Max Gorissen

Otimização de Websites

2011-02-15T13:50:00.000-08:00

Introdução

Todos os dias, milhões de pessoas utilizam Sites de Buscas (Search Engines) como o Google, Yahoo!, UOL, BOL, etc, para achar informações, produtos ou serviços na Internet, que realizam a pesquisa de milhares de páginas para cada palavra-chave procurada.

Uma vez encontrada a palavra-chave, o Site de Busca, lista as informações fornecendo links para os websites que contem a informação em listas classificadas por página.

Como você já deve ter experimentado, na maioria dos casos, as pessoas clicam nos links dos resultados das primeiras páginas/ websites encontradas e ignoram as posteriores.

O problema

É muito comum você ter um website que atenda ao critério da pesquisa, seja útil, criativo e que contenha a informação específica que o usuário precisa, contudo, este nem aparece como resultado da pesquisa ou, o que é pior, outros websites que não atendam a necessidade da mesma maneira ou até mesmo nem atenda em nada, aparecem nos primeiros lugares da pesquisa enquanto o seu parece nem existir.

Isto acontece porque os Sites de Buscas são "manipulados" por fórmulas matemáticas que dão prioridade a websites que tem muita procura (SEO) ou que tenham adquirido algum pacote que melhore seu posicionamento (SEM) em determinados Sites de Buscas.

Existem muitas dúvidas por parte dos nossos clientes da diferença entre SEO e SEM e como a Otimização de Sites (SEO) pode ser uma melhor alternativa, além de mais econômica.

Esclarecendo os conceitos

O Search Engine Optimization (SEO) é um conjunto de técnicas aplicadas na programação e na estrutura de um website para que este esteja bem posicionado nas paginas dos Sites de Buscas.

Apenas para entender como o SEO funciona, ao realizar uma pesquisa, vários fatores são levados em conta pelos Sites de Buscas e, caso seu website não esteja de acordo com as regras preestabelecidas por estes critérios, seu site não será colocado nas primeiras posições dos resultados (chamado ranking).

Ao contrário do SEO, o Search Engine Marketing (SEM), mais conhecido como "liks patrocinados", são campanhas pagas pelo usuário onde o site deste é posicionado pelo próprio Site de Buscas.

Esta ferramenta é muito eficaz em campanhas de curto prazo pois dá destaque imediato e garantido ao seu website. Contudo, após certo tempo, com o crescimento de consultas e uma maior visibilidade do seu website,você se torna dependente do serviço e, como o preço desses links aumentam a medida que o numero de visitas aumenta, isso torna esta solução, em alguns casos, muito cara.

A solução

Fica claro então, que a otimização e o posicionamento de websites (SEO) é essencial para uma melhor localização de seu website nos Sites de Busca, aumentando assim as visitas (clique).

Por isso, o foco está em fazer com que seu website esteja bem posicionado e ganhe mais clientes com uma maior visibilidade nos Sites de Busca, sem ter de pagar eternamente pelos links patrocinados (SEM).

Sem otimizar seu website, este pode ser ignorado por centenas de sites de busca.

Para que isso não aconteça, você deve se concentrar em desenvolver um conjunto planejado e completo de soluções digitais, inovadoras, interativas e colaborativas que, combinadas com o desenvolvimento e a programação estruturada do seu website, melhore a visibilidade deste nos Sites de Buscas, com o objetivo de que apareça sempre nas primeiras páginas de pesquisas.

Innovation: PROJECT mag launched by Richard Branson

2010-11-30T11:40:00.000-08:00

Richard Branson, Holly Branson and Anthony Noguera have launched PROJECT in New York.
PROJECT is the first global magazine app for creative people about creative people.
PROJECT goes on sale in the Apple App Store today, priced at £1.79/$2.99 per issue. An app that looks like a style magazine and acts like a website, PROJECT has been created by Virgin Group and Seven Squared (an award-winning multi-media UK publisher) working in partnership to create groundbreaking new media.

Check the new mag: http://www.projectmag.com/

Empresas estão comprometidas em preservar os problemas iniciais que as criaram

2010-06-11T04:55:00.001-07:00

Minha experiência tem mostrado que, na grande maioria dos casos, as empresas que foram fundadas para solucionar um determinado problema, continua comprometida em preservar e perpetuar o problema que as originou.

Por exemplo, uma empresa de aluguel de carros surgiu da necessidade de solucionar um problema de transporte, contudo, esta empresa continua comprometida em solucionar o problema de transporte "com carros". Ela não busca encontrar novas maneiras de solucionar o problema de transporte, apenas se aproveita de uma contínua demanda para manter o modelo do negócio.

É esta limitante que faz com que muitas empresas não estejam preparadas para mudar quando seu produto/ serviço não é mais necessário ou se tornou obsoleto.

Gosto de dizer às pessoas que me consultam que: em algum lugar, conciente ou inconcientemente, alguém está neste exato momento desenvolvendo algo que irá tornar sua empresa/ produto obsoleto... Por este motivo, pense na sua empresa/ produto/ serviço e analise se ela se encaixa no modelo acima. Se sim, questione o compromisso de preservar os problemas que a originaram e analise de que outras maneiras pode solucionar o problema. É assim que se inova e se identificam novas tendências.

No pior dos casos, você pode concluir que estes problemas ainda tem um potencial enorme de desenvolvimento e não fazer simplesmente nada a respeito...

Acabaram com a graça de viajar de avião

2010-06-10T11:27:00.000-07:00

Escrevo este texto (Segunda-feira, 07/06/10) enquanto espero por mais uma conexão do meu vôo entre Los Angeles – Califórnia a São Paulo - SP.

Sentado aqui no saguão do aeroporto de Salvador, depois de ter partido de Los Angeles, fazendo escala em Miami no dia anterior, fico pensando em como conseguiram tirar a graça de se viajar de avião.

Para quem teve o privilégio de viver a era áurea da aviação comercial, apenas uns dez anos atrás, deve se lembrar que o prazer de viajar tinha início na recepção amável dos atendentes das companhias aéreas, já no checkin, e se estendia até a comida servida a bordo (não vou exagerar dizendo que era boa, mas pelo menos não era ruim), culminando na chegada pontual ao destino, fica assombrado em como pudemos retroceder tanto em serviço, presteza, gentileza e qualidade em tão poucos anos. É claro que o volume de pessoas e destinos hoje é muito maior o que acarreta uma logística muito complicada, mas, é para isso que existe a tecnologia, os sistemas, as pessoas capacitadas...

6:45 horas: Faço um parêntese aqui pois, acabei de ser informado pelo alto falante de que meu vôo vai atrasar 3 horas, além de mudar de avião e de companhia aérea, o que não estava previsto, fazendo com que eu perca a próxima conexão para São Paulo...

9:09 horas: Volto a escrever após ter de passar por todo um processo de negociação da minha passagem e, para não estender a história, consegui um vôo direto para Guarulhos – SP. Coitadas das pessoas menos acostumadas a viajar que, por não negociar, vão passar umas 7 horas a mais viajando.

Para finalizar meu relato volto a questionar: o que aconteceu?

Sem dúvida o acontecido no dia 11 de Setembro deu origem a um nervosismo exagerado, boa parte decorrente de uma falta total de compreensão da situação naquele momento e por isso, de tomada de decisões inconsistentes.

É fato que, muitas das decisões, foram apenas para mostrar que algo estava sendo feito o que acarretou na implantação de todo um aparato que hoje é praticamente impossível de desmontar (empregos, interesses próprios, ganância por parte de quem fornece produtos e serviços, etc) e, por mais ridículo que possa parecer ter de sujeitar as pessoas por todos os transtornos possíveis para se embarcar (passar por máquinas de raios-X, tirar o sapato, cinto, até o agasalho junto com tudo o que tem nos bolsos) não há o que fazer e, muito menos, o direito de reclamar (neste caso você será preso por desacato).

O que aconteceu? A falta de opção de quem viaja hoje em dia, atrelada a ignorância das autoridades em analisar e lidar com o problema e o medo de desmontar o aparato implantado, sujeita às pessoas a uma condição estúpida de serventia a um sistema ineficiente que, no mínimo, por não fazer sentido, deveria ser repensado... Enquanto isso não acontece, escrevo revoltado esperando meu próximo vôo, previsto para sair daqui a 2 horas...

9:45 horas: Acabaram de avisar que o vôo vai atrasar e me di conta de que o problema (meu) foi analisado apenas por um ângulo, o técnico e logístico... Esqueci completamente que estou em transito no aeroporto de Salvador – Bahia... Talvez, neste caso, não haja problema algum, pois, aqui, tudo acontece muiiiito devagar.

Os Tablets vieram para ficar!

2010-05-28T06:33:00.001-07:00

Desde seu lançamento em Abril, centenas de usuários que adquiriram o novo iPad da Apple nos Estado Unidos, perceberam que o tablet, apesar de ainda não ser perfeito (depende da interpretação de cada um), é o primeiro passo dado na direção de uma nova categoria de computação.

O iPad se posiciona entre um PC e um SmartPhone, dando ao usuário de computadores algo finalmente inédito: poder simplesmente curtir e se divertir com o equipamento e seus aplicativos.

Contudo, muitas pessoas acham que o iPad é apenas mais um equipamento de luxo, que irá morrer assim que todo o frenesi da novidade passar.

Para estes, eu diria, que não entenderam o que a Apple acabou de dar ao mundo.

Este não é apenas mais um equipamento bonitinho. É a concretização da visão de muitos dos livros e filmes de ficção científica que pessoas da minha geração (de quarentões) sonharam e imaginaram ver e usar algum dia. Para mim, é o máximo em conceito de Tendência e Inovação.

Para os mais céticos, uma realidade: Os concorrentes da Apple estão correndo para ter um produto aceitável (parecido, mas melhor e mais barato) o mais rápido possível.

Contudo, quando aparecerem os novos equipamentos, o iPad já terá adquirido a liderança em um novo mercado que deve crescer muito nos próximos anos... Eu, não vejo a hora de ter o meu!

Novo conceito de Jornal - Notícias em histórias em quadrinhos

2010-05-27T05:00:00.000-07:00

Um novo conceito de jornal (notícias) está quebrando com o tradicional modelo impresso de se distribuir e de se ler notícias. Não, não se trata do já “velho novo” formato de se divulgar as notícias através da web.

No Japão, a empresa KaBa Net, lançou o jornal Manga No Shimbun (Jornal Manga) que oferece aos seus leitores as notícias diárias em formato de Mangá (desenhos). Ou seja, os eventos/ notícias do dia são divulgados em formato de histórias em quadrinhos, contudo, não são tiras cômicas sobre política ou economia e sim as notícias reais que estamos acostumados a ler nos jornais abordando todos os tipos de assuntos (desde política externa, finanças, economia, esportes, social até o que está passando nos cinemas).

O site emprega mais de 100 cartunistas/ artistas que cobrem as notícias diárias e atualizam as páginas do jornal de 10 a 15 vezes ao dia para manter os leitores atualizados. As notícias podem ser representadas por vários formatos e estilos de desenhos que vão desde o branco e preto com traços simples a desenhos coloridos de alta complexidade.

O “jornal mangá” já está disponível também via app para o iPhone e estará disponível para outras plataformas móbile até o final deste ano. Já se discute até a possibilidade de versões internacionais.

Interessante... se esta tendência e inovação pegar, será que o Mickey terá uma grande vantagem sobre outros candidatos se ele se propor a virar presidente da república?!

A imaginação, uma das mais poderosas e misteriosas forças do Universo.

2010-05-25T06:09:00.000-07:00

Todo conceito, solução, produto ou serviço começa como uma idéia que pode ser a representação de uma tendência, de uma inovação, de uma necessidade ou, apenas, uma idéia que para você faz sentido.

Como afirmei no título deste, a imaginação do Homem é uma das mais poderosas e misteriosas forças do Universo. Nossa habilidade para imaginar e criar são a fonte do nosso desenvolvimento e progresso, sendo fundamentais para nossa sobrevivência no futuro.

Por outro lado, essa mesma imaginação é fonte de desperdício de tempo e dinheiro, nas tentativas infrutíferas de se identificar uma nova tendência de futuro.

Contudo, identificar uma Inovação, parte muitas vezes da experiência e da possibilidade de se identificar os fundamentos básicos para se extrair a "idéia premiada" e, com isso, obter-se, efetivamente, a criação de algo novo, útil e com perspectiva de futuro.

Para esclarecer e exemplificar minhas afirmações acima, veja neste link: http://www.newseum.org/todaysfrontpages/flash/ uma idéia genial para quem quer saber o que está acontecendo na sua cidade, não importa em que lugar do mundo.

A idéia, como todo conceito que vemos após alguém ter desenvolvido, parece óbvia e você dirá: Por que não pensei nisso antes?

como funciona? Simples: Apenas aponte o seu mouse na cidade e a primeira página do jornal local irá aparecer. Dê um clique duplo e a página aumenta... Em alguns jornais, você pode ler o jornal inteiro... Você pode passar a vida lendo jornais!

Quem quer que tenha inventado este site/ conceito teve uma excelente idéia!

IT is a strategic asset for implementing a Modern Business Strategy

2010-05-24T13:47:00.000-07:00

Once you decide to create and implement an innovative business strategy to explore new ways to compete in a market transformed by technology, one important component of the strategy formulation process is to understand the evolution and transformation of the entire company by its technology.

By focusing on the technology side of the business and understanding how IT integrates its products/ services and delivers business success, the path is free to analyze the impact of the actual business enterprise in successfully implementing a future modern business strategy.

From automating manual processes to enabling new enterprise processes, technology has certainly changed business operations. However, there’s a new approach for managing technical resources that goes beyond changing individual operations and instead aligns all of IT more closely to business strategy. It’s called: Enterprise Architecture.

Enterprise architecture is a method and organizing principle that aligns functional business objectives and strategies with an IT strategy and execution plan.

“The main objective of enterprise architecture is to direct the evolution and transformation of enterprises with technology allowing IT to become a more strategic asset for successfully implementing a modern business strategy.”

Enterprise architecture is a professional discipline that starts with matching business requirements to an architectural vision (considering governance, current state of assets, road map and strategic goals).

Just getting a little technical, one aspect in harnessing the power of enterprise architecture is to maximize and fine-tune the benefits of a service-oriented architecture (SOA), which can lower costs by sharing services, create agility by orchestrating services, and improve interoperability between application silos.

“SOA is an empowering vehicle for legacy modernization projects. By taking the most-costly legacy systems and modernizing them with SOA, you can provide a framework for moving other legacy services to a lower-cost platform.”

This architecture development process provides the structure for an enterprise architecture that can optimize the use of shared services in an organization and by that, contributing to finding new or more effective ways of doing business and compete in a market transformed by technology.

Brazil demonstrates the capacity of attracting new investments and hosting major world events

2009-10-13T04:27:00.000-07:00

Maximilian I.O.Gorissen - CompuStream - (São Paulo, 10/08/2009) - I am very excited that Rio de Janeiro, best known for its Carnaval celebrations and its famed Copacabana and Ipanema beaches, last week bested bids from Chicago, Madrid and Tokyo to become the first city in South America to host the Olympics.

This is a very positive signal, not only for Brazil, but for other global emerging markets as a whole, and it is more evidence that Brazil has arrived as a strong power on the global economic scene.

Brazil fast economic recovery, the mentioned win by Rio de Janeiro to host the Summer Olympics in 2016, the Brazilian upgrade to a safe investment place in the world, according to Standard & Poor’s risk rating, reinforces the perception of the sound direction Brazil has taken, showing the international trust in the country and in its capacity of attracting new investments.

Together with another popular sports event to be hosted in Brazil, the World Soccer Cup in 2014, the country is starting preparations to welcome and act as home to thousands of athletes and spectators over the games'. This means nearly every sector that's tracked by local and international investors stands to benefit in some way from Brazil's massive undertaking, which could bring in as much as $51 billion (R$ 90 billion) in new investments, by some estimates, including indirect investments and its long-term impacts.

In my view, if you are an international company, you must take this one time opportunity and capture some of these World Cup and Olympics-related outlays and start or increase your local operation.

The impact of the Olympics will reach beyond the games' run in August, as host regions generally enjoy the results of urban development and increased media exposure.

Executives and investors expect that businesses in Brazil improve with the inflow of new foreign investments, reduction of financing costs, speedup of mergers, acquisitions and initial public offerings and a larger quantity of private equity transactions.

In my humble opinion, Brazil became part of the “club” of the most respected countries.

Due to the solid economic politics in recent years, Brazil controls the inflation (around 4% a year), accumulates almost US$ 200 billion of foreign reserves and records a drop in public indebtedness, concerning its Gross Domestic Product, which fell from 50.46% in 2002 to 41.24% in March this year.

The economy has recorded positive rates of growth, as well as and uprising of productive investments.

Impressed? Send me an e-mail and let’s talk about establishing or enhancing your company presence in Brazil.

Are you interested in investing in the Brazilian IT market?

2008-03-06T09:14:00.000-08:00

Check those numbers:

Since 2007, Brazil is considered the third largest desktop PC consumer market in the world. (Source: Intel)
More than 9.98 million PCs were sold in Brazil in 2007. (Source: IDG)
The forecast for 2008: increase of 1.4 million units, totaling 11.38 million PCs. (Source: IDG)
The Brazilian company Positivo is the tenth largest PC manufacturer in the world, with sales around 1.4 million desktops in 2007. (Source: Open market)
The Brazilian domestic sector was responsible for the biggest increase in computer sales, with +40%, followed by SMB (30%), corporations (20%) and government (10%). (Source: PC World)
The notebook market has achieved an amazing 1.25 million units sold in 2007, 50% more than in 2006. (Source: Intel)
The Brazilian laptop market will grow to 3.8 million units in 2008, that’s an annual increase of 81% (Source: Abinee – Brazilian Association for the Electric and Electronic Industry)
More than US$ 27 billions will be invested in the Brazilian IT market alone in 2008, an increase of 11.8% over 2007. (Source: E-Consulting)
Brazilian companies imports more than US$ 1.2 billions in software per year. (Source: IT Web / CRN Magazine)
Software sales in Brazil are expected to exceed US$ 5.2 billions in 2008. (Source: E-Consulting)
There are more than 39 million Brazilians, over 16 years old, using the internet. (Source: Ibope NetRatings)
The B2B Brazilian market surpassed US$ 294 billions in 2007. (Source: B2Bol Index)
Brazil overcame 8 million wide band web connections in 2008. (Source: Camara e.net)
More than 15 million Brazilians has wide band residential access. (Source: Nielsen/NetRatings)
The residential access to the web has come closer to 21 million in January 2008. (Source: Ibope NetRatings)
The country has the biggest average in residential time spent surfing the web in the world: 22 hours and 59 minutes per user. (Source: Ibope NetRatings)

Creative initiatives will have an impact in both cultural and economic terms around the world.

2007-12-07T03:46:00.000-08:00

In today business environment, creativity is the key factor driving development.

Across the world, enterprises based on individual creativity are booming. Furthermore, knowledge and culture-based activities now play a central role in the activities of all businesses. This is the era of the creative economy. These changes are having a dramatic impact on global culture and on the economy.

Your goal as an administrator must be to help people engaged in the development of the creative economy to communicate and share resources with one another.

Hurry! Brazil is in need of Software for the Telecommunications Industry

2007-11-05T07:51:00.000-08:00

The demand for telecommunication software is expected to grow as a result of the convergence of data, voice, and conventional and mobile telecommunications. The most significant topic in this sector is the increase of data communication in cellular telecommunications, which is expected to continue growing for the next few years.

As the largest and most dynamic IT market for the telecom industry in Latin America, Brazil offers significant opportunities for international suppliers of IT products and services for the telecom industry.

The Information Technology IT market for the telecom industry has outpaced Brazil’s economic performance. While the Brazilian GDP has grown 2.9%, the IT sector has grown 15% more than the previous year. The dynamic IT market for the telecom industry in Brazil is nothing new. During the last five years, this market has had an average annual growth of 18.6%, while GDP growth peaked at 5% during the same period; hence, the IT market has been expanding its share of GDP.

There will be a variety of opportunities in Brazil’s telecom sector. For example, the demand for telecommunications software is expected to grow as a result of the convergence of data, voice, and conventional and mobile telecommunications.
The most significant trend in this sector is the increase of data communication in cellular telecommunications, which is expected to continue for the next few years. Business opportunities over the coming years will be linked to increasing data traffic quality and broadband speed.

Tax breaks for Digital TV and semiconductors included in the Government Acceleration Program (PAC)

2007-11-05T07:40:00.000-08:00

The Brazilian government's growth acceleration program (PAC) includes tax breaks to stimulate the national digital TV and semiconductor industries by exempting digital TV and semiconductor producers from PIS and Cofins social security taxes as well as IPI industrial tax and Cide tax.

The PAC program was introduced on January 22 with a goal of encouraging R$504bn (US$236bn) in public and private investment over the next four years.

The actions are divided into five groups:

1) Infrastructure (transport, sanitation and housing);
2) Credit stimulation;
3) Institutional development;
4) Tax exemption;
5) Long-term fiscal measures.

By including digital TV in the PAC program the government aims to create conditions that will enable the industry to start commercial transmissions by December this year.

The first digital TV set-top boxes should be on the shelves of shops by now.

The federal development bank BNDES is also studying options to provide a line of credit related to digital TV investments.

American FCPA law reaches Brazilian companies

2007-04-19T07:30:00.000-07:00

The American law “Foreign Corrupt Practices Acts (FCPA)”, valid only for companies of North American nationality gained new understanding and its reach was extended for any company that operates in the U.S.A. financial market. With this, the 37 Brazilian companies that negotiate ADR (bonds receipts) in the New York Stock market are now under the same law, even in business done outside the U.S.A.

This is an important step in assuring transparency in international trade operations.

Achieve sustainable, successful international businesses

2007-04-16T06:59:00.000-07:00

In today’s global market, businesses are trying to deal with high expectations and margin pressures.

One way to cope is by increasing the company participation in international markets (like Brazil), reaching to achieve sustainable and successful international businesses.

To do that and increase international market share, companies must focus on three main levers: accelerating innovation, enhancing local operational excellence, and empowering local information workers.

The ability to execute these strategies better and faster than your competitors is critical to success, and it requires new business processes or modification of existing ones...

Global environmental challenge: Doing our part by fully embracing telecommuting.

2007-03-14T06:28:00.000-07:00

I’ve being “playing around” with the concept of a total new and radical approach to the way we do business, having in mind three priorities: 1) guarantying the success of our clients venture; 2) having a more productive and well-balanced workforce and; 3) reducing our energy consumption and carbon output at the same time.
To accomplish this challenge, I got to the conclusion that the best way to achieve those three goals (at the same time) is by fully embracing telecommuting, leaving our new energy-hungry corporate office and by that, reducing the use of our cars.

Background
Winston Churchill once said that “People trying to build the present merely in the image of the past, will miss out entirely on the challenges of the future.”
Futurist Alvin Toffler predicted a quarter of century ago, that “the rise of the electronic cottage would help usher in a more environmentally sustainable way of life, with new economic vitality and enhanced communities and families.”
Combining those two concepts and adding the technology advance of the century: the Internet; we have the answer we where looking for: Telecommuting.
CompuStream implemented Telecommuting (see News: CompuStream implements telecommuting to enable employees to perform some of their work from places other than their designated work location. - 6/1/2006) achieving great results, not only on employee morale but on client satisfaction.
The world is changing and this is now becoming a reality with a profound impact in energy consumption. One example: By 2005 telecommuters in Los Angeles and New York alone were saving almost $6 billion annually in energy costs. These telecommuters saved some 200 million gallons of fuel with attendant reductions in green-house gases – again, reduction of energy consumption and carbon output at the same time.

Conclusion
The future may not be as green as any of us would like, but if actions are taken now by small, medium and big companies across the corporate world, we may help reduce the damaging effects of climate change, have a better quality of life and, why not, increase profit…I am definitely considering leaving our new energy-hungry corporate office and by that, reducing the use of our cars.

What do you think?

Come on in, we are having a party!

2007-03-13T08:04:00.000-07:00

Not long ago, a client from Atlanta-Georgia told me that every time he spoke to me he felt the joy and cheerfulness in the way I speak. He said that he related the feeling as if I was saying, “Come on in, we are having a party!”
Well, I am the first to admit that the atmosphere around the office is not one we would always describe as dancing-on-the-tables festive – especially when we are on a deadline – but he was right about the excitement and pleasure I find in what I am doing. Besides, a party is less about the setting and more about the people who are there and in this; I have always been very lucky with the client’s I worked with.
I am mentioning this because, yesterday, I spoke to a new client from Aruba and I felt the same way. I don’t know if the island had some influence but I am sure he was having a lot of fun doing what he was doing. I am very excited to start working with him.

A first step in playing a front-line role in saving the oceans

2007-02-28T14:02:00.000-08:00

I read Seakeepers paper “11 Critical Ocean Issues, with Action Items for Concerned Citizens” (http://www.seakeepers.org/) and was very impressed by its content and the society’s objective.

I consider myself a sailor and “a man of the sea” and I would like to try to take some of the actions described in the city of Guaruja (http://www.guaruja.com.br/) - Sao Paulo – Brazil, concentrating at first in the pollution issue, one of the biggest problems of the city that sends all the sewage directly to the ocean.

I think that this would be (quoting part of Seakeepers mission) “...a first step in playing a front-line role in saving the oceans..."

At least in the beach community of Guarujá…You see, I believe in small steps.

But maybe my small steps, combined in some way with Big steps…like the one being made by Jean-Michel Cousteau’s (www.aote.org), DOW Brazil and the Programa Mangue Limpo - Unisanta (http://www.universiabrasil.net/noticia/materia_dentrodocampus.jsp?not=35690), that together, has launched this February, 23 in the city of Guarujá the environmental education program, Ambassadors of the Environment (AOTE) (http://www.aote.org/menu/prog/out/index.htm) an outreach program for elementary and middle school students with the goal of helping young people connect with the environment, each other and the future…can make a difference.

You are welcome if you want to help.

Wondering where and how all the data collected in the world is going to be used…

2007-02-22T11:56:00.000-08:00

This one is more a concern than a comment...

At a recent Microsoft-sponsored database conference, Paul Flessner, Microsoft Senior Vice President of Server Applications, discussed the growth of data capacity requirements in layman’s terms:

1 MB (one million characters or so) = two novels (about 500 pages);
1 GB (1,000 MB) = about 1900 novels;
1 TB (1,000 GB) = about 1.9 million books (requiring 15 miles of bookshelves and 50,000 trees);
10 TB = about the size of the Library of Congress (LOC), or 19M books;
1 PB (1,000 TB) = 100 LOC's; in dollars, more money than in all the world's banks;
12 EB (1,000 PB) = total of human knowledge through 1999 (about 1.2 million LOC's)

The next 12 EB were created by 2002; 7 EB was created in 2003 alone.

At this rate, I don’t think humans could possibly keep up with all the data created and recorded.

It’s also clear that we keep accumulating data and that with technology, there is no restriction on the amount of data we can keep.

Anyway, I was wondering, after we get beyond the next+next 12 EB my question is: Where and how the data is going to be used?

New UCP 600: check its impact on your import/ export routine

2007-02-14T13:32:00.000-08:00

The International Chamber of Commerce - ICC - announced in Paris, 4 December 2006, the publication of the 2007 Revision of Uniform Customs and Practice for Documentary Credits or, just UCP 600, (ICC Publication No. 600).

ICC’s new rules on documentary credits, which are used for letter of credit transactions worldwide, were approved by the ICC Commission on Banking Technique and Practice on 25 October 2006.

The implementation date is 1 July 2007 so, if you are involved in export/ import, hurry to understand it (more: http://www.iccwbo.org).

Basically, UCP 600 contains significant changes to the existing rules, including:

A reduction in the number of articles from 49 to 39;
New articles on “Definitions” and “Interpretations” providing more clarity and precision in the rules;
A definitive description of negotiation as “purchase” of drafts of documents;
The replacement of the phrase “reasonable time” for acceptance or refusal of documents by a maximum period of five banking days.

UCP 600 also includes the 12 Articles of the eUCP, ICC’s supplement to the UCP governing presentation of documents in electronic or part-electronic form.

What’s UCP 600 impact on your import/ export routine? Well, check any letter of Credit and you will see it written into virtually every one.

Brazil High Technology and Innovation

2006-12-13T12:18:00.000-08:00

Brazil is a funny country…While having all the usual (and sometimes unique) problems of an undeveloped country, at the same time it achieves and surpasses standards not even achieved by international developed countries. Just focusing in Hight Technology and Innovation, check some examples:

Brazil has developed technology that allows taxpayers to file their income tax returns electronically; (99% are submitted via the internet);
Among Brazilian companies, 6,890 have ISO 900 certification, the biggest among developing countries. In Mexico, there are only 300 companies and in Argentina 265;
The integrated trade control system (known as SISCOMEX) means that almost 100% of import and export procedures are performed electronically;
Brazil uses a computerized system for balloting and counting votes. In the last presidential and municipal elections more than 119 million voters spread over an area larger than Europe cast their ballots electronically. Counting was concluded in less than 6 hours thanks to the computerized system, ensuring greater transparency and security during elections;
The number of checking accounts in Brazilian banks has grown to 71.5 million (2000-03). Growing steady since…;
Brazil shows technological expertise and competitiveness in several productive sectors: from aircraft, electronic voting systems, and software to agro industrial products and commodities;
Brazil is the second largest market for executive jets and helicopters;
The total number of phone lines (mobile and fixed) exceeds 100 million. It’s # 4 in the world;
The cell phone market is the second largest in the world, growing 650 thousand new lines every month;
40% of all internet users in Latin America are from Brazil;
There are 14 different carmakers with factories in Brazil and 4 more with projects approved;
Steel production broke all records in 2004 (32.9 million tons). Growing steady since…;
Brazil has the most advanced bank system in the world. Exporting banking technology even to the USA;
Biodiesel legislation has now been voted to add yet another vector to the Brazilian energy matrix;
The country boasts the largest and most diversified industrial base in Latin America and the Caribbean.

All this, has increased internal consumption significantly with higher earnings and better income distribution, inevitably resulting in sustained growth, providing private investors with excellent market and investments opportunities.

International technology companies accelerate sales in Brazil.

2006-10-06T08:04:00.000-07:00

I noticed that many international technology companies are interested in accelerating its sales in Brazil, most of them, after a slow entrance in this market.

What we can see is that, without any real investment, the Brazilian market represents 3% to 5% of those companies’ global sales and with just being proactive they can quickly grow this figure.

I mention proactive because most companies didn’t really invest to achieve this number. This was achieved by passive internet sales or a small distributor that asked to represent their products in Brazil.

I noticed this trend as some of those corporations are contacting/ engaging my company, CompuStream, to provide an initial market assessment and recommendation concerning the revenue potential, recommended market entry scenario and required organization structure to increase their sales. They want to become active and in control of their local growth.

Alternatively, companies interested in having a trouble-free local presence are hiring us to provide local infrastructure with bilingual personnel, up-to-date office equipment and facilities; promote their products; identify qualified potential distributors; help to comply with the Brazilian import regulations, licensing requirements and other details and answer promptly all inquiries and requests for information relating to their products.

Brazilian Copyright and Software

2006-09-06T12:23:00.000-07:00

When international software companies, interested in doing business in Brazil, hire us to develop their market assessment, their initial concern is always related to copyright.

So, just for your information, Brazil’s copyright Law (Law no. 9,610) was enacted in 1998, and Brazilian Software Law (Law no. 9,609) was issued in that same year.

Even though these laws are considered modern, as in many countries, they have shown themselves to be weak in discouraging piracy and protecting authors and owners of copyright.

If we focus on the specific Brazilian Software Laws, it clearly protects, for example, databases and software and guarantee protection for copyright and software irrespective of any registration in Brazil or in any countries, although copyright and software registrations are also available and can be made here.

On the other hand, there is a lack of clarity over the authorship of works produced for hire and no definite statute of limitations for court actions to recover damages for infringement, which the specific statute leaves defined by general rules of the Civil Code (and were most of the discussions and difficulties over copyright matters occurs).

In the criminal field, in July 2003 the Brazilian legislature passed a new law which increased the criminal penalties for copyright infringement, complying with demands of authors and titleholders of copyrights that complained about the lack of more severe penalties for infringers. However, to date, these modifications have had no noticeable effect on reducing copyright infringement…

How to cope with that? Well, Brazil is not the worst country when dealing with copyright protection; the same issue exists in every country so, let us start your business in Brazil and help you protect in any possible way and, if it happens, we will deal with it…

Experimentation is motivating

2006-08-29T12:19:00.000-07:00

I am in the business of helping international companies sell or increase its sales in Brazil for some years now and a motivating thing about this business is that, no matter how much experience and knowledge we acquire, we are always experimenting before we start any new project.

In our business, representing a new client typically begins with an effort to select or create one or more possible promotion concepts, which may or may not include the best possible solutions since no one knows what the best solutions are in advance.

These promotion concepts are then tested against an array of requirements and constraints that are unique based on each client need.

This initial effort, we call it trials, yield new information and learning, in particular about aspects of the outcome we did not, or was not able to know or foresee in advance: the initial project misconceptions.

These misconceptions (this is a positive thing at this point since we are not implementing yet) are used to revise and refine the promotion under development, and progress is made in this way toward an acceptable result.

Is like experimenting and developing something new or at least different every time, not just a copy.

This experimentation is what motivates me.

Simplicity is Key to market technology

2006-08-22T06:10:00.000-07:00

I think everyone remember some years ago when the dot com fiascos were alleged exploding technology and “virtual engineering mindsets” (or just a whiz kid), thought they were above the old rules of business and beyond the old needs of marketing.

Most of those masterminds thought they deserved success just because they had invented a new high tech whistle, bell or mousetrap, while all we customers could perceive was a simple need dressed as a complex solution.

I learned a lesson in those years while I helped a couple of those companies to market their products in Latin America: No matter how high the technical complexity, the path to simplicity will get you to the customer quicker.

The product or service may be complex, but the motivation to buy it (if you take the trouble to find it) will be simple.

Remember, technology is only a tool that may provide control, choice, convenience and clarity to a basic need we, the customers, have.

The threat on carry-on gadgets and how to cope with it.

2006-08-14T07:31:00.000-07:00

If you are a regular traveler, it is impossible not to have noticed the events of the last couple of days when, British security agents uncovered a suspected bomb plot targeting some UK flights traveling to the US and its impact on the international airlines and specially on the passengers.

The consequences of the guidelines issued by the transport and security agencies in both countries, can be felt already in the UK that has already banned all electronic devices such as MP3 players, mobile phones and laptops from hand luggage on all flights departing from the country, while the US has taken the more conservative step of only banning liquids, gels and beverages from in and outgoing flights.

However, given the nature of the threat which is believed to involve liquid explosives that could be triggered by an electronic signal, tight restrictions for carry-on luggage might spread far beyond UK borders since there is already fear that suspected bombers had discovered new ways to evade airport security, with electronic devices playing an important role.

Shipping expensive devices in cabin luggage is believed to substantially add to the risk of such items being stolen or damaged, and could even involve loss of critical or confidential data.

So, be careful with your carry-on gadgets and follow these suggested measures:

Do not check in what is obviously a laptop bag. Instead bury your laptop and other devices in another bag with adequate padding.
Remove all the data from your hard drive not deemed essential for your trip. The removed data can be carried on your person on a CD or USB stick if it is required at your destination.
Get insurance that will cover the loss of expensive devices should they go missing with the rest of your luggage and maintain a list of serial numbers and product specifications.
Explore the various methods of authenticating and encrypting data as well as methods of physically securing hardware devices (especially laptops) so they either lock down or call home in the event that they are stolen.

Brazilian Tax System

2006-07-26T05:35:00.000-07:00

Answering an e-mail I received requesting information on the Brazilian tax system and, since this is a complex subject, just describing what is relevant, the Brazilian tax system is based on the principle os strict legal reserve.

That means that the jurisdiction to impose taxes is limited to those provided for in the Federal Constitution, and may only be made through ordinary law voted and approved by National Congress (federal taxes), by state legislatures and city councils.

Despite this legal strictness, in relevant and urgent cases, the President of the Republic may impose federal taxes via Provisional Measures, with legal effect, which must be submited to the approval of the National Congress in order to become a law. Provisional measures that are not converted into law within 30 days lose their legal effect.

The Federal Constitution provides for the application of the following taxes:

1) Taxes: these taxes are due regardless of any specific service directly rendered by the government to the taxpayer;
2) Charges: these charges are levied based on police power (regulatory fees) or as counterpart for specific, divisible public services, which are actually rendered or made available to individuals by the government upon request;
3) Improvement Contributions: or betterment fee; these contributions are collected from real estate owners who benefit from public work;
4) Contributions: compulsory levies destined for specific purposes.

The constitutional system is based on three jurisdiction and tax collection levels. The Federal Constitution grants to the federal government, states, Federal District and municipalities differente and independent powers to impose and collect the following taxes specified therein:

a) Federal Government:

- Import Duty (II - Imposto de Importação);
- Export Duty (IE - Imposto de Exportação);
- Income Tax (IR - Imposto de Renda);
- Excise Tax (IPI - Imposto sobre Produtos Industrializados);
- Tax on Financial Operations (IOF - Imposto sobre Operações Financeiras);
- Rural Land Tax (ITR - Imposto Territorial Rural);
- Tax on Personal Wealth (IGF - Imposto sobre Grandes Fortunas). - Not created yet.

The Federal Government has exclusive jurisdiction to impose domain economic intervention contributions and social contributions.

b) States:

- Tax on estate and donation of assets or rights;
- Value-added Tax on Sales and Services (ICMS - Imposto sobre Circulação de Mercadorias e Serviços);
- Vehicle Tax (IPVA - Imposto sobre Propriedade de Vehículos Automotivos).

c) Municipalities:

- Municipal Real State Tax (IPTU - Imposto Predial e Territorial Urbano)
- Property Transfer Tax (ITBI - Imposto sobre a Transmissão de Bens Intervivos);
- Service Tax (ISS - Imposto sobre prestação de Serviços de qualquer natureza)

In addiction to compliance with the principles of legality mentioned above, the Federal Government, states and municipalities are not allowed to:

a) give different tax treatment to taxpayers with similar situations;
b) claim taxes in relation to taxable events occuring before the date of effect of the law by which taxes have been enacted or increased;
c) charge taxes in the same financial year in which the law (that introduced or increased the taxes) was published;
d) use taxes with the purpose of seizing taxpayers' properties (rule of non-confiscation);
e) restrict the trafic of people or goods by way of interstate of inter-municipal taxes.

There is more:

Federal Income Tax:

- Corporate Income Tax (IRPJ - Imposto de Renda Pessoa Jurídica);
- Social Contribution on Net Income (CSLL - Contribuição Social sobre o Lucro Líquido).

...among others.

Hope it helps.

Always check if you have a valid Visa before traveling to Brazil

2006-06-23T15:10:00.000-07:00

A common misunderstanding that often occurs to foreign citizens is arriving in Brazil without a valid visa…and not being accepted into Brazil.

So, my advice: ALWAYS CHECK IF YOU HAVE A VALID VISA before traveling to Brazil.

Brazil works with the following types of Visas:

Transit: you must apply for this type of visa if your trip is not continuous and you are going to travel through Brazil. This transit visa will allow you to enter the country once, are valid up to 10 days and are not extended.
Tourist: If you are a foreigner and plan to visit Brazil for recreation or tourism, you must apply for this kind of visa. Beware that with this tourist visa you can not remain for an indefinite period since it does not have immigration purposes and you can not engage in paid activities. Check if your country has ratified international treaties with Brazil ensuring reciprocal rights because if your country does not require Brazilians to have visas, you do not need a visa to enter the country either. In this case, your tourist visa will be valid for up to 90 days and can be extended for another 90.
Temporary: There are some restrictions to apply for a temporary visa. You must be a foreigner coming on:

Cultural trip or study mission – Type I visa - valid for a stay up to 2 years;
Business trip – Type II visa – 90 days;
Artist or sport person – Type III visa – 90 days;
Student – Type IV visa – 1 year;
Scientist, professor, technician or any other professional under a contract or employment agreement or on Brazilian government service – Type V visa – 2 years;
Correspondent of a foreign newspapers, magazines, radios, televisions or news agencies – Type IV visa – 4 years;
Religious representative or congregation member – Type VII visa – 1 year.

Permanent: This type of visa is for foreigners planning to settle and reside in Brazil definitively.
Courtesy, official and diplomatic visa: These types of visas are granted by the Ministry of Foreign Relations to personnel of foreign embassies, consulates, and international organizations within Brazil.

It is important to clarify that foreigners holding student, transit or tourist visa may not engage in any paid work in Brazil.

If you are a foreign citizen and want to engage in paid activities in Brazil, you must request a temporary or permanent work visa. Which type, temporary or permanent, and the period you will be authorized to stay will depend on the position and the activities you will hold/perform in Brazil.

Internet Domain Names in Brazil

2006-06-22T12:08:00.000-07:00

To clarify the domain name and registration issue in Brazil, let’s start by stating the obvious: a domain name is the name a company or individual uses to identify its website.

There were no specific domain name rules in Brazil until 1998 when the Brazilian Internet Management Committee finally published the domain name rules.

Basically, the rules states that a domain name must be registered at FAPESP (check their web site: https://registro.br) and have an extension matching the services a company provides, for example, a commercial company may use the .com extension or, depending on its activities, .ind for industry, .imb for a real state company, while governmental and non-profit agencies must use .gov for government or .org for organization.

Also, to identify that the extension is one that has being registered in Brazil, it must be followed by .br for Brazil. Example: www.compustream.com.br.

Another demand is that if you want to register a domain name in Brazil, you must have a valid registered Brazilian CNPJ number (for companies) or a valid registered Brazilian CPF number (for individuals) plus, an individual representative in Brazil.

If you are a foreign company and don’t have a local registered branch office or operation, you must have an attorney-in-fact (or representative) in Brazil who must also deliver its CNPJ or CPF number with all the needed documentation to FAPESP.

Be careful, among other documents, you must attach a statement (notarized and legalized at a Brazilian Consulate in the company headquarter country) undertaking that the company will begin business in Brazil within the next 12 months….don’t forget to translate these documents using a sworn translator.

Once you have this documentation:

Check the domain name availability on https://registro.com.br;
Enroll your company or representative in FAPESP;
Once enrolled with FAPESP and with the name and password provided in hand, you can register your domain. There are no limits on number of domain names;
FAPESP will then activate the domain and within two weeks you must provide FAPESP with two DNS (Domain Name System) that will host the site;
FAPESP will charge you with an annual registration and maintenance fee for each domain name. As in anywhere else, if you fail to pay the annual fee, FAPESP will suspend and cancel the registration.

Hope this really simple explanation will help you.

Trips for business and pleasure are one and the same

2006-06-19T07:45:00.000-07:00

A client asked me last week what do I do when I arrive in a different country.
I told him that, when I travel, my mind is always going nonstop, constantly looking for something new. I’d be depressed if a place didn’t pique my curiosity. I always go to the local markets, shopping centers, museums, and places I know locals will attend, because they make me feel part of the places I’m visiting. I usually walk or drive around with no definite destination. The best experiences are those that make you feel immersed in a different culture. They are the ones you’ll remember.

It doesn’t matter if you are traveling for business of for pleasure, it is important to try to understand and adapt to the culture and customs of the country, until a common ground has been established. I always consider that there will be a:

Different language;
Different mentality;
Different life-style;
Different behavior and customs;
Different sense of humor;
Different way to do business;
Different legal system;
Different labor system…among others.

My understanding and acceptance of these differences, will be most beneficial in business and personal matters, and will guarantee my success for the venture being considered.

Brazilian Trading Companies

2006-05-31T12:02:00.000-07:00

Still discussing the ways to establish your company in Brazil (see yesterday Blog: Steps to Establishing an Office in Brazil), trading companies could be another type of, basically import marketing organization, to set foot in Brazil.

Although principally designed as an export promotion tool, trading companies may play a role in importing through direct purchase or counter trade activities. The operation of Brazilian trading companies is open to foreign as well as to national interests.

In Brazil, trading companies are called "empresas comerciais exportadoras", "companhias comerciais", or "companhias de comercio exterior". They are set up to give small and medium-sized manufacturers the same operational flexibility as large manufacturers in promoting Brazilian exports, especially of non-traditional exports.

Whichever form of market entry is selected, the bottom line for an international companies is to do your homework before entering the Brazilian market.

Common sense and long-term approaches are a good idea too, but, if you are not sure about the way to go, we’re here to help you grow your business in Brazil.

Steps to Establishing an Office in Brazil

2006-05-30T05:49:00.000-07:00

Either setting up a company in Brazil or acquiring an existing entity are options for investing in Brazil. Setting up new companies is relatively easy and inexpensive. Acquisitions of existing companies are monitored by the Central Bank (Banco Central).

The more critical issues are usually related to starting a business without a local partner who knows the lay of the land. Selecting the right partner, as in any other country, is also critical. Specific expertise, track record and business ethics are probably the more important issues to be looked at.

Branch offices are difficult to form, whereas corporations (S.A. - Sociedades Anonimas) and limited liability companies (LTDA - Limitadas) are relatively easy to form. Capital registration with the Central Bank is required for access to foreign exchange, capital repatriation and profit remittance.

Office space and personnel is quite expensive in Brazil so we strongly recommend against this exposure, at least in the beginning. Go slowly and carefully. Be absolutely sure you need an office because you will have to staff it.

Brazil's minimal capital requirements are nominal in general, but are significant for establishment of financial institutions. When selecting the site of an investment, potential local investment incentives should be carefully considered, as should tax considerations.

It is important to look at taxes during the evaluation of entry strategies into Brazil. There are several 'waterfalls' of taxes (Impostos em cascata) that need to be applied for the importation, sale and exportation of products in Brazil. Although there are many taxes, they are well-defined and well-known.

It is essential to consider taxes to assess if your products will be competitive in Brazil. Seek help on this, so you can be informed on all specific taxes and find a good customs broker to get products successfully imported. The broker will know or can research what taxes apply, and will fill out all the importation paperwork. Improperly filled out paperwork or the non-payment of applicable taxes can delay products and trigger heavy fines.

Licensing in Brazil

2006-05-29T06:10:00.000-07:00

As in other countries, licensing agreements are common forms of accessing the Brazilian market. All licensing and technical assistance agreements, including trademark licenses, must be registered so is very important to talk to a competent local attorneys specialized in structuring such agreements.

A major concern of foreign companies trading with Brazil is protection of intellectual property rights is often inadequate and uncertain. Brazil is a signatory to the Paris, Bern and Universal Copyright conventions on intellectual property rights (IPR) protection.

Most of the country's statutes on IPR are consistent with Western standards. However, serious gaps exist regarding patent protection for pharmaceuticals, trademarks and trade secrets. Legislation is before Brazil's Congress to address most of these issues.

A firm doing business in Brazil must carefully watch its trademark rights. Licensees, distributors, agents and sometimes purchasers will file trademark applications on your firm's trademarks. You should consider using a trademark watch so you will be able to oppose any such trademark application.

Companies established in Brazil are now virtually free to negotiate technology transfer contracts. INPI (Instituto Nacional da Proteção Industrial - http://www.inpi.gov.br/) will no longer express an opinion on the terms on which a company has negotiated a technology transfer agreement. However, contracts still have to be registered with INPI, a process that should take no longer than one month.

Doing Business in Brazil: Market Entry Information

2006-05-25T05:38:00.000-07:00

Brazil has recently been occupying a strong role in the international scenario, reactivating commercial agreements and relations with old partners, and reopening relevant issues for discussion on the development of trade goods and services throughout the international community. Although Brazil has always had a “natural vocation” for international partnerships and relations, it can be said that international trade has only recently received greater attention from the Brazilian government as a result of the need to generate resources internally, aiming at a development that is able to promote social integration.

Future investors seeking to take advantage of the opportunities Brazil has to offer are advised to approach with care. Rapid industrial, urban and commercial development has created a labyrinthine legal and tax system witch requires sound professional advice.

Almost any market entry approach is open to international companies seeking to tap into the huge Brazilian market direct sales (import), agents, distributors, partners, joint ventures, licensing or start-ups. The appropriate form depends largely on the product or service, as well as the international experience of the Company and its sales goals.

One important thing, however, is to find and use competent experts on Brazil. In other words, don't go in alone.

All standard international forms of business relationships are recognized in Brazil. It is difficult to freely state which form is most appropriate since it largely depends on the product or service, as well as the maturity of the business and the probable market penetration.

Small companies with financial and manpower restraints usually rely on agents or distributors to sell their products. This form of distribution is most favored by companies that have limited overseas market experience or exposure. There are low investment risks and this form permits penetration into a foreign market which otherwise would be impossible.

A company that has done its due diligence and has invested in a serious market analysis for its products would most likely prefer to enter into a partnership or joint venture. This permits it to have a participation in the development, marketing and growth of the product, and allows it to invest capital or know-how in the venture, maximizing growth potential.

Many times, it is preferable to license the rights to a local manufacturer rather than enter into a possible competitive situation with the local company.

Whichever form of business venture is decided on, in most cases it is best to stay on the conservative side until experience and results are obtained.

It is important to develop a market research. Do your due diligence and homework first! CompuStream can help you with the initial stages of market entry and strategic planning. When ready for implementation, the product will dictate the distribution channel. Basically, the channel that has proven successful in the US or Europe will prove successful in Brazil.

International companies need to do a good situational analysis of the industry and the participants before committing to one approach or another. Qualify people you are doing business with. The decision to use partners or to form joint ventures needs to be the product of thinking about what the company and local participants will each contribute, in terms of reputation, market, and product knowledge, management/ skills, and experience.

Whatever the inclination, it would be most advisable to seek professional help and benefit from the experience in identifying, screening and qualifying potential local parties, in order to make the best decision. CompuStream can help you on that.

Be cautious when selecting your Brazilian partner. Anywhere in the world, you will find people who are very entrepreneurial. Many people will say they can be your agent, distributor or partner, but they may or may not be your best choice. The importance of being there to understand the issues first-hand, assisted by someone objective who is an expert on Brazil, cannot be overstated.

Are you interested in selling your products or services in Brazil?

2006-05-24T10:19:00.000-07:00

The business challenge

Are you facing the prospect of growing your business into Brazil but don’t know where to start?
Do you need local information to identify your most profitable local markets?
Do you need local knowledge to build a productive local sales network?
Do you need help to price your products competitively?
Do you know what are and how to comply with Brazilian import regulations, licensing requirements and other details?

You're not alone

Many CEOs in small and medium sized businesses trying to reach out to the Brazilian marketplace are daunted at the prospect.

Selling to Brazil? Find someone locally to help you.

Find someone that speaks and understands your language... and knows something about your product or, at least, about your market and that will help you:

make the right connections in Brazil;
Select final partner candidates;
Generate Letters of Intent;
Negotiate partner agreements;
Create a comprehensive business plan;
Identify your most profitable local markets;
Build a productive local sales network;
Help you price your products competitively;
Help you comply with Brazilian import regulations, licensing requirements and other details;
Promote your products;
Assist you in budgeting realistically for export sales and revenues;
Ensure you get maximum results from your overseas trips, including visiting trade shows.

I hope that this will help you start or grow your business in Brazil.

Serviços necessários a uma empresa de Consultoria em Segurança da Informação

2006-04-05T13:21:00.000-07:00

Quando me propus a montar e estruturar a CompuStream Security, conversei com muitas pessoas, estudei diversos artigos, conversei com fornecedores de soluções e hardware, acompanhei notícias e visitei sites internacionais para encontrar e compor, o que acredito, seja o modelo ideal de uma empresa que presta serviços de consultoria em segurança da informação.

Após várias combinações, apresento aqui os serviços necessários a uma empresa de Consultoria em Segurança da Informação (e oferecidos pela CompuStream Security):

1. Análise e desenvolvimento de Políticas de Segurança com base na ISO/IEC 17.799: 2005; composto por:

1.1 Diagnóstico de Vulnerabilidades e Conformidade: é o mapeamento e análise de todo o fluxo de informações e da infra-estrutura de TI com foco em acessos, falhas de segurança, pontos vulneráveis a ataques, serviços oferecidos, aplicativos, equipamentos de redes e sistemas operacionais, dentre outros, propondo soluções para a sua correção e/ ou eliminação.

1.2 Desenvolvimento de Política de Segurança: é o desenvolvimento e implementação da Política de Segurança com base em normas e padrões de gestão internacionais de segurança (NBR ISO/IEC 17.799:2005), considerando as características gerenciais, operacionais e culturais de cada empresa. A Política de Segurança é o conjunto de diretrizes, normas e procedimentos que devem ser seguidos com o objetivo de conscientizar e orientar os funcionários, clientes, parceiros e fornecedores sobre como gerenciar, distribuir e proteger as informações e ativos da empresa.

2. Soluções de Segurança; composto por:

2.1 Projeto de Segurança: é a instalação e configuração de todas as ferramentas (software e hardware) e serviços (procedimento e treinamento) necessários para o suporte e gerencia da Política de Segurança da empresa, incluindo sistemas de firewall, criptografia, autenticação, sistemas de monitoração de disponibilidade e integridade, detectores de intrusão, redes seguras e todas as demais ferramentas de segurança necessárias.

2.2 Plano de continuidade: é o desenvolvimento e preparação dos procedimentos e estruturas necessárias para que a empresa retorne as suas atividades, no menor tempo possível, em caso de desastre. Os desastres podem se apresentar de diversas maneiras, entre elas, incêndio, explosão, inundação, roubo, sabotagem, crime eletrônico, corte de serviços, entre outros e devem ser tratados de acordo com seu impacto no negocio da empresa.

3. Verificação e Auditoria periódica da Segurança: é a avaliação diária, semanal ou mensal da segurança, realizada local ou remotamente, acompanhando e analisando imagens, acessos, configurações e Logs, identificando problemas e tomando as medidas corretivas necessárias. Este serviço é gerenciado através de sistema de Help-Desk ativo, que registra todo o atendimento, mantendo e disponibilizando um histórico das ações realizadas.

É importante destacar que apresento apenas serviços de segurança da informação, não entrando em soluções do tipo hardware e software, já discutidos em um artigo anterior.

Processo disciplinar na violação da Segurança da Informação

2006-03-31T13:18:00.000-08:00

Um tema que gera polêmica em muitas empresas é o de como proceder com a pessoa responsável quando existe uma violação da segurança da informação.

Como acredito que ninguém goste de sancionar uma outra pessoa (bom...tem alguns que gostam, mas esse não é o assunto do artigo), é importante realizar uma verificação prévia para confirmar de que a violação realmente ocorreu.

Ainda, antes de crucificar o indivíduo, é importante identificar se o funcionário sabe que está cometendo uma violação e acompanhar para medir a freqüência em que a violação ocorre.

Verificar se sabe é bastante óbvio, contudo, muitas vezes, se esquece de informar, treinar ou estabelecer o desempenho desejado e esperado das pessoas. Não sendo este o caso, devemos acompanhar e medir a freqüência para estabelecer se o mesmo se repete, o que constitui, caso este sabe que está cometendo uma violação, um ato de má fé.

Além disso, o acompanhamento irá fornecer informações e evidências para o caso de, após um incidente de segurança da informação, ser necessário entrar com uma ação legal (civil ou criminal) contra uma pessoa ou organização.

Apenas para ilustrar, sem entrar no detalhe, as evidências de violação devem abranger: a admissibilidade da evidência, ou seja, se a evidência pode ser ou não utilizada na corte e; a importância da evidência, que está relacionada à qualidade e inteireza da evidência.

Voltando para o processo disciplinar, uma vez confirmado a violação e decidido proceder com a sanção, é importante que este assegure um tratamento justo e correto aos funcionários que são suspeitos de cometer tais violações.

Para isso, o processo disciplinar deve dar uma resposta de forma gradual, que leve em consideração fatores como a natureza e a gravidade da violação e o seu impacto no negócio.

Devesse observar também, se este não é o primeiro delito, se o infrator foi ou não adequadamente treinado, as legislações relevantes, os contratos do negócio e outros fatores conforme requerido.

Em casos sérios de má conduta, é importante que o processo permita, por um certo período, a remoção das responsabilidades, dos direitos de acesso e privilégios. Ainda, dependendo da situação, devesse solicitar à pessoa que saia imediatamente, de preferência escoltada, das dependências da organização.

A divulgação do processo disciplinar, guardados os devidos direitos do indivíduo, deve ser usada como forma de dissuasão, para evitar que outros funcionários, fornecedores e terceiros também violem as políticas de segurança da informação.

Devo reconhecer e acrescentar também que, dependendo do caso, será um prazer sancionar a pessoa...

Segurança das Telecomunicações

2006-03-28T10:59:00.000-08:00

Antes de discutir a segurança das telecomunicações é importante conceituar, para efeito deste artigo, telecomunicações. Telecomunicações é todo instrumento capaz de servir de veículo para a transmissão de dados, voz ou informações de interesse.

Com esta definição, todas as maneiras de telecomunicações são englobadas, como por exemplo: telegrama, fax, transmissão de voz (telefone, rádios, etc), transmissão de imagens (satélites, circuitos fechados de TV, etc) e transmissões digitais (e-mail, workflow, etc). Ainda nesta definição, apesar de não ser o foco de preocupação deste artigo, se encaixa também o mensageiro ou motoboy e as cartas.

Basicamente, nas telecomunicações, o maior problema de segurança é a violação das transmissões, o que chamamos de interceptação. O resto é conseqüência.

Por este motivo, vou focar nas medidas e procedimentos para prevenir, detectar, evitar e neutralizar a interceptação.

Antes de discutir medidas e procedimentos, vou segmentar a segurança das telecomunicações em categorias para facilitar a compreensão. A segurança das telecomunicações pode ser categorizada como:

Segurança dos meios: é a segurança dos meios de transmissão;
Segurança da transmissão: é a segurança dos tipos de transmissão;
Segurança do conteúdo: é a segurança do teor da transmissão;
Segurança dos componentes: é a segurança dos diversos itens que participam ou emanam das transmissões;
Segurança da recepção: é a segurança da recepção das transmissões.

Visando proteger a segurança das telecomunicações, devemos então analisar medidas e procedimentos para cada uma destas categorias por separado (apesar de que muitas ações se apliquem a mais de uma categoria), ficando assim:

Segurança dos meios:

Escolha locais adequados para a instalação dos equipamentos;
Estabeleça controles de acesso e de rotinas para utilização;
Caso possível tenha apenas um operador específico;
Realize o controle de manutenção, reparação, substituição e obsolescência;
Defina procedimentos e meios de segurança das estações e antenas de transmissão e retransmissão;
Instale bloqueadores, alarmes, circuito fechado de TV;
Limite o universo de usuários.

Escolha de locais:

Selecione locais evitando que estes estejam suscetíveis à ação das intempéries (chuva, vento, etc) ou às condições que prejudiquem seu desempenho (umidade, calor, etc);
Selecione locais que possibilitem o controle de acesso, de utilização, da manutenção, do monitoramento, etc.

Segurança da transmissão:

Para este, cada caso é um caso, contudo, caso possível utilize: scramblers, saltos de freqüência, criptologia, entre outros.
Estabeleça rotinas para transmissões e tráfego.

Segurança do conteúdo:

Parecido à Segurança da transmissão;
Utilize Criptografia;
Utilize regras de uso definindo quem pode fazer o que, quando e em que circunstancias;
Estabeleça procedimentos para usuários, agentes, operadores, determinando parâmetros de conduta;
Estabeleça rotinas para transmissões e tráfego.

Segurança dos componentes:

Estabeleça regras de controle de acesso a qualquer item que possa permitir acesso aos sistemas que permitem realizar, manter ou avaliar a informação ou o conhecimento nas transmissões;
Estabeleça uma análise sobre as condições técnicas e operacionais dos sistemas de transmissão;

Segurança da recepção:

Defina procedimentos e medidas de verificação da idoneidade, identidade e fidedignidade das origens e das fontes, da veracidade dos conteúdos, de sua pertinência, importância e de sua precedência.

Isto deverá ajudá-lo a aumentar a segurança nas suas telecomunicações.

Ainda, para realmente garantir a segurança das (tele) comunicações, se certifique dos antecedentes criminais e da saúde financeira de seus mensageiros e Motoboys.

IP Spoofing – levando gato por lebre

2006-03-22T12:05:00.000-08:00

Para definir o termo, spoofing (do termo em inglês spoof ou mascarar em português) significa fingir ser o que você não é. Este é o motivo do título, do popular, gato por lebre.

Dentro da área de Tecnologia da Informação (TI), como sempre mais refinada nas suas definições, IP spoofing é uma técnica de subversão de sistemas informáticos que consiste em mascarar (ou spoof) pacotes IP com endereços de remetentes falsificados.

Para dar um exemplo, um dos tipos de spoofing mais sofisticados é o ataque e alteração da relação nome/IP nos servidores DNS (Domain Name Servers). Neste caso, o endereço registrado no servidor DNS, por exemplo, www.nomedodominio.com.br e associado ao número IP 200.228.142.38 é alterado para um novo número IP 200.227.144.12 (ambos endereços IP são exemplo). Com isso qualquer pessoa tentando acessar o site www.nomedodominio.com.br estará sendo redirecionado para o novo endereço IP (falso).

Para facilitar, isto seria como trocar a placa do número da sua casa pela do seu vizinho com o objetivo de receber a nova TV que você já sabe que ele comprou.

Além desta, entre outras mais criativas, existe outra no qual um indivíduo mal intencionado se apropria do IP de um usuário que está conectado a uma determinada página da Internet e, desta maneira, rouba a sessão e o encaminha para um site falso.

Para evitar o spoofing, existem vários métodos, como a aplicação de filtros de pacotes, filtro ingress nos gateways, filtro egress e até mesmo o uso de um bom firewall, entre outros.

O assunto é bastante complexo e extenso...

Na biometria, as pessoas viram chaves de acesso.

2006-03-21T11:42:00.000-08:00

Pode parecer estranho, mas é bem provável que você já utilizou a biometria para ser identificado.

Não se assuste, a biometria já é bastante utilizada nos controles de acesso e identificação por impressões digitais. Existe atualmente em alguns prédios inteligentes, academia de ginástica, aeroportos, etc.

Contudo, uma adição à biometria que conhecemos está se tornando cada dia mais comum; são as imagens faciais, da íris e a geometria da mão, entre outras, que podem ser usadas como meios de identificação ou verificação em procedimentos de liberação de acesso ou comprovação de identidade.

Esta nova tecnologia funciona através da combinação de duas características de um indivíduo para garantir uma identificação mais precisa; por exemplo, associa características anatômicas combinadas com características comportamentais, como a assinatura, a voz ou o padrão de datilografar em um teclado.

Um dos métodos mais comum é o do reconhecimento facial, que hoje se encontra em plena transição de um método 2D para um método 3D, o que fará ser mais seguro.

Ele funciona da seguinte maneira: Para autenticar uma pessoa, suas características pessoais são escaneadas (tirasse uma fotografia digital em 2D ou 3D dependendo da tecnologia) e comparadas com os dados armazenados em uma base de dados. O objetivo é determinar se a pessoa e os dados combinam.

Os sistemas biométricos são sistemas que realizam uma verificação ou uma identificação. A identificação, objetiva determinar a identidade de uma pessoa, enquanto a verificação, objetiva confirmar ou refutar se a identidade é da pessoa.
O princípio da identificação biométrica é o mesmo em todos os sistemas, independente da sua tecnologia (digital, íris, face, etc). O usuário deve, em primeiro lugar, registrar no sistema as suas propriedades biométricas. Estas são então gravadas e convertidas em registros de dados.

O conceito é bastante simples, por exemplo, se o usuário quiser passar por uma verificação, o sistema compara os dados atuais com os dados armazenados.
Focando a segurança, basicamente os sistemas biométricos permitem controlar o acesso às áreas da segurança com maior precisão.

A vantagem da autenticação biométrica é que reduz o risco da informação ser intencionalmente ou involuntariamente roubada, porque as características de um indivíduo, físicas ou comportamentais, são únicas e associadas diretamente a uma pessoa. Além disso, sempre se associa a estas características um determinado prazo de validade.
Além de permitir controles de acesso para instituições físicas, uma identificação digital pode ser usada também para controle de acesso lógico, como por exemplo, para aplicações de comércio ou bancários pela Internet.

Um exemplo deste tipo de identificação pode ser associado a uma assinatura eletrônica que pode fazer parte da proteção de uma transação bancária, por exemplo, um pagamento de uma conta pela Internet. Através deste, a autenticação biométrica assegura-se de que a chave da assinatura esteja ativada de acordo com a da assinatura Digital.

A descrição acima é apenas para dar uma idéia do conceito.

Preciso de ajuda para gerir a segurança da informação de minha empresa?

2006-03-20T12:45:00.000-08:00

Como afirmam os gurus da administração, a melhor maneira de esclarecermos algo que a nosso ver é complexo, é através de perguntas.

É por este motivo que o título deste artigo foi escrito como uma pergunta e a seguir relaciono outra série de perguntas que o ajudarão a responder a primeira.

As perguntas não seguem nenhuma ordem ou seqüência específica, mas abordam os aspectos mais importantes na segurança da informação:

Sua empresa atende aos requisitos legais necessários?
Suas informações estão seguras?
Quer diminuir ou eliminar a possibilidade de fraudes eletrônicas, espionagem, sabotagem, vandalismo, incêndio e inundação?
Precisa proteger as infra-estruturas críticas do negócio?
Seus usuários e terceiros conhecem e aplicam procedimentos de segurança?
Você sabe onde sua empresa é vulnerável?
Você sabe quais informações devem ser protegidas e quais não tem tanta necessidade?
Sua equipe está preparada para atender questões de segurança e de confiabilidade?
Existe uma integração entre todas as áreas de sua empresa de modo a mapear os riscos?
Existe compromisso para com a segurança da informação por parte da alta gerência?
Faltam procedimentos apropriados?
Você sabe qual solução de segurança sua empresa precisa?

Está claro? ...

Necessidade de testes e atualizações regulares dos planos e processos de Disaster Recovery Planning

2006-03-15T13:40:00.000-08:00

Falar de Disaster Recovery Planning (DRP), pressupõe já ter um plano de Segurança da Informação, pois este faz parte do mesmo.

Um plano de Segurança da Informação nada mais é do que um plano desenvolvido com base em uma análise detalhada da operação da empresa e da sua segurança e é constituído por duas análises; do risco e do impacto no negócio e de dois planos; o de desastre e o de continuidade.

Para que esse plano seja realista e na hora H sirva para alguma coisa, deve ser estruturado e desenvolvido considerando cinco fases distintas que costumo chamar de: inspeção, prevenção, detecção, reação e reflexão.

Inspeção é a avaliação das necessidades de segurança da organização e seu nível atual de preparação;
Prevenção são as ações pro ativas e preventivas de redução de risco para evitar uma possível interrupção do negócio;
Detecção é o momento em que ocorre o risco. É o indicador de reação para minimizar imediatamente as perdas ocorridas com um incidente ou com a interrupção do negócio;
Reação é o plano emergencial a ser implantado quando o incidente de segurança ocorra. Também chamado de DRP – Disaster Recovery Planning;
Reflexão é a avaliação e análise post-mortem e o conjunto de modificação no plano com base nas lições aprendidas.

Em poucas palavras, posso dizer que o DPR só é utilizado se todas as ações de prevenção não funcionaram e algo deve ser feito de imediato para minimizar a interrupção das atividades do negócio.

Utilizando uma definição mais elaborada, o objetivo do DRP é: não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso.

O DPR é um plano ou processo de contingência e para seu desenvolvimento deve-se levar em conta algumas premissas:

1) Entender os riscos a que a organização está exposta, no que diz respeito à sua probabilidade e impacto no tempo, incluindo a identificação e priorização dos processos críticos do negócio;
2) Identificar todos os ativos envolvidos em processos críticos de negócio;
3) Entender o impacto que incidentes de segurança da informação provavelmente terão sobre os negócios e sobre o processamento da informação;
4) Considerar a contratação de seguro compatível que possa ser parte integrante do processo de continuidade do negócio, bem como a parte de gestão de risco operacional;
5) Identificar e considerar a implementação de controles preventivos e de mitigação;
6) Identificar os recursos financeiros, organizacionais, técnicos e ambientais suficientes para atender aos requisitos de segurança da informação;
7) Garantir a segurança de pessoal e a proteção dos recursos de processamento das informações e dos bens organizacionais;
8) Detalhar e documentar os planos de continuidade do negócio que contemplem os requisitos de segurança da informação alinhados com a estratégia atual do negócio;
8) Testar e atualizar constantemente os planos e processos implantados;
9) Garantir que a gestão da continuidade do negócio esteja incorporada aos processos e estruturas da organização.

Desta lista, motivo do título, gostaria de destaca a importância do “testar e atualizar constantemente os planos e processos implantados” que, infelizmente, é esquecido na maioria das organizações.

Não vou entrar no mérito mas, podemos afirmar, que isso ocorre por diversos motivos, como por exemplo: é trabalhoso, toma muito tempo, falta recursos humanos parar se dedicar, não preparamos os controles necessários, a auditoria ainda vai demorar a voltar, outras prioridades operacionais, etc.

Apesar destas desculpas, é de suma importância o teste e a atualização dos planos já que, caso não sejam realizados, a recuperação do desastre pode não ser efetiva e todo este trabalho ter sido feito em vão.

Se você não consegue fazer o teste e a atualização do plano com a devida freqüência usando recursos internos, contrate alguém que o faça, mas não deixe de realizá-lo.
Seu negócio depende disto.

Segurança e tratamento de mídias

2006-03-14T16:33:00.000-08:00

Uma falha temível de segurança, sim temível, é a relacionada com o descarte de mídias que não são mais utilizadas.

Apenas parar esclarecer o que são mídias, elas são quaisquer meios magnético, ótico ou de papel que contenham informações. Geralmente são associadas a disquetes, CD’s e fitas, mas podem ser até um simples pedaço de papel.

As mídias são importantes, pois, em determinado momento, imaginou-se armazenar alguma informação para uso posterior ou para distribuição; ou seja, naquele momento era importante que a informação fosse guardada.

Contudo, uma prática comum, é o das pessoas descartarem mídias que ainda contenham informações importantes. Os motivos podem ser vários, como, por exemplo, confundir-se e jogar no lixo um CD contendo informações importantes devido a não ter anotado a descrição ou algum indicativo do que existe gravado nele.

Contudo, neste exemplo, jogar o CD no lixo por descuido não caracteriza a temível falha na segurança. O que caracteriza este ato como temível é sequer haver pensado em quebrá-lo ou inutilizá-lo raspando ou arranhando as trilhas ao longo da superfície de dados do CD antes de jogá-lo.

Como sabemos, as informações (arquivos, senhas, planilhas, cartas, e-mails, fotos, etc) contidas nessas mídias podem conter “algum bem de informação” que, no passado ou no presente, sejam importante e que podem ser usadas por pessoas mal intencionadas.

Só para dar um exemplo, se dentro deste CD existir um arquivo do topo Word contendo uma senha, e esta senha for quebrada, a mesma poderá servir de base para se descobrir outras senhas deste usuário ou da empresa, já que as senhas da maioria das pessoas estão relacionadas e seguem um mesmo padrão.

Parar evitar que isso ocorra, preste atenção e aplique estes cuidados para todas as mídias da empresa que contenham bens de informação, sejam elas em meio magnético, ótico ou papel:

Guarde em lugar seguro e adequado à mídia, de acordo com as especificações do fabricante;
As que forem transitar para fora das instalações da empresa devem ter as suas saída registrada e a garantia de sua chegada ao destino. Além disso, devem ser embaladas de forma adequada, para garantir a sua integridade;
As mídias em meio magnético ou ótico devem ser identificadas externamente, quanto ao seu conteúdo, indicando, quando necessário, o prazo de retenção e observações sobre a mesma;
Quando forem descartadas, devem ser apagadas e/ ou destruídas através de trituração ou incineração.

Tenha estes cuidados independentemente do conteúdo da mídia, ou seja, um CD de música que já não lhe interessa deve passar pelo mesmo procedimento de um CD contendo o relatório da previsão das vendas dos próximos 12 meses.

Com isso, o procedimento se torna natural e se incorpora a sua rotina.

Classificação e Controle de ativos

2006-03-13T06:20:00.000-08:00

Hoje em dia, é alta a preocupação com a segurança dos bens de informação utilizados pelas empresas.

Por este motivo, diretrizes são desenvolvidas e constantemente atualizadas com o objetivo de garantir esta segurança. Estas diretrizes levam o nome de PSI – Política de Segurança da Informação.

Como a função da PSI é proteger a informação de diversos tipos de ameaças, garantindo assim a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócio, muito se tem focado na importância das informações de uma empresa e da sua classificação como o ativo mais importante da mesma.

Contudo, na prática, todos os ativos de uma empresa são importantes já que existe uma interdependência entre eles e, se alguns falharem por terem sido menosprezados, os efeitos desta falha podem causar problemas ao ativo de informação.

Por esse motivo, dois passos são fundamentais no gerenciamento de ativos:

O mapeamento do fluxo e do relacionamento entre ativos e informação;
A classificação e o controle dos ativos e das informações

No primeiro, é importante mapear o relacionamento entre os diversos ativos da organização para entender seu relacionamento, dependência e efeito. Contudo, não vou discutir neste artigo o mapeamento e sim a classificação e o controle dos ativos.

Para efeito de uma PSI os ativos devem ser agrupados da seguinte maneira:

Os ativos de informação são os dados contidos em Bancos de Dados, os dados contidos em arquivos convencionais, a documentação de sistema, a documentação de softwares básicos e de apoio e os planos de continuidade;
Os ativos de software são os programas fonte, os jobs, as ferramentas de apoio ao desenvolvimento, os softwares básicos e de apoio e os utilitários;
Os ativos físicos são os equipamentos computacionais (microcomputadores, notebooks, etc.), equipamentos de comunicação (controladoras, roteadores, modens, switchs, etc.), dispositivos de entrada e saída (discos, fitas, impressoras, etc.);
Os ativos de infra-estrutura são os no-breaks, os geradores de eletricidade alternativa, os quadros elétricos, os equipamentos de refrigeração, etc.

Para cada grupo de ativo, é feito um inventário contendo pelo menos as seguintes informações:

Ativos de informação: nome do ativo, proprietário, custodiante, usuário, localização, mídia;
Ativos de software: nome do ativo, fornecedor ou quem desenvolveu, proprietário, custodiante, localização, mídia;
Ativos físicos: nome do ativo, fornecedor, proprietário, custodiante, localização e capacidade;
Ativos de infra-estrutura: nome do ativo, fornecedor, proprietário, custodiante, localização e capacidade.

Para todos os grupos de ativos, também é feita uma classificação quanto à sua criticidade e, especialmente para o ativo de informação, deverá ser feita uma classificação adicional, quanto ao seu sigilo.

A classificação quanto a criticidade obedecerá aos seguintes critérios:

Muito alta, quando a perda do ativo provocar parada total das atividades de TI;
Alta, quando provocar perda parcial, de mais de 70% das atividades de TI;
Média, quando provocar perda parcial, entre 30 e 70% das atividades de TI;
Baixa, quando provocar perda parcial, abaixo de 30% das atividades de TI;
Muito baixa, quando não provocar paradas na atividade de TI.

A classificação quanto ao sigilo obedecerá aos seguintes critérios:

Confidenciais – informações para conhecimento de um grupo reduzido de usuários. Geralmente são informações de caráter pessoal;
Restritas – informações de caráter setorial e para conhecimento de grupo reduzido de pessoas;
Internas – informações pertencentes à empresa. Uma informação pode ser interna e restrita ou confidencial ao mesmo tempo;
Públicas – informações que podem ser acessadas por qualquer usuário.

Isto é apenas uma das primeiras classificações e controles que devemos estabelecer na PSI com o objetivo de garantir a segurança da informação.

Para se ter segurança, no mínimo, devemos ter desenvolvido uma PSI - Política de Segurança da Informação.

2006-03-10T10:36:00.000-08:00

Todo departamento de TI (Tecnologia da Informação) de uma empresa que afirma ter segurança nas suas informações, deve ter desenvolvido, no mínimo, uma PSI – Política de Segurança da Informação.

Resumindo, a PSI é o conjunto das diretrizes necessárias à preservação e segurança dos bens de informação utilizados por uma empresa.

Podemos definir como bens de informação, os seguintes componentes da TI:

Sistemas aplicativos desenvolvidos e adquiridos;
Softwares básicos e de apoio;
Dados;
Hardware;
Instalações físicas;
Equipamentos de infra-estrutura;
Documentos em papel.

Conforme definição da norma NBR ISO/ IEC 17799:2000, a informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e conseqüentemente necessita ser adequadamente protegida.

A segurança da informação tem por objetivo proteger a informação de diversos tipos de ameaças, para garantir a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócio.

Ainda segundo a norma, a informação pode existir em muitas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou através de meios eletrônicos, mostrada em filmes ou falada em conversas. Seja qual for a forma de apresentação ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.

Para se conseguir a mencionada proteção, a informação deve ser primeiro caracterizada pela preservação da:

Confidencialidade, que é a garantia de que a informação é acessível somente a pessoas com acesso autorizado;
Integridade, que é a salvaguarda da exatidão e completeza da informação e dos métodos de processamento;
Disponibilidade, que é a garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes, sempre que necessário.

Com base nestas, a segurança da informação é obtida a partir da implementação de uma série de controles, que podem ser políticas, prática, procedimentos, instruções de trabalho e funções de software.

Estes controles precisam ser implementados para garantir que os objetivos de segurança específicos da empresa sejam atendidos e seus riscos reduzidos ou eliminados.

Os riscos típicos que a PSI pretende eliminar ou reduzir são:

Revelação de informações sensíveis;
Modificações indevidas de dados e programas;
Perda de dados e programas;
Destruição ou perda de recursos computacionais e instalações;
Interdições ou interrupções de serviços essenciais;
Roubo de propriedades.

Com base nesta rápida explicação, agora você entende o porque da afirmação: Para se ter segurança, no mínimo, devemos ter desenvolvido uma PSI - Política de Segurança da Informação.

A necessidade imediata das empresas são os controles de segurança e não a certificação ISO 17799/ 27000.

2006-03-07T09:44:00.000-08:00

Muitas empresas não têm a necessidade ou a possibilidade de participar do processo de certificação ISO 17799 e da nova série ISO 27000.

O que elas precisam e querem mesmo é utilizar os controles e a experiência acumulados na norma, para diminuir de forma eficiente, possíveis ameaças às informações e assim minimizar seus danos comerciais.

Como todos sabem, existe uma grande euforia causada por pressões de mercado e, muitas vezes, pelos próprios órgãos certificadores pela devida certificação.

Contudo, os motivos para a certificação ISO 17799/ 27000, no caso de TI, já não é tão clara quanto quando se falava em ISO 9000.

A justificativa utilizada hoje gira em torno de que a certificação é uma importante demonstração pública de que a empresa utiliza uma sistemática homologada para o gerenciamento de riscos. Além disso, é complementada com uma pitada de “terrorismo psicológico” com o cumprimento da Sarbanes-Oxley (SOX).

Não me levem a mal, acredito ser válida a certificação, mas não imperativa já que considero a certificação como uma conseqüência natural de um sistema de gestão da segurança bem implementado, funcionando e aceito por todos os envolvidos.

Por este motivo, é mais importante utilizar a norma como base para o rápido desenvolvimento e implantação de um Information Security Management System (ISMS), ou Sistema de Gerenciamento da Segurança da Informação (as empresas que usam a ISO 17799/ 27000, certificadas ou não, acabam por desenvolver automaticamente um ISMS), que garanta um bom nível de segurança sobre os aspectos do hardware, do software e das pessoas, do que a preocupação com controles, auditorias, declarações de aplicabilidade, documentos e atestados de certificação.

Então, não perca tempo. Adquira e use de imediato a norma ISO/ IEC 17799 ou a 27000 para identificar os pontos de partida para se desenvolver uma gestão de segurança da informação, realista e eficaz, para sua empresa.

Premissas para adotar uma política de segurança com base na ISO/ IEC 17799:2005.

2006-03-06T06:32:00.000-08:00

Todos sabem que a informação são ativos importantes para o sucesso nos negócios.

Hoje, a maioria das informações encontra-se gravadas em sistemas eletrônicos dentro de computadores, servidores, mídias de backup e redes.

Infelizmente muitos sistemas de informação não foram projetados para serem seguros e dependem de meios técnicos, de gestão e de procedimentos apropriados para evitar sua exposição a ameaças.

No tocante à gestão e procedimentos, a identificação de controles a serem implantados requer um planejamento cuidadoso e devem ser desenvolvidos atendendo às premissas descritas abaixo.

Qualquer que seja o controle, ele deve:

Definir, alcançar, manter e melhorar a segurança da informação nas atividades essenciais da empresa para assegurar a competitividade, o fluxo de caixa, à lucratividade, o atendimento aos requisitos legais e a imagem da organização junto ao mercado;
Diminuir ou eliminar a possibilidade de fraudes eletrônicas, espionagem, sabotagem, vandalismo, incêndio e inundação;
Proteger as infra-estruturas críticas ao negócio;
Estabelecer procedimentos apropriados e legais que vão de encontro aos credos (princípios) da organização;
Conseguir o compromisso e apoio das pessoas envolvidas (funcionários, acionistas, terceiros, fornecedores, clientes, outros);

Ter em mente estas premissas o ajudará a direcionar e determinar as ações apropriadas e as prioridades para o gerenciamento dos riscos da segurança da informação e na implementação dos devidos controles para a proteção destes riscos.

Lei No. 11.280/06 permitirá ampliar o uso de Certificados Digitais

2006-03-02T13:30:00.001-08:00

O Brasil, como muitos outros países do mundo, não consegue se modernizar com a velocidade necessária quando o assunto são as leis que tratam da Economia Digital.

Contudo, no dia 16 de fevereiro, foi sancionada pelo presidente Luiz Inácio Lula da Silva, a Lei nº 11.280/06, a quinta do pacote de reforma infraconstitucional do Poder Judiciário, já aprovada pelo Congresso em 2005.

A sanção desta lei é um passo importante na modernização do judiciário e na ampliação do uso de certificados digitais.

Os certificados digitais são como carteiras de identidade virtuais que certificam que o servidor está criptgrafando os dados pelo protocolo SSL.

O SSL (Secure Socket Layer) é um protocolo suportado pela maioria dos servidores e browsers e trabalha em dois níveis de complexidade: 40-bit e 128-bit. Esses valores se referem ao tamanho da chave criada para criptografar a seção.

As de 128-bit, mais fortes, são recomendadas para aplicações que exigem um grau muito alto de segurança, como as de comércio eletrônico.

Várias empresas comercializam esses certificados de segurança e os preços variam.

É bom lembrar que os certificadoos de segurança são vendidos apenas para empresas.

As principais empresas que comercializam estes certificados são:
VeriSign: http://www.verisign.com/
Thawte: http://www.thawte.com/
GlobalSign: http://www.globalsign.net/
Entrust: http://www.entrust.com/
CertSign: www.certsign.com.br (deverá ser fornecido o número do CNPJ)

A nova legislação, altera o Código de Processo Civil, que passa a vigorar com a seguinte redação:“Parágrafo único. Os tribunais, no âmbito da respectiva jurisdição, poderão disciplinar a prática e a comunicação oficial dos atos processuais por meios eletrônicos, atendidos os requisitos de autenticidade, integridade, validade jurídica e interoperabilidade da Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil" (ver íntegra da Lei 11.280/06).

Estes certificados representam ferramentas fundamentais para o crescimento da Economia Digital e, por conseqüência, para o desenvolvimento sustentável do país.

Continuidade do negócio e o seguro financeiro

2006-03-02T05:33:00.000-08:00

Todo negócio, prejudicado por uma brecha na segurança da informação, não pode permitir que ocorra interrupção das atividades, devendo estar preparada para proteger de imediato os processos críticos contra os efeitos de falhas ou desastres.

Para isso, ações de prevenção e proteção, desenvolvidas com base nos processos de gestão da continuidade do negócio devem ser implementados com o objetivo de evitar a falha ou, caso ela ocorra, minimizar o impacto/ efeito da mesma (exemplo: recuperar os ativos da informação).

É importante que estas ações sejam desenvolvidas considerando uma análise prévia dos processos críticos do negócio para que sua implementação garanta que, no mínimo, as operações essenciais do negócio sejam restauradas com a maior brevidade possível.

Além disso, a gestão da continuidade do negócio deve incluir controles que identifiquem e reduzam os riscos de reincidência.

Contudo, não podemos garantir com essas ações o prejuízo financeiro e, por esse motivo, um seguro pode minimizar o seu efeito.

Um seguro, muito comum no mercado europeu é o seguro contra a fraude eletrônica. Este seguro, protege as empresas contra o roubo de valores, falsificação de documentos e dinheiro (exemplo: transferências eletrônicas de recursos indevidas), entre outras.

No ano passado (2005), a Superintendência de Seguros Privados (Susep), disponibilizou no Brasil o Seguro Contra Fraudes Corporativas, devido ao crescimento acelerado dos casos de fraudes eletrônicas e golpes de funcionários nas empresas brasileiras.

Infelizmente, até o momento, este seguro só está disponível para empresas com faturamento anual acima de R$ 500 milhões....para poucos....ora; é um começo!!

Definição e Estatísticas sobre Spam

2006-02-23T04:18:00.000-08:00

Para cada pessoa, spam pode ter um significado diferente. Contudo, uma boa definição para efeito deste artigo é: “um e-mail não solicitado, normalmente com objetivo comercial, enviado a um grande número de endereços de e-mail”.

Esta definição pode ser vista por dois lados, o spam e-mail é realmente comercial ou é um vírus ou phishing scam mascarado como um spam e-mail.

Olhando do ponto de vista do e-mail comercial, o spam nem sempre é ruim já que pode estar divulgando a promoção de um produto de seu interesse e, por este motivo, é muito bem vindo. Por outro lado, um spam e-mail com o mesmo objetivo promocional, mas de um produto que realmente não lhe interessa, pode ser mal visto e causar um sentimento de invasão.

Ainda dentro da nossa definição, existe um outro tipo de e-mail que pode ser considerado spam e que gera sentimentos contrários nas pessoas; são os e-mails de piadas, contos, frases, divertidos, filmes, propagandas, políticos, sacanagem, etc, enviados por amigos e parentes. Muitas vezes são bem vindos, mas, parar dizer o mínimo, as vezes o pessoal exagera.

Não vou abordar o outro ponto de vista, ou seja, de vírus e phishing scams mascarados de spam e-mails, pois este ninguém aprecia mesmo.

Para se ter uma idéia do que os spam e-mails representam, apresento aqui algumas estatísticas que recebi hoje em um e-mail spam comercial da CA:

Fatos e Estatísticas sobre spam (traduzido do Inglês):

Pesquisas indicam que entre 40% e 82% de todos os e-mails recebidos por uma pessoa, são não solicitados e indesejáveis;
Com base no relatório do Anti-Phishing Working Group de Agosto de 2005, o país sediando (hosting) o maior número de sites de phishing naquele mês, eram os Estados Unidos;
13.776 foi o número reportado de phishings somente no mês de Agosto(1);
30% de todos os spam é disparado ou enviado sem conhecimento da pessoa, de PC’s residenciais ou de home-offices(2);
Dois terços dos spam são falsos ou enganosos e violam a lei(3);
A CNET divulgou que os consumidores classificaram o spam como o problema mais invasivo enfrentado por eles atualmente(4);
23% dos usuários de computadores residenciais receberam pelo menos uma tentativa de phishing via e-mail nas últimas duas semanas(5);
63% dos usuários de e-mail disseram ter recebido um spam pornográfico, comparado com 71% no ano anterior(6);
O custo calculado em perda de produtividade por causa de spam nos Estados Unidos alcançou os US$ 21.58 bilhões por ano(7);
A porcentagem de usuários que:
Abrem o spam para ver seu conteúdo é de 14%;
Fazem uma varredura para eliminar spam de suas contas de e-mail pelo menos uma vez por semana é de 68%;
Recebem pelo menos 40 e-mail spam por dia é de 78%(8).

Observações: 1. Fonte: APWG, 8/05 - 2. Fonte: FTC - 3. Fonte: FTC - 4. Fonte: CNET - 5. Fonte: AOL/NCSA, 12/05 - 6. Fonte: Pew Internet and American Life Project, April 2005 - 7. Fonte: PC Magazine, 9/6/05 - 8. Fonte: PC Magazine, 9/6/05

Níveis de Segurança na Seleção dos RH

2006-02-22T11:53:00.000-08:00

Como todos sabem, o organograma da empresa compreende diferentes níveis e funções.
Para cada um destes níveis, diferentes pessoas têm acesso e/ ou são responsáveis por dados ou informações que, dependendo da sua importância, podem ser classificadas como “segredos do negócio”.

Por este motivo, o preenchimento de tais funções exige não só uma seleção mais apurada, como também, um acompanhamento contínuo do comportamento e do desempenho da pessoa a fim de prevenir atitudes que possam provocar danos ao negócio.

Uma seleção mais apurada consiste em assegurar que os funcionários, fornecedores e terceiros antes mesmo da contratação, entendam suas atribuições e responsabilidades. Isto pode ser feito através das descrições de cargos e dos termos e condições de contratação. Além disso, é importante que todos sejam adequadamente analisados (financeiro e criminal), especialmente em cargos com acesso a informações sensíveis.

Ainda, para todos os casos, acordos sobre seus papéis e responsabilidades com a segurança da informação devem ser assinados.

Após a contratação, devemos nos assegurar de que estes estejam conscientes; das ameaças e preocupações da empresa em relação à segurança da informação, das suas responsabilidades e obrigações em relação a segurança da informação e, principalmente, qual é a política de segurança da informação adotada pela organização.

Não podemos esquecer que deve ser fornecido a todos, um nível adequado de conscientização, educação e treinamento nos procedimentos de segurança da informação e no uso correto dos recursos de processamento das mesmas. O objetivo deste é minimizar os riscos e garantir a segurança.

Como complemento, convém que exista e seja apresentado um processo disciplinar formal que trate das violações de segurança da informação.

Por último, não podemos esquecer de estabelecer procedimentos para o caso de um funcionário, fornecedor ou terceiro deixar a organização.

Neste caso, é importante que a saída seja feita de modo controlado e que sejam observados procedimentos, entre eles, de devolução de todos os equipamentos e de retirada de todos os direitos de acesso.

Requisitos de segurança na aquisição de sistemas de informação

2006-02-21T07:37:00.000-08:00

Os sistemas de informação incluem sistemas operacionais, de infra-estrutura, aplicações de negócios, produtos de prateleira e aplicações desenvolvidas pelo usuário.

Contudo, muitas empresas ao comprar ou desenvolver um determinado sistema destinado a apoiar o processo de negócio, não leva em conta que a sua implementação pode ser crucial para a segurança da informação.

Muitas falhas de segurança se encontram “embutidas” nos sistemas desenvolvidos ou adquiridos e podem permitir a ocorrência de erros, perdas, acessos e modificações não autorizados ou até o mau uso das informações. Por este motivo, é importante que antes da implementação de novos sistemas de informação os requisitos de segurança sejam identificados e testados.

Para dar um exemplo, o Windows XP da Microsoft®, disponibiliza o Windows Update que oferece as mais recentes atualizações de segurança e outras atualizações importantes, além de drivers de dispositivo e outros recursos disponíveis parar computadores com Windows. O mesmo deve ser considerado nos outros sistemas a serem utilizados.

Mudando este exemplo e pensando em um produto que não seja comprado na “prateleira”, é importante que um processo formal de aquisição e testes seja realizado e que o contrato com o fornecedor leve em consideração os requisitos de segurança estipulados pela empresa.

No caso em que funcionalidades de segurança de um produto não satisfaçam os seus requisitos, é importante que seja realizada uma análise do risco que está sendo introduzido, considerando também os controles necessários para minimizá-lo antes de se efetivar a compra do produto.

Por outro lado, quando novas funcionalidades são incorporadas ao sistema e percebesse que estas acarretam riscos à segurança, convém que as mesmas sejam desativadas ou que a estrutura de controles proposta seja analisada criticamente para determinar se há vantagem na utilização das funcionalidades em questão.

Esta prevenção, não só evita os problemas de segurança mencionados anteriormente como também minimiza custos já que, problemas identificados no estágio anterior à implementação, são muito mais baratos de solucionar do que aqueles identificados posteriormente.

Prioridade na Segurança da Informação

2006-02-20T10:02:00.000-08:00

São muitas as empresas que hoje prestam serviços especializados na Segurança da Informação. Contudo, a grande maioria das empresas são integradores/ distribuidores de produtos de informática que, como não poderia deixar de ser, priorizam as soluções que protegem a informação que trafega e/ ou é armazenada nos servidores e computadores de seus clientes, como única maneira de se garantir a segurança.

Do meu ponto de vista, apesar desta ser uma etapa importante da segurança da informação, se os sistemas não estiverem totalmente desprotegidos ou correndo risco iminente de ataque, considero a proteção da informação através de soluções computacionais, o último passo em um projeto de segurança.

Apenas para esclarecer, a informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for à forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.

Segurança da informação é a proteção da informação através da disseminação do conceito de segurança contra vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócios.

A política da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isso seja feito com outros processos de gestão do negócio.

Como podemos ver, um projeto de segurança da informação deve partir do princípio de que a informação encontra-se distribuída dentro da empresa em vários níveis e locais físicos, não somente em computadores e, por esse motivo, a identificação destes requer um planejamento cuidadoso e uma grande atenção aos detalhes.

Para isso, o mapeamento e a análise de todo o fluxo de informações e da infra-estrutura de TI com foco em acessos, falhas de segurança, pontos vulneráveis a ataques, serviços oferecidos (terceiros), aplicativos, equipamentos de redes e sistemas operacionais, dentre outros, devem ser estudados junto com o desenvolvimento e implementação de uma Política de Segurança com base em normas e padrões de gestão internacionais de segurança (NBR ISO/IEC 17799), considerando as características gerenciais, operacionais e culturais de cada empresa.

A Política de Segurança é o conjunto de diretrizes, normas e procedimentos que devem ser seguidos com o objetivo de conscientizar e orientar os funcionários, clientes, parceiros e fornecedores sobre como gerenciar, distribuir e proteger as informações e ativos da empresa.

Como podem ver o desenvolvimento desta fornecerá as diretrizes para a implantação das corretas soluções de segurança computacional.

Segurança Eletrônica Física

2006-02-17T05:35:00.000-08:00

Os sistemas de segurança da informação não devem englobar apenas a informação, mas também a segurança dos ativos da empresa.
Para isso, devemos complementar software e aplicativos que focam exclusivamente a informação armazenada em computadores, com equipamentos e serviços voltados ao setor de Segurança Eletrônica Física, que abrangem as áreas de análises de riscos, projetos, instalação, manutenção e monitoramento eletrônico.

Compões a Segurança Eletrônica Física, os seguintes equipamentos e serviços:

Firewall, roteadores e servidores: Instalação e configuração completa de Firewall, roteadores e servidores, entre outros, com teste de todos os serviços necessários, testes de vulnerabilidades e de disponibilidade. Avaliação de todo o ambiente Internet e de sua topologia e configuração.

Alarmes monitorados: Através de terminais de alarme se gerencia todo o sistema de segurança, sensores de movimento, sensores de abertura, detectores de fumaça, detectores de quebra de vidro, teclados, sirenes, luzes estroboscópicas, cercas eletrificadas, botões de emergência, etc.

Sensores: através de sensores de movimento, abertura, quebra de vidros, entre outros, realizamos a detecção de uma condição de alarme. Os sensores do sistema informam a condição de alarme ao terminal que promove o disparo de sirenes locais e simultaneamente a comunicação do evento a uma central de monitoramento 24 horas.

Circuito fechado de TV: Este sistema possibilita o acompanhamento de áreas remotas, identificando possíveis problemas ao mesmo tempo em que também funciona como inibidor de ações de agentes externos e internos. As câmeras são posicionadas conforme a necessidade local e a conveniência do cliente com a possibilidade de gravação. O sistema pode ser ponto a ponto, isto é, um monitor para cada câmera, ou composto por seletores/ multiplexadores apresentando várias imagens no mesmo monitor.

Circuito fechado digital: O sistema digital fechado possui todos os recursos dos sistemas convencionais analógicos, com a grande vantagem de eliminar fitas cassetes, pois armazena imagens de alta resolução em HD, diminuindo sensivelmente a necessidade de manutenção do sistema. As imagens podem ser rapidamente localizadas devido à facilidade de indexação de data e hora. Este sistema permite também a visualização remota das imagens por intermédio de redes locais LAN/ WAN e Internet.

Controle de acesso: Denominasse controle de acesso ao processo limitador de entrada a determinadas áreas ou horários, somente a pessoas autorizadas. O sistema requer que as pessoas autorizadas identifiquem-se a um leitor ou teclado, reduzindo a possibilidade de roubos, eliminando chaves e problemas mecânicos com fechaduras. Para tanto são necessários dispositivos tipo catraca (barreiras) como fechos eletromagnéticos, cancelas, cartões de proximidade, leitoras de cartões, teclados, placas controladoras e opcionalmente software específicos para gerenciamento do sistema.

Proteção perimetral: Destinado á segurança patrimonial sua função básica é conter o acesso de intrusos á área protegida, provendo choques elétricos ou acionamento de sirenes no local e/ou enviando um sinal para uma central de monitoramento.

Minimize o risco de invasão

2006-02-16T02:59:00.000-08:00

Existem indivíduos que se dedicam a enganar pessoas para conseguir o que desejam. Esta prática, comúm na nossa sociedade, recebe vários nomes, como por exemplo; furto, roubo, ludibriar, extorção, invasão, surrupiar e, na área de informática, como não poderia deixar de ser, adotou-se um nome pomposo: "Engenharia Social".
As formas de Engenharia Social variam. Vai desde o simples furto da senha deixada pelo usuário num post-it colado na parte de baixo do seu teclado (local óbvio) até ataques a servidores através da conexão direta de um laptop em uma sala de reuniões da empresa em um ponto de rede sem segurança.
Contudo, com o advento das redes sem fio (wireless), os Engenheiros Sociais não precisam mais se arriscar tanto, nem estruturar grandes planos para invadir uma rede. Muitas destas redes se encontram abertas para qualquer um que quiser invadí-las.
Isso ocorre porque, na maioria das vezes, quem instala estas redes não se preocupa em criptografálas ou, no mínimo, alterar a senha padrão de acesso.
Por este motivo, para evitar que invasões aconteçam, pequenas mudanças de comportamento podem fazer toda a diferença em manter seu computador livre de invasão e, por consequência, dos principais tipos de ameaça virtual.
Inicie criptografando (WPA-Wi-Fi Protected Access ou SSL-Security Socket Layer) sua rede. Isso é fácil através do proprio aplicativo/software que vem junto do equipamento. Escolha sempre a criptografia máxima disponível (Exemplo SSL de 128 bits) digitando chaves que, apesar de difíceis, você consiga lembrar mais tarde. Não repita senhas utilizadas em outros aplicativos, nem senhas que possam ser associadas a você, tipo: nome do filho, data do casamento, etc.
Além disso, mude a senha padrão do fornecedor. Todo equipamento vem com username e senha padrão, como por exemplo; username: admin e senha: password.
Faça o recomendado acima e irá dificultar invasões evitando que outras pessoas sirvam-se de sua conexão com a internet.
Por último, consulte regularmente o site do fabricante em busca de atualizações de drivers de segurança.

A distribuição de vírus de computador para fazer o bem.

2006-02-14T14:39:00.000-08:00

Muitas vezes somos levados a acreditar que o mundo virtual (da Internet) é um mundo perigoso, onde os hackers e crackers dominam e que tudo que fazemos neste meio está sendo observado por alguém com más intenções.

Contudo, ao parar para pensar, isso é muito parecido com os perigos que vivemos no mundo real, o que me leva a imaginar; o mundo virtual pode ser imaginado como um mundo paralelo, onde sofremos os mesmos medos e apreensões.

Por outro lado, não podemos nos esquecer de que na vida real, também nos divertimos, estudamos, conversamos e temos vidas saudáveis e normais e que, da mesma maneira, isso também acontece no mundo virtual, onde existem sites e chats para se divertir, estudar, conversar e tudo o mais que fazemos no mundo real.

Por isso, da mesma maneira que no mundo real existem pessoas preocupadas com o bem e a ordem, no mundo virtual, também não poderiam faltar estas pessoas.

São pessoas isoladas ou em comunidades, oriundas de universidades, da indústria, técnicos, peitos em segurança, advogados, policiais, entidades civil e militar, organizações de proteção à privacidade, ente outras, que tem por objetivo unir esforços contra o “mal”, ou melhor, contra o desenvolvimento e a proliferação de códigos maliciosos.

Uma destas organizações do “bem” (bastante conhecida) é a http://www.eicar.org/, onde pessoas e organizações das mais variadas formaram uma comunidade que participa e discute a segurança da informação, divulgando informações atualizadas sobre vírus, eventos, curiosidades e links, ente outros, que o manterão atualizado a respeito do que acontece no universo virtual da segurança da informação. Como em toda comunidade, você também pode se associar e participar.

Um tópico interessante desta comunidade é a disponibilidade de alguns códigos maliciosos (conhecidos) para download, que tem o objetivo de ajudá-lo a melhorar a segurança da sua informação através do teste das soluções de firewal e dos softwares Anti-Virus, Anti-Spam, Anti-Adware, entre outros, que você possui.

É importante salientar que realizar o download dos vírus é por sua conta e risco e que o EICAR não se responsabiliza por qualquer dano ou prejuízo causado pelos mesmos.

Por este motivo, para evitar problemas, antes de fazer o download dos vírus, leia os avisos sobre segurança e assegure-se de que seu computador e sua rede estão protegidos por firewal e softwares Anti-Virus, Anti-Spam, Anti-Adware, etc, e de que estes últimos estejam com suas últimas atualizações.

Como no mundo real, no virtual realize sempre o bem...

O jargão utilizado na Segurança Virtual

2006-02-13T12:47:00.000-08:00

Qualquer leigo participando de uma conversa entre pessoas da área de informática costuma ficar perdido, ou pior, na maioria das vezes, não entende nada. Isto piora caso a discussão seja relacionada com segurança da informação.
O motivo é muito simples, no mercado da Tecnologia da Informação, além de se utilizar muitas expressões derivadas da língua inglesa, tenta-se associar ocorrências do mundo virtual com termos do mundo real, o que confunde a cabeça de qualquer pessoa, até do próprio pessoal de informática.

Para exemplificar uma destas associações, convencionou-se chamar os programas maliciosos com o nome de vírus. Este termo, vírus, foi criado em 1983 pelo Sr. Fred Cohen, um engenheiro elétrico norte-americano formado pela University of Southern Califórnia que, durante uma palestra, comparou os prejuízos causados aos computadores pelos programas de códigos maliciosos aos danos à saúde humana provenientes dos vírus tradicionais. Daí para frente, o termo pegou rapidamente entre a comunidade tecnológica.

Para piorar, o próprio vírus parece que se multiplicou o que fez com que o vírus do mundo da informática se dividisse em grupos, sendo estes: trojans, worms e os próprios vírus tradicionais (ou códigos maliciosos de onde se originou o nome) que podem, da mesma forma que os anteriores (trojans e worms), se dividir em mais dois grupos: vírus de boot e vírus de programa. No final, a confusão é tão grande que mais parece uma praga.

Então, para ajudá-lo a entender o que estão dizendo, não dar vexame e ainda, causar uma boa impressão numa conversa sobre o assunto, tente decorar os seguintes termos/palavras:

BOT
Ameaça híbrida que reúne funções de worm – uma vez que se propaga automaticamente ao explorar vulnerabilidades pela Internet – e programa espião – ao controlar remotamente o computador afetado. Equipamentos atacados passam a atuar como zumbis, sendo utilizados para ações como ataques em massa a sistemas.

CAVALO-DE-TROIA
Software nocivo que se passa por um programa legítimo para iludir o usuário, infectar sistemas e abrir as portas do computador para hackers e crackers.

DoS
Do inglês Denial of Service (negação de serviço). Estratégia de ataque utilizada por hackers e crackers que consiste em disparar um grande número de requisições a um sistema, tornando-o indisponível.

KEYLLOGER
Ferramenta que captura as seqüências de teclas digitadas pelo usuário do computador contaminado e as envia para criminosos pela Internet.

MALWARE
Termo genérico utilizado para identificar os programas que realizam atividades prejudiciais ao equipamento ou às informações dos usuários.

PHISHING SCAM
E-mail não solicitado que tenta convencer o destinatário a fornecer dados pessoais em sites falsos ou mesmo a baixar programas que sirvam para o roubo de dados, como números de contas e senhas bancárias.

ROOTKIT
Pacote de programas criado para camuflar softwares e garantir a ação de um hacker ou cracker em um PC vulnerável.

SPAM
Correio eletrônico não solicitado. Inicialmente, era apenas uma ferramenta para a divulgação de produtos e serviços, mas se transformou na principal forma de disseminação de pragas e golpes virtuais.

SPYWARE
Programa destinado a coletar informações sigilosas e a monitorar o comportamento do usuário de um computador invadido. Ao se conectar à Internet, os dados são enviados a terceiros.

VÍRUS
Utilizado popularmente para classificar todo tipo de praga virtual, o vírus é, tecnicamente, um programa capaz de se propagar com a inserção de cópias de si próprio em outros softwares e arquivos.

WORM
Palavra que, em inglês, significa verme, o worm é uma ameaça capaz de se propagar automaticamente por redes como a Internet. Ao contrário dos vírus, não insere cópias de si próprio em outros programas.

Sarbanes-Oxley (SOX) e a importância da área de Tecnologia da Informação

2006-02-13T01:31:00.000-08:00

Muitos devem ter ouvido falar do SOX (Sarbanes-Oxley), a mais conhecida regulamentação imposta a empresas que tenham ações negociadas na bolsa de valores Norte Americana, em decorrência dos inúmeros escândalos financeiros ocorridos nos Estados Unidos nos últimos anos.
Apenas esclarecendo, em linhas gerais, o atendimento desta regulamentação requer a comprovada introdução de controles que assegurem que os resultados financeiros apresentados ou divulgados ao público sejam estritamente corretos.
Como nosso assunto é segurança da informação, esta regulamentação pressupõe uma variedade de controles por parte da área da Tecnologia da Informação (TI) que permitam gerenciar o acesso seguro a aplicativos e sistemas.
Para se ter uma idéia, não é suficiente restringir o acesso aos sistemas e aplicativos; uma empresa precisa também poder provar, a qualquer momento, quem teve acesso a que sistema e/ ou informação e quando esse acesso foi liberado.
Sem ser muito específico a respeito das regras desta regulamentação (não vou discorrer sobre o SOX), podemos perceber como a área de TI é crítica para assegurar o atendimento (compliance) as regras do SOX.
Contudo, em muitas organizações, o foco inicial tem sido restrito exclusivamente aos departamentos de finanças e jurídico, deixando que a área de TI seja, quando muito, encarada como uma área de suporte.
O problema que encontro nesta abordagem é óbvia já que, o controle dos processos e a segurança/ integridade das informações, ambos gerenciados por TI e assuntos de suma importância nesta (também em outras) regulamentações, não são itens que podem ser desenvolvidos e incluídos rapidamente a posteriori. Estes, ao contrário, devem ser pensados, discutidos e incluídos imediatamente, como parte dos novos padrões e processos que a empresa irá utilizar para realizar seus negócios, independente da área/ departamento.
Para isso, somente através de uma ativa mudança na postura do “como” a empresa enxerga e visualiza a importância da área de TI e dos seus controles, na segurança da informação, no atendimento às regras do SOX e principalmente, na estratégia da organização.
Se analisarmos os riscos descritos no SOX, estes vão desde inconvenientes financeiros e perda de negócios por má reputação, até a prisão de seus executivos.
Por este motivo, decidir o momento e o papel de TI na implementação do SOX é, para muitas empresas, da máxima urgência e seriedade.

Espionagem Digital

2006-02-10T03:51:00.000-08:00

Dentro do leque de armamentos disponíveis para criminosos digitais, existem os spywares, programas que vasculham seus dados pessoais e os transmitem a outras pessoas, entre eles, hackers ou crackers.
Basicamente, estes programas se instalam na máquina do usuário e realizam o monitoramento contínuo da navegação (Internet), da digitação (teclado) ou das senhas digitadas, registrando os assuntos de interesse para serem enviados à empresa ou ao hacker que o desenvolveu.
Estes spywares podem ser do tipo adware, na sua maioria composta por anúncios ou propagandas indesejadas, exibidas na tela do usuário e instaladas no micro através de falhas na segurança do navegador ou de visitas a sites do tipo: pirataria, pornográficos, download de programas, etc; ou pior, através de spams (mensagens eletrônicas enviadas sem autorização do usuário) ou hoaxes (boatos infundados espalhados via e-mail) recebidos no seu e-mail pessoal que ao serem ativados através dos links encontrados nos e-mails infestam sua máquina.
O intuito deste bombardeio pode ser variado; alguns têm o simples propósito de congestionar a Internet, outros tem o intuito de ludibriar as pessoas levando a que as mesmas danifiquem arquivos ou o próprio computador, outros apenas causam o transtorno de constantemente aparecerem na tela, outros lotam a caixa postal (e-mails), outros deixam a máquina lenta (devido ao constante envio de informações parar fora do PC) e os mais perigosos invadem a privacidade do usuário e divulgam suas informações pessoais (espionagem digital).
Uma vez, independente do processo, de posse das informações, é estabelecido o perfil do usuário e começa um bombardeio de envio de mais adware, spams ou hoaxes ou pior ainda, aparentemente não acontece nada, sua máquina fica lenta para abrir programas e arquivos, enquanto suas informações são ininterruptamente enviadas parar alguém.
Como os adware, hoaxes e spams não são considerados crime no Brasil, não será através do uso da “lei e da ordem” que vamos nos livrar destes incômodos. Para isso, necessitamos nos armar com softwares anti-adware e anti-spam com o objetivo de, no primeiro, varrer constantemente a memória e os arquivos de programas a procura de adware (é importante mencionar que programas de anti-adware gratuitos não realizam a varredura automaticamente precisando que o usuário o acione a cada tanto) e no segundo, fazer o bloqueio e filtragem de todas as mensagens recebidas através do seu e-mail antes de baixá-las na caixa de entrada.
Outros procedimentos importantes são: tentar evitar navegar por sites “suspeitos”, nunca deixar seu e-mail pessoal ao preencher formulários na Internet, nunca clicar em links do tipo “retire seu nome da lista X” e constantemente/ diariamente atualizar seu anti-adware e anti-spam.

O crime digital e os métodos de vigilância.

2006-02-09T04:56:00.000-08:00

Vivemos atualmente num mundo onde o crime digital se globaliza e ameaça o mundo dos negócios com fraudes, chantagens, ameaças, espionagem, roubo de identidade, entre outros.
As perdas causadas pelo chamado crime cibernético aumentam a cada ano chegando aos bilhões de dólares por ano.
Estas perdas, como sabemos, são causadas por um novo tipo de criminoso, os crackers. Sem entrar em discussões sobre definições, crackers são hackers que passaram para o lado negro da força (Guerra nas Estrelas).
Se olharmos os crackers de hoje, não vamos conseguir identificar a ingenuidade dos hackers de pouco tempo atrás, que invadiam sites conhecidos, escreviam seu código e o divulgavam, muitas vezes com seu nome, para mostrar suas habilidades técnicas e ganhar o respeito de seus colegas. Muitos apenas se divertiam invadindo sistemas para posteriormente informar às empresas de suas vulnerabilidades e de como repará-las.
Por outro lado, hoje em dia, os crackers vendem seu conhecimento a quem possa interessar, inclusive a grupos criminosos organizados em vários pontos do planeta.
Parar se proteger de possíveis danos, as empresas reforçam a segurança, investindo em firewall, antivírus, sistemas de detecção e de prevenção de intrusos, softwares de VPN, filtros de conteúdo, anti-spam, anti-spywarer, autenticação, certificação digital, biometria, dispositivos tipo token, circuitos fechados de TV, controle de acesso, sensores, alarmes monitorados, proteção perimetral, entre outros.
Todos estes, isolados ou combinados, são paliativos, pois se não atuarmos na causa do problema, ou seja, identificarmos e derrubarmos esse pessoal (crackers), eles acabam voltando.
Contudo, seria muito inocente de nossa parte achar que estes serão erradicados; Veja os índices de criminalidade nas nossas cidades e o quanto crescem a cada dia. Da mesma maneira, crackers se “reproduzem” exponencialmente. Para muitos, isso é divertido e muito lucrativo.
O próximo passo na evolução do crime cibernético é o ataque à rede de telefonia pela Internet, o chamado Voz sobre IP (VoIP). Muitos desses serviços, devido à novidade, ainda se encontram vulneráveis e já ouvimos notícias de spam de áudio, phirshing de voz e redirecionamento das chamadas telefônicas.
Para muitos, estamos apenas no início e a única maneira de nos proteger é através da atualização e implementação contínua dos sistemas de vigilância e de segurança descritos anteriormente.
Porém, nunca devemos nos esquecer de que, para nos proteger de tantas ameaças, a colaboração do usuário é fundamental; afinal, é comprovado de que o elemento humano é, normalmente, o ponto fraco em toda a cadeia que compõe qualquer sistema de vigilância e segurança.

Controle de Acesso por Senhas

2006-02-08T04:33:00.000-08:00

Para prevenir ou restringir acessos não autorizados aos sistemas operacionais, a maneira mais simples é através da digitação de um login e uma senha.

Apenas para ilustrar rapidamente o processo, após a digitação do login e da senha, essas informações são enviadas para um servidor onde são comparadas com as que estão em uma tabela de usuários. Se todas as informações forem corretas e “baterem” com as da tabela, a pessoa ganha o direito de acesso ao programa, utilitário, aplicativo, site/ página, etc.

Infelizmente, apesar de parecer seguro, este sistema tem várias vulnerabilidades que permitem o roubo de senhas ou acesso indevido ao conteúdo.

Não vou discutir as vulnerabilidades, mas sim focar em algumas recomendações a respeito do Controle de Acesso.

Basicamente devemos tomar o cuidado para que o procedimento de entrada divulgue o mínimo de informações sobre o sistema de forma a evitar o fornecimento de informações desnecessárias a um usuário não autorizado.

Convém ter com base no desenvolvimento de um bom procedimento de entrada no sistema (log-on) o seguinte:

1) Não mostre identificadores de sistema ou de aplicação até que o processo tenha sido concluído com sucesso;
2) Mostre um aviso geral informando que o computador seja acessado somente por usuários autorizados;
3) Não forneça mensagens de ajuda durante o procedimento de entrada (log-on) que poderiam auxiliar um usuário não autorizado;
4) Valide informações de entrada no sistema somente quando todos os dados de entrada estiverem completos. Caso ocorra uma condição de erro, convém que o sistema não indique qual parte do dado de entrada está correta ou incorreta;
5) Limite o número permitido de tentativas de entrada no sistema (log-on) sem sucesso, por exemplo, três tentativas, e considere:
5.1) Registro das tentativas com sucesso ou com falha;
5.2) Imposição do tempo de espera antes de permitir novas tentativas de entrada no sistema (log-on) ou rejeição de qualquer tentativa posterior de acesso sem autorização específica;
5.3)Encerramento das conexões por data link;
5.4) Envio de uma mensagem de alerta parar o console do sistema, se o número máximo de tentativas de entrada no sistema (log-on) for alcançado;
5.5) Configuração do número de reutilização de senhas alinhado com o tamanho mínimo da senha e o valor do sistema que está sendo protegido.
6) Limite de tempo máximo e mínimo permitido para o procedimento de entrada no sistema (log-on). Se excedido, convém que o sistema encerre o procedimento;
7) Mostre as seguintes informações, quando o procedimento de entrada no sistema (log-on) finalizar com sucesso:
7.1) Data e hora da última entrada no sistema (log-on) com sucesso;
7.2) Detalhes de qualquer tentativa sem sucesso de entrada no sistema (log-on) desde o último acesso com sucesso;
8) Não mostre a senha que está sendo informada ou considere ocultar os caracteres da senha por símbolos;
9) Não transmita senhas em texto claro pela rede.

Convém que todos os usuários tenham um identificador (ID) para uso pessoal e que uma técnica adequada de autenticação seja escolhida para validar a identidade alegada por um usuário.

Para complementar, existem também os certificados de segurança, uma maneira considerada mais segura de proteção na transmissão de dados. Para resumir, já que não vou discutir esse assunto neste artigo, os certificado de segurança são como carteiras de identidade virtuais que certificam que o servidor está criptografando os dados pelo protocolo SSL (Securer Socket Layer) Assim não se corre o risco de que, por exemplo, números de cartão de crédito sejam interceptados.

Por hoje é só.

Política de Segurança da Informação: A norma ISO 17799.

2006-02-07T08:06:00.000-08:00

Tenho acessorado inúmeras empresas no desenvolvimento e na implantação de seu planejamento estratégico e agora complemento nosso trabalho incluindo uma área cada dia mais importante, a segurança das informações.

Não é de hoje a necessidade de proteger as informações sigilosas nas empresas.
Contudo, devido à disponibilidade de novas tecnologias e a exigência do mercado por um maior e mais rápido acesso às informações, a preocupação em relação ao sigilo e a segurança da informação aumentou.

Infelizmente, é cada vez mais comum, encontrar indivíduos tentando utilizar a tecnologia disponível, o despreparo e até a inocência das pessoas, para realizar atividades ilegais, destrutivas ou não autorizadas. Essas atividades, que vão de um simples adolescente tentando atos de vandalismo em páginas Web até tentativas sofisticadas de roubar informações de cartões de crédito de clientes, são decorrentes de várias vulnerabilidades em processos e sistemas, a principal delas, o elemento humano, comprovadamente o ponto fraco em toda a cadeia que compõe a segurança da informação.

Por esse motivo, para a maioria das empresas, a segurança da informação é um dos aspectos mais difíceis e trabalhosos da sua operação.

Como mencionado o aspecto humano sendo um fator crítico da segurança da informação, para que o gerenciamento seja efetivo e não dependa de talentos humanos, faz-se necessário o desenvolvimento e implementação de uma Política de Segurança da Informação, dirigida especialmente à organização e completamente integrada ao negócio.

A Política de Segurança da Informação a que me refiro, é o conjunto de diretrizes, normas e procedimentos que devem ser seguidos e que visam conscientizar e orientar os funcionários, clientes, parceiros e fornecedores para o uso seguro do ambiente, tanto físico quanto o informatizado, com informações sobre como gerenciar, distribuir e proteger seus principais ativos, as informações.

Uma das normas e padrões mais utilizados e normalmente implementada por nós na CompuStream Security é a ISO 17799, uma compilação de recomendações para melhores práticas de segurança, que podem ser aplicadas por empresas, independentemente do seu porte ou setor. Ela foi criada com a intenção de ser um padrão flexível, nunca guiando seus usuários a seguirem uma solução de segurança específica em detrimento de outra. As recomendações da ISO 17799 são neutras com relação à tecnologia e não fornecem nenhuma ajuda na avaliação ou entendimento de medidas de segurança já existentes.

A flexibilidade e imprecisão da ISO 17799 são intencionais, pois é muito difícil criar um padrão que funcione para todos os diversos ambientes de TI. Ela simplesmente fornece um conjunto de regras, em uma indústria onde elas não existiam.

Como mencionado anteriormente, a norma ISO 17799 é intencionalmente flexível e genérica e, como pode ser observado pelos diversos controles, é complexa. Por este motivo e para a obtenção de melhores resultados, requer de ferramentas complementares.

Para o desenvolvimento e implementação da Norma ISO 17799 acreditamos ser necessário adotar o padrão do PMI®* (Project Management Institute) de Gerenciamento de Projetos complementado por processos administrativos racionais, associados às experiência de nossos profissionais.