre o tema (por exemplo, o Comitê da ABNT/CB21), seminários, estudos etc. Existe uma atenção maior do governo sobre o tema. Não podemos esquecer que as empresas estão estudando a implementação do Gerenciamento de Serviços de TI (ISO/IEC 20000) em conjunto com o Sistema de Gestão da Segurança da Informação (ISO/IEC 27001), onde as organizações tem como objetivo criar resultados com base no alinhamento estratégico e na melhoria continua. Este é um assunto novo não só no Brasil como no mundo todo. Mas cabe um avanço maior em relação as leis para crimes digitais, como está havendo em outros países. Principalmente porque no Brasil temos muitas gangues de Crackers em atividade.

Qual é o maior obstáculo para as consultorias que atuam na área de segurança da informação?

O financiamento é um dos maiores obstáculos para impulsionar as consultorias no Brasil. Um dos motivos é que os sócios destas empresas têm pouca ou nenhuma garantia física para oferecer aos bancos, o que dificulta a obtenção dos empréstimos para o desenvolvimento de novos serviços ou tecnologias. O maior ativo dessas consultorias são intangíveis (conhecimento). Por outro lado, existe um número maior de investidores em busca de empresas com um potencial crescimento acelerado. Esses investidores estão preferindo aplicar seu capital em empresas de Tecnologia da Informação ou Segurança da Informação porque o ganho financeiro pode ser muito mais rápido e maior do que investir em ações na bolsa de valores. Porém, o risco de perda também é maior.

Denny Roger é diretor da EPSEC e presidente da Associação Brasileira de Segurança da Informação (Abrasinfo), membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.

Equipe EPSEC
info@epsec.com.br

Sem comentários »