Segurança da Informação: a falha do TI em alterar dados do ERP com comandos SQL

As empresas brasileiras, diariamente processam milhões de bytes em informação com os mais variados tipos de dados a serem armazenados nos bancos de dados existentes nas corporações. São utilizados inúmeros aplicativos de informática para gerenciar esse contingente todo de dados que são importantes tanto para o empresário como para o governo.

O mercado está repleto de soluções tecnológicas para suprir a necessidade de se armazenar e gerenciar um conteúdo cada vez mais importante para as atividades empresariais e para tanto, necessita acompanhar a evolução tecnológica garantido a integridade e a confiabilidade de seus sistemas de computadores, transparecendo cuidado e zelo para os clientes e acionistas.

Profissionais de TI são contratados todos os dias para conseguir manter esse ritmo de backup, desenvolvimento de sistemas, análise de vulnerabilidade dos aplicativos e outras funções bem específicas envolvendo banco de dados. Não se imagina mais uma empresa controlando os seus lançamentos contábeis nos históricos “livro caixa” ou algo semelhante. É necessário o uso da informática.

Passamos todo o tempo escutando que devemos criar senhas seguras para evitar um acesso não autorizado nos sistemas e assim, manter as informações confidenciais longe das pessoas que não precisam ter um acesso às informações sigilosas e que possam realizar alguma ação que traga prejuízo para a empresa.

Observamos nas empresas que os softwares de gerenciamento de informação, os conhecidos ERP (Enterprise Resource Planning) que são os sistemas integrados de gestão empresarial, não é qualquer usuário que consegue entrar no software e muito menos tem permissão livre para fazer o que bem entender na plataforma corporativa.

Normalmente, o responsável pelo setor de TI possui uma conta de acesso com permissões mais permissivas que uma conta de um usuário de qualquer outro setor. Entretanto, para efeito da premissa de Segurança da Informação, o responsável de TI deveria ter uma conta de acesso como usuário e sem permissão de alteração, inserção e muito menos conseguir deletar qualquer informação no banco de dados, através do sistema.

Não é função do TI ser usuário do sistema ERP. Na verdade, e esse ponto é muito difícil para que os empresários tenham em mente, é que o TI não faz parte do grupo de pessoas que precisam trabalhar no ambiente do ERP. TI não é usuário de ERP. No máximo é o setor de apoio para a empresa, digamos: Setor de TI é SUPORTE!

Entretanto, cansei de observar grandes gestores da informática recebendo solicitação de departamentos internos na empresa para fazer um “favor” em determinados casos, facilitando a vida dos verdadeiros usuários do ERP. Isso deveria ser crime!

O motivo dessa opinião é que como já disse, o TI não é usuário do sistema, e sim, é apoio. Na segurança da informação, deve existir um mecanismo para identificar as mudanças que ocorrem no banco de dados tais como um log, que fica registrado qual o usuário que alterou uma informação no banco de dados, que dia, que horas, motivo e outras informações importantes para contribuir para uma possível auditoria no futuro.

Contudo, profissionais de TI gostam de demonstrar que tem o “poder” na mão e realizam a façanha de usar as aptidões de SQL (quando o banco de dados é possível ser alterado por sql) e realiza as devidas alterações dos dados conforme solicitação de terceiros. Dessa forma, essa mudança de informação diretamente no banco fere o princípio da inviolabilidade, confidencialidade, integridade e autenticidade.

Uma pergunta que é necessário fazer: qual o sentido de existir um login e uma senha para acesso ao ERP e que cada login tem as suas permissões estabelecidas para configurar o que o usuário pode ou não pode fazer dentro do sistemas corporativo se é mais fácil burlar essas regras pedindo ao setor de TI que faças as alterações cujo usuário comum não pode?

As informações gravadas no banco de dados não são de autoria do pessoal de TI. Eu disse autoria. Não se discute a responsabilidade para atender o princípio da disponibilidade. O que eu tento levantar é que, mesmo tendo um DBA na empresa, ele não altera as informações gravadas pelos usuários. No máximo ele cuida da manutenção do banco de dados, quanto a sua estrutura, índices das tabelas e um possível “roll back” quando ele mesmo erra um comando de manutenção no banco.

Se um DBA que é o especialista em banco de dados não deve alterar os dados inseridos no banco, qual a razão para que os meros mortais em tecnologia o devem fazer?

Nesse caso, eu simplesmente vejo que o sistema ERP não tem mais a segurança devida pois se o setor de TI pode alterar as informações gravadas no banco, como confiar que uma determinada informação foi registrada por um usuário e posteriormente não foi alterada?

Até a próxima!

Como a Esteganografia pode ajudar a evitar a ação do Anonymous em divulgar informações confidenciais

A idade pré-histórica, onde remetemos a figura do “homem das cavernas”, foi um momento crucial e importante que reflete nos dias de hoje. As “invenções” criadas naquela época, utilizando ferramentas rudimentares para a caça e a pesca, nos permitiu avançar e poder hoje, fazendo um paralelo rudimentar das ideias, ter acesso a tecnologia que inventou o celular, aviões e a internet.

Desde esse tempo histórico, já sabemos que os nossos antepassados faziam desenhos nas cavernas para gravar os momentos daquela época, usando os pigmentos rudes disponíveis no meio ambiente que permitiam gravar figuras de mamutes, renas e outros animais existentes e que eram vistos diariamente.

Essas figuras, em uma primeira análise, representam meramente as figuras de animais que eram encontrados no meio ambiente. Mas pode haver um outro significado ou alguma intenção na “mensagem” (figura) não entendível que o “homem das cavernas” gostaria de transmitir a humanidade futura através das figuras.

Nos dias atuais, existem algumas técnicas forense para que um indivíduo possa transmitir diversos documentos digitais importantes usando arquivos de áudio, figuras e outros formatos para “mascarar” a aparência do documento, o qual chamamos de Esteganografia.

A Esteganografia é uma técnica que permite ocultar um texto ou documento sigiloso dentro de outro arquivo, que pode ser uma imagem, música, vídeo ou mesmo em outros textos. O seu objetivo é garantir que a mensagem oculta inserida em outro arquivo digital, consiga chegar ao seu destino sem que ninguém perceba que existe arquivo inserido em uma foto, por exemplo.

Seu computador irá abrir a imagem utilizada no processo e o usuário vai enxergar somente uma foto, nada mais do que isso. Mas na verdade, com a esteganografia, o destinatário vai realizar o processo inverso feito na origem do envio da imagem e assim, subtrair os documentos que estão interligados na imagem, concretizando a ocultação e a transmissão de informação sigilosa de forma tranquila e sem levantar suspeitas.

Desse modo, eu fico analisando qual o motivo que os órgãos públicos não adotam essa medida para transitar na internet, mensagens confidenciais e sigilosas, garantindo que em nenhum servidor no meio da transmissão, vá copiar os dados confidenciais e compartilhar com o grupo Anonymous.

Seria uma forma interessante de manter armazenado no computador das autoridades públicas, somente arquivos de imagens (bandeira do Brasil, do Estado, do Município, da bandeira do Partido Político, enfim… somente figuras) e dentro de cada figura constarão os dados sigilosos, protegidos com senha, obviamente, que só permita desfazer a esteganografia mediante o uso de uma senha.

Assim, mesmo que o computador seja “invadido” por hacker, aqueles que não tiverem conhecimento da técnica de esteganografia, não vão desconfiar das imagens estenografadas, que na verdade, são documentos importantes. Vale ressaltar que isso é uma ideia pois a dificuldade de se colocar em prática é quando ocorrer a necessidade de se pesquisar um determinado documento que se encontra armazenado no computador da autoridade pública. Pesquisar que imagem?

E você, já usou a técnica de esteganografia em algum momento?

Até a próxima!

A Fibra Óptica e a Formiga: uma relação proibida

Antigamente, no meados da década de 90, as conexões de rede nas universidades federais americanas tinham uma taxa de transferência entre os computadores em torno de alguns KB/s (Kilobyte por segundo) e para a época, era uma velocidade fantástica que atendia as necessidades do momento.

Atualmente, com o desenvolvimento da tecnologia e o surgimento da internet de forma comercial, observamos em algumas redes de computadores uma taxa de transferência de dados na casa dos GB/s (Gigabyte por segundo) e até em TB/s (Terabyte por segundo), o que não me surpreende pois a tendência é termos uma rede com grande capacidade de transferência de dados a cada dia que se passa.

O mercado disponibiliza uma enorme gama de equipamentos e ativos de rede para proporcionar uma melhor qualidade no sinal dos dados transmitidos e recebidos, permitindo uma performance considerável e trazendo inúmeros benefícios com um custo aceitável.

Dependendo da tecnologia empregada, pode-se usar os cabos UTP de categoria 6 para distâncias curtas (conforme recomendação técnica para cabeamento estruturado) que não ultrapassem 100 metros entre os ativos de rede pois distâncias acima desse patamar, não existe a garantia da qualidade do sinal. Para locais mais distantes, a opção é utilizar os cabos de fibra óptica, que podem levar o sinal de rede por quilômetros de distância.

Não vou entrar no mérito se a melhor fibra é a do tipo monomodo ou multimodo, apenas retratar que podemos usar a infraestrutura desejável conforme as condições do ambiente e do poder de investimento que a empresa pode realizar, sendo esses fatores os determinantes na escolha da tecnologia utilizada.

Uma situação, em especial, eu tive o prazer (nesse caso o desprazer) de ter contato com um caso muito interessante que quase nenhum profissional de TI imagina que um dia possa acontecer. Normalmente, lançamos a fibra óptica de um ponto a outro, dentro das respectivas canaletas, calhas, conduítes e qualquer outro tipo de meio para suportar a fibra óptica e após as devidas fusões na fibra, o backbone entre ativos de rede vai funcionar perfeitamente.

Entretanto, para minha surpresa, recebi um chamado do pessoal da Guarda Patrimonial Portuária informando que 10 câmeras IP de CFTV tinham parado de funcionar misteriosamente, sem nenhum fator aparente. Analisando o software de monitoramento, a equipe de analistas de suporte já tinha detectado a queda do sinal dessas câmeras e já estavam acionando a equipe de elétrica quando a guarda entrou em contato com o setor de tecnologia.

Entrei no “circuito” para checar o que estava acontecendo e o pessoal da elétrica informou que as câmeras no local estavam ligadas, com o led acesso de cada uma delas que indicava que as câmeras IP estavam sendo energizadas normalmente com a voltagem apropriada. Deduzi então, problema era de dados mesmo.

Equipe de analistas de suporte em campo, passaram a abrir e fechar backbones, trocar fontes de alimentação dos conversores de fibra para cabos UTP, patch cords de fibra e nada das câmeras funcionarem. Resolvi sair do escritório e analisar mais de perto a situação para verificar se não houve uma falha de procedimento na verificação das possíveis causas de interrupção de sinal, conforme previsto no plano de recuperação de desastres.

Parecia tudo normal, switchs ligados, conversores de fibra ligados, UTP respondendo até que me veio na mente, verificar um DIO (distribuidor interno óptico) que fica em uma torre de 15 metros de altura que interliga o switch das câmeras com o switch do primeiro backbone da área. Com a cara e coragem, subi na torre e abri o armário de distribuição e verifiquei que o switch está ligado com as portas funcionando.

Faltava ter a certeza se a fibra que interliga o switch ao backbone da área estava funcionando. Mas como testar encima de uma torre tão alta. Ao pensar em como realizar tal teste, observei que dentro do armário, existiam algumas formigas andando pelo ambiente e nem imaginei que elas poderiam ser as culpadas pela situação. Até o momento em que precisei levantar o distribuidor óptico para ter acesso a tomada de energia para reiniciar o switch.

Parecia um ambiente de guerra. Nesse momento, dezenas de formigas começaram a sair de dentro do DIO e tomei um susto com a situação. Nunca tinha visto formiga aos montes saírem disparadas de dentro de um distribuidor óptico, muito menos daquele jeito, Tive que esperar uns 10 minutos para que a rebelião de formigas saísse de dentro do DIO e resolvi abrir o distribuidor para verificar a situação.

Bingo! Achei o problema de queda de sinal de um perímetro do CFTV. As formigas fizeram um ninho dentro do distribuidor óptico e resolveram se “alimentar” da fibra óptica. Tudo parecia está propício para a criação do ninho: ambiente quente, fechado e dentro do DIO tem espuma que traz conforto para as formigas.

Resultado: 3 pares de fibra rompido e meio dia de trabalho de fusão. Além da conta no final do dia sobre a fusão e deslocamento de equipe de manutenção, tem o tempo sem registro das imagens enquanto o perímetro estava descoberto com a falta de sinal da CFTV.

Contudo, depois disso tudo, uma conclusão: a fibra óptica e a formiga definitivamente é uma relação proibida!

Até a próxima!

Como um administrador de redes pode monitorar o tráfego dentro de um switch gerenciável?

A informação é uma matéria-prima lapidada que se bem empregada, pode gerar um determinado conhecimento. O conhecimento gera uma perspectiva positiva ou negativa, dependendo de quem a possua. É como a eletricidade, ela pode servir para o bem ou para o mal. Ela pode dar a luz ou também pode matar, vai depender de como será utilizada. Se para o bem, servirá para iluminar os locais escuros. Para o mal, será utilizada para eletrocutar e matar alguém com choques intermináveis, como se fosse uma sessão de tortura de guerra.

Dentro de uma ambiente corporativo, existem diversos assuntos que são tratados utilizando a rede de computadores para que as informações sejam enviadas e recebidas pelas pessoas, transformando em conhecimento. Geralmente, a maior parte do conhecimento produzido em um ambiente de trabalho, tem como o objetivo as tarefas inerentes a cada função dentro da corporação, sejam elas meramente operacionais ou de cunho gerencial.

Entretanto, não é de se surpreender que determinadas informações acabam sendo trocadas entre funcionários ou pessoas desconhecidas fora do ambiente da empresa e que não deveriam ser divulgadas por se tratarem de informações sigilosas. É muito importante para as empresas terem um certo controle nas informações geradas fruto do trabalho de seus funcionários principalmente quando se trata de negócios novos ou produtos em lançamento. Basta um descuido e o protótipo é enviado ao concorrente por alguns milhares de dólares e pronto, o estrago está feito.

Quando se desconfia de algum funcionário ou determinado setor, a empresa possuindo dentro de suas políticas de segurança, com o devido conhecimento do funcionário quando ele entra para o cargo concorrido, que os computadores e e-mail podem ser monitorados, é ora do empresário agir e contar com o conhecimento técnico de seu responsável de TI para evitar prejuízos maiores a companhia. Resumindo: monitoramento.

O switch possui um papel fundamental dentro de uma rede de computadores e melhor ainda se ele for do tipo gerenciável. Esse recurso possibilita ao administrador da rede realizar um monitoramento do tráfego gerado em determinadas portas e verificar o que se passa dentro da infraestrutura de dados, que passa dentro do switch.

Com o devido acesso dentro do switch, basta ir nas configurações de porta onde tem a opção de criar “mirror”. Essa opção, você irá “copiar” o tráfego de uma determinada porta que será o alvo de monitoramento e fazer um espelho, que é o mirror, para a porta onde o seu notebook ou computador desktop está conectado no switch. Após criar o mirror, execute em sua máquina um programa de monitoramento de rede (como o wireshark, por exemplo) e capture os pacotes de dados por um determinado tempo, a fim de verificar posteriormente os dados que foram trafegados na porta alvo ou verifique em tempo real, adicionando determinados filtros no programa de monitoramento para saber se as suas suspeitas vão se concretizar.

É importante observar que nada adianta capturar os pacotes de dados se o profissional de TI não sabe analisar os dados capturados. É como procurar uma coisa que não sabe o que é. Nessa hora, é importante o conhecimento técnico e dedicado, que um pacote de dados mal analisado pode fazer toda a diferença no resultado.

Desse modo, não coloque meramente no seu currículo que você tem experiência em roteamento, firewall e segurança da informação, quando na verdade, você nem sabe qual a diferença entre pacotes TCP e UDP.

Até a próxima!

A tecnologia como uma aliada nas manifestações pelas cidades do Brasil

O Brasil, há 20 anos atrás, perdia o seu primeiro presidente do Brasil após o regime militar, pelo processo de impeachment de Fernando Collor. Era uma época em que o povo também se manifestava com a insatisfação do caminho político que o nosso país estava indo. Essa força humana, que se tornou unânime em todo o Brasil, teve o seu desfecho: a queda do presidente.

A diferença da manifestação do povo daquela época para os dias atuais que estamos vivendo é que antes, nascia os chamados “cara-pintada”, grupo de estudantes e jovens que foram na rua após um pedido do então presidente da república, Fernando Collor, que solicitou que todos fossem para rua com um lenço branco para mostrar lealdade ao presidente da nação brasileira.

O que vimos foi uma verdadeira ação contrária, o povo lutando contra a roubalheira, a corrupção e bastou um chamado na televisão para que os brasileiros se manifestassem contra o gestor nacional de nosso país.

Atualmente, as manifestações contam com vários aliados tecnológicos e que permitem uma melhor organização nos protestos e assim, gerar uma comoção nacional de amplitude até então ignorada pelos políticos. Temos as redes sociais, os torpedos de celulares, GPS e outros recursos tecnológicos que proporcionam uma verdadeira manifestação em potencial, articulando grupos de manifestantes e projetando a forma de como tudo vai acontecer nas ruas pelas cidades brasileiras.

Os políticos estão percebendo que o povo não está mais aguentando a forma como o nosso país está resolvendo as pendências sociais. A tecnologia existe e é utilizada para aumentar o efetivo de insatisfeitos que demonstram a sua raiva e insatisfação com os políticos e conseguem se organizar no mundo virtual para ter consequência no mundo real.

Essa é a nossa realidade, dessa geração que nasceu com a internet no berço. A expressão bem conhecida pela população faz jus ao seu sentido: “O povo unido, jamais será vencido!”. Com a tecnologia, essa consequência ultrapassa barreiras e chega ao noticiário dos países desenvolvidos. Estamos estampados nas capas dos principais jornais do mundo. A tecnologia nos ajuda a demonstrar que estamos insatisfeitos com a política brasileira.

A internet é uma grande aliada nesse processo democrático pois viabiliza a nossa manifestação em tempo real para todo o mundo. E já estamos colhendo os frutos dessa organização do povo. As consequências são inevitáveis. O preço das passagens de ônibus voltaram a patamares menores e outras medidas ainda virão a acontecer. Pois essa demonstração de manifestação é mais que o preço da passagem que teve um aumento no seu preço mas a qualidade do serviço prestado continua ruim. Não há uma coerência entre o que se paga e o que se tem de contraparte.

O que se via até então, era pessoas insatisfeitas que se expressavam em pequenos grupos nas redes sociais contra a política brasileira. Mas hoje, a população “acordou” e utilizou a mesma rede social que usavam para reclamar e planejaram algo novo, um protesto nacional com força e vigor.

Contudo, espero que a partir de agora, os políticos percebam a máxima da lei da física que não mente: “Toda ação gera uma reação”. Tem que ser com muita cautela qualquer tipo de ação realizado pelo poder público pois agora, sem medo de errar, basta uma ação errada do governo para o povo voltar as ruas e protestar novamente.

Para frente Brasil!

Até a próxima!

Confirmando a leitura de um e-mail com a ajuda de um “porco”

No mundo todo, milhares de e-mails são enviados pelos diversos servidores de e-mail existentes na internet, com o objetivo de levar a informação desejada do remetente ao destinatário. Infelizmente, muitos desses e-mails são os temíveis SPAM: mensagens indesejadas e que na sua grande maioria possui conteúdo publicitário.

Nem vou falar a quantidade de e-mail fake (falso) que é enviado aos coitados dos destinatários desavisados que acabam caindo em determinados golpes virtuais por falta de informação e atenção.

Em vários softwares de e-mail (os programas clientes) que os usuários utilizam para ler e enviar e-mails tais como o Outllook, Thunderbird, Lotus, etc, existem opções configuráveis para que seja possível o remetente receber uma confirmação de entrega e leitura por parte do programa de e-mail do destinatário.

Cada programa de e-mail cliente tem o seu local de configuração específico para essa finalidade, que no geral, atende a demanda dos usuários. Entretanto, tenho percebido que determinados administradores de servidores nas empresas, estão desabilitando a opção no servidor de e-mail corporativo para que não seja possível enviar um retorno ao remetente sobre a entrega ou leitura do e-mail por parte do destinatário.

Alguns argumentos são levantados por esses profissionais de TI como: evitar a ação dos spammers que enviam um e-mail para um endereço eletrônico na esperança de receber a confirmação de entrega e assim, validar aquele e-mail na maillist de spam. Outro argumento é sobre a privacidade do destinatário que não quer informar ao remetente qual o momento que foi realizado a leitura do e-mail enviado, ficando o remetente na eterna dúvida sobre a entrega e a leitura do e-mail enviado.

Entretanto, argumentos a parte, podemos resolver essa questão com uma método que é muito usado durante o processo de investigação pericial em crimes eletrônicos com o objetivo de saber se determinado e-mail utilizado para enviar material pornográfico ou com conteúdo ofensivo contra o destinatário ainda está em funcionamento. Usando um “porco”.

Isso mesmo, a técnica utilizada é inserir no corpo do e-mail, uma figura de um porco disponibilizada no site www.spypig.com que ele executará o script no momento que o destinatário abrir o e-mail. É muito simples de usar e garante bons resultados ao remetente que receberá uma confirmação de leitura com informações úteis como versão do browser do destinatário, sistema operacional e outras informações relevantes.

O SpyPig é um site que disponibiliza ao remetente a facilidade de ter uma confirmação de leitura do e-mail enviado independente da vontade do destinatário, querendo ou não, até porque nenhuma mensagem é exibida a ele para permitir ou não esse envio. Tudo é executado via scrpit que tem a sua ação iniciada na mera abertura do e-mail.

Utilize esse recurso e perceba a infinidade de benefícios que esse método de confirmação pode lhe proporcionar.

Até a próxima!

De quem é a culpa da lentidão do ERP: da equipe de infra ou sistema?

O uso de um sistema informatizado dentro de uma empresa traz enormes benefícios tanto para o empresário, que tem o seu controle financeiro e administrativo de forma organizada e otimizada, quanto o governo, que acompanha o movimento contábil e fiscal das empresas através da escrituração digital.

Esse processo é resultado da evolução da tecnologia combinado com a necessidade de se ter um maior controle das informações que são repassadas aos órgãos públicos e assim, facilitar a análise desses dados pelo governo.

Antigamente, o uso dos antigos livros caixas (nem sei se ainda tem empresa que usa essa modalidade – exceto as microempresas e as quitandas), aqueles livros que continham todo o histórico de entrada e saída da empresa, era obrigatório e necessário para uma eventual fiscalização por parte do agente público.

Entretanto, era muito moroso a fiscalização e existia uma enorme dificuldade em guardar esse livros em locais seguros e longe de traças e outros tipos de “bichos”. Hoje, com o uso de software que gerenciam as informações da empresa, os conhecidos ERP, fazem todo o trabalho fiscal e contábil, até mesmo na geração de notas fiscais eletrônicas.

Tudo fica registrado eletronicamente e através do ERP, qualquer tipo de consulta o relatório é gerado em poucos minutos e até em segundos, dependendo do volume e da complexidade da informações a serem pesquisadas.

Ocasionalmente, em determinados momentos, essa pesquisa no sistema de informática da empresa ou geração de um arquivo para ser enviado ao órgão público, pode ocasionar um certo atraso devido a uma lentidão no processamento das informações, levando ao usuário do ERP a registrar um atendimento no suporte da empresa para resolver esse atraso.

Inicia-se nesse momento uma discussão entre a equipe de infraestrutura e a equipe de sistemas em que cada um joga a culpa ao outro, sobre a culpa da lentidão no processamento das informações pesquisadas por parte do usuário da empresa. O pessoal de infra acusa que o ERP está lento devido o tamanho do banco de dados, tabelas não indexadas, falta de uma manutenção preventiva e outros motivos plausíveis.

Do outro lado, o pessoal de sistema se defende colocando a culpa na infraestrutura que está deficiente como o processamento do servidor não aguenta mais as necessidades do ERP, falta memória RAM, CPU ultrapassada, cabeamento de rede inadequado e outras desculpas que merecem atenção no caso concreto.

Contudo, o que precisa ser analisado é que tanto a equipe de sistemas como a de infra precisam arranjar uma solução pois o sistema ERP não roda sem a infra e não adianta ter a infra sem o sistema funcionando. Encontrar a solução em conjunto, nesse caso, ganha os profissionais de TI (pela proatividade em resolver) e ganha a empresa (que sabe que possui bons profissionais que resolvem os seus problemas de tecnologia).

Até a próxima!

Segurança da Informação: Como evitar uma enorme dor de cabeça com a perda ou roubo de seu notebook?

O mundo moderno nos traz benefícios de agilidade e mobilidade, quando tratamos da evolução tecnológica nos equipamentos eletrônicos. Essa é uma realidade que também tem o seu preço a pagar, quando abordamos um assunto importante: A Segurança da Informação.

Alguns pilares da Segurança da Informação estão constituídos pela confidencialidade, o não repúdio, a disponibilidade, autenticidade e a integridade. O que vamos tratar quanto a perda de um equipamento que possui informações sigilosas ou particulares de seu dono, estamos tratando da confidencialidade.

Nesse pilar da segurança da informação, precisamos manter confidencial algo que só diz respeito ao seu próprio proprietário, nenhuma outra pessoa precisa e não pode ter acesso as informações sem o aval do dono das informações. Mas como manter a confidencialidade dos dados armazenados em um HD (disco rígido) de um notebook de forma a garantir essa máxima da informática: a confidencialidade?

Algumas pessoas podem acreditar que basta colocar uma senha de login no início do sistema operacional e pronto, os seus dados estarão seguros de acesso não autorizado. Infelizmente não é tão simples assim essa ideia de que somente uma senha de acesso ao sistema vai impedir o acesso as informações. Para burlar esse “obstáculo”, o modo mais fácil e menos oneroso seria pegar o hd do notebook e colocar em outro equipamento de forma que o disco rígido fique como um disco secundário em outra máquina (os velhos conhecidos slaves).

Claro que tem outra forma que nem precisa remover o disco rígido do notebook para ter acesso as informações sem precisar da senha de login. Basta você efetuar o boot no equipamento utilizando um Live CD, por exemplo. É uma forma de carregar a máquina com um sistema operacional existente no CD que não faz nenhuma alteração nas configurações do computador mas permite ter acesso ao disco da máquina de forma mais simples, sem carregar o sistema operacional existente no hd em questão.

Enfim, mas como evitar esse tipo de acesso não autorizado às informações confidenciais, mesmo usando o CD Live?

A resposta para essa pergunta é muito simples: use a criptografia! Isso mesmo, a tecnologia que “embaralha” as informações e torna as mensagens indecifráveis, evitando que pessoas alheias tenham acesso a coisas que não deveriam ter.

Eu recomendo um software que roda nas plataformas Windows, Linux e Mac OS que é o TrueCrypt. A ideia é pegar todas as pastas e arquivos que estão em “meus documentos” (no windows) ou em “/home” (no linux) e colocar em um único arquivo criptografado. Desde modo, toda vez que ligar o seu computador, o único arquivo existente no diretório do seus documentos será o arquivo criptografado. Dentro dele é que estão os seus arquivos, imagens, fotos, vídeos, etc.

Para ter o acesso a essas informações criptografadas, você terá que usar o TrueCrypt e digitar uma senha para que o programa permita o acesso ao conteúdo interno desse arquivo criptografado e ele gera uma unidade de disco, apontando para os arquivos. Com isso, toda vez que for desligar o sistema operacional, você desconecta a unidade de disco com o conteúdo criptografado e ao religar o computador, mesmo usando um Live CD, só vai existir um arquivo dentro de “meus documentos”. Justamente o arquivo criptografado que precisa de senha para abri-lo, nada mais do que isso.

Com isso, você evitar uma enorme dor de cabeça ao perder ou ter o equipamento roubado. Pelo menos as suas informações não serão acessadas por estranhos.

Mas se esquecer a senha que abre o arquivo criptografado, aí sim, você vai ter uma baita dor de cabeça.

Até a próxima!

O Profissional de TI precisa aprender a dizer “não”

O conhecimento é fundamental para realizar o progresso natural dentro de uma carreira construída com muito esforço, dedicação e empenho. E essa progressão na vida profissional, precisa ser bem planejada para evitar a frustração na carreira e evitar o que tem acontecido com frequência: a troca de área de atuação.

A questão é que bons profissionais estão mudando cada vez mais de área por falta de incentivos nas empresas onde trabalham, trocam constantemente os horários que deveriam ser de lazer por horas de trabalhos em troca de um minguado extra no final do mês ou até quem diga uma certa “compensação” nos locais de trabalho que utilizam o sistema de banco de horas. Nesse caso, o funcionário faz as “horas extras” e o funcionário ao invés de receber em valores o trabalho executado fora do expediente normal de trabalho, ele tira um dia ou algumas horas de folga para compensar esse trabalho extra.

O problema é que esse tipo de modalidade realmente não compensa para a maioria dos trabalhadores de TI pois quem trabalhou após o expediente, quer na verdade um reconhecimento por parte da empresa pelo seu esforço dedicado à companhia e que no futuro próximo, seja merecedor de um aumento de salário com base em suas tarefas em horário extra ou uma promoção de cargo.

Alguns profissionais de TI até gostam de trabalhar após o expediente pois preferem folgar em um determinado dia na semana. Cada um tem o seu pensamento mas já parou para refletir que o dia de folga não se aproveita do mesmo jeito que seria um dia de final de semana com a família?

Se folgar em dia da semana provavelmente seu companheiro ou companheira vai está trabalhando. Seus amigos vão está trabalhando. Como aproveitar o seu dia de folga na mesma intensidade se fosse um domingo, por exemplo?

O que na verdade vai acontecer é você achar que está “abafando” ficando na praia pegando aquele sol em plena manhã enquanto todo mundo está trabalhando. Sim, mas não esqueça que você está sozinho na praia. No fundo, você fica com um sentimento que deveria está trabalhando. Pior ainda para aqueles profissionais que dão aula a noite ou tem outro compromisso profissional em outro trabalho. A folga não vale de nada.

Portanto, é importante saber dizer não em determinados momentos para evitar esse tipo de situação. Lógico que muitos devem está pensando: “se eu disser um ‘não’, serei despedido, tenho que trabalhar até mais tarde fora do expediente”. Perceba que o “não” realmente não pode ser utilizado para qualquer momento mas tem coisas que a negativa tem que ser imposta, para evitar o stress desnecessário tanto para o profissional de TI como para o administrador de empresas.

Um exemplo esclarecedor que pode ser contornado pelo responsável dos sistemas de informática na empresa é quando em uma sexta-feira, faltando 1 hora para acabar o expediente, o seu chefe é comunicado pela empresa responsável pelo programa ERP que existe uma nova atualização no módulo de contabilidade e assim, ele quer que você faça a atualização no servidor para que todas os computadores estejam atualizados.

Nessa hora, é necessário cautela e coragem. Primeiro, essa atualização vai gerar produção ao setor beneficiado pela atualização após o expediente? Ou o seu chefe quer meramente que se atualize os sistemas para amanhecer na segunda-feira com o sistema atualizado? Ora de dizer “não” para o seu chefe propondo uma solução (alternativa). Informe os riscos de se atualizar um sistema no servidor no início de um fim de semana, se algum funcionário precisar trabalhar no sábado e o sistema acusar algum erro de funcionamento motivado pela atualização, é provável que você seja encontrado para trabalhar no fim de semana.

Solução plausível: atualize (quando possível) somente no computador do setor beneficiado pela atualização e deixe para atualizar no servidor no início da semana que vem. Se essa solução não for agradável, informe ao seu chefe os riscos de se atualizar e que a empresa pode não conseguir falar com você no fim de semana se houver necessidade. Fala que você está planejando um passeio com a família no final de semana para uma sítio que lá não pega sinal de celular.

Ele refletirá os riscos e com certeza, aceitará os seus argumentos e preferirá alterar o sistema quando você estiver por perto. Dessa forma, ele acabou aceitando o seu “não”, mesmo que indiretamente.

Até a próxima!

A importância de um ambiente de homologação

A economia gira em torno do consumo que a população realiza nos diversos países de nosso planeta, seja adquirindo produtos ou serviços. E as empresas, para conseguirem se manter no mercado e evitar a sua falência, tem que fazer o dever de casa bem feito como: planejar, controlar, cuidar, administrar, inovar… enfim, precisa de ferramentas tecnológicas para dar conta do recado.

O caminho natural é a compra ou o desenvolvimento próprio de softwares de gerenciamento do negócio para que o empresário saiba como anda as finanças de sua companhia, sem falar que é obrigatório em determinados segmentos da economia a emissão de nota fiscal eletrônica. Nem preciso mencionar que a evolução tecnológica chegou ao ponto que as informações fiscais e contábeis das empresas são enviadas para o governo através de arquivo digital, informações estas geradas por programas de informática.

Todavia, nada adianta ter toda a tecnologia se o empresário não se preocupar com a manutenção e com as atualizações dos sistemas existentes na empresa. É natural que a cada nova mudança na legislação, os softwares corporativos precisam se adequar e para isso, não há outra alternativa senão efetuar a tão temida “atualização”.

Esse é um momento crucial na vida corporativa pois basta realizar uma atualização do ERP (software de gestão corporativa) com algumas falhas de programação para que surja uma enorme dor de cabeça tanto para o profissional de TI que realizou a atualização assim como para o dono da empresa, que não pode correr riscos que levem a sua empresa à falência.

Tive a oportunidade de trabalhar em uma empresa que revendia software e eu era o responsável pelo departamento de testes de software da empresa, com 5 analistas e 1 programador. A responsabilidade era tão grande que bastava um erro matemático no programa em centavos, que poderia levar a uma perda de faturamento diário muito grande, devido ao grande giro de capital que o software controlava.

Um certo dia, fazendo um teste rotineiro, resolvi testar uma função do sistema que para muitos pode ser bem simples. Entrei no software e executei a função “abertura de caixa” (função essa que no comércio seria o inverso do relatório Z, Y, X… que ao final do dia você tira um “razão” do caixa e confere o movimento do dia, verificando o registro no sistema com os valores recebidos). Essa abertura quer dizer que o estabelecimento está abrindo o seu funcionamento e o valor do caixa inicial será o indicado no sistema.

O sistema indicava saldo de R$ 10,00 de caixa inicial (muito útil para ter um saldo inicial que permite troco) e “sangrei” R$ 9,00 (nove reais) no caixa a título de empréstimo. Mesmo achando improvável, sabendo que o sistema indicava saldo inicial agora de R$ 1,00 devido ao “empréstimo” realizado, tentei sangrar mais R$ 9,00 (nove reais) e para a minha surpresa, o sistema PERMITIU! No mesmo instante, abrir um registro de não conformidade, comuniquei a empresa detentora do software o que impossibilitou de atualizar o sistema no cliente final por conta dessa função que estava errada.

Com isso, a importância de se fazer um ambiente de teste antes de se efetivamente atualizar no ambiente de produção é fundamental para qualquer empresa e qualquer software, mesmo os mais simples como o próprio Sistema Operacional. Quem não se lembra de uma atualização de um determinado fabricante de software que após a atualização, milhares de máquinas se recusavam a iniciar?!

O ambiente de homologação deveria ser obrigatório nas empresas e é claro, a sua fiscalização também. Entretanto, com o mercado voraz e a concorrência do mercado muito acirrada, atrasos em atualizações podem gerar prejuízos financeiros nas empresas o que leva a muitos empresários a decidir em atualizar os softwares diretamente no ambiente de produção para corrigir determinados problemas, sem analisar que com essa ação, estará ocasionando em outros problemas e deixando os sistemas vulneráveis.

E você, na sua empresa já implantou um ambiente de homologação?

Até a próxima!