Translate

15 julho 2021

Monitoramento de microfone, webcam e publicidade na Internet


 Neste artigo, destacamos a trilha digital que deixamos quando usamos serviços de Internet, e como esta trilha pode vir a ser utilizada em prol de uma publicidade ativa, individualmente direcionada ao nosso perfil. Quando fazemos uma pesquisa, visitamos um site, fazemos uma compra, acessamos uma rede social, tudo isto é interconectado, mesmo quando se navega no modo anônimo (veja aqui). No final das contas, tanto o Google quanto o Facebook sabem tudo o que fazemos, se não utilizarmos um navegador com proteção forte de privacidade e serviços de busca privados (como por exemplo, DuckDuckGo ou outros similares), e extrai um alto valor desta análise de dados.

vale destacar que os assistentes virtuais são todos de escuta ativa permanente. Por este motivo, o que falamos próximo a qualquer aparelho celular pode e é comumente utilizado por tais assistentes virtuais como subsídio para que nos sejam enviadas propagandas bastante direcionadas ao nosso perfil. No que se refere aos assistentes virtuais associados a sistemas operacionais móveis, os existentes no ambiente iOS provavelmente não fazem uso destes dados coletados, uma vez que esta ação, teoricamente, contraria a política de privacidade da Apple; porém, no caso do Android, o Google pode sim utilizá-los – e o faz – para gerar publicidade. Outra questão importante a se destacar é quanto ao uso de e-mails gratuitos, como o Gmail. O Google sabe tudo de nós, pelo conteúdo que temos armazenado e circulamos via Gmail. E pode fazer uso disto também para vender publicidade.

Neste contexto, é importante lembrar que o uso de redes sociais nunca foi, de fato, gratuito – acabamos sempre pagando, só que de outra forma: com o fornecimento de nossos hábitos e preferências, de modo que mecanismos automatizados de marketing, que possuem recursos como o de aprendizagem automática, nos façam bombardeios de anúncios direcionados ao nosso perfil, o que contribui para comprarmos mais, elevando assim a receita dos anunciantes.

Como resultado, vale enfatizar que não há privacidade na Internet quando usamos os principais serviços gratuitos disponíveis. Tudo o que fazemos na Internet, quando utilizamos por exemplo o Google, Facebook, Waze e Instagram é de uma forma ou de outra, rastreado. A quantidade de informações que tais empresas possuem sobre nós é assustadora e suficiente para montar um perfil detalhado sobre nossas vidas, preferências, hábitos e sabe-se lá o que mais.

Não existe almoço grátis”, diz um famoso ditado. Em todos os serviços virtuais alegadamente “gratuitos” o produto somos nós, as pessoas, sendo os verdadeiros usuários destes serviços as empresas que pagam para que a publicidade do que almejam vender nos seja direcionada, em massa, mas de modo customizado, a cada um de nós, com base em nossos perfis com dados permanentemente coletados e atualizados.

Assim sendo, tais plataformas “gratuitas” sobrevivem vendendo publicidade direcionada e, para se atingir isto, os aplicativos monitoram e coletam tudo o que podem sobre nós. Até mesmo alguns aplicativos que são pagos, como o Spotify, também coletam uma quantidade massiva de dados. No caso do Spotify, um documento em PDF com 191 páginas é necessário para listar tudo o que o aplicativo coleta sobre seus usuários (fonte: The Hack). Ou seja, em última análise, pagamos o aplicativo para sermos espionados.

que é mais impressionante é nem ser preciso estar usando ativamente tais aplicativos para ser monitorado. O Google e o Facebook possuem uma rede de propaganda gigantesca e praticamente todos os sites que exibem publicidade possuem ambas as plataformas conectadas, o que permite que o simples acesso a um site seja registrado no perfil do usuário nessas plataformas. Se você possui um usuário no Gmail, por exemplo, mesmo que não tenha o aplicativo de e-mail aberto, ao acessar um site que exibe publicidade com a solução do Google AdSense, informará ao Google que seu usuário fez o acesso ao site em pauta.

No caso de usuários do Gmail é ainda maior a quantidade de informação que o Google pode coletar, pois utilizam o conteúdo das mensagens de e-mail para direcionamento de publicidade. Dessa forma, suas mensagens de e-mail pessoais, que você recebe e envia para familiares, amigos e demais, servem de fonte para se montar um perfil detalhado de suas preferências.

Há ainda uma questão controversa sobre os assistentes virtuais inteligentes. A Alexa (da Amazon) e o assistente do Google, por exemplo, escutam de forma ativa em nossos telefones e caixas de som inteligentes. Essa escuta ativa serve para acionar o assistente quando dizemos uma ou duas palavras-chave. Só que isso significa também que tais assistentes podem escutar todas as nossas conversas e utilizar as informações para complementar os perfis que as empresas montam sobre seus usuários. As políticas de privacidade dessas empresas deixam essas questões em aberto ou de forma obscura; mesmo que digam que tais conversas não são armazenadas ou repassadas a terceiros, elas ainda podem ser processadas para incrementar o perfil de consumo e preferências dos usuários. Ou seja, não há como escaparmos deste “Big Brother” virtual.

É por isso que, muitas vezes, temos a sensação de que tem alguém nos espionando (e tem mesmo). Quando você acessa um site e recebe uma publicação ou publicidade sobre algo que estava conversando no carro, ou relacionado a alguma coisa que talvez seja muito pessoal, saiba que isto não é mera coincidência.

Para quem desejar se aprofundar neste tema, indicamos um documentário chamado “O Dilema das Redes”, da Netflix, que também aborda o assunto e mostra como as redes sociais são construídas para monitorar e saber tudo sobre seus usuários.

Por fim, é importante saber que a única forma de mudarmos isso é utilizar, preferencialmente, produtos e serviços que respeitem sua privacidade e declarem, abertamente, em suas políticas como os dados associados ao seu perfil pessoal são utilizados, armazenados e processados.

Por: Paulo Pagliusi e Thiago Martins

29 junho 2021

CNPJ pode ser titular de dados pessoais pela LGPD?


No Brasil, convencionou-se a seguinte regra: portadores de CPF (Cadastro de Pessoas Físicas) são titulares de dados nos termos da Lei Geral de Proteção de Dados (LGPD), enquanto portadores de CNPJ (Cadastro Nacional de Pessoas Jurídicas), não. 

Essa orientação guiou – e ainda guia – muitas iniciativas de adequação à LGPD, fazendo com que as organizações considerem excluídos do escopo de aplicação da Lei Geral de Proteção de Dados os CNPJs, bem como demais dados e processos que os envolvem. 

No entanto, uma pessoa que exerça suas atividades econômicas por meio de um CNPJ pode, em alguns casos, ser uma pessoa natural, e não jurídica, apesar de constar no Cadastro Nacional de Pessoas Jurídicas. Complexo? Às vezes, é difícil mesmo entender o “juridiquês”. Sendo assim, vamos simplificar a explicação. 

A LGPD define “titular de dados”, sujeito de direito tutelado pela legislação, como “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento” (artigo 5º, V). No entanto, nem todo CNPJ é pessoa jurídica.

É que o nosso Direito admite alguns arranjos por meio dos quais uma pessoa natural pode exercer sua atividade empresarial de maneira vinculada a um CNPJ, sem que isso lhe confira o caráter de pessoa jurídica. 

É o caso do empresário individual (EI) e do microempreendedor individual (MEI), vez que, nessas duas hipóteses, o empresário exerce a atividade econômica de maneira organizada em nome próprio, não possuindo personalidade jurídica – característica conferida exclusivamente às organizações expressamente listadas no rol taxativo do artigo 44 do Código Civil. 

De forma resumida, EI e MEI são pessoas naturais, inscritas no Cadastro Nacional de Pessoas Jurídicas (CNPJ) apenas em razão de questões tributárias, o que, por si só, não lhes confere personalidade jurídica.

Os demais tipos de arranjos possíveis, como associações, organizações religiosas, partidos políticos, fundações, sociedades e empresas individuais de responsabilidade são, por sua vez, pessoas jurídicas, as quais não podem ser “titulares de dados”, segundo a LGPD. 

Em termos práticos, portanto, fornecedores e parceiros de negócio de determinada empresa ou agente de tratamento de dados que forem empresários individuais (EI) e microempreendedores individuais (MEI), mesmo estando registrados no Cadastro Nacional de Pessoas Jurídicas (CNPJ), acabam sendo classificados como “titulares de dados pessoais”, a partir da literalidade da LGPD. 

Isso quer dizer que, em teoria, o mesmo nível de cautela e conformidade que é buscado em relação aos dados de consumidores, colaboradores e demais pessoas físicas, também deveria ser perseguido para os dados de fornecedores ou parceiros que, embora portadores de CNPJ, sejam classificados como EI ou MEI.

Na dura rotina dos profissionais de privacidade, responsáveis por assessorar organizações nos processos de conformidade com a LGPD, nem tudo que reluz é ouro, nem tudo que brilha é prata, nem todo CNPJ escapa.

Fonte: Jornal Contábil

31 março 2020

Futuro da Defesa: organizações cada vez mais conectadas e automatizadas


Estudo explora o futuro do ramo, considerando as perspectivas inovadoras que poderão agregar a longo prazo

    Nos próximos 12 meses, a maioria (70%) das organizações de defesa investirão em soluções para se tornarem mais conectadas, automatizadas e inteligentes. Além disso, 70% estão priorizando estratégias centradas nos clientes e metade (50%) delas pretende investir 16% ou mais do orçamento disponível na força de defesa conectada. Essas são algumas das conclusões da pesquisa "O futuro da defesa: Defesa e a corporação conectada" (The future of defense: Defense and the connected enterprise, em inglês), conduzida pela KPMG em parceria com a Forrester.
    "Tecnologias digitais são fundamentais para uma defesa mais efetiva e eficiente das unidades, sejam elas administrativas, táticas ou operativas. Com recursos automatizados e inteligentes, os líderes dessas organizações podem tomar melhores decisões e obter vantagens estratégicas que os diferenciam dos oponentes", afirma Mauricio Endo, Sócio-líder de Governo e Transporte da KPMG no Brasil e na América do Sul.

    O conteúdo também revelou que há três aspectos principais que impactarão o setor mundial de defesa: Connected Enterprise (Corporação conectada), Instantly Informed Enterprise (Corporação instantaneamente informada) e Automated Enterprise (Corporação automatizada).

    Ainda de acordo com a pesquisa, são oito os elementos fundamentais a serem seguidos para as unidades de defesa se tornarem mais conectadas: (i) estratégias e ações orientadas por insights; (ii) plataformas e serviços inovadores; (iii) centricidade de missão por design; (iv) interação sem emendas; (v) operações responsivas e cadeia de suprimentos; (vi) força de trabalho alinhada e capacitada; (vii) arquitetura de tecnologia ativada digitalmente; e (viii) ecossistema integrado de parceiros e alianças.

    O conteúdo explora também o futuro do setor, considerando todas as perspectivas inovadoras que poderão agregar a longo prazo, como Inteligência Artificial (IA), Internet das Coisas (IoT) e Edge Computing. Outro dado relevante é que o 5G, com seu ecossistema associado, é a tecnologia disruptiva e segura que fará diferença no futuro.

    "As soluções digitais permitirão que organizações de defesa obtenham resultados estratégicos em suas operações militares e diplomáticas. Entre os recursos de destaque, estão as armas de energia direcionadas, autônomas e hipersônicas, além de computação quântica", afirma Paulo Pagliusi, Sócio-líder de Defesa da KPMG no Brasil.

    As conclusões foram elaboradas a partir de contribuições dos especialistas do setor de defesa da KPMG, entrevistas com profissionais seniores da área, e também por meio de pesquisa com 122 especialistas que atuam em organizações de defesa na Austrália, Canadá, Alemanha, Índia, EUA e Reino Unido. O conteúdo está disponível na íntegra no link - 

Sobre a KPMG
A KPMG é uma rede global de firmas independentes que prestam serviços profissionais de Audit, Tax e Advisory. Estamos presentes em 154 países e territórios, com 200.000 profissionais atuando em firmas-membro em todo o mundo. No Brasil, são aproximadamente 4.000 profissionais, distribuídos em 22 cidades localizadas em 13 Estados e Distrito Federal.
Orientada pelo seu propósito de empoderar a mudança, a KPMG tornou-se uma empresa referência no segmento em que atua. Compartilhamos valor e inspiramos confiança no mercado de capitais e nas comunidades há mais de 100 anos, transformando pessoas e empresas e gerando impactos positivos que contribuem para a realização de mudanças sustentáveis em nossos clientes, governos e sociedade civil.

25 agosto 2018

IoT - Riscos & Desafios desta Inovação Disruptiva


A IoT (Internet-of-Things) ou Internet das Coisas é definida pela ISO/IEC como uma conexão de entidades físicas (ou “coisas”) com sistemas de TI através de redes. Segundo estudo realizado pelo Gartner em fevereiro de 2017, até 2020 serão 20,4 bilhões de ‘coisas’ conectadas em todo mundo, e até 2021, de acordo com o IDC, US$ 1,4 trilhão terá sido gasto com investimentos nesse setor. Diante desse cenário, em que diversos dispositivos IoT tornarão nossas vidas mais automatizadas, seguras e convenientes, seria imprudente ignorar a importância da tecnologia na criação de grandes oportunidades de mercado para diferentes setores. De fato, IoT é a tecnologia de ponta que mais impulsionará a transformação dos negócios nos próximos anos, provocando inovações disruptivas na forma como se gera valor na economia e alavancando novos e valiosos mercados emergentes.
Neste contexto, vale destacar a frase de Peter Drucker: “toda inovação significa um risco; qualquer atividade econômica é de alto risco e, não inovar, é muito mais arriscado do que construir o futuro [inovando]”. Porém, enquanto as empresas têm aumentado o foco em tecnologias emergentes como IoT para transformar seus negócios, muitas não avaliam os riscos desta adoção. Na pesquisa KPMG & Forbes de fevereiro de 2018, intitulada: “Disruption is the New Norm”, feita com mais de 200 altos executivos, foi constatado que 46% deles não reavaliaram o acréscimo do risco às suas empresas, em face à adoção da tecnologia IoT. Eles deixaram de mensuram o quanto a adoção da IoT aumenta a potencial superfície de ataque aos seus ambientes de TI. Como resultado, a segurança passa a ser um dos principais desafios à efetivação da IoT no dia a dia das empresas.
Como a segurança ainda não é o foco da IoT, já que é algo novo até para os fabricantes que ainda estão padronizando técnicas de desenvolvimento seguro, entidades como a ABINC (Associação Brasileira de Internet das Coisas), estão criando um comitê para debater a segurança na IoT e contribuir na elaboração e promoção das melhores práticas de segurança. Junto com outras entidades e especialistas do tema ao redor do mundo, como IOTSF, ISF, ISA/IEC, OWASP, ISO/IEC, IISF e CSA, o desafio do grupo é proteger toda a cadeia física e camadas de software para tratamento massivo de dados produzidos pelos dispositivos da Internet das Coisas, além de ajudar a definir aspectos regulatórios e impactos jurídicos advindos da utilização da IoT, como a privacidade e proteção de dados pessoais.
Destaca-se que o Big Data coletado pelos dispositivos IoT abre muitas novas oportunidades de mercado, mas também gera novos riscos, incluindo ataques cibernéticos ou perguntas sobre a propriedade de informações, bem como questões de privacidade. Como resultado, o maior problema enfrentado pela IoT não será a comunicação entre dispositivos ou a coleta e a capacidade de compartilhar dados, mas sim a manutenção segura de dados. A vulnerabilidade global a atos maliciosos no ciberespaço está crescendo à medida que avança a tecnologia IoT e, se nada for feito, a cada vez maior superfície cibernética sujeita a ataques irá tornar o ambiente IoT um verdadeiro "paraíso" para ciberatacantes. 
A falha em proteger um dispositivo IoT pode ter um impacto direto em muitos outros e, portanto, há uma necessidade crescente de se aplicar técnicas para fortalecimento da segurança, de modo a evitar que os riscos desta exposição sejam passados para sistemas mais importantes. Um fator preocupante é a exploração de vulnerabilidades cibernéticas em sistemas de infraestrutura, que está se tornando cada vez mais frequente, uma ameaça crescente à segurança geral das empresas e da sociedade.
Diante do exposto, seguem as cinco principais recomendações de segurança para os que desejam adotar IoT em suas empresas, mitigando os principais riscos:
  1. Considerar os requisitos de segurança na seleção de fornecedores de IoT;
  2. Homologar soluções de IoT em ambiente controlado de testes, segregado do ambiente de produção;
  3. Desabilitar serviços inseguros dos dispositivos IoT e alterar as senhas padrões dos fabricantes;
  4. Incluir os equipamentos no processo de gestão de vulnerabilidades da empresa. Atualizá-los constantemente, sempre que possível;
  5. Segregar as redes do ambiente IoT, preferencialmente em uma rede de gerência que faça uso de dupla autenticação e criptografia forte.
Paulo Pagliusi, Ph.D., CISM

19 dezembro 2017

Internet das Coisas: um Plano de Ação para o Brasil - Aspectos de Segurança

Em 03 de outubro, durante a Futurecom 2017 em São Paulo (evento em que este autor foi palestrante), foi lançado pelo BNDES e o MCTIC o estudo “Internet das Coisas: um plano de ação para o Brasil” (Produto 8: Relatório do plano de ação – Iniciativas e Projetos Mobilizadores), que subsidiará elaboração do Plano Nacional de IoT (Internet of Things). O estudo reúne mais de 70 proposições para guiar as políticas públicas e ações para IoT entre 2018 e 2022.
O estudo destaca – no seu item 4.4.3 –  que um dos principais pontos necessários para o adequado desenvolvimento da Internet das Coisas está relacionado com a disponibilidade de conectividade. Desse modo, a análise e revisão do quadro regulatório de telecomunicações é de suma importância para se assegurá-la, com as especificidades necessárias, em especial diante da variedade de aplicações e de novos modelos de negócio em IoT.
Além dos desafios na regulamentação de telecomunicações, é essencial endereçar os atuais gargalos nos temas de privacidade e proteção de dados pessoais e de segurança da informação. Embora se tratem de temas maiores do que IoT, são catalisadores para seu adequado desenvolvimento, em especial em ambientes como o de cidades e de saúde. Há um conjunto de questões regulatórias específicas dos ambientes cidades, saúde, rural e indústria que devem ser analisadas para o desenvolvimento da IoT.
Portanto, no que tange à garantia da Segurança das conexões, o estudo lista os 4 objetivos específicos da horizontal de Regulatório, Segurança e Privacidade, que possui diversos aspectos que são mais amplos do que IoT e cuja análise detalhada excede o escopo do estudo:
  • Endereçar questões da regulamentação de Telecom com vistas a acelerar o desenvolvimento de aplicações IoT.
  • Identificar e tratar questões regulatórias específicas nas verticais priorizadas.
  • Estruturar a criação de um marco regulatório de proteção de dados pessoais adequado para fomentar a inovação e a proteção aos direitos individuais.
  • Estabelecer desenho institucional adequado para enfrentar os desafios em privacidade e segurança para IoT.
Os três elementos dessa horizontal em pauta foram descrito sucintamente no item 6.4 do estudo:
  • Regulação de Telecomunicações (6.4.1) – um dos requisitos essenciais de aplicações Internet das Coisas é a existência de conectividade, conceito este diretamente relacionado à infraestrutura de suporte à prestação de serviço de telecomunicações, o que traz para o debate de Internet das Coisas a necessidade de uma análise aprofundada da regulamentação setorial para identificar potenciais obstáculos ao desenvolvimento de IoT no país.
  • Privacidade e Proteção de Dados Pessoais (6.4.2) – com a proliferação de novos dispositivos conectados à Internet aptos a armazenar, coletar e tratar uma significativa quantidade de dados, tem sido recorrente a discussão sobre usos legítimos dos dados e sobre as vulnerabilidades das bases de dados gerados. Em adição, a formulação de políticas públicas, a gestão eficiente e transparente dos órgãos governamentais e a criação de novos modelos de negócios são influenciados pelo crescimento exponencial de análises baseadas em grandes volumes de dados. Assim, o desenvolvimento de soluções de IoT demanda edição de norma sobre proteção de dados pessoais que lide com a complexidade deste contexto tecnológico. É preciso existir instância regulatória para lidar com estes desafios, com uma autoridade capaz de apresentar opiniões técnicas específicas com controle unificado e homogêneo do cumprimento das disposições sobre proteção de dados pessoais.
  • Segurança da Informação (6.4.3) – diante do desenvolvimento da IoT no Brasil, da expansão de vulnerabilidades em redes e da natureza “sem fronteiras” de incidentes em segurança da informação, a discussão sobre medidas relacionadas à cibersegurança nos âmbitos do Poder Público e da iniciativa privada ganha destaque. Discutem-se modelos de governança tanto para a cooperação internacional, quanto em relação ao arranjo institucional interno brasileiro. No âmbito local, faz-se necessário, ainda, encontrar alternativas para incentivar a adoção de medidas protetivas à segurança da informação pela iniciativa privada, seja pela adoção de mecanismos voluntários de certificação de dispositivos ou pelo respeito a critérios mínimos de segurança em infraestruturas críticas. Uma alternativa prevista no estudo seria a certificação voluntária sobre a segurança de dispositivos ligados à IoT. A estruturação de sistema de certificação baseado na autoavaliação voluntária, sem imposição de obrigações legais, tem potencial de criar cultura de transparência na prestação de informações ao usuário e incentivar a adoção de alto padrão de segurança pela iniciativa privada. Para viabilizá-lo, uma alternativa seria a criação de aliança por representantes da iniciativa privada, responsável pela organização estrutural e elaboração de diretrizes. Possíveis encaminhamentos:
    • Cooperação internacional – Aprimorar mecanismos de cooperação internacional para prevenção e tratamento de incidentes de segurança da informação, como pela adesão a Acordos de Troca e Proteção Mútua de Informações Classificadas; Incentivar a adoção de standards internacionais na temática de segurança da informação pela iniciativa privada.
    • Arranjo institucional brasileiro – Estruturar governança baseada em modelo multissetorial, com criação ou designação de estrutura para coordenar atividades baseadas em segurança da informação, na forma de conselho permanente, entidade pública ou agência reguladora, visando apoiar a elaboração de políticas nacionais, criação de mecanismos de resposta a incidentes, dentre outras; Estimular a cooperação e interação entre o Poder Público, sociedade civil, iniciativa privada e academia, com o fim de promover medidas de conscientização e fomento da segurança da informação.
    • Incentivo à adoção de certificação voluntária de dispositivos – Incentivar a criação de sistema de certificação de segurança da informação em dispositivos em Internet das Coisas, baseada em modelo de autorregulação pela iniciativa privada, baseado em autoavaliação voluntária, com adoção de selo/sinalização de conformidade ao consumidor, o que evitaria alto custo de entrada; Estruturar modelo de corregulação ou regulação híbrida para certificação de dispositivos IoT, com participação de conselho multissetorial ou agência pública focada em segurança da informação.
    • Segurança da informação em infraestruturas críticas – Fortalecer a estrutura institucional dedicada à segurança de infraestruturas críticas no âmbito da Administração Pública Federal, e incentivar os setores regulados a respeitarem aspectos mínimos de segurança da informação em setores de infraestrutura crítica.
Por fim, ressalta-se que o item 7.2.2.2 do estudo em pauta considera, no tema de competências tecnológicas, a alta complexidade inerente aos sistemas IoT, decomposta nas camadas de dispositivos, conectividade, suporte à aplicação e segurança. No que tange à camada de segurança, o estudo destaca a importância da tecnologia para:

  • Segurança embarcada: o desenvolvimento de robustos mecanismos de segurança passa a ser mais difícil quando executados em ambientes com restrições de capacidade computacional e disponibilidade energética. Assim, é alto o grau de competência necessário nesta área para garantir que os sistemas atendam aos requisitos exigidos por muitas aplicações sensíveis ao roubo de dados ou em que a atuação no mundo físico pode trazer perdas financeiras ou mesmos da seguridade das pessoas.
  • Segurança de redes: A criticidade na segurança da informação de algumas aplicações IoT também se estende à rede de comunicação. Duas questões se destacam nesta área: o ingresso dos dispositivos na rede de acesso e a prevenção de ataques de negação de serviço.
  • Acreditação da informação: várias operações realizadas a partir da interação com o mundo físico geram registros digitais armazenados em nuvem, que precisam ser acreditados com grande confiabilidade. Neste aspecto, tecnologias para a realização de assinaturas digitais e armazenamento confiável das informações ganham importância.
Dr. Paulo Pagliusi, Ph.D., CISM

06 julho 2017

Por que Usar uma Webcam Cover

Uso de capa deslizante protetora de webcam frontal em celular
Ninguém está livre de olhares alheios e é fato mais do que comprovado que você pode ser espionado pela sua webcam. Hackers ou adolescentes entusiastas da TI têm acesso a ferramentas fáceis de se usar, incluindo técnicas de phishing para "sequestrar" câmeras de pessoas inocentes, armazenar imagens e vídeos delas em situações embaraçosas que, na maioria das vezes, são enviadas para sites mal intencionados.  
Além disso, há também vários registros de espionagem de governos e agências estatais de inteligência. Isso acontece não só em câmeras web tradicionais de computador ou nas embutidas no laptop, mas também em smartphones - inclusive quando desligados, pois há ferramentas maliciosas que agem nos celulares em modo de hibernação.
Muitas pessoas acham que suas vidas não são tão interessantes assim para serem espionadas, mas na verdade é muito fácil que alguém consiga infectar seu dispositivo e invadir sua privacidade visando alguma vantagem indevida.
Diante do exposto, só confie na sua câmera quando você a estiver usando por algum motivo, como para tirar selfies ou conversar no Skype, e lembre-se sempre que, mesmo com a luz indicadora da webcam informando que ela está desligada, o problema não está resolvido. Daí a importância do uso de uma capa deslizante para proteção de sua câmera web - ou seja, uma Webcam Cover.
Paulo Pagliusi

04 abril 2017

Segurança Cibernética Vai Muito Além da TI – Fatores de Impacto dos Ataques ao Negócio

É fundamental para a sobrevivência das empresas e avanço dos seus negócios compreender o real impacto de um ataque cibernético e a importância do envolvimento de todas as áreas neste processo. Contudo, há um longo trabalho de conscientização neste sentido.
Paulo Pagliusi, Ph.D., CISM
Todas as indústrias, sem exceção, quando sofrem ataque ou ameaça cibernética, costumam achar que se trata de um problema de TI. Porém, Segurança Cibernética transcende essa área. É um tema multidisciplinar que envolve a combinação de avaliação de risco aos negócios, métodos de quantificação financeira, treinamento e conscientização de pessoas, avaliação de impactos à marca etc. Exige esforços do Jurídico, Comunicação, TI, Financeiro, RH, Segurança Corporativa, Auditoria, Gestão de Riscos, Cyber Security e Liderança (C-Level e Board). O programa Cybersecurity Nexus (CSX) da ISACA já aponta nesta direção.
Uma pesquisa de âmbito mundial da Deloitte, chamada “Por dentro de um ataque cibernético – Um olhar mais profundo para os impactos nos negócios” traz uma análise sobre como os líderes empresariais avaliam os impactos dos ciberataques em suas organizações. Se há medição para todos os riscos (financeiros, patrimoniais, jurídicos etc.), é preciso mensurar também os cibernéticos, que têm forte impacto para o negócio (incluindo marca, reputação) e podem ocasionar grandes perdas.
É comum as empresas improvisarem uma análise muito superficial sobre este impacto. A visão costuma ser curta, quando é preciso analisar o amplo e extenso prejuízo, considerando os custos diretos e os intangíveis (desvalorização da marca, perda de propriedade intelectual, impacto nos negócios) em um intervalo de tempo maior do que se costuma empregar.
O estudo mostra que apenas 5% dos impactos financeiros de um ataque cibernético são analisados para tomada de decisão. Os outros 95% ficam “submersos”, como mostra a ilustração abaixo. Assim, a situação costuma ser subavaliada. As empresas costumam olhar a questão por algumas semanas realizando triagem dos incidentes e por mais alguns meses para a gestão do impacto e acham que está tudo solucionado, quando na verdade é preciso projetar para o longo prazo para a completa recuperação do negócio, pois os efeitos de tais ataques podem ser sentidos por até cinco anos.

COMO LIDAR COM OS ATAQUES CIBERNÉTICOS?
De maneira distinta do que ocorria no passado, os ataques cibernéticos não acontecem mais por desafio ou diversão: há empresas especializadas nesta prática, visando realmente afetar os negócios das companhias, sendo tais ataques cada vez mais monetizados, silenciosos, persistentes e avançados. Uma decisão errada em minutos, na área de Risco Cibernético, é capaz de afetar o futuro dos negócios da empresa na próxima década.
No ano passado, em média, demorou 117 dias para que as empresas descobrissem ter sido alvo de um ataque cibernético. Diante deste cenário, muitas companhias podem já ter sofrido ataque e ainda não sabem disso. A condução do incidente, depois de descoberto, deveria ser a seguinte:

DIAS/SEMANAS:
– interrupção da operação;
– aplicação de controle de segurança, para reduzir vulnerabilidade;
– comunicação de parceiros e clientes;
– movimento para continuidade dos negócios.

SEMANAS/MESES:
– definição de estrutura interina da operação;
– busca de respaldo jurídico;
– observação das questões regulatórias;
– manutenção da relação com clientes e parceiros (busca de continuidade).

MESES/ANOS:
– esforço voltado a reparar dados aos negócios;
– redesenho do processo;
– investimento em segurança, vigilância e, em especial, resiliência cibernética para emergir mais forte, ao sair da crise.

COMO EVITAR INCIDENTES CIBERNÉTICOS?
O caminho está em integrar as múltiplas competências com os executivos da empresa e os profissionais de segurança, tendo a consciência de que uma crise pode realmente acabar com o negócio. Mais do que gestor de ativos de TI e tecnologista, o CISO hoje precisa ter uma postura mais estrategista e conselheira, orientando as áreas de negócio em atividades com implicações em riscos cibernéticos.
É necessário, portanto, estabelecer a combinação de conhecimento do risco cibernético com a avaliação do impacto do ataque para cada uma das áreas do negócio, considerando os custos financeiros e os intangíveis.
Desta forma, há necessidade de se adotar na empresa uma postura proativa, por meio de um modelo de inteligência e gestão de risco cibernético que considere três pilares:

SEGURANÇA: assumir um olhar preventivo, observar as ciberameaças conhecidas e se proteger delas, mantendo a conformidade com padrões e regulamentações. Fazer frente às ameaças conhecidas.

VIGILÂNCIA: conhecer e acompanhar as novas ameaças, detectar violações e anomalias no ambiente. Adotar comportamento mais proativo. Com base no que já aconteceu, ou acontece à sua volta, observar atentamente novas e possíveis variáveis. Estar preparado para ameaças previsíveis.

RESILIÊNCIA: estar pronto para as ameaças imprevisíveis, contando com uma estrutura resiliente, ou seja, que sinta o impacto, mas resista a ele. Retorno rápido às operações normais, mediante reparo dos danos causados ao negócio, lidar com a crise cibernética de modo que a empresa consiga emergir dela fortalecida.

Fontes: relatório Deloitte - Por dentro de um ataque cibernético - Um olhar mais profundo para os impactos nos negócios, 2016. Tradução: Estadão.