Wearables: A tecnologia vestível já chegou. Qual o impacto para segurança de pessoas e empresas?

VESTIR A CAMISA DA SEGURANÇA DA INFORMAÇÃO nunca foi uma realidade tão próxima. Mal as organizações começaram a ter uma ideia de como lidar com equipamentos pessoais, o BYOD (Bring Your Own Device), já aponta no horizonte o próximo desafio: Os Wearables, que traduzindo para o bom português significa – literalmente – “Tecnologia Vestível”.

A maioria dos techlovers já ouviu falar, pelo menos, nos óculos e relógios inteligentes, os últimos rumores já falam até do iWatch da maçã, que vai firmar de vez o mercado. Se considerarmos um ciclo de adoção parecido ao de smartphones e tablets, é fácil entender o as últimas expectativas de venda: Aproximadamente 171 milhões de dispositivos devem estar nas mãos dos consumidores por volta de 2016. Mas os wearables não se resumem aos Google Glass, Pebble e Galaxy Gear. As novas tecnologias vestíveis estarão presentes em uma ampla gama de produtos, incluindo desde Tatuagens, Lentes de Contato, Calças, Camisas, Tênis, Soutiens até Coleiras (para animais, claro!).

iwatchbra-fire
Sim, temos dispositivos vestíveis para todos os gostos!

Assim como o telefone celular e a internet móvel mudaram nosso comportamento, imagine o possível impacto dos novos vestíveis em áreas como fitness, medicina, ambiente corporativo ou mesmo militar. Enquanto esses dispositivos oferecem inúmeras possibilidades para o aumento de conforto, produtividade e até mesmo acompanhamento médico em tempo real, por outro lado surge um novo leque de ameaças a privacidade e segurança para pessoas e organizações.

wearable_tech

Essa preocupação já é uma realidade, como no caso do vice presidente americano Dick Cheney, que teve a funcionalidade wireless do desfibrilador instalado no seu coração desativada. Motivo? Medo de um possível ataque de ciberterroristas.Novamente, esse problema não afeta exclusivamente estadistas ou pessoas famosas.

Se já temos casos de criminosos planejando sequestro com uso de informação de redes sociais, é fácil imaginar que quando estivermos conectados a internet da cabeça aos pés a situação será mais complicada. Com a falta de conscientização/experiência de boa parte dos consumidores, os wearables podem se tornar mais uma ferramenta de superexposição online, abrindo portas para rastreamento ou até quem sabe controle de comportamento emocional (Sim, estou falando de você Facebook).

cheney-wifi
Ok! Coloquei o Avast Free no coração e as definições de vírus já foram atualizadas!

Se a cada vez que conectamos uma nova classe de dispositivos a internet, fatalmente descobrimos como eles podem ser atacados e explorados, com os wearables não será diferente. Enquanto consumidores se preocupam em não ser monitorados, empresas devem estar atentas a novas oportunidades de vazamento de informação ou constrangimento no ambiente de trabalho. Quando conversei com alguns colegas, a postura foi igual com todos: “Vamos proibir”. Mas não acredito que vá ser assim tão fácil.

Além de não sermos a área mais querida e comunicativa com os usuários, na Gestão de Segurança da Informação temos impressão de que ditamos unilateralmente as regras, e a ilusão que essas serão impreterivelmente seguidas. Quer um exemplo de como isso nem sempre funciona? Imagine o seguinte cenário: Será que conseguiríamos – mesmo com o apoio da alta direção – banir completamente o uso de celular pessoal dentro da empresa? Acredito que – exceto em ambientes ou segmentos bem específicos – isso não seja viável. Em mais alguns anos, essa talvez seja a mesma visão com os wearables.

Para termos uma ideia da visão das pessoas, podemos usar o North American Technographics® Consumer Technology Survey 2013, pesquisa realizada pela Forrester com um grupo de mais de 4600 adultos americanos. Um dos pontos era a pergunta: Como você estaria interessado vestir/usar um dispositivo inteligente, supondo que seja de uma marca que você confia, oferecendo um serviço que é do seu interesse? Veja os resultados na imagem abaixo.

Novo Homem Vitruviano: Como a tecnologia vai afetar nosso comportamento?
Novo Homem Vitruviano: Como a tecnologia vai afetar nosso comportamento? – imagem: Forrester

A verdade é que organizações devem estar atentas e se antecipar a mudanças significativas no comportamento de seus empregados e até da sociedade. Uma boa Gestão de Segurança não pode ignorar novas tendências tecnológicas, a chave do sucesso é estar preparado, com processos e tecnologias maduras o suficiente para garantir flexibilidade, inovação e um ambiente seguro.

 

[UNIFOR] – Palestra “Inovação com Segurança da Informação: Desafios de uma gestão flexível para inovar de maneira segura” – Download dos Slides

Prezados amigos,

Como mencionado previamente em outros posts,  no dia 20/02 tive o prazer de palestrar na UNIFOR apresentando o tema “Inovação com Segurança da Informação: Desafios de uma gestão flexível para inovar de maneira segura”.

UNIFOR – Palestra “Segurança da Informação: Perspectivas no Brasil para 2014 e além”.
UNIFOR – Palestra “Segurança da Informação: Perspectivas no Brasil para 2014 e além”.

Foi grande prazer poder discutir o conflito INOVAÇÃO x SEGURANÇA com amigos, alunos e profissionais na minha cidade. Agradeço a todos os presentes, e em especial ao Prof. Marcus Venicius e a UNIFOR pela parceria.

Clique para fazer o download da apresentação!
Clique para fazer o download da apresentação!

Estou publicando  aqui <<[PDF]Inovação com Segurança da Informação: Desafios de uma gestão flexível para inovar de maneira segura>> o material de apoio que usei na palestra.

Para ver mais fotos do evento, que foram publicadas na comunidade do facebook, clique AQUI.

Palestra Gratuita em Fortaleza: “Inovação com Segurança da Informação: Desafios de uma gestão flexível para inovar de maneira segura”

Caros colegas,

Em 20 de fevereiro as 19:30, estarei em Fortaleza apresentando uma palestra com o tema “Inovação com Segurança da Informação: Desafios de uma gestão flexível para inovar de maneira segura”.

clique na imagem para se inscrever
clique na imagem e faça sua inscrição!

Em uma cultura cada vez mais dinâmica, onde novas tendências, tecnologias e ameaças surgem em uma base quase diária, um dos grandes desafios a Segurança da Informação é não se tornar um empecilho a INOVAÇÃO nas corporações, ao mesmo tempo em que garante um ambiente livre de impactos adversos.

Vamos tentar responder a pergunta: É possível ter flexibilidade o suficiente para INOVAR DE MANEIRA SEGURA?

O evento é gratuito, mas as vagas são limitadas! Inscreva-se aqui: http://dary.us/1h4iXNm.

Aproveite e participe do evento no Facebook: http://dary.us/1bFhMMu.

Feira do Empreendedor 26 e 27/09/12 – Palestra Segurança da Informação: O desafio da gestão de riscos em pequenas e médias empresas.

Prezados Colegas,

Estou disponibilizando AQUI o material apresentado em minha palestra Segurança da Informação: Gerenciando riscos em pequenas e médias empresas que foi apresentada na Feira do Empreendedor em Fortaleza/CE.

Segurança da Informação  Gerenciando riscos em pequenas e médias empresas
Segurança da Informação – Gerenciando riscos em pequenas e médias empresas

Segurança da Informação: Da Utopia a criação de uma cultura de proteção aos dados corporativos

Por volta do o ano de 1516, Sir Thomas More se viu fascinado pela descrição de Americo Vespucio do arquipélago paradisíaco brasileiro de Fernando de Noronha, e decidiu escrever sobre “um novo lugar onde haveria uma sociedade pura e perfeita”.

De optimo rei publicae statu deque nova insula Utopia traduz-se literalmente “Sobre o melhor estado da república e da nova ilha Utopia” e é comumente conhecido simplesmente por Utopia, a sociedade ideal, onde não há guerra, fome, pobreza, e – se Sir Thomas More tivesse nascido cerca de 500 anos mais tarde – sem incidentes de segurança da informação.

VUTOPIA - É bem ali.. depois de três quadras, dobra a esquerda, passa duas quadras, vira na padaria do Zé e é só seguir reto mais um ou dois Parsecs

Na sociedade utópica cada usuário está perfeitamente consciente de seus papéis e responsabilidades e, apesar de a segurança da informação (SI) ainda ser baseada na triade integridade, confidencialidade e disponibilidade (CID), os controles de segurança são focados apenas no fortalecimento da infra-estrutura contra eventos imprevisíveis e questões ambientais como um incêndio ou a velha e boa catástrofe natural.

Na Utopia não há necessidade de controles como, por exemplo, configurar requisitos de complexidade para senhas ou instalar um filtro web já que os próprios usuários sempre criam senhas complexas e usam o acesso à Internet somente para fins de trabalho.

Y U NO LESS BORING?
Que mundo chato! Voltemos a realidade atual!

Infelizmente cada dia nos leva um passo mais longe da utopia e a gestão de segurança da informação (GSI) tem de lidar com problemas comuns, tais como o surgimento de novos códigos maliciosos, vazamento de informações, hacktivismo e ao mesmo tempo derrotar o mais temível de todos os desafios: convencer o négocio e os usuários sobre a importância da segurança da informação como um ativo estratégico.

Dada a quantidade de espaço que a mídia tem usado para mostrar casos recentes de ataques realizados pelos autointitulados grupos hacktivistas como Anonymous e Lulzsec seria uma suposição bastante razoável que a maturidade corporativa sobre iniciativas de segurança também estaria aumentando. #Not!

awareness or not

A infeliz realidade é que, excetuando-se casos de empresas onde SI é mandatória (basicamente quando se é obrigado por alguma lei ou regulamentação) a maioria das organizações ainda têm um nível de maturidade pobre e prefere lidar com incidentes a “moda antiga”: SER REATIVO.

Qualquer literatura recente, incluindo normas como a ISO 27001, define Segurança da Informação como a “preservação da confidencialidade, integridade e disponibilidade das informações, além disso, outras propriedades, como autenticidade, não repúdio, responsabilidade e confiabilidade podem também estar envolvidos”. Estes aspectos certamente são importantes, porém não devem ofuscar o fato de que a tríade CID é suportada e dependente de processos, pessoas e tecnologia.

Esta “pequena” falha de entendimento pode levar a lacunas na proteção de ativos de informação, afinal, a SI tem um escopo muito mais abrangente do que IT Sec e até mesmo a melhor tecnologia não será capaz proteger a sua empresa quando o CFO tem uma senha “escondida” sob o seu teclado que é compartilhada com sua secretária de confiança.Do ponto de vista do business a SI não faz a operação ser mais fácil ou barata, mas certamente torna o negócio possível em um ambiente em constante evolução e com uma crescente variedade de ameaças.

CIDxPPT
CID x PPT

Desde seus primórdios, a segurança da informação tem sido intimamente associada com tecnologia, incluindo firewalls, IPS, IDS e todo um universo siglas que representam softwares ou appliances que visam a proteger a infra-estrutura e seus dados eletrônicos. Este fato vem de um erro bastante comum: confunir segurança da informação (SI) com segurança de tecnologia da informação (IT Sec).

Esta série de artigos tem como foco um dos aspectos-chave da gestão de segurança da informação: a criação de um programa de conscientização sobre segurança da informação que efetivamente permita a todos os níveis da organização compreender e cumprir o seu papel na proteção dos ativos de informação.

É preciso compreender que não existe necessidade de se criar uma “sociedade utópica”. Entretanto, um programa de conscientização de sucesso deve garantir o florescimento de uma cultura corporativa que abrange a protecção de dados para cada pessoa – desde a alta direção até estagiários, funcionários temporários e terceiros – que tem acesso ou manuseiam ativos de informação da empresa durante seu ciclo de vida.

A única maneira para se garantir o sucesso desta empreitada é ter a participação ativa da alta direção: Não basta ser comprometido, é preciso parecer comprometido. Outro ponto essencial é reunir as demais partes interessadas em departamentos como Recursos Humanos, Marketing e Jurídico.  Desta forma, garantimos que não há falta de conhecimento sobre as disciplinas não inerentes a área de SI ou das equipes de TI, especialmente de comunicação interna e iniciativas de marketing.