Se você é novo aqui, você pode se cadastrar em meu RSS feed. Obrigado pela visita!

Aproximadamente 500 executivos acompanharam, pela internet, o primeiro Decision Report Meeting, que debateu os perigos dos Crimes digitais. Como o assunto segurança virtual preocupa dez em cada dez companhias, o volume de perguntas enviadas pela audiência remota superou a casa de 100 mensagens. Questões sobre a vinculação da área de segurança da informação das empresas à TI; grampo digital; ameaças internas no roubo de dados; guerra virtual e papel dos provedores de acesso nortearam às perguntas dos internautas. Aqui, você lê seis perguntas enviadas pela platéia remota, com as respectivas respostas dos participantes do painel. Confira.

Muitas coporações tratam a segurança dentro do departamento de TI. A área de Segurança da Informação deveria ser uma equipe de confiança ligada diretamente a diretoria, ou seja, alinhada estratégicamente aos negócios da empresa. Qual é a sua opinião sobre isso? Luciano Chagas Pereira, da Alcoa.

Glória Guimarães, diretora de TI do Banco do Brasil – No próprio Banco do Brasil temos uma equipe de segurança descolada do time de tecnologia. Hoje, ela está diretamente abaixo da presidência, com uma estrutura organizacional que lhe permite delimitar as políticas e diretrizes e definir, junto ao mercado e conosco, as ferramentas que serão adotadas.  Concordo que esse é o melhor caminho. A segregação da segurança é muito importante para garantir que aquele que define a política não é aquele que vai implementá-la e, portanto, que esse conhecimento fique apartado e garanta a continuidade adequada aos negócios.

Temos ouvido falar muito em grampo telefônico, mas certamente o grampo digital é bem mais grave. Como fazer para evitar, seja do ponto de vista da legislação, seja do ponto de vista tecnológico, esse tipo de conduta, preservando a privacidade das pessoas? Antônio Rafael de Âlcantara da Rocha, da Maps Risk Management Solutions.

José Mariano, delegado de Fraudes Digitais – Aqui estamos discutindo a questão do grampo telemático, que é um recurso que existe em determinadas condições para que um juíz de Direito, que é a única autoridade capaz de decidir pela utilização do método, conceder a interceptação dos dados que circulam dentro de uma rede. Para isso, ele leva em consideração a Lei de Interceptação Telefônica, que estabeleceu as regras também para interceptação telemática.  Nesse caso, quem inflingir a Lei pratica crime. Existe previsão legal para isso, independente do projeto do senador Azeredo.

Agora isso também inviabiliza a questão do trabalho policial por uma questão simples:  uma série de organizações criminosas estão se valendo de uma série de tecnologias como Skype e  MSN para fazer troca de informação entre os membros sem que haja a possibilidade de interceptação. Toda a vez que a gente bate na porta do juíz para pedir uma interceptação telemática, ele olha e faz cara de “o que é isso?� ou então ele se manifesta para dizer “não posso conceder�.  Isso trava a atividade de segurança pública e deveria ser discutido. Ninguém quer que a polícia atue até a hora do desespero. Se você amarrar demais o trabalho de investigação criminal, acabará amarrando o trabalho da Justiça. Quanto a isso, não há lei no mundo que resolva.

Como as empresas estão se protegendo para que seus funcionários, aqueles que têm acesso autorizado a informações privilegiadas e confidenciais, não enviem dados por e-mail ou os levem para fora da companhia em um pen drive ou CD? Mara Santos, do Unibanco.

Dorival Dourado, CIO da Serasa – Isso existe, afinal, as empresas são constituídas por pessoas com seus cargos, atribuições e tarefas. A partir daí, a companhia, por sua estrutura, confere a esses funcionários suas alçadas de validação. É possível fazer três coisas. A primeira é conscientizar e treinar os funcionários. A segunda, deixar claro as regras e os aspectos éticos relacionados à segurança, o prejuízo que um indivíduo pode causar se provocar um vazamento de informação. A terceira questão é, mesmo que o colaborador seja de confiança, não é possível deixar que a raposa tome conta do galinheiro. É necessário segregação de função, alçada e autoridade. Mesmo que seja uma pessoa de confiança é preciso fazer a checagem e contra-checagem. Dependendo da criticidade da tarefa são necessários mais níveis de aprovação.

Como fica o cybercrime em caso de uma guerra como foi o caso da Rússia contra a Georgia, quando invadiram sites e tiraram serviços do ar. Como se precaver? Te alguma solução para um caráter de segurança digital mundial?

Patrícia Peck, advogada – Temos conversado com o Ministério da Defesa e com o Estado Maior do Exército sobre guerra cibernética e até mesmo sobre a possibilidade de criação de uma Corte internacional para julgar crimes eletrônicos que envolvam mais de um ordenamento e afetem culturas e comunidades de vários países.  No tocante à guerra, talvez para crimes digitais, estejamos mais próximos de uma aldeia global e o sentido seria buscar parceria para investigação internacional.  Apesar de todas as tecnologias já criadas, nenhuma é à prova de má- fé. Se houvesse, seria perfeito. Buscamos nas máquinas recursos que ajudem a nos proteger. Mas é preciso, também, leis claras, já tem um monte de leis que as próprias pessoas não conhecem.

Qual é a situação atual dos provedores de Internet em relação a auto-regulamentação? Obtivemos algum progresso? Este caminho pode e deve contribuir de um modo geral? Qual é o papel dos provedores nessa questão? Jefferson Maglio, do Protocolo Jurídico.

Eduardo Parajo, presidente da Abranet – Em 2006, começamos um trabalho para criar um código de auto-regulamentação para o setor de acesso e serviços de internet. A intenção era definir parâmetros mínimos aceitáveis pela indústria que respondessem a algumas questões da sociedade e da justiça. Nesse contexto, lançamos ações de parametrização de Logs, quais informações estavam sendo guardadas e por quanto tempo esses dados permaneceriam armazenados. Evidentemente, levantou-se outra questão que é a de sanção judicial onde chegou-se a um ponto de existe divergência. Do lado dos provedores convencionou-se adotar armazenamento das informações de Log, que começaram a ser inquiridos pela Justiça para casos de identificação de IP, para então descobrir os usuários. Esses dados são fornecidos para a polícia pelos provedores de acesso e têm apresentado resultados efetivos no combate aos crimes de fraude, pedofilia e racismo.

O código vem avançando e os provedores têm trabalhado na busca das informações para que no momento em que exista uma ação judicial, esses dados estejam disponiveis da melhor forma possível. Muita gente diz que o provedor não serve para nada, mas é nesses casos que começamos a entender os papéis dos provedores no mercado. Do lado dos associados da Abranet, sempre fomos partidários da colaboração com a Justiça.  Aqui ficou claro que a solução e a prevenção estão na educação. Não adianta investir milhões de reais todos os anos para deixar nossos sistemas mais seguros e os nossos usuários continuarem vulneráveis.  É preciso instruir o internauta para que ele tenha um computador seguro e entenda seu papel na tarefa de segurança.

Pelo que sabemos, o browser não foi criado para ser um ambiente transacional, sendo que as maiores vulnerabilidades de segurança encontram-se nesse tipo de software. Diante disso, será que não é a hora de se desenvolver um software, um hardware ou até mesmo uma solução especializada capaz de suportar essas operações? Existe alguma iniciativa nesse sentido? Elias Pena, da Caixa Economica Federal.

Fernando Santos, gerente da Checkpoint para a América Latina(participante da platéia presencial) – Existem algumas ferramentas disponíveis no mercado. Esses sistemas blindam o browser ou transportam o navegador para ambiente seguro para fins transacionais.

Fonte: Decision Report

Outros links: DVD, MP3, LCD, Plasma, HDTV, Home Theater