CÂMARA APROVA ADICIONAL DE PERICULOSIDADE PARA VIGILANTES.

O Plenário aprovou nesta terça-feira (13) emenda do Senado ao Projeto de Lei 1033/03, que estende o adicional de periculosidade aos vigilantes e seguranças privados, devido ao risco de roubos ou outras espécies de violência física. O projeto é de autoria da ex-deputada e hoje senadora Vanessa Grazziotin (PCdoB-AM) e será enviado à sanção presidencial. Parlamentares e vigilantes comemoram aprovação do projeto pelo Plenário. O adicional de periculosidade corresponde a 30% do salário, exceto gratificações, prêmios ou participações nos lucros das empresas. A emenda do Senado excluiu do projeto da Câmara o direito ao adicional de periculosidade para atividades sujeitas a acidentes de trânsito e de trabalho. Outra novidade da emenda é a permissão para descontar do adicional outros valores de mesma natureza já concedidos ao vigilante em razão de acordo coletivo. Os senadores incluíram no texto a especificação de que o adicional vinculado ao risco de roubo ou violência será devido aos trabalhadores das atividades de segurança pessoal e patrimonial. O presidente da Câmara, Marco Maia, agradeceu aos líderes partidários pelo acordo que viabilizou a aprovação da proposta nesta terça-feira. “Meu pai era vigilante, por isso sou sabedor da importância e da responsabilidade desses profissionais que garantem a segurança de milhões de pessoas e de seu patrimônio”, afirmou. O pai do presidente, Fernando Maia, já é falecido. Energia elétrica O projeto altera a Consolidação das Leis do Trabalho (Decreto-Lei 5.452/43). Além disso, a proposta amplia o adicional de periculosidade para qualquer trabalhador cuja atividade implique risco de exposição permanente a energia elétrica. A Lei 7.369/85 já concedia esse adicional ao empregado que exerce atividade no setor de energia elétrica, mas não a todos que possam estar expostos a esse risco. Fonte Agência Câmara de Notícias.

segurança da informação deve ser ofensiva

Empresas não podem mais contar com estratégias de segurança defensiva, dizem os executivos da Gartner aos líderes de TI As ameaças aos dados corporativos evoluem com mais rapidez do que os mecanismos de defesa, de acordo com três analistas da Gartner. Os resultados, disseram, é que os negócios devem se adaptar ao deixar de lado medidas reativas, e adotarem métodos proativos, com mentalidade ofensiva. O vice-presidente de pesquisas, Greg Young, começou sua apresentação dizendo que as empresas podem proteger conteúdo sigiloso focando em três áreas principais: proteção de infraestrutura ou “afastando os vilões”; gerenciamento de identidade e acesso ou “mantendo os mocinhos”; e continuidade de negócio, compliance e gerenciamento de risco, que ele caracteriza como as políticas que “mantêm os motores ligados”. A palestra de Young foi focada na primeira área, infraestrutura, e também ofereceu contexto para os segmentos seguintes. Mudanças na tecnologia, afirmou, demandam mudanças na segurança – e não só porque os avanços significam que os meliantes ganharam acesso a métodos mais sofisticados. Tendências emergentes em SDN (software-defined networking), virtualização e computação em nuvem, por exemplo, mudaram, rapidamente, infraestrutura, de forma que as ameaças podem se esconder “onde não as procuramos”. A dificuldade, segundo Young, vem do monitoramento e inteligência de segurança – isto é, encontrar não só elementos que já constam em listas negras e de exceções, mas também nas “graylists”. Esses pontos nebulosos podem ser pistas de ataques significativos, mas também podem ser – como no caso de um usuário não autorizado tentado acessar a rede – alarme falso. Ele mencionou as limitações das assinaturas e outras abordagens tradicionais de detecção de novas ameaças, argumentando que dados de segurança devem ser coletados fora “de um único ponto de inspeção”. Young disse, também, que ferramentas com base em reputação e identidade de usuário podem “ajudar a entender” o que se passa na rede. Mobilidade complica ainda mais a equação, observou Young, alegando que nos próximos anos, 70% dos profissionais móveis devem conduzir seu trabalho em dispositivos móveis inteligentes. “É inevitável”, afirmou, acrescentando que BYOD se manterá um fato corporativo, “gostem ou não”. Grande parte dos riscos, porém, envolvem dispositivos perdidos, não ataques direcionados. Ferramentas de gerenciamento de dispositivos móveis, ou MDM, e controles similares, segundo Young, consequentemente, são de máxima importância. Planejamento estratégico de infraestrutura, concluiu, não envolve segurança que tenta oferecer proteção contra todas as ameaças. Em vez disso, demanda uma política de acesso de usuário cuidadosamente elaborada e alinhada aos mecanismos de segurança. O vice-presidente da Gartner, Earl Perkins, focou no gerenciamento de acesso e identidade. Ele começou citando o “Nexus of Forces”, tema introduzido em um keynote do mesmo dia, que explicou quatro agentes – redes sociais, computação em nuvem, mobilidade e big data – que estão moldando o futuro da TI. Sobre as redes sociais, ele observou que identidades de usuários estão desempenhando um papel cada vez mais importante no espaço do varejo, e sugeriu que as empresas também poderiam aproveitar essa tendência para melhorar o gerenciamento de acesso de usuário. Chamando esse processo de “socialização da identidade”, ele disse que muitas empresas já criam programas de gerenciamento de identidade para definir direitos e permissões. Perkins disse que “talvez as identidades possam vir de outro lugar”, elaborando que, se esses perfis de mídias sociais podem ser encaixados em “uma embalagem corporativa”, eles podem se tornar um passo nos mecanismos de segurança corporativa. Perkins especulou sobre o tópico, se referindo a resultados que podem vir daqui a uma década e estipulando que eles “dependem de ambientes, construção e infraestrutura de mídias sociais”. Mesmo assim, a área de gerenciamento de capital humano já começou a integrar mídias sociais para gerenciamento de usuário mais eficiente. O tópico mais controverso, o acesso corporativo ao conteúdo de mídias sociais, não foi mencionado, mas possíveis vantagens ficaram mais claras quando Perkins argumentou sobre outra força, os dados. Ele mencionou os poderes de varejo que o Google ganhou ao explorar identidades de usuários ligadas às buscas, e previu que, até 2015, 80% das implementações bem sucedidas de identidade e acesso não só irão direcionar processos, como irão entregar inteligência. Ele chama tal tendência de “indexação de identidade” e declarou que, em termos de segurança, “você só tem controle porque tem inteligência para saber o que controlar”. Quanto à nuvem, Perkins afirmou que ela simplesmente envolve “um ponto final consumindo algum serviço, em algum lugar… por meio de uma identidade”. Isso resulta em múltiplos pontos de acesso, o que ele associou à força da mobilidade, e exige que a autenticação de usuário mantenha o ritmo. Ele disse que gerenciamento de identidade e acesso com serviço (IDAAS) pode contar como 40% das vendas de serviços de nuvem, devido ao alto volume de pequenas e médias empresas compradoras, e não 40% de renda, até 2015. Terminando com uma análise direta sobre mobilidade, Perkins disse que verificação de usuário cresceu para incluir não apenas senhas e cartões de acesso, mas também biometria, e que autenticação baseada em telefone permite que os negócios considerem o uso de um dispositivo para os três métodos. O VP da Gartner, Paul Proctor, assumiu o último segmento, que abordou não só gerenciamento de risco, mas também voltou a falar sobre algumas das decisões de políticas que Young já havia destacado. Ele argumentou que o gerenciamento de risco deve ser direcionado por processos e não por uma equipe de “heróis da segurança”. “Processos são interessantes porque são mensuráveis, podem ser repetidos e podemos sobreviver a eles”, disse ele. Proctor explicou que esses processos não devem ter a pretensão de proteger contra tudo. Tal controle é impossível, afirmou, e indicou que o foco no treinamento de funcionários pode mitigar grande parte dos problemas. Ele repetiu a declaração de Young sobre BYOD ter chegado para ficar e completou dizendo que mudanças de comportamento são parte da solução. “A tendência está se tornando segurança como ciência social”, afirmou. Chamando a atenção para outra mudança de comportamento, ele argumentou que os negócios devem parar de simplesmente calcular incidentes de segurança, já que as métricas não possuem valor contextual, e devem, em vez disso, focar na identificação de níveis de proteção mais apropriados às necessidades de cada um. Em parte, isso é baseado na indústria do negócio. Empresas de manufatura possuem propriedade intelectual, mas poucos dados pessoais, disse ele, então elas acreditam que podem “se virar com um pouco menos de proteção”. Um banco, porém, exige mais proteção porque tem mais chances de ser alvo de ataques. De qualquer modo, os tomadores de decisões devem levar em consideração a complexidade das atividades da organização. Proctor exemplificou dizendo que o consultório de um médico precisa de segurança por questões regulatórias, mas que não pode ser posto na mesma categoria de um grande hospital. “O ponto é que quanto mais complicado for o negócio, quanto mais clientes ou tipos de atividade tiver, mais detalhes regulatórios terá e mais riscos – o que exige gastar mais dinheiro”. Ele reconhece que os profissionais de segurança muitas vezes sofrem para explicar a necessidade de tantos gastos para os líderes corporativos. O segredo, segundo ele, é evitar abordagem tecnológica abstrata e associar as necessidades às preocupações com gastos de forma que os tomadores de decisão fora da área de TI compreendam com mais facilidade. Proctor sabe que essa tarefa é mais fácil na teoria, e declarou que os relatórios convincentes devem destacar as ligações casuais entre problemas de segurança e resultados de negócio. Ele sugeriu que os riscos de aplicativos desatualizados podem ser evidentes para os profissionais de TI, mas os líderes de fora do departamento geralmente não compreendem por que essa questão exige ação e gastos. A melhor abordagem pode ser conectar os problemas com esses aplicativos com falhas em sistemas críticos, como atrasos na cadeia de suplemento. “É um indicador importante que os executivos compreendem”, disse Proctor. Fonte: http://informationweek.itweb.com.br/11245/2013-seguranca-da-informacao-deve-ser-ofensiva

Chefes de Segurança de Copa e Olimpíada vão a Isra...

Prevenção de Perdas Brasil: Chefes de Segurança de Copa e Olimpíada vão a Isra...: GUILA FLINT Direto de Tel Aviv (Israel) Os principais chefes de Segurança da Copa 2014 e das Olimpíadas 2016 participaram de uma confe...

Estatística Incidentes Segurança da Informação Cert.br - 3º Trimestre 2012

O Cert.br (Centro de Estudos, Respostas e Tratamento de Incidentes de Segurança do Brasil) divulgou os dados referentes à estatística de incidentes do 3º trimestre de 2012. As informações não são muito animadoras 82,42% dos ataques reportados tem origem do Brasil. Todos os itens apontados pela estatística demonstra crescimento referente ao mesmo trimestre em 2011. Vamos ver alguns apontamentos: - Tentativa de Fraudes – cresceram 78%; - Páginas Falsas – crescimento 86% (nesta categoria o phishing representa mais de 50% dos incidentes reportados); - Cavalo de Tróia – aumento de 34%; - Computadores comprometidos – crescimento de 100 vezes referente ao mesmo período de 2011; - Varredura de código malicioso – aumento de 192%. Quando falamos do assunto phishing o CGI. Br (Comitê Gestor da Internet no Brasil) percebendo a grande tendência de aumento desta ameaça orientou que provedores de e-mail façam o bloqueio da porta 25 para SMTP, passando trabalhar apenas com a porta 587. Está previsto o término da migração até o final de 2012. A porta 587 exige a autenticação para envio de e-mails, assim mitigando spams e phishing. Portanto, fiquem atentos as informações para reconfiguração passada pelo seu provedor de e-mail. Tratando da varredura de código malicioso ainda apresenta-se um número surpreendente, como este tipo de ataque tem por finalidade apenas encontrar futuros alvos cabe a nos preocupar como se encontra as configurações de nossos firewalls e hardenização de nossos servidores. Aqui está a parte que depende do especialista de segurança da informação. Também vale o especialista de Segurança da Informação conscientizar os usuários de sua responsabilidade sobre as páginas falsas que ainda é um destaque na estatística. Grandes partes destas páginas são referente ao sistema financeiro, fato explicado ao dinheiro que trafega através delas. Vendo estes dados entendo que temos que fazer a nossa parte para tirar o Brasil da classificação de um dos países mais vulneráveis do mundo. Cabe aqui também um questionamento: “Quando as empresas vão realmente ter cultura de segurança da informação? Quando vão segregar o núcleo de Segurança da Informação do Departamento de Tecnologia, assim podendo estar em posição estratégica para auditar as tecnologias? Fonte: http://itweb.com.br/blogs/estatistica-incidentes-seguranca-da-informacao-cert-br-3-trimestre-2012/