blog.dennyroger.com.br

Comentários aos aspectos relacionados com a intimidade empresarial e a intimidade pessoal dos empregados

Por Pedro Felício André Filho

Atualmente, com a tecnologia adotada e sua constante evolução dos meios de comunicação, surge uma importante questão quanto ao uso da tecnologia no ambiente de trabalho em contraste com a privacidade do empregado.

É fato que um dos meios mais céleres de comunicação hoje em dia é por meio da utilização de correio eletrônico ou programas similares de comunicação, geralmente acessíveis por qualquer computador, ferramenta de trabalho essencial para a grande maioria das empresas.

Contudo, no mesmo passo em que cresce a tecnologia a favor do desenvolvimento empresarial,
crescem na mesma proporção os meios de pirataria de informações sigilosas, como também a desídia de alguns empregados, que se utilizam das ferramentas de trabalho como instrumento de lazer.

Por estes motivos, muitas empresas adotam a política de monitoramento das atividades de seus funcionários, a fim de garantir o correto desempenho almejado pela empresa na busca de suas finalidades empresariais.

Por outro lado, temos funcionários que se sentem lesados com estas políticas, sob a alegação de violação do direito constitucional a intimidade por parte da empresa.

Neste enfoque, vale dizer que o equipamento de trabalho utilizado pelo empregado é de propriedade da Empresa, sendo tal equipamento submetido ao direito de propriedade no tocante ao uso, gozo e disposição da coisa.

Neste sentido a Carta Constitucional protege os valores sociais do trabalho e da livre iniciativa, garantindo o livre exercício de qualquer profissão, trabalho ou ofício desde que atendidas as exigências previstas em lei.

Desta feita, para o devido desenvolvimento empresarial/comercial é essencial ao empregador, fiscalizar o desenvolvimento das atividades que se destinam às finalidades precípuas da empresa, até porque o mesmo é dotado de Poder Diretivo, na forma prevista pela CLT, sendo responsável por muitos dos atos cometidos por seus funcionários.

Neste sentido o que muda, é a forma de fiscalização, que antes era exercida por funcionários com função de fiscais, gerentes, inclusive com monitoramento por câmeras etc.

Assim, com a tecnologia atual é bem possível se efetuar a “fiscalização” ou monitoramento através da própria ferramenta de trabalho, qual seja o computador.

Vale informar que este monitoramento, do ponto de vista tecnológico social, é natural, uma vez que as maioria das empresas de hoje, possui uma ampla gama de computadores ligados em rede interna, sem prejuízo de estarem conectados à rede mundial de computadores pela internet.

Desta forma, como ferramentas de trabalho da empresas, essas máquinas devem ser constantemente atualizadas e protegidas por diversos programas de segurança, uma vez que o principal conteúdo das mesmas é a intimidade da empresa.

Assim, não se trata de violação à intimidade do empregado monitorar o conteúdo e uso de uma máquina destinada ao uso da empresa, mas sim, de se proteger a intimidade a qual a empresa tem direito como pessoa jurídica que é.

Tal intimidade da pessoa jurídica diz respeito aos seus segredos industriais, segredos financeiros, segredos protegidos por patentes, segredos acionários, etc…informações e detalhes que podem fazer a diferença entre o sucesso e a falência das mesmas, fato o qual justifica o devido monitoramento a fim de se evitar o envio de informações a terceiros, bem como se evitar o uso indevido da ferramenta em detrimento à produção almejada.

O Tribunal Regional do Trabalho da 2ª Região – São Paulo (TRT-SP), compartilhando deste entendimento, em julgado recente, determinou que é direito e dever do empregador manter vigilância sobre tudo o que acontece no local de trabalho, concedendo a ele o direito de monitorar as informações dos computadores de seus funcionários.

Com base nesse entendimento, aceitou como prova válida de falta grave, diversos correios eletrônicos e documentos encontrados em computador da empresa.

É de se frisar que a empresa ao examinar um computador de sua propriedade encontrou arquivos comprovando que a sua funcionária repassou informações sigilosas a outro ex-empregado, que trabalhava para empresa concorrente.

Tal atitude resultou em demissão por justa causa, por cometer “falta gravíssima contrariando expresso dispositivo do contrato de trabalho avençado por escrito”, tendo repassado segredos comerciais para a concorrência.

Importante salientar que referido monitoramento de equipamento não viola a intimidade do empregado, uma vez que o empresário/empregador não pode esperar e/ou aceitar que o funcionário se utilize da ferramenta para funções não profissionais referentes à sua intimidade.

Por estes motivos é que se sugere às empresas possuidoras deste tipo de tecnologia, que as mesmas cientifiquem seus funcionários formalmente a respeito do monitoramento exercido, seja por meio do próprio contrato de trabalho individual ou por meio de documento autônomo.

Tal medida exonera e descaracteriza eventual expectativa de alegação de violação à privacidade por parte do empregado que fica consciente quanto ao correto e eficaz uso da ferramenta de trabalho posta a sua disposição.

PEDRO FELÍCIO ANDRÉ FILHO é advogado e consultor em São Paulo, Especialista Pós-Graduado em Direito Tributário pela Pontifícia Universidade Católica de São Paulo (PUC/SP) – E-mail: pedroandre@adv.oabsp.org.br.

Sem comentários »

Voltando do carnaval 2010!!! São diversas as notícias sobre segurança da informação. Neste momento, quero compartilhar com os colegas uma notícia que pode trazer alguma exposição na mídia internacional e também algum dinheiro.

Evento patrocinado pela TippingPoint desafiará participantes a explorar brechas nos aparelhos iPhone, BlackBerry Bold, Droid e Nokia.

Por Computerworld/EUA

Um concurso de hacking que será realizado em março no Canadá dará prêmios de até 15 mil dólares em dinheiro para quem explorar brechas dos smartphones iPhone, BlackBerry Bold, Droid e Nokia.

O evento, chamado Pwn2Own, terá início em 24/3 e fará parte da conferência de segurança CanSecWest, em Vancouver. Somados, os prêmios totalizam 100 mil dólares, que serão pagos pela 3Com Tipping Point, a patrocinadora do concurso.

Como na edição passada, a Pwn2Own vai oferecer dois tipos de desafio, um para navegadores e outro para sistemas operacionais móveis. Em 2009, por exemplo, o pesquisador Charlie Miller invadiu um Mac em menos de 5 segundos para ganhar 5 mil dólares.

Este ano, os hackers terão que lidar com um iPhone 3GS, um BlackBerry Bold 9700, um smartphone Nokia não especificado com sistema Symbian S60 e um aparelho da Motorola, provavelmente um Droid.

Um hack bem sucedido deve resultar em execução de código com pouca ou nenhuma interação do usuário. Qualquer aparelhos invadido renderá ao hacker 10 mil dólares em dinheiro, além do próprio celular e de pontos no programa de caça a bugs da TippingPoint, que o qualificará a outro pagamento de 5 mil dólares.

O ataque aos browsers, por sua vez, terá como alvos as últimas versões do Chrome, Firefox e Internet Explorer, todos em Windows 7, e o Safari, no Mac OS X. Quando um navegador for vitimado, seu algoz receberá 10 mil dólares e o notebook no qual ele estiver rodando.

Fonte: http://macworldbrasil.uol.com.br/noticias/2010/02/17/concurso-de-hackers-oferece-us-15-mil-por-invasao-de-smarpthone/

Acredito que alguns brasileiros possam participar deste desafio. O problema é que em março todos nós estamos palestrando em diversos eventos e praticamente sem agenda para esta viagem. Quem estiver com algum dinheiro no bolso e conseguir o visto a tempo, acho que vale a pena uma visita ao Canadá. Não podemos esquecer que os brasileiros são pioneiros em testar a segurança desses dispositivos móveis.

Abraços,

Denny Roger
denny@dennyroger.com.br

Sem comentários »

IDC vai discutir a criação de um modelo de gestão sobre continuidade do negocio, cumprimento da regulamentação e vantagem competitiva para as organizações.

O IDC Brazil Information Security & Business Continuity Conference 2010, evento que discute práticas de segurança da informação, será realizado no dia 17 de março em São Paulo.

Organizado pela IDC, uma das principais consultorias em inteligência de mercado com foco em TI, o encontro é voltado para diretores, gerentes, analistas de TI, Segurança da Informação, Infra-estrutura e Plano de Contingência.

O evento conta com a participação de Denny Roger, diretor da EPSEC e presidente da Associação Brasileira de Segurança da Informação (Abrasinfo), que falará sobre forense e fraudes na internet.

As inscrições são gratuitas (para empresas usuárias de tecnologia e sujeitas à aprovação da IDC Brasil) e podem ser feitas no site oficial do evento. Para mais informações, acesse: http://www.idclatin.com/events/event_speaker.asp?ctr=bra&id=123.

Sem comentários »

Fonte: http://xkcd.com/327/

Sem comentários »

Olá a todos!

Estou reproduzindo um artigo que comenta sobre as opções para quem deseja atuar na área de segurança da informação.

Boa leitura!

Denny Roger
denny@epsec.com.br

By Adriano Dias Leite

Every time someone asks me about my profession, people’s reaction is often the same: -Wow! So you’re like those hackers I see in the (Hollywood) movies! That’s really cool! Listen, can you discover someone’s password for me?

After an hour long monologue telling them the difference between hackers and crackers, the unethical implications of discovering someone else’s password, the basics of networking functionality and so on, people are still amazed by the knowledge the profession requires and the coolness of “attacking” websites and investigating a computer crime. I guess it’s a reflex of that famous TV series…

But either we like it or not, Information Security careers hold a certain glamour and ignite people’s imagination. Thus, I’ve decided to research a bit further, and write down what each job is about so the next time I’m asked, I’ll just refer people to this page.

This article is also useful if you’re considering to start your Information Security career or looking for some career tips.

So, let’s see what we’ve got. Let me highlight that the career order here purely reflects my personal preference. Objections are welcome!

The article is written in descending order to give you that suspense feeling.

10 – Information Security Analyst

This information security job involves assessing the effectiveness of Information Security policies and pointing out vulnerabilities or lack of controls to mitigate a given risk. The security analyst will work with every department in the company to make recommendations for improvements and craft detailed design documents for them to implement. This position has become common place with the advent of ISO 27001, Sarbanes-Oxley and similar regulations and compliance frameworks.

Where to look for a job: basically, every company dealing with information requires an Infosec Analyst.

9 – Incident Responder

Those employed in this information security career will monitor computer systems for security breaches, report and document such breaches and implement appropriate countermeasures. The incident responder will also undertake protective and corrective measures when a security incident is discovered.

Where to look for a job: These professionals are usually found at the SOC or network monitoring department of datacenters.

8 – Network Security Engineer

Network security engineers are responsible for developing, maintaining and troubleshooting computer network security systems, configuring security hardware and software and preparing security reports. These professionals possess deep knowledge of communications protocols, network routing, packet and content filtering. That’s how I started my career, a couple of years ago…

Where to look for a job: Almost every company with a medium/large sized network infrastructure. For small companies, do expect the network administrator to wear this hat.

7 – Chief Information Security Officer

The responsibilities of this information security career are enormous, as CISOs are in charge of an organization’s entire computer security system. The CISO will also oversee the company’s entire network of people who safeguard a company’s digital security, from systems security officers to software and hardware vendors. Their responsibilities may also include identifying a company’s digital protection objectives and defining allocation of resources based on priority areas, as well as overseeing investigation of security breaches and incident response planning. Depending on the country, CISOs are legally liable for a company’s Information Security health.

Where to look for a job: Large organizations.

6 – Information Security Architect

Information Security Architects are the professionals thinking on the big picture: They need not only be aware of every piece of technology deployed within the business architecture, but also understand how and why all of these components interact with each other to achieve the objectives of the enterprise. The architect is involved (or at least should be, but we know how real life is…) at the early stages of any IT project to design and implement the security policies required to protect the integrity, confidentiality and availability of the information on an end-to-end basis.

Where to look for a job: Major organizations, Information Security Services Provider/Consultancy companies.

5 – Forensic Analyst

The professional holding this position analyzes computer systems to identify who is the responsible for the misuse of a system, or to detect whether a certain application was used to commit a crime. His task doesn’t end there: the forensic analyst is responsible for preserving, documenting and interpreting computer evidence subject to legal rules and guidelines.

Where to look for a job: Information Security Services Provider and consultancy companies, major organizations where security is paramount (banking, financial, health, etc).

4 – System, Network and Web Penetration Tester

This job involves attempting to penetrate systems, networks and applications in order to detect their vulnerabilities so that companies can correct flaws and improve their security. The tester must be able to identify flaws in security and bring up possible solutions, as well as providing suggestions on how to better allocate security resources. This information security career is also known as white-hat hacking, ethical hacking and pentesting.

Where to look for a job: Information Security services providers and consultancy companies, major organizations where security is paramount (banking, financial, health).

3 – Information Security Forensics Expert

This information security career involves analyzing the aftermath of a systems security breach by hackers in order to determine how the breach occurred and which of the company’s systems may have been compromised. This position requires security professionals with updated forensic and reverse engineering skills, as well as an awareness of the latest methods of exploiting system vulnerabilities.

Where to look for a job: Information Security services providers and consultancy companies, government agencies.

2 – Malware Analyst

This information security career involves reverse-engineering malicious software such as viruses and spyware in order to determine how they attack computer systems and how they spread as well as define signatures that could indicate their presence within a system. This profession requires a deep knowledge of high and low level programming languages.

Where to look for a job: Security Software makers.

1 – Computer Crime Investigator

This is one of the most glamorous information security jobs as the job holder assists police and forensic investigators with crimes involving computers or with aspects of a criminal investigation involving computers. The computer crime investigator uses advanced technologies to analyze evidence. They will also help law enforcement officials in recovering deleted, hidden or encrypted data from a hard drive which may be of value to an ongoing investigation. It’s also very probable that security clearance will be required if you want to become a Computer Crime Investigator.

Where to look for a job: Law enforcement agencies, Information Security consultancy companies.

Adriano Dias Leite is an IT/Information Security specialist with more than 14 years experience in the field. Possessing a strong technical background, he formerly worked at major global organizations such as DHL, VISAnet, EDS and boutique Infosec firms. Currently, Adriano runs the My Infosec Job (www.myinfosecjob.com) portal, helping thousands of professionals worldwide to find a new position and take their career to the next level.

Fonte: http://www.myinfosecjob.com/2010/02/the-10-coolest-information-security-careers/

Sem comentários »

Ao que tudo indica, teremos um 2010 muito favorável em relação aos investimentos em segurança da informação. Com o crescimento da economia brasileira – em 2% entre outubro e dezembro de 2009 – as projeções para o Produto Interno Bruto (PIB) em 2010 convergem para 6%. Isso significa que o aquecimento do mercado e a volta dos investimentos em segurança da informação devem puxar as melhorias nos processos que apresentam um alto grau de integração e sofisticação tecnológica. Mas há pelo menos 5 pontos que prometem agitar as discussões sobre segurança da informação em 2010.

Lei de crimes digitais

É provável que as discussões sobre a lei que coíbe os crimes na internet continuem quentes em 2010. Estou comentando isso porque, por exemplo, para entendermos como um vírus de computador realmente funciona, precisamos disseminá-lo em um ambiente controlado. Isso, segundo a lei contra crimes na internet, é tipificado como um crime, afetando diretamente os pesquisadores que trabalham no desenvolvimento de “vacinas” e na engenharia reversa dos vírus de computador.

Não podemos esquecer que o Brasil está atrasado em relação às leis que tratam sobre os crimes na internet. Atualmente, a polícia não consegue avançar no combate aos crimes eletrônicos porque as informações, necessárias para uma investigação, chegam atrasadas para a polícia. Podem durar meses até que as provas cheguem à polícia.

Acesso remoto seguro ou inseguro?

O executivo está conectado, remotamente, ao ambiente computacional da sua empresa. O filho desse executivo, um nativo digital que conhece técnicas de invasão, utiliza o computador da empresa para “fuçar” na intranet. Ele encontra uma área restrita relacionada ao departamento de Recursos Humanos. A curiosidade desse jovem faz com que busque alguma vulnerabilidade na intranet – na aplicação – para ter acesso total à folha de pagamento. Após poucos minutos “fuçando” na aplicação ele descobre uma brecha de segurança que permite consultar toda a relação de salários e benefícios dos funcionários da organização. E tudo isso usando o próprio computador da empresa que está conectado através de um acesso remoto (VPN). Essa é uma história real que acontece com a grande maioria das empresas.

O executivo fora da lei

Diversos executivos, preocupados com o que os seus funcionários estão fazendo na internet e com o vazamento de informações confidenciais, estão monitorando – indevidamente – os e-mails pessoais e os programas de mensagens instantâneas. Algumas opções rotuladas como DLP (Data Loss Prevention) ainda estão fora da realidade econômica de diversas empresas. Em outras palavras, o alto custo não justifica o investimento. Porém, algumas soluções ligadas à área de forense computacional e outras, mais baratas, relacionadas à utilização de programas espiões estão sendo instaladas no ambiente computacional corporativo. Com um custo mais acessível, essas tecnologias permitem a monitoração através de palavras-chaves (em qualquer meio eletrônico: documentos, planilhas, blogs, Twitter, e-mails etc), mensagens trocadas através dos programas de mensagens instantâneas e até mesmo a realização de uma cópia de todas as informações armazenadas nos pen drives pessoais dos funcionários. Este tipo de técnica já permitiu que executivos identificassem quais funcionários estavam participando de um esquema de propina. Mas essa ação pode ser considerada invasão de privacidade porque o colaborador não assinou um termo declarando estar ciente que estará sendo monitorado.

A família espiã

Em janeiro de 2009, publicamos na coluna “Mente Hacker” o artigo “A família hacker”. Cada vez mais, pais, filhos, namorados ciumentos, amantes etc, estão instalando programas espiões para monitorar o computador de alguém da família. Estes programas permitem monitorar o conteúdo que está sendo divulgado ou lido nos sites de relacionamento, e-mails, programas de mensagens instantâneas etc. Também é possível identificar os arquivos acessados e as páginas visitadas na internet. A facilidade de compra e o preço acessível estão permitindo um aumento das vendas dos programas espiões. Um detalhe interessante é que não precisamos ter um conhecimento técnico avançado para utilizar estes programas espiões. É simples de instalar e muito fácil de usar. A família espiã estará mais ativa do que nunca em 2010.

Investimentos em segurança nem sempre evitam as invasões

A decisão dos gerentes de TI de disponibilizarem a maior parte do orçamento para a compra de dispositivos de segurança que protegem a camada de rede, por exemplo, firewall, antivírus e anti-spam, é um equivoco que poderá gerar grandes perdas financeiras para as empresas. Isso ocorre porque as principais técnicas de invasão estão relacionadas a vulnerabilidades na camada de aplicação – que recebe quase nenhum investimento. Entre outras palavras, o orçamento está sendo gasto com a proteção/tecnologia errada. É necessário evoluir as discussões sobre segurança no processo de desenvolvimento de software e na adoção de sistemas conhecidos como Web Application Firewall. Os gestores de TI devem determinar objetivos/controles de segurança para o processo de desenvolvimento de software (intranet, extranet, sistemas de venda, CRM, ERP etc), atendendo às necessidades do negócio, permitindo que a organização assuma projetos de alto risco.

Denny Roger é diretor da EPSEC e presidente da Associação Brasileira de Segurança da Informação (Abrasinfo), membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), membro do International Association of Emergency Managers (IAEM), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br, Twitter: http://twitter.com/dennyroger.

Sem comentários »

A tendência para os primeiros meses de 2010 surpreendeu as empresas de segurança da informação. Isso ocorre porque janeiro costuma ser um mês de queda de negócios. “Algumas pessoas gostam de dizer que o Brasil só funciona depois do carnaval. Porém, a situação agora é outra e foi uma boa surpresa para as empresas que atuam com segurança da informação”, explica Denny Roger, diretor da EPSEC.

A demanda por novos projetos, que começou a surgir no pós-crise a partir de outubro, continuou forte em janeiro. A tendência surpreendeu, porque janeiro costuma ser um mês de queda nos negócios, e tem chamado a atenção de investidores. “Com a demanda de crédito para investimento, muitas empresas retomaram os projetos pré-crise e estão investindo na melhoria dos processos de segurança da informação. Isso ocorre porque algumas empresas estão se preparando para abrir o capital e outras precisam assumir projetos de alto risco. O Sistema de Gestão da Segurança da Informação fornece apoio nos dois casos.”, diz o executivo da EPSEC.

Algumas empresas que desenvolvem produtos ou serviços relacionados a segurança da informação precisam expandir seus negócios agora e aumentar sua capacidade produtiva referente ao desenvolvimento de novas tecnologias de segurança. “Embora o Brasil não esteja nos níveis anteriores aos da crise, as consultorias precisam retomar o investimento no desenvolvimento de novas soluções”, disse Denny Roger. O fato tem chamado a atenção de investidores que buscam oportunidades de negócios com rápido crescimento. Porém, o principal entrave é descobrir quais consultorias estão à venda e também calcular o valor da empresa referente ao seu poder de inovação. “O investimento em empresas que têm capacidade para inovar na área de segurança da informação voltou a ser uma opção viável. O valor dessas empresas está aumentando cada vez mais, graças aos novos contratos assinados em janeiro. O momento de negociar a compra e venda de uma empresa focada em segurança da informação pode ser agora”, complementa o diretor da EPSEC.

Equipe EPSEC
info@epsec.com.br
www.epsec.com.br

Sem comentários »

Por Paula Zaidan

Fechar um balancete em que ônus e bônus se equilibrem no projeto de NF-e é tarefa árdua que envolve diversas áreas: TI, auditoria, contabilidade, financeira, jurídica e até a logística. Essa conta ainda está longe de equilibrar pesos e medidas na mesma balança, uma vez que muitas empresas concluíram a implementação da Nota Fiscal Eletrônica, avançaram no Sped Contábil e Sped Fiscal, mas o retorno desse investimento se traduz apenas em uma palavra e não em números na receita das organizações: conformidade com as regras do governo. Independente do setor da economia, indústria, varejo, atacado, finanças ou até pequenos empreendimentos, a obrigatoriedade dos documentos fiscais digitalizados é um caminho sem volta e tende a avançar cada vez mais.

Na opinião de Adriano Santos, gerente de negócios para o Centro de Excelência SAP Brasil, a conta fecha a partir do uso dos investimentos tirando proveito deles e trazendo isso como benefícios e melhorias de processos, a exemplo de deixar de manipular informação, reduzir erros recorrentes da Nota Fiscal.

A premissa valeu para a discussão entre diretores de TI, auditores, advogados, especialistas e donos de empresas que estiveram nesta quarta-feira (27/01) no debate “NF-e, Sped Contábil, Sped Fiscal: O Desafio da Terceira Fase”, realizado pela Conteúdo Editorial, transmitido pela TV Decision para aproximadamente 700 executivos online que interagiram com empresas como GM do Brasil, Grupo Angeloni, Grupo Martins, Instituto Nacional de Tecnologia da Informação (ITI), Tejofran de Saneamento e Serviços, Conselho Regional de Administração (CRA), Associação Brasileira de Segurança da Informação (Abrasinfo) e a Ordem dos Advogados do Brasil (OAB/SP).

Apesar de aplicar muito recurso, tecnologia e envolver diversas áreas, muitos concordam e esperam que o maior benefício seja a redução da carga tributária, uma vez que todos terão que declarar as suas informações fiscais para a Receita Federal. “Além da redução da carga tributária, haverá uma simplificação dos nossos impostos, além de queda nas alíquotas. Essa é uma expectativa puxada pela concretização do Sped”, reflete Claudinei Zanotello, gerente sênior de TI da Thyssenkrupp.

Entretanto, embora o projeto seja um dos maiores responsáveis pela digitalização da vida das organizações e da sociedade, o modelo brasileiro foi importado e costurado para uma realidade bastante distinta de nossos vizinhos chilenos. Aqui, o calcanhar de Aquiles ainda é a legislação de cada região seja numa cidade, Estado ou no âmbito Federal.

“As empresas importadoras estão preocupadas porque se uma companhia está em Vitória (ES) e, por conta da logística, usa o porto do Rio de Janeiro e o destino final da mercadoria é no Distrito Federal. Dessa forma, serão cobrado três vezes o ICMS, um imposto de cada Estado independente de quem seja a adquirente. A jurisprudência concorda com a três interpretações, uma vez que cada um defende quem é o real importador”, explica Coriolano Aurélio de Almeida Camargo Santos, presidente do Comitê sobre Crimes Eletrônicos da OAB SP.

Num primeiro momento, a implementação da NF-e só traz custos para as organizações porque precisam se mobilizar para cumprir os prazos do governo, o que exige mudanças de processos, treinamento de pessoas e aquisição de tecnologia. Mas a redução de papeis arquivados, a organização da empresa, mais transparência e agilidade nos processos junto ao Fisco também são percebidos depois de enfrentar os desafios iniciais.

Na Thyssenkrupp, Zanotello destaca vários benefícios depois da implementação, realizada em meio à crise financeira global. “Com a NF-e, houve a melhora na qualidade dos dados. Chegamos a zero de retrabalho na emissão da Nota Fiscal e principalmente, também conseguimos gerar os dados para o Sped. Isso foi em decorrência de ajustes nos processos e dados mestres e cadastros. A empresa manteve o processo de emissão de Nota Fiscal”. Ele afirma ainda que houvesse redução no número de cancelamento de NFs em decorrência de problemas de cadastro, informações colocadas de forma indevida no sistema.

Hélio Silva, gerente de TI da GM, observa que do jeito que aconteceu o Sped nas empresas e, no caso da GM que tem uma cadeia de valor muito grande, vindo desde o aço, cada produto tem muitos componentes e peças complexas, a tendência foi que puxamos primeiro o processo e o sistema depois. “O que acontece é que a simplificação do processo e dos impostos virão depois. Estamos aplicando sistemas dentro de processos complexos. Ou seja, partimos de traz para frente. Portanto, os resultados virão a longo prazo”, avalia Hélio Silva.

“Na Dedini também sentimos o efeito da adaptação da NF-e e Sped. Tivemos que fazer adaptações e fomos piloto na implementação da Nota Fiscal, em 2006. No início toda a empresa tem que fazer o maior investimento e o retorno é pequeno comparado com o benefício em valores. Na minha opinião, é a oportunidade que o Fisco está oferecendo às empresas para reverem os seus procedimentos de redução de custos”, diz Ariovaldo Cunha, gerente de auditoria da Dedini.

Cunha recorda que não é a primeira vez que o País vive uma mudança no sistema tributário. Para mim, isso é só o início. “Dentro de cada segmento cada um está vendo onde aperta o seu sapato. Mas no final teremos maior transparência da empresa em relação ao Fisco, à sociedade (hoje boa parte das empresas já publica o seu balanço)”.

Enivaldo Gomes Mithidieri, gerente contábil da Tejofran de Saneamento e Serviços, que atua em 22 Estados, recebeu recentemente um consultor na área tributária e fiscal. “Eles tendem a achar que o pessoal da contabilidade precisa saber todas as leis. Esse consultor teve a ideia de trazer a quantidade de leis para a equipe e chegou a 65 mil que deveríamos aplicar nas 10 atividades que trabalhávamos. Se você tiver 16 mil funcionários teria que passar em média 40 a 50 leis para cada um conhecer e aplicar nas é importante dizer que desde o começo do cenário que estamos hoje, os fornecedores tem dificuldade em entender o que o governo quer”, diz Mithidieri.

Segurança e transparência
Para Renato Martini, Presidente do ITI, o processo de digitalização dos procedimentos da Nota Fiscal, Sped Contábil e Fiscal é talvez o maior movimento do País no sentido de desmaterializar os procedimentos chegando, inclusive, em hospitais. “A NF-e já é uma realidade. Ontem, às 18h10, já eram 704 milhões de NF-e responsáveis por movimentar R$ 9 trilhões. Isso significa racionalizar a arrecadação e a melhoria na fiscalização. Além disso, atualmente o que vale é o documento eletrônico, a impressão é uma cópia”, diz Martini.

Além de todo o arsenal tecnológico, as empresas ainda se deparam com um grande desafio: garantir a segurança da informação e confidencialidade dos dados. Muitas empresas não sabem a diferença entre os dois certificados digitais para a realização do procedimento fiscal, denominados como A1 e A3. `O primeiro pode ser, inclusive, carregado em um pen drive, e é bem comum ver pequenas e médias empresas usando. Já o segundo é bastante usado pelas grandes empresas e é mais difícil quebrar a chave de criptografia`, explica Denny Roger, presidente da Abrasinfo.

“Uso o certificado A1 e claro que tive que aperfeiçoar o sistema de segurança em que só uma pessoa maneja o certificado. Isso fez com que tivesse alguns benefícios interessantes. Tive que realmente rever todo o meu cadastro (500 clientes), a base de dados. Mas conquistei mais agilidade, transparência, confiabilidade, redução de custo operacional, por meio da revisão dos procedimentos internos e aperfeiçoamento dos sistemas de segurança”, conta José Alfredo Machado, vice-presidente do Conselho Regional de Administração (CRA) e presidente da importadora Telemotion.

Portanto, a segurança das informações garante transações eletrônicas mais confiáveis também no B2B, um avanço do EDI, market place e trocas de pedidos na cadeia logística. Tanto é assim que o acréscimo de notas fiscal com comércio eletrônico foi de 60%, o que gerou mais de R$ 1 bilhão no ano passado. Victor Murad, vice-presidente de Serviços Públicos e Projetos de Governança da câmara e-Net aposta na evolução dos impostos eletrônicos como alavancador para o crescimento não só do comércio online, como também um influenciador nas relações humanas, da sociedade. “Hoje você tem cadastro de Pessoa Física, Jurídica, mas e o Digital? Onde é que você armazena o seu PDF?”.

Atacado versus Varejo
Na avaliação de Flávio Martins, CIO do Grupo Martins, o maior benefício será a redução da concorrência desleal. “Isso, no nosso caso, será bastante positivo porque muitas empresas menores não emitem a nota e, ainda, acabam em nossos clientes – em Estados como o Mato Grosso – e alertam para que eles não comprem conosco porque vamos entregá-los ao Fisco. O contrário também existe. Já houve interesse de muitos clientes em implementar a NF-e e contaram com a nossa ajuda para o projeto”.

A concorrência desleal também se dá no varejo. Mas, ao contrário do que pensa Flávio Martins, quando defende que a NF-e terá benefícios de longo prazo, Clementino Bolan Filho, diretor Administrativo e Financeiro do Grupo Angeloni, acredita que o projeto deveria ser pensado melhor, estruturado de maneira macro e não uma colcha de retalhem em que cada região possui a sua legislação. “Estamos pegando um modelo de outros países e fazer um remendo dentro de uma estrutura de um ambiente alucinado, com tributos municipal, estadual e federal, é complicado”, avalia. Mas Bolan concorda com Martins quando se trata de concorrência.

“O objetivo é girar uma concorrência saudável de forma que o processo econômico e brasileiro fosse realizado de maneira saudável”, diz o executivo que conclui com o desabafo: “não vejo um benefício hoje no projeto”.

O executivo de TI do Martins concorda: “de fato, o benefício não é visível agora. A criatividade do legislador é absurda. Hoje é difícil manter as suas operações comerciais pari e passo, mas o compliance para o Grupo Martins representa o cumprimento de regras para não ter que ter que pagar multa mais tarde”.

Lições aprendidas
Muitas dúvidas ainda pairam a respeito da implementação da NF-e e Sped, como fazer em casa ou terceirizar. Essa foi uma das questões abordadas por Luis Cesar Lopes, gerente de Planejamento Tributário da M. Officer: “A companhia estava fase inicial da NF-e e do Sped Contábil e Fiscal. Olhando para dentro da empresa nos deparamos na seguinte questão: várias empresas interessadas em prestar serviço para o Grupo e oferecem algumas soluções e não consigo avaliar se compro ou não porque tenho dúvidas se parto para uma suíte de soluções ou terceirizo”.

Claudinei Zanotello, gerente sênior de TI da Thyssenkrupp, conta que uma das medidas adotadas foi contratar uma auditoria antes de enviar os dados para a Secretaria da Fazenda. “Isso nos garante, embora o custo seja alto, a garantia de mais transparência. Além de fazer a validação, essa empresa terceirizada verifica o balanço contábil e assim adiante. Hoje, usamos a solução da SAP, que elimina as inconsistências para que a NF-e seja enviada com precisão sem haver falhas internas. Não existe sistema dentro da empresa só de TI. Nenhum sistema que a TI colocar vai funcionar se não houver o envolvimento do usuário. Nas questões fiscais, é importante que eles também (contábil, jurídica, logística) para que na emissão de uma nota tenha a segurança necessária para que a empresa não sofra penalizações e multas”, conta Zanotello.

Veja também

Cuidado com a segurança da NF-eDedini, em dia com o Fisco

Fonte: http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=5847&sid=29

Sem comentários »

Rafael Porto (raporto@redegazeta.com.br)

Acessar bancos pela internet exige atenção redobrada. Segundo estimativa da Federação Brasileira de Bancos, fraudes onlilne causam um prejuízo anual de R$ 500 milhões.

O valor alarmante despertou a Polícia Federal para uma parceria com bancos: objetivo é reduzir pela metade o número de fraudes bancárias na web em 2010. E em 90% em 2011.

Para o delegado chefe da Unidade de Repressão a Crimes Cibernéticos (URCC), Carlos Eduardo Sobral, a agilidade no acesso às informações vai fazer a diferença. “Até fevereiro de 2009, recebíamos cada fraude de forma isolada, em papel, sem cruzamento de dados. Era difícil relacioná-las entre si”, lembra.

Com a participação dos bancos, que passam a alimentar a polícia com informações sobre transações financeiras ilegais, será possível calcular o número de quadrilhas e o raio de ação dos criminosos.

“Temos uma grande quantidade de casos de criminosos atuando em São Paulo, por exemplo, de um computador a 3.000km de distância. Com informações isoladas, a gente não conseguia chegar na quadrilha”, diz.

Fraudes
Há basicamente dois tipos de crimes de internet banking: a engenharia social e o phishing. No primeiro caso, o criminoso engana o usuário criando um site clonado, com o mesmo layout do original. Sem perceber, o usuário inclui dados de conta-corrente e senha, e se torna vítima do golpe.

Na segunda técnica, o cliente tem a senha roubada após clicar em uma isca – razão do nome “phishing”, que em inglês significa “pescaria”. E-mails prometendo fotos sensuais, recados e convites no Orkut, arquivos de fotos no MSN, tudo que atraia a curiosidade dos internautas é usado no golpe.

Depois de visitar o link, o usuário acaba fazendo download de um vírus rastreador. Tudo que é digitado no PC passa a ser automaticamente enviado pela web aos bandidos, que só têm o trabalho de entrar nas contas e transferir o dinheiro para “laranjas”.

Twitter está na mira dos cibercriminosos
Segundo previsão da McAfee Labs Twitter e Facebook serão os principais alvos dos hackers. “Os cibercriminosos aproveitam a confiança entre amigos para atraí-los aos seus sites. O uso de URLs abreviadas em sites como Twitter contribuem para que os cibercrimonosos camuflem ou disfarcem sites mal-intencionados”, explica estudo divulgado pela McAfee.

Falta prender os culpados
Denny Roger , Consultor em segurança da informação

Quando você recebe a informação de que existe uma página de banco clonada na internet, a polícia consegue pedir uma ação e tirá-la do ar, mas não vai prender ninguém, nem ir atrás dos estelionatários. Os criminosos não usam recursos hospedados no Brasil para disseminar vírus por e-mail, mas servidores estrangeiros. Quando a Polícia vê a origem do ataque, não pode fazer nada, porque não tem poder sobre a legislação de outros países. A iniciativa dos bancos de notificar a Polícia Federal não vai minimizar o número de crimes na internet, só vai melhorar as estatísticas. Ninguém aplica golpe no Brasil deixando pegadas aqui no país. O papel da Polícia é prender, mas para prender é preciso ter evidências. Os criminosos pararam de fazer transferências para ?laranjas? porque sabem que isto aumenta a chance de serem pegos. As quadrilhas são organizadas, têm estelionatários que fazer pagamentos de terceiros nas contas das vítimas, recebendo os valores em dinheiro depois. Hoje, o bandido sabe mais que um advogado.

Pesquisa
No Brasil

Prejuízo dos crimes online
327,6 mil – É o número de crimes cibernéticos registrados na internet pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil

26% – É o percentual equivalente ao crime de fraude, onde há furto de senhas com objetivos financeiros

72% – É o número de fraudes causadas por trojans, arquivos instalados no computador por meio de links enviados por e-mails e scraps

“Clonaram minha senha e fizeram uma limpa”
Um pequeno deslize pode por a perder um mês inteiro de trabalho. O chefe de recepção Stephan Romualdo Oliveira, 27, sentiu na pele – e no bolso – o que é isso.

Usuário experiente de internet, arriscou acessar sua conta fora de casa e, poucos dias depois, teve uma péssima surpresa: não encontrou dinheiro algum. “Clonaram minha senha e fizeram uma limpa. Acho que tinha algum vírus na máquina. O dinheiro foi transferido para outra conta, e depois para outra conta, até perder ele de vista”, lembra.

A história de Stephan teve final feliz. Depois de notificar o roubo, teve seu dinheiro devolvido pelo seguro do banco em 24h. Acessar bancos pela internet, nunca mais, garante Oliveira.

“Eu não tenho mais acesso ao internet banking, não confio mais. Mexendo na internet você está vulnerável a qualquer tipo de problema. Não dá para evitar”, define.

1 > Fora de casa
Evite acessar sua conta por meio de sites de bancos se estiver usando computadores instalados em locais de grande circulação de pessoas, como cibercafés, lan houses e outros computadores, mesmo que pessoais, de seu local de trabalho ou estudo que são compartilhados com outras pessoas.

2 > Phishing
Antes de clicar em qualquer link enviado por e-mail, desconfie. Sendo de origem duvidosa ou não, não custa nada confirmar com o remetente se ele enviou mesmo um e-mail para você. No Orkut, MSN e Twitter, é a mesma coisa. Não vale a pena arriscar sua segurança em serviços que prometem vantagens milagrosas.

3 > Trojan e Bots
Esses tipos de vírus estão em todo o lugar da internet. Para evitá-los, o melhor é não ceder às estratégias tentadoras do phishing. A segunda opção é manter um antivírus constantemente atualizado em seu computador. Avast (www.avast. com) e AVG (www.avgbrasil. com.br) estão entre os melhores programas gratuitos disponíveis na internet.

4 > Roubo de Senha
Antes de inserir seus dados, verifique se o site possui um certificado de segurança – caracterizado pela exibição de um cadeado na parte inferior do navegador – e se na barra de endereços o endereço começa com “https”. Troque periodicamente a senha utilizada para acessar seu banco na internet.

5 > Site Clonado
Se o usuário caiu em um site clonado, com certeza, foi redirecionado por um endereço eletrônico falso. A melhor forma de evitar esse tipo de crime é não clicar em links e optar sempre por digitar o endereço do banco na barra de endereços manualmente. Sites seguros têm um cadeado fechado na barra inferior.

Fonte: http://gazetaonline.globo.com/index.php?id=/local/a_gazeta/materia.php&cd_matia=593961

Sem comentários »

A CFSEC Security Architects, uma das principais empresas brasileiras que busca e desenvolve novos pontos de vista sobre Segurança da Informação, tem à sua frente, desde sua fundação em 2001, Nelson Corrêa. Desde 2005, o executivo tem conscientizado as empresas sobre como as inovações biométricas podem aumentar a segurança ou agregar valor aos softwares desenvolvidos. Ele também comenta, nesta entrevista exclusiva a EPSEC, suas experiências sobre a criação de uma escala de maturidade para a gestão da segurança, o crescimento do uso da biometria no Brasil e os desafios para estruturar uma área de segurança da informação. Conversamos com Nelson Corrêa sobre sua brilhante carreira e o perfil do profissional que atua na área de segurança da informação. Acompanhe a entrevista completa.

Acesse: http://epsec.com.br/blog/?p=129

Sem comentários »