No dia 11 de setembro, o Brasil comemorou 18 anos da promulgação da Lei nº 8.078, que estabeleceu o Código de Defesa do Consumidor.
O CDC foi fruto de uma expressa determinação constitucional que buscou preencher uma lacuna legislativa existente no Direito Brasileiro, onde as relações comerciais, tratadas de forma obsoleta por um Código Comercial do século XIX, não traziam nenhuma proteção ao consumidor.
De lá pra cá, muita água rolou. Várias entidades vêm tentando, ao longo dos anos, escapar de sua área de atuação. O período atual é de adequação total, inclusive com as empresas abraçando o conceito de relação com o cliente com prioridade em muitas de suas ações. Mas ainda há muito o que se conquistar.
Na minha opinião, o sucesso do código é evidente. Seus princípios contribuem muito para o avanço nas relações de consumo de um mundo moderno e desenvolvido que chega em nosso país. Mas falta ainda "uma exata compreensão de parte dos operadores do Direito sobre a magnitude do Código".
Às vezes, a lei é utilizada, e com "sucesso", para teses estranhas, porque estes operadores não conhecem bem a sistemática de produtos e serviços e a sua formação de preço ou limitações. "É preciso ouvir com mais atenção alguns esclarecimentos. Mas o problema não é geral”, complementa. "Ministério Público e órgãos de proteção do consumidor muitas vezes são sensíveis para estes problemas. O Poder Judiciário também."
Estamos de olho nesse código e nas demais práticas de relacionamento com muito afinco. E esperando que esse código comemore sua maioridade buscando a eterna melhora em sua aplicação.
sábado, 27 de setembro de 2008
Mobilidade Corporativa
Tem gente que está falando que já estou enchendo o saco com esse tal de enterprise mobility. Mas não dá... acredito muito que esse segmento é o que vai transformar formas como empresas se comportam, e mais ainda, irá alterar a rotina das pessoas... vai mudar muita coisa, inclusive na própria indústria de telecom, ou seja, na relação entre operadoras e fabricantes, relação desses com integradores e desenvolvedores de aplicações... e impacto na forma de comercialização de terminais.
Vale ressaltar aqui que quando falo de enterprise mobility, não me refiro somente aquelas empresas com planos corporativos, com adoção de aplicações e devices de mobilidade sofisticaos. Estou falando também do "prosumer", ou seja, daquele profissional que não é coberto pelo plano corporativo da empresa, ou até mesmo um profissional liberal que está em busca de ferramentas que aumente a produtividade, ou até mesmo algo que lhe proporcione uma diferenciação no seu meio.
Operadoras investiram muito em rede (cobertura e upgrade) e ganharam mercado graças a subsídio. Precisam mais que nunca recuperar seus investimentos através da venda de serviços, e ao mesmo tempo aumentar a fidelização de seus clientes. Considerando que o mercado corporativo deve ter um churn menor pois o custo de mudança de um plano corporativo acaba sendo maior, que soluções corporativas se pagam (ROI) pois as empresas ganham agilidade, produtividade e até melhora de imagem, é definitivamente o que as operadoras precisam. O Yankee Group prevê que usuários corporativos terãum um ARPU 2.5 vezes maior que o usuário de massa.
Acompanhei de perto os anúncios dos aparelhos da Nokia e da HP a chegarem ainda esse ano no Brasil. Interessante notar que fica cada vez mais comum devices com Bluetooth, WiFi e celular. E no caso da Nokia, ou melhor, da Nokia Enterprise Solutions (ES), fica a estratégia de se posicionar como um integrador de soluções, e não somente como fabricantes de aparelhos. Já no caso da HP, lançando o iPaq equipado de Bluetooth-WiFi-Celular e GPS embutido, o valor está não somente nas funcionalidades do aparelho, mas na presença da HP com um porfolio completo de terminais portáteis, além da já existente presença com servidores, desktops, e serviços junto as empresas.
Ou seja, cada vez mais o device é parte de uma solução maior. A oferta deve ter uma cadeia de valores forte formada de parcerias responsáveis. Definitivamente as operadoras estarão envolvidas, mas a dúvida é: será que elas são as empresas mais adequadas para liderar a oferta? Eu acredito que não. Pelo menos do jeito que as operadoras estão estruturadas hoje não. É aí que a brincadeira começa a ficar interessante...
Vale ressaltar também que ao mesmo tempo que tudo isso acontece (lançamento de novos terminais, operadoras celulares ganhando penetração de planos corporativos, empresas olhando para mobilidade corporativa como diferencial competitivo), o custo de conectividade para as empresas também começam a cair pelo aumento de competição. Além disso, existe um aumento de oferta de PABX-IP e Softphones...
Enfim, a voz também motivará a convergência fixo-móvel. Empresas irão entender que não será mais necessário um ramal fixo, ligado a uma rede cabeada ao PABX da forma como é hoje. Os próprios aparelhos WiFi-Celular poderão se transformar no ramal quando o profissional estiver dentro da área de coertura da rede da empresa utilizando Voz sobre WiFi, ou então fora da empresa com o mesmo terminal, mas agora utilizando o serviço celular.
E na tentativa de diminuir os riscos e custos, empresas irão começar a definir a compra de aparelhos homologados, baseados em sistemas operacionais (Windows vs Linux, Outlook vs. Notes, etc) padrões de tela, performance e autenticação de rede, etc. Sendo extremista, será o fim do poder dos profissionais em escolher os aparelhos que mais lhe agradam. Imagina o impacto que isso não terá nos fabricantes ou nas próprias operadoras...
Comentários? Críticas? Sugestões?
Vale ressaltar aqui que quando falo de enterprise mobility, não me refiro somente aquelas empresas com planos corporativos, com adoção de aplicações e devices de mobilidade sofisticaos. Estou falando também do "prosumer", ou seja, daquele profissional que não é coberto pelo plano corporativo da empresa, ou até mesmo um profissional liberal que está em busca de ferramentas que aumente a produtividade, ou até mesmo algo que lhe proporcione uma diferenciação no seu meio.
Operadoras investiram muito em rede (cobertura e upgrade) e ganharam mercado graças a subsídio. Precisam mais que nunca recuperar seus investimentos através da venda de serviços, e ao mesmo tempo aumentar a fidelização de seus clientes. Considerando que o mercado corporativo deve ter um churn menor pois o custo de mudança de um plano corporativo acaba sendo maior, que soluções corporativas se pagam (ROI) pois as empresas ganham agilidade, produtividade e até melhora de imagem, é definitivamente o que as operadoras precisam. O Yankee Group prevê que usuários corporativos terãum um ARPU 2.5 vezes maior que o usuário de massa.
Acompanhei de perto os anúncios dos aparelhos da Nokia e da HP a chegarem ainda esse ano no Brasil. Interessante notar que fica cada vez mais comum devices com Bluetooth, WiFi e celular. E no caso da Nokia, ou melhor, da Nokia Enterprise Solutions (ES), fica a estratégia de se posicionar como um integrador de soluções, e não somente como fabricantes de aparelhos. Já no caso da HP, lançando o iPaq equipado de Bluetooth-WiFi-Celular e GPS embutido, o valor está não somente nas funcionalidades do aparelho, mas na presença da HP com um porfolio completo de terminais portáteis, além da já existente presença com servidores, desktops, e serviços junto as empresas.
Ou seja, cada vez mais o device é parte de uma solução maior. A oferta deve ter uma cadeia de valores forte formada de parcerias responsáveis. Definitivamente as operadoras estarão envolvidas, mas a dúvida é: será que elas são as empresas mais adequadas para liderar a oferta? Eu acredito que não. Pelo menos do jeito que as operadoras estão estruturadas hoje não. É aí que a brincadeira começa a ficar interessante...
Vale ressaltar também que ao mesmo tempo que tudo isso acontece (lançamento de novos terminais, operadoras celulares ganhando penetração de planos corporativos, empresas olhando para mobilidade corporativa como diferencial competitivo), o custo de conectividade para as empresas também começam a cair pelo aumento de competição. Além disso, existe um aumento de oferta de PABX-IP e Softphones...
Enfim, a voz também motivará a convergência fixo-móvel. Empresas irão entender que não será mais necessário um ramal fixo, ligado a uma rede cabeada ao PABX da forma como é hoje. Os próprios aparelhos WiFi-Celular poderão se transformar no ramal quando o profissional estiver dentro da área de coertura da rede da empresa utilizando Voz sobre WiFi, ou então fora da empresa com o mesmo terminal, mas agora utilizando o serviço celular.
E na tentativa de diminuir os riscos e custos, empresas irão começar a definir a compra de aparelhos homologados, baseados em sistemas operacionais (Windows vs Linux, Outlook vs. Notes, etc) padrões de tela, performance e autenticação de rede, etc. Sendo extremista, será o fim do poder dos profissionais em escolher os aparelhos que mais lhe agradam. Imagina o impacto que isso não terá nos fabricantes ou nas próprias operadoras...
Comentários? Críticas? Sugestões?
O que é melhor para uma carreira de TI?
Generalista ou Especialista: o que é melhor para uma carreira na área de TI?
A maioria de nós tem ambições de crescimento na carreira: maiores responsabilidades, melhores salários, trabalhar por conta própria, fazer parte da “nata” que ocupa as melhores posições disponíveis no mercado, liderar outros profissionais, ser reconhecido por nosso conhecimento e talento.
Em momentos como o que vivemos hoje, de aquecimento do mercado, aumenta também a exigência em termos de qualificações. Torna-se então fundamental, entender no que as pessoas estão apostando para progredirem profissionalmente. Afinal, a demanda por bons profissionais de TI, no Brasil e no mundo, cresce e chega a exceder a oferta , e isso significa oportunidades para pessoas que querem “mexer” na sua carreira. O caminho escolhido, no entanto, vai ser determinante para o futuro.
Uma das decisões que envolvem maior risco é a que define a orientação da carreira pela especialização (alguma tecnologia, métodos que requerem conhecimentos específicos, temas complexos que poucos conseguem entender) ou por uma visão generalista (capacidade de gerenciar e coordenar operações e pessoas, concentrar-se na estratégia, saber pouco sobre muitas coisas).
Embora à primeira vista os generalistas pareçam ter alguma vantagem (em geral são os “chefes”), suas posições são tipicamente mais instáveis, há muita gente “de olho” nos seus cargos, e precisam ser hábeis negociadores para manter uma boa posição. Alguns especialistas vivem momentos de glória, quando seu conhecimento é comprado a peso de ouro por integradores de sistemas ou empresas usuárias de determinadas tecnologias.
Além disso, há a questão do DNA: nossas células carregam um perfil que, em geral, apresenta atributos difíceis de mudar, e que nos caracterizam como pessoas e como profissionais. Ou seja, não é só uma questão de querer, é também buscar o auto-conhecimento no sentido de determinar o que cada um faz de melhor, e como tirar proveito desse fato.
Qual a sua visão sobre a relação carreira em TI X perfil profissional?
A maioria de nós tem ambições de crescimento na carreira: maiores responsabilidades, melhores salários, trabalhar por conta própria, fazer parte da “nata” que ocupa as melhores posições disponíveis no mercado, liderar outros profissionais, ser reconhecido por nosso conhecimento e talento.
Em momentos como o que vivemos hoje, de aquecimento do mercado, aumenta também a exigência em termos de qualificações. Torna-se então fundamental, entender no que as pessoas estão apostando para progredirem profissionalmente. Afinal, a demanda por bons profissionais de TI, no Brasil e no mundo, cresce e chega a exceder a oferta , e isso significa oportunidades para pessoas que querem “mexer” na sua carreira. O caminho escolhido, no entanto, vai ser determinante para o futuro.
Uma das decisões que envolvem maior risco é a que define a orientação da carreira pela especialização (alguma tecnologia, métodos que requerem conhecimentos específicos, temas complexos que poucos conseguem entender) ou por uma visão generalista (capacidade de gerenciar e coordenar operações e pessoas, concentrar-se na estratégia, saber pouco sobre muitas coisas).
Embora à primeira vista os generalistas pareçam ter alguma vantagem (em geral são os “chefes”), suas posições são tipicamente mais instáveis, há muita gente “de olho” nos seus cargos, e precisam ser hábeis negociadores para manter uma boa posição. Alguns especialistas vivem momentos de glória, quando seu conhecimento é comprado a peso de ouro por integradores de sistemas ou empresas usuárias de determinadas tecnologias.
Além disso, há a questão do DNA: nossas células carregam um perfil que, em geral, apresenta atributos difíceis de mudar, e que nos caracterizam como pessoas e como profissionais. Ou seja, não é só uma questão de querer, é também buscar o auto-conhecimento no sentido de determinar o que cada um faz de melhor, e como tirar proveito desse fato.
Qual a sua visão sobre a relação carreira em TI X perfil profissional?
segunda-feira, 22 de setembro de 2008
O Direito de Arrependimento nas compras pela Internet
Dezenas de milhares de ofertas, produtos interessantes e serviços exclusivos: tudo ao nosso alcance, através da Internet. Basta clicar no que queremos, fornecer alguns dados, acertar o pagamento e... receber? Nem sempre. Entretanto podemos receber o que compramos apenas para ver que não era aquilo que queríamos ou o que nos foi ofertado.
A Web se transforma cada vez mais em um imenso shopping center. Porém, da mesma maneira que existem problemas com compras efetuadas em loja “reais”, o perigo existe e até mesmo se multiplica na Internet. É possível devolver o produto e receber seu dinheiro de volta nas compras efetuadas pela rede? A resposta é afirmativa e a solução não é nova: data de 1990 e está em nosso Código de Defesa do Consumidor, que em seu artigo 49 trata da compra efetuada fora do estabelecimento comercial. Dez anos atrás se pensava nas compras efetuadas por catálogo ou telefone, mas este dispositivo adequa-se perfeitamente às compras efetuadas pela Internet.
O problema do arrependimento nas compras on-line é muito comum e permite mostrar que a Internet não é tão carente de proteção legal como dizem alguns. Diz o artigo 49 do CDC que em sete dias a contar da compra ou do recebimento do produto, pode haver o arrependimento do comprador, podendo ele devolver o produto e se ressarcir dos valores eventualmente pagos, a qualquer título. A lei diz ainda que os valores serão devolvidos de imediato e monetariamente atualizados pelo período em que permaneceram com o vendedor. O motivo não é relevante, basta que o comprador entenda que o produto não correspondia aquilo que se esperava ou ofertava.
Há algumas particularidades no negócio on-line, em especial sobre a sua concretização. Esta se dá no momento da aceitação da proposta pelo comprador o que, no meio Internet, se traduz pelo clique no botão “sim”, na efetiva comunicação de seus dados pessoais, número de cartão de crédito ou mesmo pelo seu depósito em conta corrente em nome do vendedor. Passada esta fase temos de identificar os momentos corretos para a contagem do prazo para o arrependimento. Diz o artigo que o consumidor tem “07 (sete) dias a contar de sua assinatura ou do ato de recebimento do produto ou serviço”. Logo, como não há “assinatura” física, deve-se entender o primeiro momento como o da concretização do negócio na forma já explicada e o segundo como a data do real recebimento do produto ou prestação do serviço.
Dos momentos que a lei nos fornece temos sete dias para comunicar o desfazimento do contrato e é importante notar que sempre houve controvérsias sobre este ponto. No caso da Internet, pela sua própria característica de velocidade e interatividade, o prazo pode ser facilmente observado. Um e-mail, em geral, chega em poucos minutos ao seu destino e mesmo que o ofertante não abra sua caixa-postal no prazo legal da desistência, ela será válida pois o prazo foi obedecido no envio da mensagem pelo comprador e este não pode ficar a mercê dos hábitos de navegação daquele que lhe vendeu o objeto.
Porém cuidado: o e-commerce permite que se façam corriqueiras transações com empresas de outros estados e até países, tornando importante verificar a idoneidade da outra parte. Mesmo porque uma eventual ação judicial para fazer valer os seus direitos pode sair mais cara do que a compra em si. A companhia PricewaterhouseCoopers descobriu há pouco tempo que 29% dos consumidores on-line nos EUA devolveram algum item que foi comprado pela Web mas 41% quiseram retornar algum artigo adquirido pela Internet e não o fizeram por considerar que isto seria muito trabalhoso e caro... Logo, a lei pode lhe socorrer mas a melhor proteção ainda é a prevenção!
A Web se transforma cada vez mais em um imenso shopping center. Porém, da mesma maneira que existem problemas com compras efetuadas em loja “reais”, o perigo existe e até mesmo se multiplica na Internet. É possível devolver o produto e receber seu dinheiro de volta nas compras efetuadas pela rede? A resposta é afirmativa e a solução não é nova: data de 1990 e está em nosso Código de Defesa do Consumidor, que em seu artigo 49 trata da compra efetuada fora do estabelecimento comercial. Dez anos atrás se pensava nas compras efetuadas por catálogo ou telefone, mas este dispositivo adequa-se perfeitamente às compras efetuadas pela Internet.
O problema do arrependimento nas compras on-line é muito comum e permite mostrar que a Internet não é tão carente de proteção legal como dizem alguns. Diz o artigo 49 do CDC que em sete dias a contar da compra ou do recebimento do produto, pode haver o arrependimento do comprador, podendo ele devolver o produto e se ressarcir dos valores eventualmente pagos, a qualquer título. A lei diz ainda que os valores serão devolvidos de imediato e monetariamente atualizados pelo período em que permaneceram com o vendedor. O motivo não é relevante, basta que o comprador entenda que o produto não correspondia aquilo que se esperava ou ofertava.
Há algumas particularidades no negócio on-line, em especial sobre a sua concretização. Esta se dá no momento da aceitação da proposta pelo comprador o que, no meio Internet, se traduz pelo clique no botão “sim”, na efetiva comunicação de seus dados pessoais, número de cartão de crédito ou mesmo pelo seu depósito em conta corrente em nome do vendedor. Passada esta fase temos de identificar os momentos corretos para a contagem do prazo para o arrependimento. Diz o artigo que o consumidor tem “07 (sete) dias a contar de sua assinatura ou do ato de recebimento do produto ou serviço”. Logo, como não há “assinatura” física, deve-se entender o primeiro momento como o da concretização do negócio na forma já explicada e o segundo como a data do real recebimento do produto ou prestação do serviço.
Dos momentos que a lei nos fornece temos sete dias para comunicar o desfazimento do contrato e é importante notar que sempre houve controvérsias sobre este ponto. No caso da Internet, pela sua própria característica de velocidade e interatividade, o prazo pode ser facilmente observado. Um e-mail, em geral, chega em poucos minutos ao seu destino e mesmo que o ofertante não abra sua caixa-postal no prazo legal da desistência, ela será válida pois o prazo foi obedecido no envio da mensagem pelo comprador e este não pode ficar a mercê dos hábitos de navegação daquele que lhe vendeu o objeto.
Porém cuidado: o e-commerce permite que se façam corriqueiras transações com empresas de outros estados e até países, tornando importante verificar a idoneidade da outra parte. Mesmo porque uma eventual ação judicial para fazer valer os seus direitos pode sair mais cara do que a compra em si. A companhia PricewaterhouseCoopers descobriu há pouco tempo que 29% dos consumidores on-line nos EUA devolveram algum item que foi comprado pela Web mas 41% quiseram retornar algum artigo adquirido pela Internet e não o fizeram por considerar que isto seria muito trabalhoso e caro... Logo, a lei pode lhe socorrer mas a melhor proteção ainda é a prevenção!
quinta-feira, 18 de setembro de 2008
Segurança sustentável para a informação
O termo sustentável tem sido muito falado nos últimos tempos. Quem anda pelo mundo acadêmico empresarial ou tem lido livros sobre organizações com certeza se deparou com o tema sustentabilidade.
Apesar de todos nós entendermos o que significa, penso que se tivermos um repórter pela frente e nos peça para definir o termo, ficaremos um pouco confusos. Sendo assim, tomo a liberdade de elaborar uma definição simples para o termo sustentável: é a maneira de realizar uma tarefa, um processo ou qualquer outra ação de forma que possibilite e busque garantir a continuidade dessa ação ao longo do tempo, considerando uma abordagem profissional, honesta e respeitosa para com todos os atores envolvidos.
Na maioria das vezes é mais fácil identificar uma ação não sustentável. Por exemplo, uma organização de serviços que não valoriza adequadamente seus profissionais. Muito rapidamente ela não continuará prestando bons serviços, por mais discurso que tenha.
O processo de segurança da informação pode e deve ser um processo sustentável. Isto é: podemos ter um processo de proteção da informação que ele próprio gere mais condições para continuidade de vida do próprio processo.
O que poderia ser feito para possibilitar que o processo de segurança seja sustentável? Entendo que algumas ações são críticas para tal. Destaco:
a) Apoio da alta administração
O processo de segurança deve receber um verdadeiro apoio da alta administração. Não pode ser um apoio eventual que acontece apenas no dia do lançamento do processo de segurança. Tem que ser verdadeiro e contínuo. Tem que possibilitar que a segurança da informação faça parte da estratégia do negócio da organização.
b) Apoio pelo entendimento da necessidade de proteção
A organização que entende a necessidade da existência de um processo de segurança da informação para o negócio tem mais chances de continuar sua existência, em relação a uma organização que desenvolve ações de segurança apenas por que existe uma legislação. Evidentemente que temos que cumprir a legislação, mas o que estamos analisando aqui é a motivação. Além do que, muitas ações de segurança da informação não estão respaldadas por legislação: são as ações pautadas na ética e no profissionalismo.
c) Consideração da pessoa humana como elemento fundamental
O usuário da informação é a peça mais importante no processo de segurança da informação. Ele é o elemento através do qual a segurança se cristaliza, se materializa no nosso mundo real. O treinamento e a conscientização em segurança da informação é a maneira como a organização reforça o usuário e faz dele um elemento de sustentação da proteção da informação.
d) Desenvolvimento de projetos de forma profissional
Projetos de segurança da informação devem ser desenvolvidos considerando todos os fatores críticos de sucesso na condução de projetos. Mudança de escopo é um dos motivos de atraso e aumento no tempo e no custo. Um escopo inicial pode ser alterado? Claro que pode, apenas teremos que considerar o que isto afeta no tempo e no esforço em homens/horas. Muitas vezes clientes internos ou clientes externos, por alguma razão não querem a implementação daquele projeto, mudam totalmente o escopo e desejam que tudo continue como era antes. Francamente, temos que admitir duas opções para esse fato: um grande desconhecimento do tema segurança ou uma ação de má fé para prejudicar o projeto. O que você tem encontrado na sua vida profissional? Não posso apostar no percentual, mas tenho certeza que você já viu as duas situações. Identificar a causa do problema que impede o desenvolvimento de projeto de segurança é uma ação inteligente.
e) Os regulamentos valem para todos
As políticas, normas e procedimentos definidos em segurança da informação são válidos para todas as pessoas que acessam o ambiente da informação, independente do seu nível hierárquico. Se foi definido que não se pode acessar a Internet: nem o presidente nem o estagiário contratado há poucas horas poderão acessar a Internet. Se um executivo da organização esquece o crachá e vai obedientemente para o local de disponibilização de crachá provisório, significa que a regra vale para todos e temos chances de uma segurança sustentável. Caso contrário, se com a sua autoridade ele solicita (e consegue) que abram uma catraca para ele passar sem crachá, as chances de se gerar uma segurança sustentável, são baixas. Melhor dizendo: são nulas!
f) Segurança sustentável deve fazer parte de uma organização sustentável
O processo de segurança sustentável não vai existir de forma consistente se a organização não for uma organização sustentável. Uma organização não vai tratar o processo de segurança de maneira diferente de como trata os demais assuntos. Na realidade a realização do negócio deve ter uma filosofia de sustentabilidade. Com essa orientação os demais processos da organização vão seguir a mesma estrutura.
g) Continuidade do processo de segurança
O processo de segurança da informação deve ser contínuo e não pode ser apenas um projeto. É um processo. Podem e devem existir projetos (início, meio e fim) que desenvolverão ações e competências em proteção da informação. O processo de segurança da informação deve existir enquanto a organização existir.
Quando se fala de sustentabilidade, transparência e ética nos negócios, algumas pessoas não acreditam que a organização pode trabalhar dessa forma. Evidentemente que a abordagem sob esse ângulo considera todos os atores do negócio da organização e consequentemente a rentabilidade do capital investido pelos acionistas. Tenho os pés na realidade e sei das características cruéis do mundo das organizações, mas entendo que se os acionistas desejam a existência da organização ao longo do tempo é necessário seguir sob esses três aspectos: sustentabilidade, transparência e ética. Dessa forma a sustentabilidade deve ser considerada no processo de proteção da informação. Como anda a sua organização em relação a sustentabilidade da segurança da informação?
Apesar de todos nós entendermos o que significa, penso que se tivermos um repórter pela frente e nos peça para definir o termo, ficaremos um pouco confusos. Sendo assim, tomo a liberdade de elaborar uma definição simples para o termo sustentável: é a maneira de realizar uma tarefa, um processo ou qualquer outra ação de forma que possibilite e busque garantir a continuidade dessa ação ao longo do tempo, considerando uma abordagem profissional, honesta e respeitosa para com todos os atores envolvidos.
Na maioria das vezes é mais fácil identificar uma ação não sustentável. Por exemplo, uma organização de serviços que não valoriza adequadamente seus profissionais. Muito rapidamente ela não continuará prestando bons serviços, por mais discurso que tenha.
O processo de segurança da informação pode e deve ser um processo sustentável. Isto é: podemos ter um processo de proteção da informação que ele próprio gere mais condições para continuidade de vida do próprio processo.
O que poderia ser feito para possibilitar que o processo de segurança seja sustentável? Entendo que algumas ações são críticas para tal. Destaco:
a) Apoio da alta administração
O processo de segurança deve receber um verdadeiro apoio da alta administração. Não pode ser um apoio eventual que acontece apenas no dia do lançamento do processo de segurança. Tem que ser verdadeiro e contínuo. Tem que possibilitar que a segurança da informação faça parte da estratégia do negócio da organização.
b) Apoio pelo entendimento da necessidade de proteção
A organização que entende a necessidade da existência de um processo de segurança da informação para o negócio tem mais chances de continuar sua existência, em relação a uma organização que desenvolve ações de segurança apenas por que existe uma legislação. Evidentemente que temos que cumprir a legislação, mas o que estamos analisando aqui é a motivação. Além do que, muitas ações de segurança da informação não estão respaldadas por legislação: são as ações pautadas na ética e no profissionalismo.
c) Consideração da pessoa humana como elemento fundamental
O usuário da informação é a peça mais importante no processo de segurança da informação. Ele é o elemento através do qual a segurança se cristaliza, se materializa no nosso mundo real. O treinamento e a conscientização em segurança da informação é a maneira como a organização reforça o usuário e faz dele um elemento de sustentação da proteção da informação.
d) Desenvolvimento de projetos de forma profissional
Projetos de segurança da informação devem ser desenvolvidos considerando todos os fatores críticos de sucesso na condução de projetos. Mudança de escopo é um dos motivos de atraso e aumento no tempo e no custo. Um escopo inicial pode ser alterado? Claro que pode, apenas teremos que considerar o que isto afeta no tempo e no esforço em homens/horas. Muitas vezes clientes internos ou clientes externos, por alguma razão não querem a implementação daquele projeto, mudam totalmente o escopo e desejam que tudo continue como era antes. Francamente, temos que admitir duas opções para esse fato: um grande desconhecimento do tema segurança ou uma ação de má fé para prejudicar o projeto. O que você tem encontrado na sua vida profissional? Não posso apostar no percentual, mas tenho certeza que você já viu as duas situações. Identificar a causa do problema que impede o desenvolvimento de projeto de segurança é uma ação inteligente.
e) Os regulamentos valem para todos
As políticas, normas e procedimentos definidos em segurança da informação são válidos para todas as pessoas que acessam o ambiente da informação, independente do seu nível hierárquico. Se foi definido que não se pode acessar a Internet: nem o presidente nem o estagiário contratado há poucas horas poderão acessar a Internet. Se um executivo da organização esquece o crachá e vai obedientemente para o local de disponibilização de crachá provisório, significa que a regra vale para todos e temos chances de uma segurança sustentável. Caso contrário, se com a sua autoridade ele solicita (e consegue) que abram uma catraca para ele passar sem crachá, as chances de se gerar uma segurança sustentável, são baixas. Melhor dizendo: são nulas!
f) Segurança sustentável deve fazer parte de uma organização sustentável
O processo de segurança sustentável não vai existir de forma consistente se a organização não for uma organização sustentável. Uma organização não vai tratar o processo de segurança de maneira diferente de como trata os demais assuntos. Na realidade a realização do negócio deve ter uma filosofia de sustentabilidade. Com essa orientação os demais processos da organização vão seguir a mesma estrutura.
g) Continuidade do processo de segurança
O processo de segurança da informação deve ser contínuo e não pode ser apenas um projeto. É um processo. Podem e devem existir projetos (início, meio e fim) que desenvolverão ações e competências em proteção da informação. O processo de segurança da informação deve existir enquanto a organização existir.
Quando se fala de sustentabilidade, transparência e ética nos negócios, algumas pessoas não acreditam que a organização pode trabalhar dessa forma. Evidentemente que a abordagem sob esse ângulo considera todos os atores do negócio da organização e consequentemente a rentabilidade do capital investido pelos acionistas. Tenho os pés na realidade e sei das características cruéis do mundo das organizações, mas entendo que se os acionistas desejam a existência da organização ao longo do tempo é necessário seguir sob esses três aspectos: sustentabilidade, transparência e ética. Dessa forma a sustentabilidade deve ser considerada no processo de proteção da informação. Como anda a sua organização em relação a sustentabilidade da segurança da informação?
Segurança 360 graus: possível e necessária!
Quando falamos de segurança estamos nos referindo a proteção de recursos da organização que são importantes ou críticos para a realização do seu negócio. Sendo assim essa proteção deve ser completa e deve considerar todos os aspectos relativos à organização.
Nas palestras e conversas que participo lembro a todos que qualquer divisão que fazemos nesse assunto, é uma divisão didática. Na prática, quando nos chega um problema, todos os conceitos chegam juntos. Por exemplo, roubo do notebook do presidente da organização dentro da sala da presidência. Podemos ficar horas discutindo: é problema da segurança patrimonial, pois alguém não autorizado invadiu a sala do presidente; problema da pessoa do presidente que levou o micro para casa trouxe de volta, mas não colocou o cabo de segurança; é problema de tecnologia, pois se os dados estivessem criptografados, não teríamos problema maior; é problema de processos, pois o planejamento documento sobre a estratégia da empresa não poderia estar no notebook, tinha que estar sempre no servidor; temos um espião na nossa empresa; logo hoje o sistema de gravação de imagem estava em manutenção; e a secretária não viu nada?; e um conjunto de outras considerações e comentários.
Pouco importa para o usuário, neste caso o presidente da organização, saber qual o aspecto de segurança que falhou. O que ele quer é usar o notebook e acessar as informações. Evidentemente vai querer saber se não houve vazamento de informação. Não interessa que aspecto da segurança falhou. Para ele a segurança falhou!
Tenha uma visão 360 graus. Considere todos os aspectos e faça com que eles funcionem em harmonia e de forma profissional: segurança em tecnologia, segurança das pessoas, segurança patrimonial, inteligência e contra inteligência, crises, etc...
Ah! Antes que eu esqueça, no caso que citei acima, do roubo do notebook do presidente, o que aconteceu mesmo, foi que ele deixou o micro em casa.
Acontece! E não vale reclamar do usuário.
Nas palestras e conversas que participo lembro a todos que qualquer divisão que fazemos nesse assunto, é uma divisão didática. Na prática, quando nos chega um problema, todos os conceitos chegam juntos. Por exemplo, roubo do notebook do presidente da organização dentro da sala da presidência. Podemos ficar horas discutindo: é problema da segurança patrimonial, pois alguém não autorizado invadiu a sala do presidente; problema da pessoa do presidente que levou o micro para casa trouxe de volta, mas não colocou o cabo de segurança; é problema de tecnologia, pois se os dados estivessem criptografados, não teríamos problema maior; é problema de processos, pois o planejamento documento sobre a estratégia da empresa não poderia estar no notebook, tinha que estar sempre no servidor; temos um espião na nossa empresa; logo hoje o sistema de gravação de imagem estava em manutenção; e a secretária não viu nada?; e um conjunto de outras considerações e comentários.
Pouco importa para o usuário, neste caso o presidente da organização, saber qual o aspecto de segurança que falhou. O que ele quer é usar o notebook e acessar as informações. Evidentemente vai querer saber se não houve vazamento de informação. Não interessa que aspecto da segurança falhou. Para ele a segurança falhou!
Tenha uma visão 360 graus. Considere todos os aspectos e faça com que eles funcionem em harmonia e de forma profissional: segurança em tecnologia, segurança das pessoas, segurança patrimonial, inteligência e contra inteligência, crises, etc...
Ah! Antes que eu esqueça, no caso que citei acima, do roubo do notebook do presidente, o que aconteceu mesmo, foi que ele deixou o micro em casa.
Acontece! E não vale reclamar do usuário.
Portabilidade: Por que não querem?
A Portabilidade é o recurso que permite que um assinante mude de operadora levando consigo o número da linha. Recentemente a Anatel recebeu pedido de algumas operadoras pedindo o adiamento do cronograma da portabilidade para janeiro de 2009. Porém o prazo foi mantido pela Agência. A portabilidade gera uma relação jurídica de propriedade entre o usuário e sua linha telefônica, relação esta que agora é oponível a todos.
Único requisito é que se mantenha o usuário no mesmo DDD, devendo-se destacar que as mudanças estarão sujeitas à cobrança de taxa de instalação. Pelo cronograma da Anatel, o Brasil todo deverá contar com a portabilidade até março de 2009. Portabilidade já é uma realidade no mundo há muito tempo, no Reino Unido, desde 1996 existe este benefício ao consumidor. Não precisa ir longe, aliás, nossos vizinhos Porto-Riquenhos contam com a tecnologia desde 2006.
Mas, porque será que aqui algumas operadoras "emperraram" ?
Aqui, com o regulamento da portabilidade, nascem as figuras da prestadora doadora e prestadora receptora. Porém, o estranho é a criação de uma "entidade intermediadora", cuja finalidade e imprescindibilidade questiono seriamente, denominada “Entidade Administradora”, esta que irá gerir uma "chamada" de Base de Dados Nacional de Referência da Portabilidade. (BDR), um banco de dados, com as informações completas sobre os "portáveis".
Mas quem pagará este "ente místico" ? Como o usuário não pode ser onerado, caberá as operadoras pagarem a Entidade Administradora, proporcionalmente. Só isso ?
Neste "cobra cobra" é preciso ficar claro: a prestadora receptora pode cobrar do usuário um valor pela facilidade na rede (pelo ingresso deste em sua rede). Quem não pode cobrar nada é a operadora doadora, ou seja, aquela cujo usuário não quer ver mais na sua frente por um bom tempo! Isso não significa dizer que carências não devam ser respeitadas: Aquele cidadão que sonha com um celular de $ 2.000,00 no plano pré-pago, mas aceita pagar $1,00 no mesmo em um plano pós-pago de $500,00 mensais por 12 (doze) meses, não pode no dia seguinte, na maior desfaçatez, simplesmente ignorar o contrato. A operadora não poderá segurar o mesmo, mas a dívida ou multa rescisória poderá ser cobrada.
O prazo para portar é de 5 (cinco) dias úteis. A partir do segundo ano, as operadoras tem 3 (três) dias úteis para finalizar o serviço solicitado. Por segurança, o pedido de portabilidade pode ser indeferido em três situações: Dados incorretos ou incompletos, Código de Acesso Inexistente ou Já em andamento solicitação para o mesmo número.
O usuário que quiser fazer a portabilidade deve se dirigir à operadora receptora diretamente, informando que quer fazer uma habilitação mas mantendo seu numero. Ou seja, nem para cancelar com a antiga operadora é preciso que o usuário a contate. Basta ir até a nova prestadora, e deixar que a velha a nova e a tal "Entidade Administradora" se entendam, tudo, em no máximo 5 (cinco) dias, para não violar direitos consumeristas.
Todas estas regras estão previstas no regulamento geral de portabilidade, anexo à Resolução Anatel 460/2007. Ainda, nos termos do art. 8o. do Regulamento, a portabilidade se aplica tanto à troca de planos quanto à troca de prestadoras.
Em tal cenário, pode-se entender porque algumas operadoras reagiram inclusive judicialmente contra o Regulamento da Portabilidade: custo! A operadores pagam para se adaptarem à nova tecnologia, pagam à Entidade Administradora, não podem mais cobrar pela saída do cliente de sua base, expõe dados de seus clientes a outras operadoras e ainda devem investir como sobrevivência em qualidade e promoções, já que agora, se existe uma amarra que segure o cliente na operadora, esta não é mais seu numero que usa há décadas, mas só poderá ser a efetiva qualidade dos serviços prestados!
Único requisito é que se mantenha o usuário no mesmo DDD, devendo-se destacar que as mudanças estarão sujeitas à cobrança de taxa de instalação. Pelo cronograma da Anatel, o Brasil todo deverá contar com a portabilidade até março de 2009. Portabilidade já é uma realidade no mundo há muito tempo, no Reino Unido, desde 1996 existe este benefício ao consumidor. Não precisa ir longe, aliás, nossos vizinhos Porto-Riquenhos contam com a tecnologia desde 2006.
Mas, porque será que aqui algumas operadoras "emperraram" ?
Aqui, com o regulamento da portabilidade, nascem as figuras da prestadora doadora e prestadora receptora. Porém, o estranho é a criação de uma "entidade intermediadora", cuja finalidade e imprescindibilidade questiono seriamente, denominada “Entidade Administradora”, esta que irá gerir uma "chamada" de Base de Dados Nacional de Referência da Portabilidade. (BDR), um banco de dados, com as informações completas sobre os "portáveis".
Mas quem pagará este "ente místico" ? Como o usuário não pode ser onerado, caberá as operadoras pagarem a Entidade Administradora, proporcionalmente. Só isso ?
Neste "cobra cobra" é preciso ficar claro: a prestadora receptora pode cobrar do usuário um valor pela facilidade na rede (pelo ingresso deste em sua rede). Quem não pode cobrar nada é a operadora doadora, ou seja, aquela cujo usuário não quer ver mais na sua frente por um bom tempo! Isso não significa dizer que carências não devam ser respeitadas: Aquele cidadão que sonha com um celular de $ 2.000,00 no plano pré-pago, mas aceita pagar $1,00 no mesmo em um plano pós-pago de $500,00 mensais por 12 (doze) meses, não pode no dia seguinte, na maior desfaçatez, simplesmente ignorar o contrato. A operadora não poderá segurar o mesmo, mas a dívida ou multa rescisória poderá ser cobrada.
O prazo para portar é de 5 (cinco) dias úteis. A partir do segundo ano, as operadoras tem 3 (três) dias úteis para finalizar o serviço solicitado. Por segurança, o pedido de portabilidade pode ser indeferido em três situações: Dados incorretos ou incompletos, Código de Acesso Inexistente ou Já em andamento solicitação para o mesmo número.
O usuário que quiser fazer a portabilidade deve se dirigir à operadora receptora diretamente, informando que quer fazer uma habilitação mas mantendo seu numero. Ou seja, nem para cancelar com a antiga operadora é preciso que o usuário a contate. Basta ir até a nova prestadora, e deixar que a velha a nova e a tal "Entidade Administradora" se entendam, tudo, em no máximo 5 (cinco) dias, para não violar direitos consumeristas.
Todas estas regras estão previstas no regulamento geral de portabilidade, anexo à Resolução Anatel 460/2007. Ainda, nos termos do art. 8o. do Regulamento, a portabilidade se aplica tanto à troca de planos quanto à troca de prestadoras.
Em tal cenário, pode-se entender porque algumas operadoras reagiram inclusive judicialmente contra o Regulamento da Portabilidade: custo! A operadores pagam para se adaptarem à nova tecnologia, pagam à Entidade Administradora, não podem mais cobrar pela saída do cliente de sua base, expõe dados de seus clientes a outras operadoras e ainda devem investir como sobrevivência em qualidade e promoções, já que agora, se existe uma amarra que segure o cliente na operadora, esta não é mais seu numero que usa há décadas, mas só poderá ser a efetiva qualidade dos serviços prestados!
Roubo de Informações - Medidas de proteção
As medidas de proteção têm por objetivo evitar que a ameaça de roubo de informações se concretize. Caso a ameaça se materialize, temos por objetivo que essa ocorrência seja rapidamente identificada e que as medidas de minimização do impacto para a organização sejam realizadas. Para a ameaça de roubo de informações podemos destacar algumas contra medidas. A primeira delas é o conjunto de barreiras de proteção. A barreira de proteção é um conjunto de ações implantadas que tentam impedir que pessoas não autorizadas acessem a informação ou a mídia/meio onde a informação está armazenada ou por onde a informação está sendo transmitida.
A primeira barreira é a barreira física. Devem existir proteções como porta com fechadura ou similar para garantir que somente pessoas autorizadas podem acessar aquele ambiente físico. Complementar a esse tipo de proteção podemos ter uma melhor segurança com a presença física e constante de um guarda patrimonial ou equivalente.
A segunda barreira é o controle de acesso lógico que acontece através de sistemas que exigem do usuário uma autenticação forte, sendo também necessário que o usuário tenha sido previamente cadastrado.
A terceira barreira, caso uma pessoa indevida consiga acesso de forma direta à mídia onde se encontram os dados, é a criptografia das informações. Dessa maneira, caso uma pessoa que não possua a devida autorização tome posse da mídia onde estão as informações, ela não conseguirá entender a informação inicial, em função de que a informação gravada na mídia foi submetida a um processo de criptografia.
Uma quarta barreira de proteção possível para aquelas informações de alto sigilo é a separação da informação de maneira que nenhum recurso possua toda a informação daquela situação.
Para cada uma dessas barreiras existem ações que podem quebrar a proteção implantada: uma porta pode ser arrombada, um cadeado pode ser aberto de maneira anormal, uma autenticação via senha pode ser descoberta e uma criptografia pode ser quebrada. Tudo depende do grau de solidez e custo da solução implantada. Arrombar uma porta de madeira é bem mais fácil do que arrombar a porta de um cofre. Lembre-se que o ladrão possui limitadores: o tempo e o custo para acessar a informação. Para o caso da criptografia existem algoritmos que utilizam chaves de vários tamanhos. Quando maior o tamanho da chave mais difícil (e demorada) será a quebra da criptografia. Porém, podemos afirmar que existem soluções técnicas (e processos) de boa proteção, compatíveis com o grau de proteção desejado.
A segunda medida preventiva que se deve implantar é o registro de quem está acessando a informação. A colocação de um circuito inteligente de gravação de imagem registra quem está acessando uma midia que contem a informação. Esta pode ser uma medida de inibição em função de que a pessoa sabe que sua imagem ficará gravada e seu reconhecimento acontecerá logo após a detecção da fraude. Para esse tipo de medida na maioria das vezes é adequado informar a existência dessa proteção. Em situações mais específicas esse sistema deve ficar em segredo. Em relação ao mundo virtual esta proteção significa ter o registro das tentativas de acesso (com sucesso e sem sucesso) à informação.
A terceira medida para prevenção é a existência prévia de um processo que permita a manutenção das evidências de roubo. Normalmente essa é uma atividade que recebe pouca importância, mas é crucial. E temos que admitir que precisamos contar com a ajuda de um especialista no assunto forense para que nos auxilie a preparar esse processo previamente. Essa questão das evidências do roubo vale tanto para o mundo real como para o mundo virtual.
O quarto grupo de ações é a continua avaliação de risco em relação ao acesso (físico e lógico) da informação e do bem de informação que se quer proteger. Esse contínuo planejar, analisar, melhorar e implantar, permitirá a antecipação de situações que poderiam utilizar de vulnerabilidades existentes.
O quinto grupo de ações de proteção é a existência de ações detectivas que permitam a identificação o mais rápido possível de uma situação de roubo de informação. Muitas vezes isso não é fácil porque apenas acontece o roubo da informação e a mídia que contêm a informação continua intacta e não apresenta evidência física de roubo.
As medidas corretivas formam o último bloco das medidas de proteção. Após a ocorrência do roubo de informação (apenas informação ou das mídias que contêm informação) deve-se ter definido o que será necessário fazer para que a organização tenha o menor impacto.
O conhecimento dessas medidas de proteção é relativamente fácil. O difícil é a implantação e a dosagem de implantação dos controles de proteção. A área de negócio deve informar a área de segurança qual o valor da informação a ser protegida e a partir daí a segurança da informação deve definir os controles adequados de proteção que serão implantados.
Afinal a proteção da informação é para a organização: seu negócio, sua imagem, seu futuro!
A primeira barreira é a barreira física. Devem existir proteções como porta com fechadura ou similar para garantir que somente pessoas autorizadas podem acessar aquele ambiente físico. Complementar a esse tipo de proteção podemos ter uma melhor segurança com a presença física e constante de um guarda patrimonial ou equivalente.
A segunda barreira é o controle de acesso lógico que acontece através de sistemas que exigem do usuário uma autenticação forte, sendo também necessário que o usuário tenha sido previamente cadastrado.
A terceira barreira, caso uma pessoa indevida consiga acesso de forma direta à mídia onde se encontram os dados, é a criptografia das informações. Dessa maneira, caso uma pessoa que não possua a devida autorização tome posse da mídia onde estão as informações, ela não conseguirá entender a informação inicial, em função de que a informação gravada na mídia foi submetida a um processo de criptografia.
Uma quarta barreira de proteção possível para aquelas informações de alto sigilo é a separação da informação de maneira que nenhum recurso possua toda a informação daquela situação.
Para cada uma dessas barreiras existem ações que podem quebrar a proteção implantada: uma porta pode ser arrombada, um cadeado pode ser aberto de maneira anormal, uma autenticação via senha pode ser descoberta e uma criptografia pode ser quebrada. Tudo depende do grau de solidez e custo da solução implantada. Arrombar uma porta de madeira é bem mais fácil do que arrombar a porta de um cofre. Lembre-se que o ladrão possui limitadores: o tempo e o custo para acessar a informação. Para o caso da criptografia existem algoritmos que utilizam chaves de vários tamanhos. Quando maior o tamanho da chave mais difícil (e demorada) será a quebra da criptografia. Porém, podemos afirmar que existem soluções técnicas (e processos) de boa proteção, compatíveis com o grau de proteção desejado.
A segunda medida preventiva que se deve implantar é o registro de quem está acessando a informação. A colocação de um circuito inteligente de gravação de imagem registra quem está acessando uma midia que contem a informação. Esta pode ser uma medida de inibição em função de que a pessoa sabe que sua imagem ficará gravada e seu reconhecimento acontecerá logo após a detecção da fraude. Para esse tipo de medida na maioria das vezes é adequado informar a existência dessa proteção. Em situações mais específicas esse sistema deve ficar em segredo. Em relação ao mundo virtual esta proteção significa ter o registro das tentativas de acesso (com sucesso e sem sucesso) à informação.
A terceira medida para prevenção é a existência prévia de um processo que permita a manutenção das evidências de roubo. Normalmente essa é uma atividade que recebe pouca importância, mas é crucial. E temos que admitir que precisamos contar com a ajuda de um especialista no assunto forense para que nos auxilie a preparar esse processo previamente. Essa questão das evidências do roubo vale tanto para o mundo real como para o mundo virtual.
O quarto grupo de ações é a continua avaliação de risco em relação ao acesso (físico e lógico) da informação e do bem de informação que se quer proteger. Esse contínuo planejar, analisar, melhorar e implantar, permitirá a antecipação de situações que poderiam utilizar de vulnerabilidades existentes.
O quinto grupo de ações de proteção é a existência de ações detectivas que permitam a identificação o mais rápido possível de uma situação de roubo de informação. Muitas vezes isso não é fácil porque apenas acontece o roubo da informação e a mídia que contêm a informação continua intacta e não apresenta evidência física de roubo.
As medidas corretivas formam o último bloco das medidas de proteção. Após a ocorrência do roubo de informação (apenas informação ou das mídias que contêm informação) deve-se ter definido o que será necessário fazer para que a organização tenha o menor impacto.
O conhecimento dessas medidas de proteção é relativamente fácil. O difícil é a implantação e a dosagem de implantação dos controles de proteção. A área de negócio deve informar a área de segurança qual o valor da informação a ser protegida e a partir daí a segurança da informação deve definir os controles adequados de proteção que serão implantados.
Afinal a proteção da informação é para a organização: seu negócio, sua imagem, seu futuro!
Monitoração de Fraudes nos Sistemas de Informação
Os canais eletrônicos de relacionamento de grande abrangência com clientes e parceiros fazem parte da estratégia de muitas empresas de diferentes indústrias. O objetivo claro é diminuir o custo operacional da estrutura de suporte. Para exemplificar, temos os sistemas Internet Banking, os sistemas de carga de telefones celulares, benefícios corporativos (vale-alimentação, transporte), gestão terceirizada de folha de pagamento e processos de contabilidade, entre outros tantos.
É verdade também que o risco inerente da estratégia é conviver com novas e diferentes vulnerabilidades e técnicas de ataques e fraudes, por meio dos sistemas automatizados. Um ataque bem estruturado e de grande abrangência pode não só gerar uma perda financeira significativa, como acabar com um negócio a partir da fuga em massa dos clientes, por causa da perda da confiança no canal.
Dentro deste contexto, é importante destacar quais medidas devem ser tomadas, ainda durante o planejamento do projeto, para mitigar os riscos levantados. As análises de vulnerabilidades, ou testes de invasão como preferem chamar alguns, são um pré-requisito de qualquer projeto desta natureza, mas podem não ser suficientes atualmente.
É necessário ter um monitoramento contínuo das transações, buscando identificar tentativas de fraudes, ou mesmo testes de limites e controles dos sistemas. Isto é muito comum na área de cartões de crédito. Quem já não teve uma transação negada porque ela não era compatível com o perfil de utilização?
Neste sentido, atualmente, parece ser uma necessidade, e quase uma exigência, migrar esta tecnologia e experiência de monitoração de fraudes para os sistemas emergentes. Refiro-me a criar BIs (Business Intelligence) específicos para monitoramento de transações em tempo de autorização/execução. É claro que as regras de verificações e ações devem ser especificas e adequadas a cada negócio.
Para ilustrar a questão; eventualmente, em um sistema de seguro saúde, uma transação a partir de um cartão magnético em uma entrada de hospital no Pronto Socorro jamais poderá ser negada por suspeita de fraude, mas certamente ela poderá ser “marcada” para acompanhamento mais detalhado.
Por outro lado, a autorização de transações de um mesmo cartão-refeição em locais distantes em curto espaço de tempo pode caracterizar uma suspeita de fraude e gerar uma negação.
Reparem que muito mais do que um trabalho de tecnologia, estamos lidando com o conhecimento aprofundado do processo de negócio, da indústria e do mercado em que a empresa está inserida. Também não é difícil perceber que não se trata de um projeto, com começo, meio e fim. Trata-se de um processo contínuo, no qual as regras e ações serão aperfeiçoadas continuamente e indicadores de qualidade e eficiência devem ser claramente definidos e acompanhados.
É verdade também que o risco inerente da estratégia é conviver com novas e diferentes vulnerabilidades e técnicas de ataques e fraudes, por meio dos sistemas automatizados. Um ataque bem estruturado e de grande abrangência pode não só gerar uma perda financeira significativa, como acabar com um negócio a partir da fuga em massa dos clientes, por causa da perda da confiança no canal.
Dentro deste contexto, é importante destacar quais medidas devem ser tomadas, ainda durante o planejamento do projeto, para mitigar os riscos levantados. As análises de vulnerabilidades, ou testes de invasão como preferem chamar alguns, são um pré-requisito de qualquer projeto desta natureza, mas podem não ser suficientes atualmente.
É necessário ter um monitoramento contínuo das transações, buscando identificar tentativas de fraudes, ou mesmo testes de limites e controles dos sistemas. Isto é muito comum na área de cartões de crédito. Quem já não teve uma transação negada porque ela não era compatível com o perfil de utilização?
Neste sentido, atualmente, parece ser uma necessidade, e quase uma exigência, migrar esta tecnologia e experiência de monitoração de fraudes para os sistemas emergentes. Refiro-me a criar BIs (Business Intelligence) específicos para monitoramento de transações em tempo de autorização/execução. É claro que as regras de verificações e ações devem ser especificas e adequadas a cada negócio.
Para ilustrar a questão; eventualmente, em um sistema de seguro saúde, uma transação a partir de um cartão magnético em uma entrada de hospital no Pronto Socorro jamais poderá ser negada por suspeita de fraude, mas certamente ela poderá ser “marcada” para acompanhamento mais detalhado.
Por outro lado, a autorização de transações de um mesmo cartão-refeição em locais distantes em curto espaço de tempo pode caracterizar uma suspeita de fraude e gerar uma negação.
Reparem que muito mais do que um trabalho de tecnologia, estamos lidando com o conhecimento aprofundado do processo de negócio, da indústria e do mercado em que a empresa está inserida. Também não é difícil perceber que não se trata de um projeto, com começo, meio e fim. Trata-se de um processo contínuo, no qual as regras e ações serão aperfeiçoadas continuamente e indicadores de qualidade e eficiência devem ser claramente definidos e acompanhados.
Como fica a segurança com a terceirização de TI
O volume de terceirização de ambientes de TI e processos de negócios mostram a tendência atual de redução de custos internos com tecnologia. Sem dúvida, essa tendência demonstra o sucesso das empresas que prestam os serviços de hosting, co-location, BPO (Business process outsourcing), etc.
Nesse processo é fundamental avaliar os riscos inerentes de segurança da informação. A partir do momento que os ativos, os sistemas e os dados serão gerenciados ou hospedados por um terceiro, deve-se prever quais são os controles exigidos para a migração e os indicadores que serão acompanhados ao longo do tempo. De preferência, esses indicadores devem estar relacionados com parâmetros financeiros com o objetivo de serem efetivamente acompanhados por ambas as partes.
Supondo que o processo seja planejado adequadamente, o próximo desafio é: como assegurar que os valores informados nos relatórios gerenciais mensais representam a realidade do ambiente? Neste sentido, é recomendável que a empresa que está terceirizando um processo ou parte de sua TI, estabeleça processos internos e ferramentas para dispor de relatórios próprios que possam ser confrontados com aqueles recebidos pelo prestador de serviço e, regularmente, façam reuniões de alinhamento dos resultados e refinamento dos indicadores definidos.
Também devem ser estabelecidos processos de auditorias específicas sobre os controles de segurança. Estas auditorias têm por objetivo verificar que os processos que não são mensuráveis ou acompanhados pelos indicadores também sejam monitorados de alguma forma. Nesta classe, estão os logs de segurança, a aplicação de correções (patches) de sistemas operacionais, bancos de dados, aplicativos, etc. Outra preocupação diz respeito ao backup dos servidores e dados, assim como o armazenamento e gerenciamento das mídias.
A avaliação interna do prestador de serviço também permite avaliar a estrutura interna de pessoas, os controles de acesso para terceiros de manutenção a segregação de ambientes físicos, lógicos e de pessoal entre empresas concorrentes, entre outros.
Finalizando, a terceirização de processos e ambientes de TI deve passar uma análise de riscos criteriosa com o objetivo de subsidiar a equipe jurídica responsável pelo estabelecimento dos contratos e SLA, assim como o estabelecimento de processos e ferramentas de gestão sobre o terceiro que será parte crítica dos negócios da companhia partir do dia da migração.
Nesse processo é fundamental avaliar os riscos inerentes de segurança da informação. A partir do momento que os ativos, os sistemas e os dados serão gerenciados ou hospedados por um terceiro, deve-se prever quais são os controles exigidos para a migração e os indicadores que serão acompanhados ao longo do tempo. De preferência, esses indicadores devem estar relacionados com parâmetros financeiros com o objetivo de serem efetivamente acompanhados por ambas as partes.
Supondo que o processo seja planejado adequadamente, o próximo desafio é: como assegurar que os valores informados nos relatórios gerenciais mensais representam a realidade do ambiente? Neste sentido, é recomendável que a empresa que está terceirizando um processo ou parte de sua TI, estabeleça processos internos e ferramentas para dispor de relatórios próprios que possam ser confrontados com aqueles recebidos pelo prestador de serviço e, regularmente, façam reuniões de alinhamento dos resultados e refinamento dos indicadores definidos.
Também devem ser estabelecidos processos de auditorias específicas sobre os controles de segurança. Estas auditorias têm por objetivo verificar que os processos que não são mensuráveis ou acompanhados pelos indicadores também sejam monitorados de alguma forma. Nesta classe, estão os logs de segurança, a aplicação de correções (patches) de sistemas operacionais, bancos de dados, aplicativos, etc. Outra preocupação diz respeito ao backup dos servidores e dados, assim como o armazenamento e gerenciamento das mídias.
A avaliação interna do prestador de serviço também permite avaliar a estrutura interna de pessoas, os controles de acesso para terceiros de manutenção a segregação de ambientes físicos, lógicos e de pessoal entre empresas concorrentes, entre outros.
Finalizando, a terceirização de processos e ambientes de TI deve passar uma análise de riscos criteriosa com o objetivo de subsidiar a equipe jurídica responsável pelo estabelecimento dos contratos e SLA, assim como o estabelecimento de processos e ferramentas de gestão sobre o terceiro que será parte crítica dos negócios da companhia partir do dia da migração.
Assinar:
Postagens (Atom)
