Páginas

sexta-feira, 20 de março de 2009

8 erros de segurança que os usuários mais cometem

(http://idgnow.uol.com.br/seguranca/2009/01/16/conheca-os-8-erros-de-seguranca-que-os-usuarios-mais-cometem-nas-empresas)
Por Lygia de Luca, repórter do IDG Now!
Publicada em 19 de janeiro de 2009 às 07h00
Atualizada em 19 de janeiro de 2009 às 10h45

São Paulo - Falta de treinamento faz com que usuários comprometam dados sigilosos e abram a porta para a entrada de malwares. Saiba mais.

erros_seguranca_88.jpgEm empresas, usuários corporativos também são usuários finais e, justamente por isso, podem comprometer a segurança do ambiente profissional, já que nem sempre sabem que põem a empresa em risco com algumas ações.

De acordo com o gerente de engenharia de sistemas da Symantec, Paulo Vendramini, é possível dizer que “alguém querendo se dar bem com um dado sigiloso corresponde a apenas 5% dos problemas". "O restante, é falta de treinamento”, explica.

Conheça os 8 erros de segurança mais comuns cometidos pelos funcionários nas empresas.

Acessar Wi-Fi público
Muitos funcionários não sabem que, quando ingenuamente conectam seus notebooks ou smartphones a uma rede aberta, todos os seus dados transitam sem proteção.

“Ali, não há criptografia ou proteção. Eu poderia até usar uma ferramenta para ficar ‘escutando a rede’”, afirma o gerente de segurança da Trend Micro, Eduardo Godinho. “Ou seja, se você acessou seu e-mail, o nome de usuário e senha trafegarão livremente na rede do aeroporto, por exemplo”.

A solução, caso o funcionário precise trabalhar nestes momentos, acessando Wi-Fi público, seria a empresa fornecer uma espécie de chave de segurança para o equipamento, segundo o gerente da Trend Micro.

Salvar dados online ou em mídias removíveis
Se a pessoa não tem um notebook da empresa, ela pode salvar arquivos no pen drive, CDs ou em aplicativos online.

“Ela não sabe se pode ou não fazer isso, e a máquina onde a mídia for usada pode estar contaminada ou o dado ser roubado”, expõe Godinho.

Além de colocar em risco as informações confidenciais da empresa, os funcionários podem contaminar o PC corporativo um código malicioso adquirido na máquina impropriamente utilizada.

Encaminhar arquivos para e-mail pessoal
Mesmo sem a intenção de burlar políticas de segurança, o usuário muitas vezes quer aproveitar um dado para usar depois, e daí o erro. “Ali, geralmente ele sai de uma estrutura segura criada, como uma Virtual Private Network (VPN)”, aponta Vendramini.

Clicar em links maliciosos
Caso a empresa não imponha limites de navegação aos seus funcionários, é comum a prática dos mesmos saírem clicando por aí, sem avaliar a procedência dos links.

“Alguns usuários dizem que, se recebem algo que desperte dúvida sobre ser malicioso ou não, eles preferem clicar na empresa, pois alegam que ali é mais seguro porque há antivírus e firewall instalados”, diz Godinho.

Segundo o gerente regional da Kaspersky Labs no Brasil, Eljo Aragão, um relatório do FBI aponta que “40% das empresas entrevistadas investem menos de 1% do budget voltado à segurança da informação na educação dos usuários”.

Por isso, “é preciso de fato definir o que pode ou não, incluindo regras para uso de e-mail, e mostrar por que há um monitoramento ou bloqueio”, aponta Aragão.

Navegação pessoal demais
A maioria dos funcionários não vê problemas em pagar uma conta pelo bankline ou acessar alguns sites, como redes sociais e lojas virtuais, durante o expediente.

Godinho cita o exemplo de uma usuária que costumava acessar com frequência um site de cosméticos, e que um spyware instalado em sua máquina detectou este hábito.

“O cracker criou um phishing especial, dizendo que ela ganharia alguns cosméticos por ser cliente preferencial, e pediu seus dados para cadastro”, conta.

O golpe é típico, mas afetou a empresa porque ela tinha acesso a sua conta bancária, informações que foram roubadas junto aos seus dados pessoais.

Cuidar mal de senhas
Aragão conta que os usuários não percebem, muitas vezes, que nas empresas cada funcionário ganha sua própria senha no sistema para mantê-la em segredo.

“Se eles compartilham, pode haver o acesso a dados que não são da competência do outro”, exemplifica o executivo da Kaspersky.

Vendramini lembra também que é preciso configurar a ativação de senhas para o bloqueio veloz de aparelhos móveis, como smartphones. “Afinal, o dispositivo não precisa ser necessariamente roubado, mas pode ter sido deixado em cima da mesa ao ir para o banheiro, e um e-mail com dados importantes ser encaminhado sem autorização”, exemplifica.

Usar PCs desconhecidos
Ao manipular dados sigilosos, é preciso ficar atento com o meio de acesso. Abrir um e-mail com informações da empresa em um PC de Lan House, por exemplo, é definitivamente má ideia, segundo Vendramini.

“Evite os computadores públicos, use a máquina da empresa ou o PC de casa, nos quais você conhece o nível de segurança”, resume.

Aragão lembra que a empresa deve incentivar que o computador do usuário seja seguro. “Para a máquina de casa, o que as empresas podem fazer é adquirir licenças para o uso doméstico, que não é exatamente o mesmo software de segurança da rede dela.”

Burlar o bloqueio de aplicativos
Hoje é comum que os usuários ignorem as ordens da empresa relacionadas aos limites de acesso - como bloquear redes sociais e comunicadores instantâneos.

“Com ferramentas de web proxy, você acessa o que quer usando um servidor de proxy, que não é o da empresa”, explica Godinho.

O bloqueio de sites não é feito à toa pelas empresas. Em recados deixados no Orkut, por exemplo, são distribuídos vários malwares, em golpes simples que pedem para o usuário 'clicar para ver fotos' - e é aí que acontece a contaminação do PC do funcionário.



O que os funcionários adoram fazer que prejudica a segurança?

(http://computerworld.uol.com.br/seguranca/2009/01/19/o-que-os-funcionarios-adoram-fazer-que-prejudica-a-seguranca)
Por Vinicius Cherobino, do COMPUTERWORLD
Publicada em 19 de janeiro de 2009 - 07h00
Atualizada em 20 de janeiro de 2009 - 16h08

Conheça histórias de gestores de segurança e educadores sobre as atitudes preferidas dos funcionários e saiba o que eles fizeram para controlá-las ou minimizar as suas consequências.

Insatisfeito com as restrições de segurança da faculdade, um aluno desenvolveu um software. Chamado U2, o programa permitia o acesso a qualquer porta do computador ao simular a passagem do tráfego pela port 80, de tráfego HTTP.

Em outras palavras, este aluno fazia tudo o que queria – navegava sem restrições, instalava programas e, até, chegou a criar uma rede P2P que funcionava 24 horas por dia.

A história é contada por Nilson Ramalho, instrutor do curso de redes na Impacta e também gerente de suporte técnico da faculdade. Segundo ele, o caso – acontecido 5 meses atrás – foi descoberto por conta do consumo na banda e gerou mudanças na estratégia de defesa. “Depois disso, adotamos gestão de identidade e acesso (IAM) para evitar problemas”, conta.

Vários outros incidentes deste tipo acontecem a todo o momento em universidades e empresas. Acostumados a navegar e usar o computador livremente em suas casas, os funcionários muitas vezes colocam as informações da empresa e a própria corporação em risco por conta dos seus hábitos.

Sites maliciosos, pornografia, programas desconhecidos, correntes de e-mail com ppts, pastas no servidor com mp3 e vídeos, portas abertas no computador, etc, etc... A lista de comportamento hostil para segurança poderia seguir indefinidamente.

Estratégia de defesa
O que o gestor de segurança ou o profissional de TI responsável pela proteção pode fazer para contornar esses comportamentos?

Álvaro Teófilo, superintendente do Centro de Operações de Segurança da Produban, empresa de Tecnologia do Grupo Santander Brasil, conta a iniciativa do grupo para o controle do vazamento de informações. A estratégia do banco pode ser encarada como uma maneira de estabelecer toda a política de segurança da informação.

“Minimizar o risco de vazamento de informação tem três dimensões: a definição das regras de manipulação de informações (por meio de políticas organizacionais), a divulgação destas regras (que chamamos de ‘planos de conscientização’) e a implantação de controles que permitam minimizar incidentes e orientar as pessoas”, conta Teófilo, em entrevista por e-mail.

Ramalho compartilha a idéia. Para ele, o maior desafio está em deixar claro para os funcionários quais são as regras e que tipo de comportamento é exigido. Depois, aconselha, é preciso apresentar as regras de maneira clara e criar maneiras de garantir que ela está sendo cumprida. “Se a regra de segurança não for auditada, ela cai em descrédito e não funciona. Só ter a ferramenta não resolve”, defende.

Para Sergio Alexandre, coordenador do MBA de segurança da informação na FIAP, a educação é o ponto principal para garantir a eficiência da política de defesa. “Só assim os usuários não vão tomar decisões que podem conflitar com a política de segurança. O papel do CSO é de facilitador, para garantir que tudo aconteça da maneira correta, mas também opressor”, afirma.

Eterno conflito
Mesmo com a educação e as normas claras, o que nenhum profissional de segurança pode esperar é plena aceitação.

Curiosidade é o motor do usuário, afirma Ramalho, ele quer descobrir o porquê ele não pode acessar ou ter determinados comportamentos. “O papel da pessoa de segurança é orientar o indivíduo e explicar as escolhas”, acredita.

Outro problema comum é a vontade dos usuários de querer ajudar os colegas de trabalho – driblando as políticas de segurança para isso. Conta Teófilo: “O compartilhamento de logins, por exemplo, é um velho problema. Ao tentar agilizar um processo, um funcionário cede o seu login para um colega. Se este colega realizar um mau uso do sistema, o funcionário que cedeu o login será responsabilizado”.

No final, a relação entre funcionários ou alunos e profissionais de segurança será sempre tensa. “O funcionário ou aluno passa por várias fases para aceitar as restrições, de negação a fúria. O desafio do profissional de segurança é ter o apoio dos funcionários”, completa Ramalho.


quinta-feira, 19 de março de 2009

Multa De 3.000 Vezes - A Grande Mentira Das Campanhas Antipirataria

Colaboração: Renato da Veiga

Data de Publicação: 08 de Setembro de 2004

Renato da Veiga é advogado

02/08/2004

O que mais se ouve dizer a propósito de pirataria de software no Brasil é que a Justiça não funciona e que, assim, a melhor solução seria fazer uma réplica do Titanic e mandar todos os juízes e advogados na viagem inaugural, como propõe um desses sites engraçadinhos na Internet. Mas é bom que se diga que, se fosse o caso, muitos empresários mereceriam também uma cabine de primeira classe nesta jornada rumo ao andar de baixo.

Como advogado, e faço questão de frisar, sou um ferrenho defensor da lei e da propriedade privada, de modo que não compactuo de modo algum com a pirataria. Mas daí a concordar com as mentiras divulgadas publicamente nas bombásticas campanhas antipirataria vai muita distância. Acho que é chegada a hora de alguém desmistificar a questão:

Existem, a rigor, dois tipos de pirataria: a primária, que é a simples duplicação de conteúdo da mídia, e a secundária, mais elaborada, que envolve a apropriação de programas-fontes e segredos internos de um produto. A primeira ocorre mais em nível de usuário e tem como alvo geralmente os produtos padronizados, de prateleira, fabricados pelas grandes corporações; já a segunda acomete mais as pequenas e médias empresas, verificando-se geralmente pela ação interna de colaboradores, que têm acesso aos fontes.

O combate à pirataria primária, que, segundo estimativas, já atinge cerca de 60% das cópias em uso no mercado, se dá basicamente através de campanhas publicitárias e ações judiciais, onde as empresas, reunidas em torno de associações de classe, ao invés de propostas educativas, tentam atemorizar o usuário irregular com ameaça de multa de 3.000 vezes o valor de cada cópia pirateada.

Só que isso é uma mentira da grossa, pois a reparação devida, para os usuários comuns, é apenas e tão somente o valor de mercado das cópias contrafeitas. A história das 3.000 vezes vem de um dispositivo da Lei de Direito Autoral que manda o contrafator, que vende produtos piratas, pagar o valor equivalente ao preço de mercado de uma edição completa da obra, arbitrada na lei em três mil exemplares, na hipótese de não ser possível apurar-se o número exato de cópias vendidas ilegalmente. Em todos os demais casos, isto é, tanto de contrafação para uso próprio como para fins de venda, a indenização é de um para um, pois, do contrário, existiria enriquecimento sem causa do fabricante, isto é, estaria ganhando mais do que ganharia vendendo o produto.

Quando flagram um usuário irregular, algumas empresas utilizam este falso argumento para extorquir o infeliz, exigindo até dez vezes mais do que o devido, dizendo que ainda estão sendo condescendente, em comparação com a tal multa de 3.000 vezes, e que esta "módica" compensação seria devida a título de dano moral, o que também é mentira: dano moral, em matéria de propriedade intelectual, só cabe quando alguém vende produto falso como se fosse verdadeiro, de modo a atingir a imagem da empresa frente ao mercado, o que jamais seria o caso de quem apenas copia irregularmente software para uso próprio.

Para sustentar esta rapinagem, as empresas costumam acenar com duas sentenças judiciais de primeira instância, uma de São Paulo e outra aqui de Porto Alegre, onde juízes que obviamente não conhecem a matéria decidiram favoravelmente a esta tese, em ações que não tiveram seguimento porque as partes rés se intimidaram e fizeram acordos. Mas é bom que se saiba que os tribunais superiores vêm matando a pau a questão, em decisões como esta:

  TRIBUNAL DE JUSTIÇA DO RIO DE JANEIRO

Apelação Cível nº 2001.001.27116.
MICROSOFT CORPORATION X ASSOCIACAO UNIVERSITÁRIA SANTA URSULA;

Direito Autoral. Ação ordinária movida por empresa titular de
programas de computador. Preliminar de extinção do processo, sem exame
do mérito, rejeitada, porque, ao contrário do que sustenta a ré, a
caução foi prestada pela autora, atendido, portanto, o disposto no
art. 835 da Lei de Ritos. No mérito, restou evidente a violação dos
direitos da autora, que detém mundialmente a propriedade dos programas
de computador que somente podem ser usados por terceiros mediante sua
autorização. No que tange ao cálculo da indenização, devem ser,
entretanto, observadas as características específicas dos programas de
computador, não podendo a indenização ultrapassar ao valor da
aquisição do programa, sob pena de enriquecimento sem causa.
Provimento parcial do recurso. Votação unânime - julgado em
16/04/2002

Assim, fica fácil entender por que certas empresas, em um primeiro momento, fazem vista grossa para a pirataria de seus produtos: é que as campanhas de regularização formam um canal de vendas dos mais polpudos, pois se aproveita da desinformação e da fragilidade jurídica do contrafator pego em flagrante para faturar os tubos. É a verdadeira doutrina do ladrão que rouba ladrão...

Então, caro leitor, ouça o meu conselho: ande na linha, não pirateie software, pois você não está sendo esperto, pelo contrário: está bancando o otário para gente muita mais esperta do que você ! Falta de dinheiro não é justificativa: vá de Linux, que é melhor e é de graça. Mas se você for pego com software proprietário em situação irregular, não se intimide. Defenda-se e jamais aceite pagar mais do que o valor das cópias em uso. A Justiça lhe dará respaldo, com toda certeza.