domingo, 4 de março de 2018

O que faremos com os 40 trilhões de gigabytes de dados disponíveis em 2020?

Com o crescimento da web e o uso massivo de tecnologias da informação, a quantidade de dados gerados e disponibilizados tem crescido exponencialmente. Neste contexto, é estabelecido um ciclo virtuoso de oferta e demanda, pois o aumento da necessidade de dados e informações impulsiona o desenvolvimento das Tecnologias da Informação e da Comunicação (TICs) e consequentemente, a evolução da capacidade e do volume de ferramentas tecnológicas viabilizou este crescimento expressivo da produção de dados e informações. Cumpre destacar que na atual dinâmica mundial, essa demanda por informações passa a se diversificar, seja pela sua rapidez na sua atualização, na sua distribuição geográfica ou ainda, em áreas do conhecimento que ainda apresentem carências na produção de informações a seu respeito.

Este tema passa a ganhar maior relevância quando se é observado os prognósticos referentes ao volume de dados que serão produzidos nas próximas décadas. O estudo “A Universe of Opportunities and Challenges”, desenvolvido pela consultoria EMC [1], aponta que de 2006 a 2010, o volume de dados digitais gerados cresceu de 166 Exabytes para 988 Exabytes. Conforme a figura 1, existe a perspectiva que o volume de dados alcance a casa dos 40.000 Exabytes, ou 40 Zettabytes (ou 40 trilhões de Gigabytes).

Este mesmo estudo apresenta outros dados relevantes. Até 2020, a perspectiva que o volume de investimentos no ecossistema digital cresça em 40% em todo o mundo e, no mesmo período, o custo do investimento por gigabyte entre 2012 e 2020 deve cair de $ 2,00 para $0,20. Ademais, a tendência é de forte descentralização da economia digital no mundo, onde os países emergentes devem responder por 62% do market share.
E o que poderemos fazer com toda essa oferta de dados que não param de crescer?

Um importante estudo da consultoria McKinsey, denominado “Big Data: The Next Frontier For Innovation, Competition And Productivity”[2] aponta diversos potenciais para o uso massivo de grandes volumes dados na economia global, atualmente conhecido como Big Data. Segundo o estudo, existem cinco grandes maneiras em que usando dados grandes podem criar valor. Primeiro, o Big Data pode ajudar a descobrir um valor significativo nas bases de dados mediante a geração de informação transparente e utilizável em maior frequência. Em segundo lugar, as organizações poderão cada vez mais, criar e armazenar dados transacionais em formato digital, e obter informações muito mais precisas e detalhadas sobre diversas áreas, por exemplo, equilibrando seus estoques com as perspectivas de venda dos próximos meses ou semanas e com isto melhorar o seu desempenho.

Em terceiro lugar, Big Data permite o aprimoramento da relação com os clientes, viabilizando uma extração e segmentação cada vez maior do perfil dos clientes de uma empresa. Em quarto lugar, análises sofisticadas pode melhorar substancialmente a tomada de decisões. E ainda, Big Data pode ser utilizado para melhorar e criar uma nova geração de produtos e serviços. Por exemplo, os fabricantes estão usando dados obtidos de sensores incorporados em produtos para criar pós-venda ofertas de serviços inovadores, como a manutenção proativa (medidas preventivas que se realizam antes de ocorrer uma falha sequer são notados).

A Mckinsey prevê ainda que o Big Data poderá apoiar novas ondas de crescimento da produtividade, estimando um potencial de ampliação das margens operacionais na casa dos 60%. Ademais, o estudo prevê que o Big Data se tornará um dos diferenciais para o crescimento das empresas e diferenciação junto à concorrência. Diante de tais fatos, as empresas estão considerando o uso de grandes bases de dados cada vez mais a sério.

No campo governamental, especialmente em estudos sobre dados abertos governamentais, como o guia para abertura de dados do Chile[3], outros benefícios da oferta de dados são identificados como:

Melhorar a eficiência da gestão pública e a qualidade das políticas públicas;
Agregar valor às informações e decisões governamentais;
Fomentar a inovação mediante a utilização de dados abertos no desenvolvimento de aplicações e serviços inovadores;
Promover o crescimento econômico através de informações ofertadas de forma massiva, permanente e confiável, a ser utilizada ou transformada para a criação de novos negócios e melhoria dos serviços de governo.
Tudo bem. As perspectivas da economia digital e da oferta de dados são muito promissoras, mas existem problemas relevantes a serem considerados, como:

Poderá haver uma escassez de talentos necessários para que as organizações possam aproveitar o potencial do Big Data. Em 2018, somente nos Estados Unidos da América, está previsto um gap de 140 a 190 mil profissionais com habilidades para análise de grandes bases de dados diante da demanda existente, e na camada gerencial, a previsão é que o gap seja de cerca de 1,5 milhões de gestores e analistas com o know-how necessário para usar o Big Data como subsídio para a tomada de decisão eficaz; [2]
Algumas questões devem ser superadas para capturar o potencial do Big Data, como o estabelecimento de políticas para tratamento da privacidade, segurança da informação e propriedade intelectual, bem como a reorganização dos fluxos produtivos para incorporar este novo ativo [2];
Para a tomada de decisão eficaz, as empresas poderão organizar não apenas as suas informações, mas também consumir cada vez mais as informações de terceiros (como fornecedores, governo, etc.) o que vai resultar em um esforço ainda maior para a melhoria da oferta de dados considerando o caráter cada vez mais descentralizado destes recursos de dados [2];
No que tange a Dados Abertos Governamentais, em 2012, já existiam cerca de 115 catálogos de dados governamentais disponíveis, ofertando cerca de 710.000 conjuntos de dados [4]. Atualmente, em 2015, segundo o DataPortals.org, existem 417 catálogos de dados governamentais abertos disponíveis em todos os continentes, o que comprova a rápida ascensão e distribuição geográfica desta oferta de dados;
Segundo a IBM[5], 80% dos dados produzidos nas empresas são desestruturados, ou seja, requerem um esforço muito maior para ser aproveitado para subsidiar a tomada de decisão, e certamente, parte destes dados não serão úteis para tal finalidade;
Quanto ao potencial de uso dos dados digitais do mundo, o estudo da EMC aponta um dado preocupante: em 2012, apenas 23% da informação digital do mundo é útil para gerar novas informações e conhecimento e apoiar a tomada de decisão no âmbito do Big Data, e deste total, apenas 3% destas informações são úteis para uso imediato (os demais 20% ainda precisam ser tratados para estar aptas ao uso) [1];
No cenário tecnológico atual, o volume de dados aptos a serem explorados para tomada de decisão (valor analítico) deve alcançar apenas 33% do volume total de 40 Zettabytes [1].
Em resumo, nas perspectivas atuais, 67% da oferta de dados em 2020 poderão ser inúteis para reuso e apoio à construção do conhecimento e subsidiar a tomada de decisão. Essa oferta de dados estará cada vez mais distribuída ao redor do globo.

Ou seja, poderemos fazer muita coisa com estes 40 trilhões de terabytes ou simplesmente NADA. Dependerá muito dos nossos esforços para melhorar a qualidade desta oferta de dados, tratando os pré-requisitos para a obtenção de valor a partir do seu uso, como descrito brevemente neste artigo.

Nos próximos artigos, exploraremos questões relevantes sobre os dados na economia digital, apresentando tendências e ações que estão sendo desenvolvidas no âmbito global para melhorar a oferta de dados na web e consequentemente explorar todo o seu potencial para a melhoria da ação governamental, empresarial, acadêmica, dentre outros.

Fonte: br.okfn.org

domingo, 28 de janeiro de 2018

O que é um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a ISO 27001?

Se você iniciou uma implementação da ISO 27001, você certamente encontrou o termo Sistema de Gestão de Segurança da Informação ou SGSI. Termo muito vago, não é? E ainda, o SGSI é o principal “produto” da implementação da ISO 27001. Assim, o que exatamente é um SGSI?

A ISO 27001 basicamente descreve como desenvolver o SGSI – você pode considerar este SGSI como uma abordagem sistemática para a gestão e proteção das informações de uma organização. O SGSI representa um conjunto de políticas, procedimentos e vários outros controles que definem as regras de segurança da informação em uma organização. Como mencionado no artigo A lógica básica da ISO 27001: Como a segurança da informação funciona?, o tipo de controle para segurança da informação que será implementado em uma organização é decidido com base nos resultados da avaliação de riscos e nos requisitos das partes interessadas. Para cada risco que precisa ser tratado, uma combinação de diferentes tipos de controles será implementada.

Vários controles são necessários para cada risco

Digamos que você deixa seu laptop com frequência em seu carro, assim as chances são de que, cedo ou tarde, o laptop será roubado. Assim, o que você pode fazer para diminuir os riscos para as suas informações? Você tem que aplicar alguns controles. Primeiro de tudo, você pode escrever um procedimento que defina que você não pode deixar o laptop no carro; adicionalmente, você pode proteger seu laptop com uma senha, de forma que se ele for roubado será mais difícil para alguém acessar suas informações. Além disso, você pode criptografar seus discos – este é um nível mais alto de proteção para suas informações, mas você também pode pedir aos seus empregados para assinar uma declaração onde eles se obrigam a pagar por todos os danos que podem incorrer se tal incidente ocorrer, mas você também tem que treinar e tornar seus empregados cientes de que tais riscos existem se eles deixarem seus laptops em seus carros.

Agora, proteger este laptop pode soar simples, mas o problema é quando você tem centenas de laptops, dezenas de servidores, uma multiplicidade de bases de dados, muitos empregados, etc. Com tanta informação sensível em tantos ativos diferentes, muito rapidamente você produziria um grande número de salvaguardas que não estariam relacionadas, e assim seria muito difíceis de se gerenciar.

Gerenciando sistemas de segurança complexos
A única forma de gerenciar todas estas salvaguardas é definir processos e responsabilidades de segurança de forma clara. Isto é chamado de abordagem de processo nas normas de gestão ISO – na ISO 27001, mas também na ISO 9001, ISO 20000, e outras. Se tomarmos a ISO 9001 como uma analogia, a ideia é a seguinte: você não pode esperar produzir um carro de alta qualidade apenas realizando uma verificação de qualidade ao final da linha de produção – o que é preciso é projetar um processo de produção que tenha incluído a filosofia de qualidade em cada etapa, em cada detalhe – da seleção de fornecedores de alta qualidade até o treinamento dos empregados e até para tratar de forma eficaz produtos com não conformidades.

Similarmente, uma abordagem de processo é crucial para fazer esta conexão entre responsabilidades e controles técnicos – apenas quando você quem tem que fazer o que e quando, você terá uma base para habilitar seus controles de segurança para funcionarem.

O ponto do SGSI
Assim, o que podemos aprender destes pontos? Primeiro de tudo, controles de segurança da informação não são apenas técnicos, controle relacionados a TI. Eles são uma combinação de diferentes tipos de controles: documentar um procedimento é um controle organizacional, implementar uma ferramenta de software é um controle de TI, e treinar pessoas é um controle de recursos humanos. Veja também: Segurança da informação ou segurança de TI?

Segundo, sem algum tipo de estrutura, a segurança da informação se torna impossível de gerenciar – este é o ponto onde a ISO 27001 entra – quando você constrói seu SGSI, o que significa desenvolver um conjunto de regras, responsabilidades e controles de segurança da informação, então você será capaz de gerenciar sistema tão complexo.

Finalmente, um SGSI não é nada mais do que vários processos de segurança interligados – quanto melhor estes processos são definidos, quanto melhor estes processos são inter-relacionados, menos incidentes você terá.

Este artigo é um trecho do novo livro  Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your Own.

sábado, 18 de novembro de 2017

E-mail com dados pessoais vazados de brasileiros é usado para extorsão...

Um e-mail recheado de documentos pessoais tem assustado brasileiros. As informações utilizadas pelos golpistas são atribuídas a data brokers — instituições que oferecem serviços de análise de crédito. Na mensagem, os criminosos colocam tudo o que descobriram sobre a vítima como nome, CPF, data de nascimento, título de eleitor, endereço, conta bancária, renda e grau de risco, e pedem um valor (em bitcoins) para proteger o internauta do crime de "roubo de identidade".
O que é seguro cibernético?
Para receber o falso serviço e ter seus dados protegidos, a vítima deve pagar 0,004 BTC — um valor que próximo de R$ 100 em bitcoin. A orientação principal é não pagar, ainda que a massa de informações corretas sobre a vítima seja um fator de convencimento bastante alto.

Fabio Assolini, analista da Kaspersky no Brasil, explica que obter os dados não é complicado. "Os criminosos podem roubar logins de acesso legítimos para esses serviços. É bastante comum encontrar golpes de phishing e trojan que roubam acessos a data broakers", explica Assolini.
Não é possível saber de onde nem como as informações foram vazadas e os autores da mensagem têm usado desculpas diferentes para fazer a vítima cair na armadilha. Em alguns dos e-mails usam como assunto "Diretiva de Segurança de Dados" e, em outros, "O Direito de Ser Esquecido". Em ambos os casos, trata-se de chantagem. Diferente do ransomware, que bloqueia seus arquivos e pede resgate, neste, o criminoso tem as informações e, para não usar ilegalmente, cobra a taxa.
Você recebeu um e-mail como esse?
Assolini pontua duas importantes ações caso os seus dados tenham caído nas mãos de criminosos. A primeira delas é não mandar nenhum valor, seja em bitcoins ou em moeda tradicional. Não há garantia de que não vão usar seus dados para realizar alguma fraude no futuro. "Se você pagar uma vez, podem começar a pedir ainda mais dinheiro", alerta.
A segunda, se possível, é contratar um serviço de proteção e monitoramento. Algumas instituições oferecem esse sistema no Brasil. Toda vez que alguém consultar um CPF, o detentor deste número receberá um aviso. "É uma forma não de evitar a fraude mas de saber se usaram seus documentos para alguma coisa. Não é muito comum aqui no país, mas nos Estados Unidos é uma prática corrente", diz.

Isso significa, também, que se alguém usar o número do seu cartão de crédito ou os seus dados para uma falsa compra, o serviço vai avisar.

Sem proteção de dados no Brasil

Para o especialista em segurança da companhia russa, os dados de todos os brasileiros estão expostos de uma maneira ou outra na Internet. "Não temos uma legislação que protege dados pessoais, não temos punição para empresas que sofrem invasões e tem os dados expostos", critica.
Um vazamento como esse pode ter ocorrido por meio de terceiros que usam essa informação como lojas, bancos e serviços de financiamento.

Os dois lados da criptomoeda

Ainda que a moeda virtual não seja tão popular e dificulte o pagamento para quem não sabe como comprar bitcoins — limitando o total de vítimas potenciais —, o uso da criptomoeda por parte dos criminosos tem seus benefícios. Neste caso são usadas diferentes carteiras de bitcoin.
"Eles podem usar uma carteira exclusiva para cada e-mail enviado e dificultar a investigação. Neste caso não dá para somar o total obtido e fica mais difícil rastrear esses criminosos", completa Assolini. "É a maneira preferida do criminoso porque há uma dificuldade de encontrá-lo", disse.

A polícia faz o chamado follow the money. Se o pagamento da extorsão foi feito por conta corrente ou cartão de crédito, é fácil seguir o seu registro. Quando se trata de ciptomoeda é mais difícil. "Não é impossível, mas a dificuldade é maior. Há possibilidade de fazer o tracking disso quando movimenta-se o dinheiro e tenta-se usar de outra forma", finaliza.

segunda-feira, 30 de outubro de 2017

O que é seguro cibernético?...

Diferente do antivírus que trabalha para prevenir, o seguro cibernético oferece ajuda póstuma. Ou seja, depois que seus contratantes foram infectados. Nestes casos, a apólice repassa à seguradora as responsabilidades sobre os danos, dando garantia ao segurado — de acordo, claro, com o contrato. Na fala de um corretor, faz total sentido. Mas, você deve estar se perguntando: o que leva alguém a contratar um seguro em vez de adotar uma postura proativa? A resposta é simples: o serviço mira empresas, de todos os tamanhos, vítimas de exploração de falhas de software e ataques. Por vários motivos, nem sempre o antivírus opera milagres: lenta detecção, falta de atualização, uso inadequado, infecções em rede e até mesmo o fator humano influenciam na segurança do parque de máquinas — e no custo do seguro.

Segundo a Aon, que oferece consultoria e corretagem de seguros, o chamado "risco cibernético" já é o quinto que mais preocupa empresários em todo o mundo. Nos últimos meses, ataques de ransomware se alastraram, dando fôlego à proposta. No Brasil, ainda engatinha. A previsão local, de acordo com a corretora, é de o setor crescer 20% ao ano, nos próximos cinco anos — focado, principalmente, em instituições financeiras e também comércio eletrônico.

quarta-feira, 25 de outubro de 2017

Bad Rabbit, um novo ransomware...

Um terceiro ataque de ransomware está em ascensão e já chegou ao Brasil. Depois de casos globais envolvendo WannaCry e ExPetr — também chamado por alguns especialistas de Petya e NotPetya— o novo malware que bloqueia dados dos computadores é o Bad Rabbit. Segundo a Kaspersky, o nome aparece em um site da darknet vinculado ao vírus com uma nota de pedido de resgate em bitcoin (comum em casos de ransom).


A iniciativa começou na Rússia e na Ucrânia e ganhou volume na terça-feira (24), causando atrasos no aeroporto ucraniano de Odessa e afetando vários meios de comunicação na Rússia, incluindo a agência de notícias Interfax e Fontanka.ru. Horas depois, afetou o sistema de metrô em Kiev, na Ucrânia, o que gerou um alerta para outras empresas de serviços de massa e finanças na região.

Os criminosos por trás do ataque Bad Rabbit estão exigindo 0,05 bitcoin como resgate — o que é cerca de US$ 280 na taxa de câmbio atual da criptomoeda. Assim como em outros casos, o vírus usa um contador regressivo para pressionar a vítima a pagar pelo resgate o quanto antes. Não há garantias, porém, de que ao pagar a quantia pedida em bitcoin, os hackers vão liberar os seus dados no PC.

segunda-feira, 7 de agosto de 2017

Mozilla testa serviço 'Send', um 'Snapchat' de arquivos criptografados...

A Mozilla, criadora do navegador web Firefox, está testando um serviço de compartilhamento de arquivos chamado Send. Diferente de outros serviços do gênero, como o Mega e serviços de armazenamento em nuvem como Dropbox e Google Drive, o Send remove o arquivo compartilhado após um único download ou após passadas 24 horas, o que ocorrer primeiro, funcionando quase como um "Snapchat para arquivos".

O serviço está disponível para usuários de qualquer navegador web e pode ser acessado em:
https://send.firefox.com/

Os arquivos enviados são criptografados e podem ser compartilhados por meio de um link informado ao final do envio. A Mozilla recomenda que os arquivos compartilhados tenham menos de 1 GB, mas o serviço permite o envio de arquivos maiores.

Segundo a Mozilla, o arquivo chega aos servidores da empresa já criptografado e a Mozilla não tem acesso ao conteúdo enviado. Os únicos dados que ficam nos servidores do Send são o nome do arquivo e o tamanho. A chave capaz de decifrar o arquivo é transmitida no endereço compartilhado pelo link em um trecho que não é recebido pelo servidor.

O Send passa a ser uma alternativa para o envio de arquivos criptografados, assim como o WhatsApp, que foi recentemente atualizado para permitir o compartilhamento de qualquer arquivo. 

Fonte: G1

sábado, 13 de maio de 2017

Após ataque de ransomware, Microsoft atualiza o Windows XP...

A Microsoft decidiu liberar uma atualização de segurança para o Windows XP para que usuários do sistema lançado em 2001 possam se proteger da brecha de segurança usada pelo vírus de resgate WannaCry. O WannaCry atacou computadores em mais de 70 países e conseguiu um êxito "sem precedentes" entre os vírus de resgate graças ao uso de uma brecha de segurança grave no Windows.

A falha de segurança existe no SMBv1, a primeira versão de um protocolo de comunicação criado para compartilhar arquivos e impressoras em redes de empresas. O protocolo foi desenvolvido em 1983 e adotado pela Microsoft após adaptações em 1990. Por esse motivo, a brecha usada pelo vírus é capaz de atacar mesmo algumas versões antigas do Windows, como o XP.

A Microsoft deixou de publicar atualizações do Windows XP em abril de 2014. Desde então, apenas organizações com contratos especiais de suporte junto à Microsoft recebem atualizações para corrigir falhas no sistema operacional. Os demais usuários ficam vulneráveis a uma série de ataques possibilitados pelas vulnerabilidades.

"Ver empresas e indivíduos afetados por ciberataques, como o que foi relatado hoje, foi doloroso", escreveu Phillip Misner, gerente do grupo de segurança da Microsoft, em um blog da companhia. "Nós decidimos tomar a excepcional medida de fornecer uma atualização de segurança para que todos os clientes protejam as plataformas Windows que só recebem suporte personalizado, inclusive o Windows XP, o Windows 8 e o Windows Server 2003", afirmou a empresa.

"Tomamos essa decisão com base em uma avaliação da situação, mantendo em mente o princípio de proteger o ecossistema geral dos nossos clientes", justificou o executivo.

Por "proteção do ecossistema", Misner se refere ao fato de que computadores com versões antigas do Windows, quando contaminados por virus, também atacam ou prejudicam sistemas com versões mais novas.

A atualização para todas as versões do Windows pode ser baixada pelo catálogo do Microsoft Update (aqui). 

O Windows XP agora é seguro?
Apesar do lançamento desta atualização extraordinária para o Windows XP, o sistema ainda possui uma série de outras vulnerabilidades não corrigidas. É necessário migrar para uma versão mais recente do Wnidows ou de outro sistema operacional para não ficar sujeito a ataques que explorem brechas no sistema como o WannaCry.

Windows 10 possui falha, mas não foi atacado
O Windows 10 também possui a brecha utilizada pelo vírus WannaCry. Segundo a Microsoft, porém, o código usado pelo vírus não é capaz de atacar o Windows 10, apenas computadores com Windows 7 e Server 2008.

O vírus so funciona no Windows 10 se for executado de outra maneira, como pelo download de um anexo ou link recebido por e-mail.

Mesmo assim, a Microsoft recomenda que usuários de versões mais novas do Windows desativem o SMBv1. O Windows 10 é capaz de usar as versões mais novas do protocolo (SMBv2 e SMBv3), ambas mais seguras do que a versão original.

Para desativar o protocolo no Windows 10, acesse a tela "Ativar ou desativar recursos do Windows" (esta tela pode ser acessada pelo menu inicial ou pelo Painel de Controle, em Programas e Recursos). Na janela que aparece, desative o "Suporte para compartilhamento de arquivos SMB 1.0". 

Alguns recursos podem deixar de funcionar quando o SMB 1.0 for desativado, especialmente o compartilhamento de arquivos com dispositivos não Windows (como servidores de arquivo em roteadores). Caso a ausência do recurso cause problemas, ele pode ser reativado.

Diferente do Windows XP, que só recebeu uma atualização nesta sexta-feira (12), o Windows 10 e o Windows 7 receberam a atualização no dia 14 de março.

Fonte: G1