Já fez o backup?

Se ocorresse um incêndio no escritório de sua empresa, algum dado digital seria perdido? E se seu notebook ou celular fosse furtado hoje?

Pare e pense: quando foi feito o último backup dos dados de seu notebook? E do servidor da empresa? E de seu smartphone? Garanto que grande parte irá responder que fazem alguns dias, semanas ou até mesmo meses.

Em tempos de estrutura Cloud (Nuvem), novos questionamentos surgem: e se seu fornecedor falhar, algum dado será perdido? Se sim, qual o volume de dados envolvidos neste risco?

Semana passada uma notícia me fez lembrar de postar sobre este tópico. Na quarta, dia 18 de Maio de 2016, um cientista teve seu notebook furtado na saída do aeroporto Santos Dumont (SDU) no Rio de Janeiro (http://oglobo.globo.com/rio/computador-de-cientista-furtado-com-pesquisa-inedita-contra-zika-19359907). No equipamento estavam dados de uma pesquisa inédita sobre o uso de uma droga chamada clorofina para inibir o vírus Zika. Por negligência do cientista, não existiam cópias de segurança dos arquivos.

Backup não é só ter uma cópia de segurança no HD externo por exemplo. Dependendo da importância dos dados, local físico de armazenamento e criptografia também devem ser considerados.

Além do processo de backup é extremamente importante validar a qualidade e eficácia deste. Uma técnica que também é bastante negligenciada é a de simular situações de ocorrências (Disaster – Recovery) para validar o processo de backup e a integridade dos dados que são gerados. De nada adianta ter um rotinas de backup se os dados não estão sendo armazenados de forma correta.

Não conte com a sorte. Backup é algo extremamente importante.

Olá, sua empresa foi hackeada

Imagine receber uma mensagem com este título? Preocupante, não? Mas o fato é que mais de 98% dos sites e sistemas possuem algum tipo de falha. Estas falhas de segurança podem ser extremamente danosas, podendo interromper a operação de uma empresa inteira e até decretar a falência de um negócio.

Validações mal feitas ou inexistentes, arquitetura ruim, infra falha, falta de controle de nível de acesso são as principais razões por trás destes problemas. Qualquer site ou sistema que esteja acessível via Internet tem este risco potencializado.

Algumas empresas focam na velocidade para se lançar o produto no mercado, e com isso costumam ser as mais afetadas. Nestes casos a qualidade e segurança são sempre deixadas para depois. Muitas vezes o custo também tem um grande peso, fazendo com que investimentos em segurança necessários sejam negligenciados. Centenas de erros e brechas ao longo de toda a estrutura virtual da empresa vão acumulando. A tendência é que em pouco tempo todo o legado acabe se tornando um passivo muito oneroso, virando uma bola de neve.

Um exemplo recente foi o caso do site Trampos.Co. Um profissional de segurança chamado Rafael Fidelis resolveu fazer alguns testes básicos no processo de pagamentos do site. Ao longo destes testes descobriu 2 falhas bastante graves que permitiam o uso de cartões de crédito de outros usuários para efetuar pagamentos de assinaturas. (caso deseje maiores informações: http://www.fidelis.work/como-eu-usei-o-cartao-de-credito-do-ceo-do-trampos-co-para-pagar-minha-assinatura-premium/).

Quando foi a última vez que um consultor externo realizou uma auditoria para validar a segurança de seu sistema e site? Muitos responderão: nunca.

Vai esperar algo acontecer ou tomar uma atitude preventiva? Que tal começar por uma consultoria pontual para levantar seu atual panorama? Vamos agendar uma reunião ou mesmo uma teleconferência para conversar sobre isso? Abaixo meus contatos:

E-mail: contato@renanviegas.com.br
Skype: renanviegas
Celular: (21) 98374-8413

Reconhecimento facial – chegamos na perfeição?

Um tópico bastante interessante que vem sendo pesquisado desde a década de 80 é o reconhecimento facial. Até pouco tempo os sistemas de detecção possuiam falhas significativas porém, estudos recentes fizeram uma nova abordagem, dividindo o processo em quatro fases: detecção, alinhamento, representação e classificação. Seguindo esta nova linha, pesquisadores utilizaram uma base de 4.4 milhões de fotos para validar o algorítimo utilizado e conseguiram precisão de 97.25%, que significa uma diferença de apenas 0.25% para a precisão humana (97.50%).

O uso de Inteligência Artificial se mostra uma realidade constante nestes assuntos. A rede utilizada na pesquisa envolveu mais de 120 milhões de parâmetros, utilizando uma rede neural de 9 camadas representando modelos dimensionais. Através desta estrutura foi utilizada uma grande massa de dados para treinamento e teste, quando parâmetros foram ajustados, permitindo a eficácia encontrada.

Esta tecnologia é utilizada tanto por redes sociais como Facebook para identificar pessoas em fotos como por empresas que fornecem ferramentas de segurança, para identificação de indivíduos em imagens de câmera. A aplicabilidade é enorme e a cada dia nos deparamos com um novo uso.

Em um futuro breve teremos maior interatividade com aplicativos e equipamentos capazes de simular diferentes cortes, estilos e cores de cabelo, maquiagem e muitos outros com precisão jamais vista. Um “Big Brother” com mais recursos, permitindo governos e empresas monitorar em tempo real pessoas em ambientes com câmera, também fará parte da realidade dos próximos anos.

PDF do estudo:
DeepFace: Closing the Gap to Human-Level Performance in Face Verification

Terceirização da publicidade digital e segurança

Terceirizar o que não é foco é o ideal certo? Errado! É importante estabelecer uma política de segurança na contratação de serviços terceirizados.

Muitas empresas de diversos tamanhos e segmentos terceirizam a publicidade digital de sua marca. Na maioria dos casos a mesma é gerida por uma empresa de publicidade que, por sua vez, contrata empresas menores ou aloca funcionários para a execução de algumas tarefas, algumas destas online. Até aqui, tudo normal certo? Errado!

Vamos a um caso recente:

Conta @itaucartao no Twitter
http://twitter.com/itaucartao
@itaucartao

Postagens no Twitter em 20/02/2014

Postagens no Twitter em 20/02/2014

Aparentemente a conta parece oficial, pois continha posts institucionais entre outros até as 15:30 do dia 20/02/2014. Nesta data começaram a surgir posts como se a conta tivesse sido invadida. Com uma pequena investigação foi possível identificar que a conta era falsa e que vinha agindo tem um tempo contra desavisados, solicitando dados de cartão, entre outros.

Por não ter uma equipe monitorando ações no Twitter, tal conta permaneceu ativa por alguns meses sem que a empresa em questão tomasse as devidas providências.

Por mais simples que seja sua ação digital, pense que, sem um consultor de segurança ou uma empresa de TI especializada para gerir tais dados, um simples deslize (ou mesmo economia) pode jogar tudo para o alto.